Kuinka ymmärtää niitä, jotka hämmentävät Windows 7: n tiedosto- ja jakeluoikeuksia

Sisällysluettelo:

Kuinka ymmärtää niitä, jotka hämmentävät Windows 7: n tiedosto- ja jakeluoikeuksia
Kuinka ymmärtää niitä, jotka hämmentävät Windows 7: n tiedosto- ja jakeluoikeuksia
Anonim
Oletko koskaan yrittänyt selvittää kaikki oikeudet Windowsissa? Osakeoikeuksia, NTFS-käyttöoikeuksia, kulunvalvontaluetteloita ja paljon muuta. Näin he työskentelevät yhdessä.
Oletko koskaan yrittänyt selvittää kaikki oikeudet Windowsissa? Osakeoikeuksia, NTFS-käyttöoikeuksia, kulunvalvontaluetteloita ja paljon muuta. Näin he työskentelevät yhdessä.

Turvatunniste

Windows-käyttöjärjestelmät käyttävät SID-tunnuksia, jotka edustavat kaikkia tietoturvaperiaatteita. SID-tunnukset ovat vain muuttuvia pituisia aakkosnumeerisia merkkejä, jotka edustavat koneita, käyttäjiä ja ryhmiä. SID-tunnukset lisätään ACL-tiedostoihin (Access Control Lists) aina, kun annat käyttäjälle tai ryhmälle luvan tiedostoon tai kansioon. Kohdan taustalla olevat SID-tiedot tallennetaan samalla tavoin kuin kaikki muut tietoobjektit ovat binaarissa. Kuitenkin, kun näet SID: n Windowsissa, se näkyy luettavamman syntaksin avulla. Usein ei ole tapana, että näet minkä tahansa SID-muodon Windowsissa, yleisimpiä skenaarioita on, kun annat jonkun resurssin luvan, sitten heidän käyttäjätunnuksensa poistetaan ja se näkyy ACL: ssä SID: ksi. Joten voit tarkastella tyypillistä muotoa, jossa näet SID-osoitteet Windowsissa.

Merkintä, jonka näet, vie tietynlaisen syntaksin, alla on tämän merkinnän SID: n eri osat.
Merkintä, jonka näet, vie tietynlaisen syntaksin, alla on tämän merkinnän SID: n eri osat.
  1. S-etuliite
  2. Rakenteen tarkistusnumero
  3. 48-bittinen tunnisteen auktoriteettiarvo
  4. Muuttuva määrä 32-bittistä alivaltiota tai suhteellista tunnistetta (RID)

Käyttämällä SID-tunnistetta alla olevassa kuvassa hajotamme eri osia, jotta voimme ymmärtää paremmin.

Image
Image

The SID Structure:

‘S’ – The first component of a SID is always an ‘S’. This is prefixed to all SIDs and is there to inform Windows that what follows is a SID. ‘1’ – The second component of a SID is the revision number of the SID specification, if the SID specification was to change it would provide backwards compatibility. As of Windows 7 and Server 2008 R2 the SID specification is still in the first revision. ‘5’ – The third section of a SID is called the Identifier Authority. This defines in what scope the SID was generated. Possible values for this sections of the SID can be:

  1. 0 – Null Authority
  2. 1 – World Authority
  3. 2 – Local Authority
  4. 3 – Creator Authority
  5. 4 – Non-unique Authority
  6. 5 – NT Authority

’21’ – The forth component is sub-authority 1, the value ’21’ is used in the forth field to specify that the sub-authorities that follow identify the Local Machine or the Domain. ‘1206375286-251249764-2214032401’ – These are called sub-authority 2,3 and 4 respectively. In our example this is used to identify the local machine, but could also be the the identifier for a Domain. ‘1000’ – Sub-authority 5 is the last component in our SID and is called the RID (Relative Identifier), the RID is relative to each security principle, please note that any user defined objects, the ones that are not shipped by Microsoft will have a RID of 1000 or greater.

Turvallisuusperiaatteet

Turvallisuusperiaate on mikä tahansa, johon on liitetty SID, nämä voivat olla käyttäjiä, tietokoneita ja jopa ryhmiä. Turvallisuusperiaatteet voivat olla paikallisia tai olla verkkotunnuksen yhteydessä. Hallitset paikallisia turvallisuusperiaatteita paikallisten käyttäjien ja ryhmien napsauttamalla, tietokonehallinnan alla. Pääset oikeaan hiiren kakkospainikkeella tietokoneen pikavalintaan aloitusvalikossa ja valitse hallita.

