Kuidas mõista neid segane Windows 7 faili / jagamise õigusi

2024 Autor: Geoffrey Carr | [email protected]. Viimati modifitseeritud: 2023-12-17 10:56

Turvakood

Windowsi operatsioonisüsteemid kasutavad turvapõhimõtteid esindavaid SID-e. SID-id on lihtsalt muutuva pikkusega stringid tähtnumbriliste tähtedega, mis tähistavad masinaid, kasutajaid ja rühmi. SID-id lisatakse ACL-ile (juurdepääsu kontroll-loendid) iga kord, kui annate kasutaja või grupi loa failile või kausta. Stseeni taga salvestatakse SID samamoodi nagu ka kõik teised andmeobjektid binaarfailides. Kuid kui näete SID-i Windowsis, kuvatakse see paremini loetava süntaksiga. Sageli ei näe Windowsis ühtegi SID-i vormi, kõige levinum stsenaarium on see, kui annate kellelegi loa ressursile, siis nende kasutajatunnus kustutatakse, siis kuvatakse see ACL-is kui SID. Nii saate tutvuda tüüpilise vorminguga, milles näete Windowsis SID-sid.

1. S-prefiks
2. Struktuuri läbivaatamise number
3. 48-bitise identifitseerimisasutuse väärtus
4. Muutuv arv 32-bitise allasutuse või suhtelise identifikaatori (RID) väärtusi

Kui kasutate oma SID allpool asuvas pildis, siis lagundame need erinevad lõigud, et paremini mõista.

The SID Structure:

‘S’ – The first component of a SID is always an ‘S’. This is prefixed to all SIDs and is there to inform Windows that what follows is a SID. ‘1’ – The second component of a SID is the revision number of the SID specification, if the SID specification was to change it would provide backwards compatibility. As of Windows 7 and Server 2008 R2 the SID specification is still in the first revision. ‘5’ – The third section of a SID is called the Identifier Authority. This defines in what scope the SID was generated. Possible values for this sections of the SID can be:

1. 0 – Null Authority
2. 1 – World Authority
3. 2 – Local Authority
4. 3 – Creator Authority
5. 4 – Non-unique Authority
6. 5 – NT Authority

’21’ – The forth component is sub-authority 1, the value ’21’ is used in the forth field to specify that the sub-authorities that follow identify the Local Machine or the Domain. ‘1206375286-251249764-2214032401’ – These are called sub-authority 2,3 and 4 respectively. In our example this is used to identify the local machine, but could also be the the identifier for a Domain. ‘1000’ – Sub-authority 5 is the last component in our SID and is called the RID (Relative Identifier), the RID is relative to each security principle, please note that any user defined objects, the ones that are not shipped by Microsoft will have a RID of 1000 or greater.

Turvalisuse põhimõtted

Turvalisuse põhimõte on kõik, millele on lisatud SID, need võivad olla kasutajad, arvutid ja isegi rühmad. Turvalisuse põhimõtted võivad olla kohalikud või olla valdkonna kontekstis. Kohalikud julgeolekupõhimõtted juhitakse kohalike kasutajate ja gruppide kaudu, arvutihalduse all. Selle saamiseks klõpsake paremal valikul otseteed käivitusmenüüs ja vali haldamine.

Jagamisõigused ja NTFS-i luba

Windowsis on kahesugused faili- ja kaustaõigused, esiteks jagamisõigused ja teiseks NTFS-i õigused, mida nimetatakse ka turvaõigustega. Pange tähele, et kui jagate kausta vaikimisi, antakse rühmale "Kõik" lugeja loa. Kaustade turvalisus toimub tavaliselt jagamise ja NTFS-i litsentsi kombinatsiooniga, kui see on nii, siis on oluline meeles pidada, et kõige piiravam on alati kohaldatav, näiteks kui jagamise luba on määratud Kõik isikud = Lugege (mis on vaikimisi); kuid NTFS-i luba võimaldab kasutajatel faili muuta, eelistatakse jagamisõigust ja kasutajatel ei lubata muudatusi teha. Kui määrate õigused, kontrollib LSASS (kohalik turvaasutus) juurdepääsu ressursile. Kui logite sisse, antakse teile SID-i juurde pääsukood, kui te lähete ressurssidele juurde, võrdleb LSASS SIL-i, mille te lisasite ACL-i (juurdepääsu kontrollnimekiri), ja kui SID on ACL-is, siis määrab see, kas lubada või keelata juurdepääs. Olenemata sellest, milliseid õigusi te kasutate, on erinevusi, et saaksite paremini aru saada, millal peaksime seda kasutama.

