If-Koubou

Kuinka ymmärtää niitä, jotka hämmentävät Windows 7: n tiedosto- ja jakeluoikeuksia

Kuinka ymmärtää niitä, jotka hämmentävät Windows 7: n tiedosto- ja jakeluoikeuksia (Miten)

Oletko koskaan yrittänyt selvittää kaikki oikeudet Windowsissa? Osakeoikeuksia, NTFS-käyttöoikeuksia, kulunvalvontaluetteloita ja paljon muuta. Näin he työskentelevät yhdessä.

Turvatunniste

Windows-käyttöjärjestelmät käyttävät SID-tunnuksia, jotka edustavat kaikkia tietoturvaperiaatteita. SID-tunnukset ovat vain muuttuvia pituisia aakkosnumeerisia merkkejä, jotka edustavat koneita, käyttäjiä ja ryhmiä. SID-tunnukset lisätään ACL-tiedostoihin (Access Control Lists) aina, kun annat käyttäjälle tai ryhmälle luvan tiedostoon tai kansioon. Kohdan taustalla olevat SID-tiedot tallennetaan samalla tavoin kuin kaikki muut tietoobjektit ovat binaarissa. Kuitenkin, kun näet SID: n Windowsissa, se näkyy luettavamman syntaksin avulla. Usein ei ole tapana, että näet minkä tahansa SID-muodon Windowsissa, yleisimpiä skenaarioita on, kun annat jonkun resurssin luvan, sitten heidän käyttäjätunnuksensa poistetaan ja se näkyy ACL: ssä SID: ksi. Joten voit tarkastella tyypillistä muotoa, jossa näet SID-osoitteet Windowsissa.

Merkintä, jonka näet, vie tietynlaisen syntaksin, alla on tämän merkinnän SID: n eri osat.

  1. S-etuliite
  2. Rakenteen tarkistusnumero
  3. 48-bittinen tunnisteen auktoriteettiarvo
  4. Muuttuva määrä 32-bittistä alivaltiota tai suhteellista tunnistetta (RID)

Käyttämällä SID-tunnistetta alla olevassa kuvassa hajotamme eri osia, jotta voimme ymmärtää paremmin.

SID-rakenne:

'S' - SID: n ensimmäinen komponentti on aina 'S'. Tämä on etusijalla kaikkiin SID-osoitteisiin ja on olemassa tietoja Windowsille, että seuraava on SID.
'1' - SID: n toinen komponentti on SID-spesifikaation tarkistusnumero, jos SID-spesifikaation oli tarkoitus muuttaa se antaisi taaksepäin yhteensopivuuden. Windows 7: n ja Server 2008 R2: n mukaan SID-määritys on vielä ensimmäisessä versiossa.
'5' - SID: n kolmas osa on nimeltään tunnistusviranomainen. Tämä määrittelee, missä määrin SID on luotu. SID: n tämän osan mahdolliset arvot voivat olla:

  1. 0 - Toimivaltainen viranomainen
  2. 1 - Maailman viranomainen
  3. 2 - Paikallinen viranomainen
  4. 3 - Luojaviranomainen
  5. 4 - ei-ainutkertainen viranomainen
  6. 5 - NT-viranomainen

'21' - Neljäs osa on alavoima 1, arvoa "21" käytetään neljää kenttää määriteltäessä, että alivaltiot, jotka seuraavat, tunnistavat paikallisen koneen tai verkkotunnuksen.
'1206375286-251249764-2214032401' - Näitä kutsutaan alivaltioksi 2,3 ja vastaavasti 4. Esimerkissämme käytetään paikallisen koneen tunnistamista, mutta se voi olla myös Domain-tunniste.
'1000' - Auktoriteetti 5 on SID: in viimeinen osa ja sitä kutsutaan RID (Relative Identifier), RID on suhteessa jokaiseen tietoturvaperiaatteeseen. Huomaa, että kaikki käyttäjän määrittelemät kohteet, jotka eivät ole Microsoftin mukana, RID on 1000 tai suurempi.

Turvallisuusperiaatteet

Turvallisuusperiaate on mikä tahansa, johon on liitetty SID, nämä voivat olla käyttäjiä, tietokoneita ja jopa ryhmiä. Turvallisuusperiaatteet voivat olla paikallisia tai olla verkkotunnuksen yhteydessä. Hallitset paikallisia turvallisuusperiaatteita paikallisten käyttäjien ja ryhmien napsauttamalla, tietokonehallinnan alla. Pääset oikeaan hiiren kakkospainikkeella tietokoneen pikavalintaan aloitusvalikossa ja valitse hallita.

Uuden käyttäjän tietoturvaperiaatteen lisäämiseksi voit siirtyä käyttäjien kansioon ja napsauttaa hiiren kakkospainiketta ja valita uuden käyttäjän.

Jos kaksoisnapsautat käyttäjää, voit lisätä ne Member Group -välilehteen Security Groupiin.

