Ako pochopiť tie zmätené Windows 7 File / Zdieľanie

2024 Autor: Geoffrey Carr | [email protected]. Naposledy zmenené: 2023-12-17 10:59

Identifikátor zabezpečenia

Operačné systémy Windows používajú identifikátory SID, ktoré predstavujú všetky bezpečnostné zásady. SID sú len reťazce s premenlivou dĺžkou alfanumerických znakov, ktoré predstavujú stroje, používateľov a skupiny. SID sa pridávajú do zoznamov prístupových práv (zoznamy prístupových práv) vždy, keď udeľujete používateľovi alebo skupinovému povoleniu súbor alebo priečinok. Za scénou sú SID uložené rovnakým spôsobom ako všetky ostatné dátové objekty v binárnom formáte. Keď však uvidíte SID v systéme Windows, zobrazí sa pomocou čitateľnejšej syntaxe. Nie je to často, keď uvidíte v systéme Windows nejakú formu SID, najčastejším prípadom je, keď udelíte niekomu povolenie na prostriedok, potom jeho používateľské konto bude odstránené, potom sa v ACL zobrazí ako identifikátor SID. Takže sa môžete pozrieť na typický formát, v ktorom uvidíte SID v systéme Windows.

1. Predpona "S"
2. Číslo revízie štruktúry
3. 48-bitová hodnota orgánu identifikátora
4. Premenlivý počet 32-bitových hodnôt podradených autorít alebo relatívnych identifikátorov (RID)

Pomocou môjho SID na obrázku nižšie rozdelíme jednotlivé časti, aby sme lepšie porozumeli.

The SID Structure:

‘S’ – The first component of a SID is always an ‘S’. This is prefixed to all SIDs and is there to inform Windows that what follows is a SID. ‘1’ – The second component of a SID is the revision number of the SID specification, if the SID specification was to change it would provide backwards compatibility. As of Windows 7 and Server 2008 R2 the SID specification is still in the first revision. ‘5’ – The third section of a SID is called the Identifier Authority. This defines in what scope the SID was generated. Possible values for this sections of the SID can be:

1. 0 – Null Authority
2. 1 – World Authority
3. 2 – Local Authority
4. 3 – Creator Authority
5. 4 – Non-unique Authority
6. 5 – NT Authority

’21’ – The forth component is sub-authority 1, the value ’21’ is used in the forth field to specify that the sub-authorities that follow identify the Local Machine or the Domain. ‘1206375286-251249764-2214032401’ – These are called sub-authority 2,3 and 4 respectively. In our example this is used to identify the local machine, but could also be the the identifier for a Domain. ‘1000’ – Sub-authority 5 is the last component in our SID and is called the RID (Relative Identifier), the RID is relative to each security principle, please note that any user defined objects, the ones that are not shipped by Microsoft will have a RID of 1000 or greater.

Bezpečnostné princípy

Bezpečnostný princíp je všetko, čo má k nemu priložený SID, môžu to byť používatelia, počítače a dokonca aj skupiny. Bezpečnostné princípy môžu byť lokálne alebo v kontexte domény. Spravujete zásady lokálnej bezpečnosti pomocou modulu snap-in Lokálne používatelia a skupiny pod vedením počítača. Ak sa chcete tam dostať, kliknite pravým tlačidlom myši na skratku počítača v ponuke Štart a zvoľte správu.

Povolenie na zdieľanie a povolenie systému NTFS

V systéme Windows existujú dva typy oprávnení pre súbory a priečinky, najprv existujú oprávnenia na zdieľanie a za druhé sú tu povolenia NTFS nazývané aj oprávnenia na zabezpečenie. Berte na vedomie, že keď zdieľate priečinok, predvolene dostanete povolenie na čítanie skupine "Všetci". Zabezpečenie priečinkov sa zvyčajne vykonáva s kombináciou oprávnenia na zdieľanie a prijímanie súborov typu NTFS, ak je to tak, je nevyhnutné pamätať na to, že platí najviac reštriktívna, napríklad ak je povolenie zdieľania nastavené na Everyone = Read (čo je predvolené) ale oprávnenie NTFS umožňuje používateľom vykonať zmenu v súbore, povolenie na zdieľanie bude mať prednosť a používatelia nebudú môcť robiť zmeny. Keď nastavíte povolenia, LSASS (Local Security Authority) riadi prístup k prostriedku. Pri prihlásení dostanete prístupový token s identifikátorom SID na ňom, pri prístupe k prostriedku LSASS porovná SID, ktorý ste pridali do zoznamu prístupových práv (ACL) a ak je identifikátor SID v ACL, určuje, či povoliť alebo odmietnuť prístup. Bez ohľadu na to, aké povolenia používate, existujú rozdiely, takže sa môžete pozrieť, aby ste lepšie pochopili, kedy by sme mali používať to, čo.