Jagaõigused:

1. Kehtib ainult nende kasutajate jaoks, kes ressurssi kasutavad võrgu kaudu. Neid ei kohaldata, kui logite sisse kohapeal, näiteks terminaliteenuste kaudu.
2. See kehtib jagatud ressursi kõigi failide ja kaustade kohta. Kui soovite anda rohkem granuleeritud piirangukava, peaksite lisaks jagatud õigustele kasutama NTFS-i luba
3. Kui teil on FAT või FAT32 vormindatud mahud, on see teie jaoks ainus piirang, kuna NTFS-i õigused pole nendes failisüsteemides saadaval.

NTFS-i õigused:

1. Ainus piirang NTFS-i õigustele on see, et neid saab määrata ainult NTFS-failisüsteemis vormindatud helitugevusele
2. Pidage meeles, et NTFS on kumulatiivne, mis tähendab, et kasutajate tegelikud õigused tulenevad kasutaja määratud õiguste ja kõigi kasutajarühmade õiguste ühendamisest.

Uus jagamise õigused

Windows 7 ostis uue "lihtsa" jagamise tehnika abil. Valikud on muudetud Read, Change ja Full Control all. Loe ja loe / kirjuta. Idee oli osa kogu Home-grupi mentaliteedist ja võimaldab hõlpsasti jagada kaustu arvutiteadlusele mittekuuluvate inimeste jaoks. Seda tehakse kontekstimenüü kaudu ja lihtsalt jagatakse oma kodurühmaga.

1. Read permission is the “look, don’t touch” option. Recipients can open, but not modify or delete a file.
2. Read/Write is the “do anything” option. Recipients can open, modify, or delete a file.

Vana kooli tee

Vanal jagamise dialoogil oli rohkem võimalusi ja see andis meile võimaluse jagada kausta teise aliasaga, mis võimaldas meil piirata samaaegsete ühenduste arvu ja konfigureerida vahemällu. Ükski neist funktsioonidest pole Windows 7-s kaotatud, vaid pigem on see peidetud valikul "Advanced Sharing". Kui klõpsate hiire parema nupuga kausta ja avasite selle omadused, võite selle jagamise vahekaardi jaotises "Laiendatud jagamine" seadeid leida.

1. Read permission allows you to view and open files and subdirectories as well as execute applications. However it doesn’t allow any changes to be made.
2. Modify permission allows you to do anything that Read permission allows, it also add the ability to add files and subdirectories, delete subfolders and change data in the files.
3. Full Control is the “do anything” of the classic permissions, as it allows for you to do any and all of the previous permissions. In addition it gives you the advanced changing NTFS Permission, this only applies on NTFS Folders

NTFS-i õigused

NTFS-i lubamine võimaldab teie failide ja kaustade väga täpset kontrolli. Sellest võib öelda, et granulaarsus võib uustulnukale olla hirmutav. Samuti saate määrata NTFS-i loa nii faili kui ka iga kausta põhjal. Faili NTFS-i loa määramiseks peate paremklõpsama ja minema failide atribuutidele, kus peate turvalisuse sakile minema.

1. Full Control allows you to read, write, modify, execute, change attributes, permissions, and take ownership of the file.
2. Modify allows you to read, write, modify, execute, and change the file’s attributes.
3. Read & Execute will allow you to display the file’s data, attributes, owner, and permissions, and run the file if its a program.
4. Read will allow you to open the file, view its attributes, owner, and permissions.
5. Write will allow you to write data to the file, append to the file, and read or change its attributes.

NTFS-i õigused kaustadele on veidi erinevad, nii et saate neid vaadata.

1. Full Control allows you to read, write, modify, and execute files in the folder, change attributes, permissions, and take ownership of the folder or files within.
2. Modify allows you to read, write, modify, and execute files in the folder, and change attributes of the folder or files within.
3. Read & Execute will allow you to display the folder’s contents and display the data, attributes, owner, and permissions for files within the folder, and run files within the folder.
4. List Folder Contents will allow you to display the folder’s contents and display the data, attributes, owner, and permissions for files within the folder.
5. Read will allow you to display the file’s data, attributes, owner, and permissions.
6. Write will allow you to write data to the file, append to the file, and read or change its attributes.

Microsofti dokumentatsioonis märgitakse ka, et "loendi kausta sisu" võimaldab teil faili kaustas käivitada, kuid selleks peate ikkagi lubama "Read &Execute". See on väga segane dokumenteeritud luba.

Kokkuvõte

Kokkuvõttes on kasutajanimed ja -rühmad tähed ja numbrid, mida nimetatakse SID-ideks (Security Identifier), jagatud ja NTFS-i õigused on seotud nende SID-idega. LSSAS kontrollib jagamisõigusi ainult võrgule ligipääsul, NTFS-i õigused kehtivad ainult kohalikes masinates. Loodan, et teil kõigil on mõistlik arusaam Windowsi failide ja kaustade turvalisuse rakendamisest. Kui teil on küsimusi, võite kommentaarides heli välja lülitada.