Как понять тех, кто смущает разрешения доступа к файлам и общим ресурсам Windows 7

Вы когда-нибудь пытались выяснить все разрешения в Windows? Там есть разрешения общего доступа, разрешения NTFS, списки контроля доступа и многое другое. Вот как они все работают вместе.

Идентификатор безопасности

Операционные системы Windows используют SID для представления всех принципов безопасности. SID - это просто строки алфавитно-цифровых символов переменной длины, которые представляют машины, пользователей и группы. SID добавляются в ACL (списки контроля доступа) каждый раз, когда вы предоставляете пользователю или группе разрешение на файл или папку. За сценой SID хранятся так же, как и все остальные объекты данных, в двоичном виде. Однако, когда вы видите SID в Windows, он будет отображаться с использованием более удобочитаемого синтаксиса. Нечасто вы видите любую форму SID в Windows, наиболее распространенный сценарий - когда вы даете кому-то разрешение на доступ к ресурсу, тогда его учетная запись пользователя удаляется, и затем он отображается как SID в ACL. Итак, давайте посмотрим на типичный формат, в котором вы увидите SID в Windows.

Обозначение, которое вы увидите, принимает определенный синтаксис, ниже представлены различные части SID в этой нотации..

1. Префикс 'S'
2. Номер редакции структуры
3. Значение авторитетного 48-битного идентификатора
4. Переменное число значений 32-битного суб-авторитета или относительного идентификатора (RID)

Используя мой SID на изображении ниже, мы разбиваем различные разделы, чтобы лучше понять.

Структура SID:

'S' - Первым компонентом SID всегда является «S». Это префикс для всех идентификаторов безопасности и существует для информирования Windows о том, что следует за SID.
'1' - Второй компонент SID - это номер редакции спецификации SID. Если спецификация SID будет изменена, это обеспечит обратную совместимость. Начиная с Windows 7 и Server 2008 R2 спецификация SID все еще находится в первой редакции.
'5' - Третий раздел SID называется органом идентификации. Это определяет, в какой области был создан SID. Возможные значения для этого раздела SID могут быть:

1. 0 - нулевой орган
2. 1 - Мировой авторитет
3. 2 - Местная власть
4. 3 - Создатель власти
5. 4 - Неуникальный орган
6. 5 - NT Authority

'21' - Четвертый компонент - это подраздел 1, значение «21» используется в четвертом поле, чтобы указать, что нижестоящие органы определяют локальный компьютер или домен..
'1206375286-251249764-2214032401' - Они называются подчиненными органами власти 2,3 и 4 соответственно. В нашем примере это используется для идентификации локальной машины, но также может быть идентификатором для домена.
'1000' - Подраздел 5 является последним компонентом в нашем SID и называется RID (относительный идентификатор), RID относится к каждому принципу безопасности, обратите внимание, что любые объекты, определенные пользователем, те, которые не поставляются Microsoft, будут иметь RID 1000 или больше.

Принципы безопасности

Принцип безопасности - это все, к чему привязан SID, это могут быть пользователи, компьютеры и даже группы. Принципы безопасности могут быть локальными или находиться в контексте домена. Вы управляете принципами локальной безопасности с помощью оснастки «Локальные пользователи и группы» под управлением компьютера. Для этого щелкните правой кнопкой мыши ярлык компьютера в меню «Пуск» и выберите «Управление»..

Чтобы добавить новый принцип безопасности пользователя, вы можете перейти в папку пользователей, щелкнуть правой кнопкой мыши и выбрать нового пользователя..

Если дважды щелкнуть пользователя, вы можете добавить его в группу безопасности на вкладке «Член»..

Чтобы создать новую группу безопасности, перейдите в папку «Группы» с правой стороны. Щелкните правой кнопкой мыши на пустое пространство и выберите новую группу.

Разрешения общего доступа и разрешение NTFS

В Windows есть два типа разрешений для файлов и папок, во-первых, это разрешения общего доступа, а во-вторых, разрешения NTFS, также называемые разрешениями безопасности. Обратите внимание, что при совместном использовании папки по умолчанию группе «Все» предоставляется разрешение на чтение. Безопасность для папок обычно осуществляется с помощью комбинации общего ресурса и разрешения NTFS. В этом случае важно помнить, что всегда применяется самое ограничительное, например, если для общего ресурса установлено значение Все = Чтение (по умолчанию), но разрешение NTFS позволяет пользователям вносить изменения в файл, разрешение общего доступа будет иметь приоритет, и пользователям не будет разрешено вносить изменения. Когда вы устанавливаете разрешения, LSASS (Local Security Authority) контролирует доступ к ресурсу. Когда вы входите в систему, вам дается токен доступа с вашим SID, когда вы заходите для доступа к ресурсу, LSASS сравнивает SID, который вы добавили в ACL (список контроля доступа), и, если SID находится в ACL, он определяет, следует ли разрешить или запретить доступ. Независимо от того, какие разрешения вы используете, есть различия, поэтому давайте посмотрим, чтобы лучше понять, когда мы должны использовать то, что.

Share Permissions:

1. Применяется только к пользователям, которые получают доступ к ресурсу через сеть. Они не применяются, если вы входите в систему локально, например, через терминальные службы.
2. Это относится ко всем файлам и папкам в общем ресурсе. Если вы хотите предоставить более детальную схему ограничений, вы должны использовать разрешение NTFS в дополнение к общим разрешениям.
3. Если у вас есть отформатированные тома FAT или FAT32, это будет единственной доступной вам формой ограничения, так как разрешения NTFS недоступны в этих файловых системах..