Luo uusi tietoturvaryhmä siirtymällä oikealla puolella olevaan Ryhmät-kansioon. Napsauta hiiren kakkospainikkeella valkoista tilaa ja valitse uusi ryhmä.

Osakeoikeudet ja NTFS-käyttöoikeus

Windowsissa on kahdenlaisia ​​tiedosto- ja kansion käyttöoikeuksia, ensin osakeoikeuksia ja toiseksi NTFS-käyttöoikeuksia, joita kutsutaan myös suojauslupiksi. Huomaa, että kun olet jakanut kansion oletuksena, "Jokaiselle" -ryhmälle annetaan lukulupa. Kansioiden suojaus tehdään yleensä Share- ja NTFS-käyttöoikeuksien yhdistelmällä. Jos näin on, on tärkeää muistaa, että kaikkein rajoittavin koskee aina esimerkiksi, jos osakeoikeus on asetettu kohtaan Everyone = Read (joka on oletusarvo). mutta NTFS-käyttöoikeus antaa käyttäjille mahdollisuuden muuttaa tiedostoa, Osuusoikeus ottaa etusija ja käyttäjät eivät saa tehdä muutoksia. Kun määrität oikeudet, LSASS (Local Security Authority) valvoo pääsyn resurssiin. Kun kirjaudut sisään, saat käyttöoikeuskoodin SID: lläsi, kun käytät resurssia LSASS vertaa ACL: ään (Access Control List) lisätyn SID: n ja jos SID on ACL: llä, se määrittää, onko sallia tai estää pääsy. Riippumatta siitä, mitä käyttöoikeuksia käytätte, on eroja, jotta katsomme paremman käsityksen siitä, milloin meidän pitäisi käyttää mitä.

Osuusoikeudet:

  1. Käytä vain käyttäjiä, jotka käyttävät resurssia verkon kautta. Ne eivät sovi, jos kirjaudut paikallisesti, esimerkiksi päätelaitteiden kautta.
  2. Se koskee kaikkia jaettuja tiedostoja ja kansioita. Jos haluat tarjota rakeisemmanlaisen rajoitussysteemin, käytä NTFS-käyttöoikeutta jaetun lisenssin lisäksi
  3. Jos sinulla on FAT- tai FAT32-muotoisia tiedostoja, tämä on ainoa käytettävissä oleva rajoitus, koska NTFS-käyttöoikeudet eivät ole käytettävissä kyseisissä tiedostojärjestelmissä.

NTFS-käyttöoikeudet:

  1. NTFS-käyttöoikeuksien ainoa rajoitus on, että ne voidaan asettaa vain NTFS-tiedostojärjestelmälle alustettuun tilaan
  2. Muista, että NTFS on kumulatiivinen, mikä tarkoittaa, että käyttäjien todelliset käyttöoikeudet ovat seurausta käyttäjän antamien käyttöoikeuksien yhdistämisestä ja kaikkien ryhmien oikeuksista, joihin käyttäjä kuuluu.

Uudet käyttöoikeudet

Windows 7 osti uutta "helppoa" jakamismenetelmää.Vaihtoehdot muuttuvat luku-, muutos- ja täydellisestä valvonnasta kohteeseen. Lue ja Lue / Kirjoita. Ajatus oli osa koko kotiryhmän ajattelutapaa ja helpottaa jakamista kansioon, joka ei ole tietokoneella lukemattomia ihmisiä. Tämä tapahtuu kontekstivalikon kautta ja jakaa helposti kotiryhmän kanssa.

Jos haluat jakaa jonkun kanssa, joka ei ole kotiryhmässä, voit aina valita "Erityiset ihmiset ..." -vaihtoehdon. Mikä tuo esiin "enemmän" dialogia. Missä voit määrittää tietyn käyttäjän tai ryhmän.

On vain kaksi lupaa, kuten aiemmin mainittiin, yhdessä ne tarjoavat kaiken tai ei mitään suojelun järjestelmää kansioihin ja tiedostoihin.

  1. Lukea lupa on "näytä, älä kosketa" -vaihtoehtoa. Vastaanottajat voivat avata, mutta ei muokata tai poistaa tiedostoa.
  2. Lukea kirjoittaa on "tehdä mitään" vaihtoehto. Vastaanottajat voivat avata, muokata tai poistaa tiedoston.

Vanhan koulun tie

Vanhalla jakamisikkunassa oli enemmän vaihtoehtoja ja annettiin mahdollisuus jakaa kansio erilaisen aliaksen alla, mutta se mahdollisti rajoittaa samanaikaisten yhteyksien määrää sekä määrittää välimuistin. Mikään näistä toiminnoista ei häviä Windows 7: ssä, vaan piilotetaan vaihtoehtoon "Advanced Sharing". Jos napsautat hiiren kakkospainikkeella kansiota ja siirtymällä sen ominaisuuksiin, näet nämä "Lisäasetukset" -asetukset jakamisen välilehdessä.