Uuden käyttäjän tietoturvaperiaatteen lisäämiseksi voit siirtyä käyttäjien kansioon ja napsauttaa hiiren kakkospainiketta ja valita uuden käyttäjän.
Uuden käyttäjän tietoturvaperiaatteen lisäämiseksi voit siirtyä käyttäjien kansioon ja napsauttaa hiiren kakkospainiketta ja valita uuden käyttäjän.
Jos kaksoisnapsautat käyttäjää, voit lisätä ne Member Group -välilehteen Security Groupiin.
Jos kaksoisnapsautat käyttäjää, voit lisätä ne Member Group -välilehteen Security Groupiin.
Luo uusi tietoturvaryhmä siirtymällä oikealla puolella olevaan Ryhmät-kansioon. Napsauta hiiren kakkospainikkeella valkoista tilaa ja valitse uusi ryhmä.
Luo uusi tietoturvaryhmä siirtymällä oikealla puolella olevaan Ryhmät-kansioon. Napsauta hiiren kakkospainikkeella valkoista tilaa ja valitse uusi ryhmä.
Image
Image

Osakeoikeudet ja NTFS-käyttöoikeus

Windowsissa on kahdenlaisia tiedosto- ja kansion käyttöoikeuksia, ensin osakeoikeuksia ja toiseksi NTFS-käyttöoikeuksia, joita kutsutaan myös suojauslupiksi. Huomaa, että kun olet jakanut kansion oletuksena, "Jokaiselle" -ryhmälle annetaan lukulupa. Kansioiden suojaus tehdään yleensä Share- ja NTFS-käyttöoikeuksien yhdistelmällä. Jos näin on, on tärkeää muistaa, että kaikkein rajoittavin koskee aina esimerkiksi, jos osakeoikeus on asetettu kohtaan Everyone = Read (joka on oletusarvo). mutta NTFS-käyttöoikeus antaa käyttäjille mahdollisuuden muuttaa tiedostoa, Osuusoikeus ottaa etusija ja käyttäjät eivät saa tehdä muutoksia. Kun määrität oikeudet, LSASS (Local Security Authority) valvoo pääsyn resurssiin. Kun kirjaudut sisään, saat käyttöoikeuskoodin SID: lläsi, kun käytät resurssia LSASS vertaa ACL: ään (Access Control List) lisätyn SID: n ja jos SID on ACL: llä, se määrittää, onko sallia tai estää pääsy. Riippumatta siitä, mitä käyttöoikeuksia käytätte, on eroja, jotta katsomme paremman käsityksen siitä, milloin meidän pitäisi käyttää mitä.

Osuusoikeudet:

  1. Käytä vain käyttäjiä, jotka käyttävät resurssia verkon kautta. Ne eivät sovi, jos kirjaudut paikallisesti, esimerkiksi päätelaitteiden kautta.
  2. Se koskee kaikkia jaettuja tiedostoja ja kansioita. Jos haluat tarjota rakeisemmanlaisen rajoitussysteemin, käytä NTFS-käyttöoikeutta jaetun lisenssin lisäksi
  3. Jos sinulla on FAT- tai FAT32-muotoisia tiedostoja, tämä on ainoa käytettävissä oleva rajoitus, koska NTFS-käyttöoikeudet eivät ole käytettävissä kyseisissä tiedostojärjestelmissä.

NTFS-käyttöoikeudet:

  1. NTFS-käyttöoikeuksien ainoa rajoitus on, että ne voidaan asettaa vain NTFS-tiedostojärjestelmälle alustettuun tilaan
  2. Muista, että NTFS on kumulatiivinen, mikä tarkoittaa, että käyttäjien todelliset käyttöoikeudet ovat seurausta käyttäjän antamien käyttöoikeuksien yhdistämisestä ja kaikkien ryhmien oikeuksista, joihin käyttäjä kuuluu.

Uudet käyttöoikeudet

Windows 7 osti uutta "helppoa" jakamismenetelmää. Vaihtoehdot muuttuvat luku-, muutos- ja täydellisestä valvonnasta kohteeseen. Lue ja Lue / Kirjoita. Ajatus oli osa koko kotiryhmän ajattelutapaa ja helpottaa jakamista kansioon, joka ei ole tietokoneella lukemattomia ihmisiä. Tämä tapahtuu kontekstivalikon kautta ja jakaa helposti kotiryhmän kanssa.

Jos haluat jakaa jonkun kanssa, joka ei ole kotiryhmässä, voit aina valita "Erityiset ihmiset …" -vaihtoehdon. Mikä tuo esiin "enemmän" dialogia. Missä voit määrittää tietyn käyttäjän tai ryhmän.
Jos haluat jakaa jonkun kanssa, joka ei ole kotiryhmässä, voit aina valita "Erityiset ihmiset …" -vaihtoehdon. Mikä tuo esiin "enemmän" dialogia. Missä voit määrittää tietyn käyttäjän tai ryhmän.
On vain kaksi lupaa, kuten aiemmin mainittiin, yhdessä ne tarjoavat kaiken tai ei mitään suojelun järjestelmää kansioihin ja tiedostoihin.
On vain kaksi lupaa, kuten aiemmin mainittiin, yhdessä ne tarjoavat kaiken tai ei mitään suojelun järjestelmää kansioihin ja tiedostoihin.
  1. Read permission is the “look, don’t touch” option. Recipients can open, but not modify or delete a file.
  2. Read/Write is the “do anything” option. Recipients can open, modify, or delete a file.