NTFS Permissions:

1. Единственное ограничение на разрешения NTFS заключается в том, что они могут быть установлены только на томе, отформатированном в файловой системе NTFS.
2. Помните, что NTFS является кумулятивным, что означает, что эффективные разрешения пользователей являются результатом объединения назначенных пользователю разрешений и разрешений любых групп, к которым принадлежит пользователь..

Новые разрешения для общего ресурса

Windows 7 куплена по новой «легкой» технологии обмена. Параметры изменились с Чтение, Изменить и Полный доступ на. Читать и читать / писать. Идея была частью менталитета всей Домашней группы и облегчает совместное использование папки для людей, не обладающих компьютерной грамотностью. Это делается через контекстное меню и легко делится с вашей домашней группой.

Если вы хотите поделиться с кем-то, кто не входит в домашнюю группу, вы всегда можете выбрать опцию «Конкретные люди…». Что приведет к более «сложному» диалогу. Где вы могли бы указать конкретного пользователя или группу.

Существует только два разрешения, как было упомянуто ранее, вместе они предлагают схему защиты «все или ничего» для ваших папок и файлов..

1. Читать разрешение - это опция «смотри, не трогай». Получатели могут открывать, но не изменять или удалять файл.
2. Читай пиши это вариант «сделать что-нибудь». Получатели могут открыть, изменить или удалить файл.

Старый школьный путь

В старом диалоговом окне общего доступа было больше опций, и мы могли предоставить общий доступ к папке под другим псевдонимом, что позволило нам ограничить количество одновременных подключений, а также настроить кэширование. Ни одна из этих функций не потеряна в Windows 7, а скорее скрыта под опцией, называемой «Расширенный общий доступ». Если вы щелкнете правой кнопкой мыши по папке и перейдете к ее свойствам, вы можете найти эти настройки «Расширенный общий доступ» на вкладке общего доступа..

Если вы нажмете кнопку «Расширенный общий доступ», для которой требуются учетные данные локального администратора, вы сможете настроить все параметры, с которыми вы были знакомы в предыдущих версиях Windows..

Если вы нажмете кнопку разрешений, вы увидите 3 настройки, с которыми мы все знакомы.

1. Читать Разрешение позволяет просматривать и открывать файлы и подкаталоги, а также запускать приложения. Однако это не позволяет вносить какие-либо изменения.
2. изменять разрешение позволяет вам делать все, что Читать Разрешение позволяет также добавлять возможность добавлять файлы и подкаталоги, удалять подпапки и изменять данные в файлах..
3. Полный контроль это «сделать что-нибудь» из классических разрешений, так как оно позволяет вам выполнять любые и все предыдущие разрешения. Кроме того, он дает вам расширенное изменение разрешения NTFS, это относится только к папкам NTFS

Разрешения NTFS

Разрешение NTFS позволяет очень детально контролировать ваши файлы и папки. С учетом сказанного количество гранулярности может быть пугающим для новичка. Вы также можете установить разрешение NTFS для каждого файла, а также для каждой папки. Чтобы установить NTFS Permission для файла, вы должны щелкнуть правой кнопкой мыши и перейти к свойствам файлов, где вам нужно перейти на вкладку безопасности.

Чтобы изменить разрешения NTFS для пользователя или группы, нажмите кнопку редактирования..

Как вы можете видеть, существует довольно много NTFS-разрешений, поэтому давайте разберем их. Сначала мы посмотрим на разрешения NTFS, которые вы можете установить для файла.

1. Полный контроль позволяет читать, писать, изменять, выполнять, изменять атрибуты, права доступа и владеть файлом.
2. изменять позволяет читать, писать, изменять, выполнять и изменять атрибуты файла.
3. Читать и выполнить позволит вам отобразить данные файла, атрибуты, владельца и разрешения, а также запустить файл, если это программа.
4. Читать позволит вам открыть файл, просмотреть его атрибуты, владельца и разрешения.
5. Написать позволит вам записать данные в файл, добавить в файл, а также прочитать или изменить его атрибуты.

Разрешения NTFS для папок имеют несколько разные параметры, поэтому давайте посмотрим на них.

1. Полный контроль позволяет вам читать, записывать, изменять и выполнять файлы в папке, изменять атрибуты, разрешения и вступать во владение папкой или файлами внутри.
2. изменять позволяет читать, писать, изменять и выполнять файлы в папке, а также изменять атрибуты папки или файлов в.
3. Читать и выполнить позволит вам отображать содержимое папки и отображать данные, атрибуты, владельца и разрешения для файлов в папке, а также запускать файлы в папке.
4. Список содержимого папки позволит вам отображать содержимое папки и отображать данные, атрибуты, владельца и разрешения для файлов в папке.
5. Читать позволит вам отображать данные файла, атрибуты, владельца и разрешения.
6. Написать позволит вам записать данные в файл, добавить в файл, а также прочитать или изменить его атрибуты.

В документации Microsoft также говорится, что «Список содержимого папки» позволит вам выполнять файлы внутри папки, но для этого вам все равно потребуется включить «Чтение и выполнение». Это очень запутанно задокументированное разрешение.

Резюме

Таким образом, имена пользователей и группы являются представлениями буквенно-цифровой строки, называемой SID (Идентификатор безопасности), разрешения Share и NTFS привязаны к этим SID. Разрешения общего ресурса проверяются LSSAS только при доступе по сети, в то время как разрешения NTFS действительны только на локальных машинах. Я надеюсь, что вы все хорошо понимаете, как реализована защита файлов и папок в Windows 7. Если у вас есть какие-либо вопросы, не стесняйтесь в комментариях.