Povolenia na zdieľanie:

1. Platí len pre používateľov, ktorí pristupujú k sieti prostredníctvom siete. Neaplikujú sa, ak sa prihlásite na miestnej úrovni, napríklad prostredníctvom terminálnych služieb.
2. Vzťahuje sa na všetky súbory a priečinky v zdieľanom prostriedku. Ak chcete poskytnúť podrobnejšiu schému obmedzenia, mali by ste okrem zdieľaných povolení používať aj oprávnenie NTFS
3. Ak máte akékoľvek zväzky naformátované vo formáte FAT alebo FAT32, bude to jediná forma obmedzenia, ktoré máte k dispozícii, pretože oprávnenia NTFS nie sú v týchto systémoch súborov k dispozícii.

Povolenia NTFS:

1. Jediným obmedzením oprávnení systému NTFS je, že môžu byť nastavené iba na zväzok, ktorý je naformátovaný do súborového systému NTFS
2. Nezabudnite, že súbory NTFS sú kumulatívne, čo znamená, že efektívne povolenia používateľa sú výsledkom kombinácie pridelených oprávnení používateľa a oprávnení všetkých skupín, do ktorých používateľ patrí.

Nové povolenia na zdieľanie

Windows 7 si kúpil novú techniku zdieľania. Možnosti sa zmenili z položky Čítať, Zmeniť a Úplná kontrola na. Čítať a čítať / zapisovať. Táto myšlienka bola súčasťou celej mentality domácej skupiny a uľahčuje zdieľanie zložky pre ľudí bez počítačovej gramotnosti. To sa deje pomocou kontextovej ponuky a zdieľa s vašou domácou skupinou ľahko.

1. Read permission is the “look, don’t touch” option. Recipients can open, but not modify or delete a file.
2. Read/Write is the “do anything” option. Recipients can open, modify, or delete a file.

Stará školská cesta

Starý zdieľaný dialóg mal viac možností a dal nám možnosť zdieľať priečinok pod iným aliasom. Umožnil nám obmedziť počet súčasných pripojení a konfigurovať ukladanie do vyrovnávacej pamäte. Žiadna z týchto funkcií sa nestratila v systéme Windows 7, ale je skrytá pod možnosťou "Zdieľané zdieľanie". Ak kliknete pravým tlačidlom myši na priečinok a prejdete na jeho vlastnosti, nájdete tieto nastavenia "Zdieľané zdieľanie" na karte zdieľania.

1. Read permission allows you to view and open files and subdirectories as well as execute applications. However it doesn’t allow any changes to be made.
2. Modify permission allows you to do anything that Read permission allows, it also add the ability to add files and subdirectories, delete subfolders and change data in the files.
3. Full Control is the “do anything” of the classic permissions, as it allows for you to do any and all of the previous permissions. In addition it gives you the advanced changing NTFS Permission, this only applies on NTFS Folders

Povolenia NTFS

Povolenie NTFS umožňuje veľmi zrnitú kontrolu nad vašimi súbormi a priečinkami. S týmto povedané množstvo granularity môže byť nováčikom skľučujúcim. Môžete tiež nastaviť povolenie NTFS na základe súboru, ako aj podľa jednotlivých priečinkov. Ak chcete nastaviť oprávnenie NTFS na súbor, mali by ste pravým tlačidlom myši a prejsť na vlastnosti súborov, kde musíte prejsť na kartu zabezpečenia.

1. Full Control allows you to read, write, modify, execute, change attributes, permissions, and take ownership of the file.
2. Modify allows you to read, write, modify, execute, and change the file’s attributes.
3. Read & Execute will allow you to display the file’s data, attributes, owner, and permissions, and run the file if its a program.
4. Read will allow you to open the file, view its attributes, owner, and permissions.
5. Write will allow you to write data to the file, append to the file, and read or change its attributes.

Povolenia NTFS pre priečinky majú mierne odlišné možnosti, takže ich môžete pozrieť.

1. Full Control allows you to read, write, modify, and execute files in the folder, change attributes, permissions, and take ownership of the folder or files within.
2. Modify allows you to read, write, modify, and execute files in the folder, and change attributes of the folder or files within.
3. Read & Execute will allow you to display the folder’s contents and display the data, attributes, owner, and permissions for files within the folder, and run files within the folder.
4. List Folder Contents will allow you to display the folder’s contents and display the data, attributes, owner, and permissions for files within the folder.
5. Read will allow you to display the file’s data, attributes, owner, and permissions.
6. Write will allow you to write data to the file, append to the file, and read or change its attributes.

Dokumentácia spoločnosti Microsoft tiež uvádza, že "obsah zoznamu priečinkov" vám umožní spustiť súbory v priečinku, ale na to budete musieť ešte zapnúť funkciu čítania a spustenia. Je to veľmi zmätočne zdokumentované povolenie.

zhrnutie

Stručne povedané, používateľské mená a skupiny sú reprezentácie alfanumerického reťazca s názvom SID (Security Identifier), Share a NTFS Permissions sú viazané na tieto SID. Povolenia na zdieľanie sú skontrolované prostredníctvom protokolu LSSAS iba vtedy, keď sú prístupné cez sieť, zatiaľ čo oprávnenia systému NTFS sú platné iba na lokálnych počítačoch. Dúfam, že ste všetci rozumne pochopili, ako je implementácia zabezpečenia súborov a priečinkov v systéme Windows 7. Ak máte akékoľvek otázky, môžete sa vyjadriť v komentároch.