Jos napsautat Lisäasetukset-painiketta, joka vaatii paikallisen järjestelmänvalvojan oikeudet, voit määrittää kaikki asetukset, jotka olet tuntenut Windowsin aiemmissa versioissa.

Jos napsautat käyttöoikeudet -painiketta, näet 3 asetusta, joista me kaikki tunnemme.

  1. Lukea lupa mahdollistaa tiedostojen ja alihakemistojen avaamisen ja avaamisen sekä sovellusten suorittamisen. Se ei kuitenkaan salli mitään muutoksia.
  2. Muuttaa lupa antaa sinun tehdä mitä tahansa Lukea lupa sallii, se myös lisää kykyä lisätä tiedostoja ja alihakemistoja, poistaa alikansioita ja muuttaa tiedostoja.
  3. Täysi hallinta on klassisten käyttöoikeuksien "tehdä mitään", koska se sallii sinun tehdä kaikki aiemmat käyttöoikeudet. Lisäksi se antaa sinulle kehittyneen NTFS-käyttöoikeuden, tämä koskee vain NTFS-kansioita

NTFS-käyttöoikeudet

NTFS-käyttöoikeus mahdollistaa tiedostojen ja kansioiden erittäin rakeisen hallinnan. Siinä sanotaan, että rakeisuuden määrä voi olla pelottava uudelle tulokkaalle. Voit myös asettaa NTFS-oikeudet per tiedostoperusteisesti sekä per kansion perusteella. Jos haluat asettaa NTFS-tiedoston käyttöoikeuden, napsauta hiiren kakkospainikkeella ja siirry tiedostojen ominaisuuksiin, joihin sinun on mentävä suojausvälilehdelle.

Jos haluat muokata käyttäjän tai ryhmän NTFS-käyttöoikeuksia, napsauta muokkauspainiketta.

Kuten näet, NTFS: n käyttöoikeudet ovat melko paljon, joten ne voidaan jakaa. Ensin tarkastellaan NTFS-käyttöoikeuksia, jotka voit asettaa tiedostolle.

  1. Täysi hallinta voit lukea, kirjoittaa, muokata, suorittaa, muuttaa attribuutteja, käyttöoikeuksia ja omistaa tiedoston.
  2. Muuttaa voit lukea, kirjoittaa, muokata, suorittaa ja muuttaa tiedoston ominaisuuksia.
  3. Lue ja suorita voit näyttää tiedoston tiedot, attribuutit, omistajan ja käyttöoikeudet ja suorittaa tiedoston, jos se on ohjelma.
  4. Lukea ansiosta voit avata tiedoston, tarkastella sen ominaisuuksia, omistajaa ja käyttöoikeuksia.
  5. Kirjoittaa voit kirjoittaa tiedostoja tiedostoon, liittää tiedostoon ja lukea tai muuttaa sen attribuutteja.

NTFS Kansioiden käyttöoikeudet ovat hieman erilaisia ​​vaihtoehtoja, joten voit tarkastella niitä.

  1. Täysi hallinta voit lukea, kirjoittaa, muokata ja suorittaa kansion tiedostoja, muuttaa attribuutteja, käyttöoikeuksia ja ottaa omistukseen kansiossa tai tiedostoissa.
  2. Muuttaa voit lukea, kirjoittaa, muokata ja suorittaa tiedostoja kansioon ja muuttaa kansion tai tiedostojen ominaisuuksia.
  3. Lue ja suorita voit näyttää kansion sisällön ja näyttää kansion sisältämät tiedostot, attribuutit, omistajan ja käyttöoikeudet sekä käyttää tiedostoja kansion sisällä.
  4. Luettelo kansion sisällöstä voit näyttää kansion sisällön ja näyttää tiedostot, attribuutit, omistajan ja kansion oikeudet.
  5. Lukea voit näyttää tiedoston tiedot, attribuutit, omistajan ja käyttöoikeudet.
  6. Kirjoittaa voit kirjoittaa tiedostoja tiedostoon, liittää tiedostoon ja lukea tai muuttaa sen attribuutteja.

Microsoftin asiakirjoissa todetaan myös, että "List Folder Contents" -ominaisuuden avulla voit suorittaa tiedostoja kansion sisällä, mutta sinun on vielä otettava käyttöön "Lue ja suorita". Se on hyvin hämmentävästi dokumentoitu lupa.

Yhteenveto

Yhteenvetona käyttäjätunnukset ja -ryhmät ovat aakkosnumeerisen merkkijonon (SID) (Security Identifier) ​​kutsumia, Share- ja NTFS-käyttöoikeudet on sidottu näihin SID-osoitteisiin. LSSAS tarkistaa oikeudet vain, kun niitä käytetään verkon kautta, kun taas NTFS-käyttöoikeudet ovat voimassa vain paikallisissa koneissa. Toivon, että teillä kaikilla on vankka käsitys siitä, miten Windows 7: n tiedostojen ja kansioiden suojaus toteutetaan. Jos sinulla on kysyttävää, voit kommentoida vapaasti.