Vanhan koulun tie

Vanhalla jakamisikkunassa oli enemmän vaihtoehtoja ja annettiin mahdollisuus jakaa kansio erilaisen aliaksen alla, mutta se mahdollisti rajoittaa samanaikaisten yhteyksien määrää sekä määrittää välimuistin. Mikään näistä toiminnoista ei häviä Windows 7: ssä, vaan piilotetaan vaihtoehtoon "Advanced Sharing". Jos napsautat hiiren kakkospainikkeella kansiota ja siirtymällä sen ominaisuuksiin, näet nämä "Lisäasetukset" -asetukset jakamisen välilehdessä.

Jos napsautat Lisäasetukset-painiketta, joka vaatii paikallisen järjestelmänvalvojan oikeudet, voit määrittää kaikki asetukset, jotka olet tuntenut Windowsin aiemmissa versioissa.
Jos napsautat Lisäasetukset-painiketta, joka vaatii paikallisen järjestelmänvalvojan oikeudet, voit määrittää kaikki asetukset, jotka olet tuntenut Windowsin aiemmissa versioissa.
Jos napsautat käyttöoikeudet -painiketta, näet 3 asetusta, joista me kaikki tunnemme.
Jos napsautat käyttöoikeudet -painiketta, näet 3 asetusta, joista me kaikki tunnemme.
Image
Image
  1. Read permission allows you to view and open files and subdirectories as well as execute applications. However it doesn’t allow any changes to be made.
  2. Modify permission allows you to do anything that Read permission allows, it also add the ability to add files and subdirectories, delete subfolders and change data in the files.
  3. Full Control is the “do anything” of the classic permissions, as it allows for you to do any and all of the previous permissions. In addition it gives you the advanced changing NTFS Permission, this only applies on NTFS Folders

NTFS-käyttöoikeudet

NTFS-käyttöoikeus mahdollistaa tiedostojen ja kansioiden erittäin rakeisen hallinnan. Siinä sanotaan, että rakeisuuden määrä voi olla pelottava uudelle tulokkaalle. Voit myös asettaa NTFS-oikeudet per tiedostoperusteisesti sekä per kansion perusteella. Jos haluat asettaa NTFS-tiedoston käyttöoikeuden, napsauta hiiren kakkospainikkeella ja siirry tiedostojen ominaisuuksiin, joihin sinun on mentävä suojausvälilehdelle.

Jos haluat muokata käyttäjän tai ryhmän NTFS-käyttöoikeuksia, napsauta muokkauspainiketta.
Jos haluat muokata käyttäjän tai ryhmän NTFS-käyttöoikeuksia, napsauta muokkauspainiketta.
Kuten näet, NTFS: n käyttöoikeudet ovat melko paljon, joten ne voidaan jakaa. Ensin tarkastellaan NTFS-käyttöoikeuksia, jotka voit asettaa tiedostolle.
Kuten näet, NTFS: n käyttöoikeudet ovat melko paljon, joten ne voidaan jakaa. Ensin tarkastellaan NTFS-käyttöoikeuksia, jotka voit asettaa tiedostolle.
  1. Full Control allows you to read, write, modify, execute, change attributes, permissions, and take ownership of the file.
  2. Modify allows you to read, write, modify, execute, and change the file’s attributes.
  3. Read & Execute will allow you to display the file’s data, attributes, owner, and permissions, and run the file if its a program.
  4. Read will allow you to open the file, view its attributes, owner, and permissions.
  5. Write will allow you to write data to the file, append to the file, and read or change its attributes.

NTFS Kansioiden käyttöoikeudet ovat hieman erilaisia vaihtoehtoja, joten voit tarkastella niitä.

Image
Image
  1. Full Control allows you to read, write, modify, and execute files in the folder, change attributes, permissions, and take ownership of the folder or files within.
  2. Modify allows you to read, write, modify, and execute files in the folder, and change attributes of the folder or files within.
  3. Read & Execute will allow you to display the folder’s contents and display the data, attributes, owner, and permissions for files within the folder, and run files within the folder.
  4. List Folder Contents will allow you to display the folder’s contents and display the data, attributes, owner, and permissions for files within the folder.
  5. Read will allow you to display the file’s data, attributes, owner, and permissions.
  6. Write will allow you to write data to the file, append to the file, and read or change its attributes.

Microsoftin asiakirjoissa todetaan myös, että "List Folder Contents" -ominaisuuden avulla voit suorittaa tiedostoja kansion sisällä, mutta sinun on vielä otettava käyttöön "Lue ja suorita". Se on hyvin hämmentävästi dokumentoitu lupa.

Yhteenveto

Yhteenvetona käyttäjätunnukset ja -ryhmät ovat aakkosnumeerisen merkkijonon (SID) (Security Identifier) kutsumia, Share- ja NTFS-käyttöoikeudet on sidottu näihin SID-osoitteisiin. LSSAS tarkistaa oikeudet vain, kun niitä käytetään verkon kautta, kun taas NTFS-käyttöoikeudet ovat voimassa vain paikallisissa koneissa. Toivon, että teillä kaikilla on vankka käsitys siitä, miten Windows 7: n tiedostojen ja kansioiden suojaus toteutetaan. Jos sinulla on kysyttävää, voit kommentoida vapaasti.

Suositeltava: