Hogyan lehet megérteni azokat a zavaró Windows 7 fájlokat / megosztási jogosultságokat

Próbáltál már kitalálni az összes engedélyt a Windows rendszerben? Vannak megosztási engedélyek, NTFS-engedélyek, hozzáférés-ellenőrzési listák stb. Így dolgoznak együtt.

A biztonsági azonosító

A Windows operációs rendszerek az SID-eket használják az összes biztonsági elv képviseletére. Az SID-ek csak változó hosszúságú karakterek, amelyek a gépeket, felhasználókat és csoportokat képviselik. Az SID-eket minden alkalommal hozzáadja az ACL-ekhez (Access Control Lists), amikor egy felhasználónak vagy csoportnak engedélyt ad egy fájlnak vagy mappának. A jelenet mögött az SID-ek ugyanúgy tárolódnak, mint minden más adatobjektum, binárisan. Ha azonban egy SID-t lát a Windows-ban, akkor egy olvashatóbb szintaxissal jelenik meg. Nem gyakori, hogy a SID-t bármilyen formában látja a Windowsban, a leggyakoribb forgatókönyv az, ha valaki engedélyt ad egy erőforráshoz, majd a felhasználói fiókjuk törlődik, majd megjelenik az SID-ként az ACL-ben. Így megnézhetjük azt a tipikus formátumot, amelyen a SID-eket látni fogja a Windows rendszerben.

Az a jelölés, amelyet látni fog, egy bizonyos szintaxist vesz fel, az alábbiakban az SID különböző részei ebben a jelölésben.

1. Egy 'S' előtag
2. Felépítés felülvizsgálati száma
3. 48 bites azonosító jogosultsági érték
4. Változó számú 32 bites alhatóság vagy relatív azonosító (RID) érték

Az alábbi képen az SID-et használva feloszlatjuk a különböző részeket, hogy jobban megértsük.

Az SID felépítése:

'S' - Az SID első összetevője mindig 'S'. Ez minden SID-hez kapcsolódik, és arról van szó, hogy tájékoztassa a Windows-t arról, hogy az alábbiak egy SID-t tartalmaznak.
'1' - Az SID második összetevője az SID-specifikáció revíziós száma, ha az SID-specifikációnak módosítania kellene, akkor az visszafelé kompatibilitást biztosítana. A Windows 7 és a Server 2008 R2-től az SID specifikáció még mindig az első változatban van.
'5' - Az SID harmadik szakasza az azonosító hatóság. Ez határozza meg, hogy a SID milyen körben jött létre. Az SID ezen részeinek lehetséges értékei lehetnek:

1. 0 - Null Hatóság
2. 1 - Világhatóság
3. 2 - Helyi hatóság
4. 3 - Teremtő Hatóság
5. 4 - Nem egyedi hatóság
6. 5 - NT hatóság

'21' - A negyedik összetevő az 1 alhatóság, a '21' értéket a negyedik mezőben adja meg annak meghatározására, hogy az alábbi alhatóságok azonosítják a helyi gépet vagy a tartományt.
'1206375286-251249764-2214032401' - Ezeket 2,3-as és 4-es alhatóságnak nevezik. Példánkban ezt a helyi gép azonosítására használják, de lehet egy Domain azonosítója is.
'1000' - Az 5-ös alrendszer az SID utolsó összetevője, és RID (Relative Identifier), az RID az egyes biztonsági elvekhez viszonyítva, kérjük, vegye figyelembe, hogy a felhasználó által definiált objektumok, a Microsoft által nem szállított objektumok RID-nek fognak rendelkezni 1000 vagy annál nagyobb.

Biztonsági elvek

A biztonsági elv minden, ami hozzá van rendelve SID-hez, ezek lehetnek felhasználók, számítógépek és akár csoportok is. A biztonsági elvek helyiak lehetnek, vagy a tartományi környezetben lehetnek. A helyi biztonsági elveket a helyi felhasználók és csoportok beépülő modulján keresztül kezelheti számítógépes kezelés alatt. A jobb egérgombbal kattintson a számítógép parancsikonjára a start menüben, és válassza ki a kezelést.

Új felhasználói biztonsági elv hozzáadásához menjen a felhasználók mappájába és kattintson a jobb egérgombbal, és válassza ki az új felhasználót.

Ha duplán rákattint egy felhasználóra, akkor hozzáadhatja őket a Biztonsági csoporthoz a Tagok lapján.

Új biztonsági csoport létrehozásához navigáljon a jobb oldalon található Csoportok mappába. Kattintson jobb gombbal a fehér térre, és válassza ki az új csoportot.

Engedélyek és NTFS-engedélyek megosztása

A Windows rendszerben kétféle fájl- és mappa-jogosultság létezik, először vannak megosztási jogosultságok, másodsorban pedig NTFS-engedélyek is, amelyeket biztonsági engedélyeknek is neveznek. Vegye figyelembe, hogy ha alapértelmezés szerint megoszt egy mappát, a „Mindenki” csoport megkapja az olvasási engedélyt. A mappák biztonsága általában a Share és NTFS engedélyek kombinációjával történik, ha ez a helyzet, elengedhetetlen, hogy ne felejtsük el, hogy mindig a legszűkebb, például, ha a megosztási jogosultság mindenki számára = Read (ami az alapértelmezett), de az NTFS-engedély lehetővé teszi a felhasználók számára, hogy módosítsák a fájlt, a részesedési engedély előnyben részesül, és a felhasználók nem fognak változtatni. Az engedélyek beállításakor az LSASS (Helyi Biztonsági Hatóság) ellenőrzi az erőforráshoz való hozzáférést. Amikor bejelentkezik, hozzáférési token van megadva az SID-en, amikor az erőforrás eléréséhez megy, az LSASS összehasonlítja az ACL-hez hozzáadott SID-t, és ha az SID az ACL-ben van, meghatározza, hogy engedélyezi vagy letiltja a hozzáférést. Függetlenül attól, hogy milyen jogosultságokat használ, különbségek vannak, így egy pillantást vethet arra, hogy jobban megértsük, mikor kell használni.

Engedélyek megosztása:

1. Csak olyan felhasználókra vonatkozik, akik hozzáférnek az erőforráshoz a hálózaton keresztül. Nem érvényesek, ha helyben jelentkezik be, például terminálszolgáltatások révén.
2. Ez a megosztott erőforrás összes fájljára és mappájára vonatkozik. Ha nagyobb mértékű korlátozási rendszert szeretne biztosítani, akkor a megosztott jogosultságok mellett az NTFS engedélyt is használnia kell
3. Ha bármilyen FAT vagy FAT32 formázott kötet van, ez az egyetlen korlátozásforma, amely az Ön számára elérhető, mivel az NTFS-engedélyek nem érhetők el ezeken a fájlrendszereken.

NTFS-engedélyek:

1. Az NTFS-engedélyek egyetlen korlátozása az, hogy csak az NTFS-fájlrendszerrel formázott köteten lehet beállítani
2. Ne feledje, hogy az NTFS kumulatív, ami azt jelenti, hogy a felhasználók hatékony jogosultságai a felhasználó hozzárendelt engedélyeinek és a csoporthoz tartozó jogosultságok kombinálásának eredménye..

Az új megosztási engedélyek

A Windows 7 új „egyszerű” megosztási technikával vásárolt. A beállítások az Olvasás, a Módosítás és a Teljes vezérlés értékre váltottak. Olvasás és olvasás / írás. Az ötlet az egész Home csoport mentalitásának része volt, és megkönnyíti a mappák megosztását a nem számítógépes írástudók számára. Ez a kontextus menüben történik, és könnyen megoszthatja az otthoni csoportot.

Ha szeretne megosztani valakivel, aki nem az otthoni csoportban van, mindig választhatja a „Speciális emberek…” opciót. Amely egy „bonyolultabb” párbeszédablakot hozna létre. Ahol megadhat egy adott felhasználót vagy csoportot.

Csak két engedély létezik, amint azt korábban említettük, együtt kínálnak egy vagy semmi védelmi rendszert a mappák és fájlok számára.

1. Olvas az engedély a „look, don't touch” opció. A címzettek megnyithatják, de nem módosíthatják vagy törölhetik a fájlt.
2. Ír olvas a „csinál semmit” opció. A címzettek megnyithatják, módosíthatják vagy törölhetik a fájlokat.

Az Old School Way

A régi megosztás párbeszédablakban több lehetőség állt rendelkezésre, és megadta a lehetőséget, hogy megosszuk a mappát egy másik álnév alatt, ez lehetővé tette számunkra, hogy korlátozzuk a párhuzamos kapcsolatok számát és a gyorsítótár konfigurálását. Ezen funkciók egyike sem vész el a Windows 7 rendszerben, hanem a „Advanced Sharing” (Speciális megosztás) opció alatt rejlik. Ha jobb egérgombbal rákattint egy mappára, és megy a tulajdonságaihoz, megtalálhatja ezeket az „Advanced Sharing” beállításokat a megosztási lap alatt.

Ha az „Advanced Sharing” (Speciális megosztás) gombra kattint, amely helyi rendszergazdai jogosultságokat igényel, akkor konfigurálhatja az összes olyan beállítást, amelyet ismernél a Windows korábbi verzióiban.

Ha rákattint a jogosultságok gombra, megjelenik a 3 beállítás, amit mindannyian ismerünk.

1. Olvas az engedély lehetővé teszi a fájlok és alkönyvtárak megtekintését és megnyitását, valamint az alkalmazások végrehajtását. Azonban nem teszi lehetővé a módosítások elvégzését.
2. Módosít az engedély lehetővé teszi, hogy bármit tegyen Olvas engedély lehetővé teszi, hogy hozzáadja a fájlok és alkönyvtárak hozzáadásának képességét, az almappák törlését és a fájlok adatainak megváltoztatását.
3. Teljes felügyelet a klasszikus jogosultságok „csinál semmit”, mivel lehetővé teszi, hogy bármelyik és minden korábbi engedélyt megtehessen. Ezenkívül megadja a fejlett változó NTFS-engedélyt, ez csak az NTFS-mappákra vonatkozik

NTFS-engedélyek

Az NTFS-engedély lehetővé teszi a fájlok és mappák rendkívül részletes ellenőrzését. Ezzel elmondható, hogy az újdonságra nézve a granularitás mértéke ijesztő lehet. Az NTFS-engedélyt fájlalaponként és mappánként is beállíthatja. Az NTFS engedély engedélyezéséhez kattintson a jobb egérgombbal, és lépjen a fájl tulajdonságaira, ahol el kell mennie a biztonsági lapra.

A felhasználó vagy a csoport NTFS-engedélyeinek szerkesztéséhez kattintson a szerkesztés gombra.

Amint láthatod, elég sok NTFS-jogosultság van, így letörheted őket. Először megnézzük az NTFS-engedélyeket, amelyeket beállíthat egy fájlra.

1. Teljes felügyelet lehetővé teszi az attribútumok, engedélyek olvasását, írását, módosítását, végrehajtását, megváltoztatását és tulajdonjogát.
2. Módosít lehetővé teszi a fájl tulajdonságainak olvasását, írását, módosítását, végrehajtását és módosítását.
3. Olvasás és végrehajtás lehetővé teszi, hogy megjelenítse a fájl adatait, attribútumait, tulajdonosát és engedélyeit, és futtassa a fájlt, ha egy program.
4. Olvas lehetővé teszi a fájl megnyitását, attribútumait, tulajdonosát és engedélyeit.
5. Ír lehetővé teszi, hogy adatokat írjon a fájlba, csatoljon a fájlhoz, és olvassa vagy módosítsa az attribútumokat.

Az NTFS-mappákhoz tartozó jogosultságok kissé eltérő opciókkal rendelkeznek, így megnézheti őket.

1. Teljes felügyelet lehetővé teszi a mappában található fájlok olvasását, írását, módosítását és végrehajtását, attribútumok, jogosultságok módosítását és a mappa vagy fájlok tulajdonjogát a.
2. Módosít lehetővé teszi a mappában található fájlok olvasását, írását, módosítását és végrehajtását, valamint a mappa vagy fájlok attribútumainak módosítását.
3. Olvasás és végrehajtás lehetővé teszi, hogy megjelenítse a mappa tartalmát, és megjelenítse a mappában lévő fájlok adatait, attribútumait, tulajdonosát és engedélyeit, és futtassa a fájlokat a mappában.
4. A mappa tartalma lehetővé teszi, hogy megjelenítse a mappa tartalmát, és megjelenítse a mappában lévő fájlok adatait, attribútumait, tulajdonosát és engedélyeit.
5. Olvas lehetővé teszi, hogy megjelenítse a fájl adatait, attribútumait, tulajdonosát és engedélyeit.
6. Ír lehetővé teszi, hogy adatokat írjon a fájlba, csatoljon a fájlhoz, és olvassa vagy módosítsa az attribútumokat.

A Microsoft dokumentációja azt is kimondja, hogy a „List Folder Contents” lehetővé teszi, hogy a mappában lévő fájlokat végrehajtsa, de ehhez még mindig be kell kapcsolnia a „Read & Execute” funkciót. Ez egy nagyon zavaróan dokumentált engedély.

összefoglalás

Összefoglalva, a felhasználói nevek és csoportok egy SID (Biztonsági azonosító), a Megosztás és az NTFS jogosultságok nevű alfanumerikus karakterlánc ábrázolása. A megosztási jogosultságokat az LSSAS csak akkor ellenőrzi, ha a hálózaton keresztül ér, míg az NTFS-engedélyek csak a helyi gépeken érvényesek. Remélem, hogy mindannyian megértheted, hogy a Windows 7 fájl- és mappabiztonsága hogyan valósítható meg. Ha bármilyen kérdése merülne fel, nyugodtan szóljon le a megjegyzésekben.