Näin ymmärrät Windows 7:n hämmentävät tiedosto-/jako-oikeudet

, Author

  • Taylor Gibb

    @taybgibb

  • Päivitetty 28. lokakuuta 2019, 8:49 EDT

Oletko koskaan yrittänyt selvittää Windowsin kaikkia käyttöoikeuksia? On jako-oikeuksia, NTFS-oikeuksia, pääsynvalvontaluetteloita ja paljon muuta. Tässä kerrotaan, miten ne kaikki toimivat yhdessä.

Turvatunniste

Windowsin käyttöjärjestelmissä käytetään SID-tunnisteita edustamaan kaikkia suojausperiaatteita. SID-tunnukset ovat vain vaihtelevan pituisia aakkosnumeerisia merkkijonoja, jotka edustavat koneita, käyttäjiä ja ryhmiä. SID-tunnukset lisätään ACL-luetteloihin (Access Control Lists) aina, kun annat käyttäjälle tai ryhmälle oikeuden tiedostoon tai kansioon. SID-tunnukset tallennetaan samalla tavalla kuin kaikki muutkin tieto-objektit eli binäärimuodossa. Kun näet SID-tunnuksen Windowsissa, se näytetään kuitenkin luettavammalla syntaksilla. Minkäänlaista SID-tunnusta ei usein näy Windowsissa. Yleisin tapaus on, että kun annat jollekulle oikeuden resurssiin ja hänen käyttäjätilinsä poistetaan, se näkyy SID-tunnuksena ACL:ssä. Katsotaanpa siis tyypillistä muotoa, jossa näet SID-tunnuksia Windowsissa.

Näyttämäsi merkintätapa noudattaa tiettyä syntaksia, alla ovat SID-tunnuksen eri osat tässä merkintätavassa.

  1. S-etuliite
  2. Rakenteen versionumero
  3. 48-bittinen tunnisteen auktoriteettiarvo
  4. Vaihteleva määrä 32-bittisiä ala-auktoriteetti- tai relatiivisen tunnisteen (RID) arvoja
Mainos

Oheisen kuvan SID:n avulla pilkkoo eri osiot paremman ymmärryksen saamiseksi.

SID-rakenne:

’S’ – SID:n ensimmäinen komponentti on aina ’S’. Tämä on kaikkien SID:ien etuliite, ja sen tarkoituksena on ilmoittaa Windowsille, että seuraava on SID.
’1’ – SID:n toinen komponentti on SID-määrittelyn versionumero; jos SID-määrittely muuttuisi, se varmistaisi taaksepäin yhteensopivuuden. Windows 7:ssä ja Server 2008 R2:ssa SID-määritys on edelleen ensimmäisessä versiossa.
’5’ – SID:n kolmas osa on nimeltään Identifier Authority. Tässä määritellään, missä laajuudessa SID on luotu. Mahdollisia arvoja tälle SID:n osalle voivat olla seuraavat:

  1. 0 – Null Authority
  2. 1 – World Authority
  3. 2 – Local Authority
  4. 3 – Creator Authority
  5. 4 – Non-unique Authority
  6. 5 – NT Authority

’21’ – Neljäs osatekijä on alitunnisteen auktoriteetti 1, arvoa ’21’ käytetään neljännessä kentässä määrittämään, että seuraavat alivaltuudet tunnistavat paikallisen koneen tai toimialueen.
’1206375286-251249764-2214032401’ – Näitä kutsutaan alivaltuuksiksi 2,3 ja 4. Esimerkissämme tätä käytetään paikallisen koneen tunnistamiseen, mutta se voisi olla myös toimialueen tunniste.
’1000’ – Alivaltuus 5 on SID:n viimeinen komponentti, ja sitä kutsutaan RID:ksi (Relative Identifier), RID on suhteellinen kuhunkin pääkäyttäjään nähden, ja huomaa, että kaikilla käyttäjän määrittelemillä objekteilla, jotka eivät ole Microsoftin toimittamia, on RID 1000 tai suurempi.

Security Principals

Security Principal on mikä tahansa, johon on liitetty SID, nämä voivat olla käyttäjiä, tietokoneita ja jopa ryhmiä. Turvallisuuspäämiehet voivat olla paikallisia tai olla toimialueen kontekstissa. Paikallisia turvallisuuspäämiehiä hallitaan Paikalliset käyttäjät ja ryhmät -laajennuksen kautta tietokoneiden hallinnan alta. Pääset sinne napsauttamalla hiiren kakkospainikkeella tietokoneen pikakuvaketta Käynnistä-valikossa ja valitsemalla Hallinta.

Lisätäksesi uuden käyttäjän suojausperiaatteen voit mennä Käyttäjät-kansioon ja napsauttaa hiiren kakkospainikkeella ja valita Uusi käyttäjä.

Koska kaksoisnapsautat käyttäjää, voit lisätä hänet suojausryhmään Jäsenet-välilehdellä.

Mainos

Luo uusi suojausryhmä siirtymällä oikealla olevaan Ryhmät-kansioon. Napsauta hiiren kakkospainikkeella valkoista välilyöntiä ja valitse uusi ryhmä.

Jako-oikeudet ja NTFS-oikeudet

Windowsissa on kahdenlaisia tiedostojen ja kansioiden käyttöoikeuksia, ensinnäkin Jaa-oikeudet ja toiseksi NTFS-oikeudet, joita kutsutaan myös nimellä suojausoikeudet. Huomaa, että kun jaat kansiota, oletusarvoisesti ”Kaikki”-ryhmälle annetaan lukuoikeus. Kansioiden suojaus tehdään yleensä Jaa- ja NTFS-oikeuksien yhdistelmällä. Jos näin on, on tärkeää muistaa, että rajoittavin on aina voimassa. Jos esimerkiksi Jaa-oikeudeksi on asetettu Kaikki = Lue (mikä on oletusarvo), mutta NTFS-oikeudet sallivat käyttäjien tehdä muutoksia tiedostoon, Jaa-oikeudet ovat etusijalla, eivätkä käyttäjät saa tehdä muutoksia. Kun asetat käyttöoikeudet, LSASS(Local Security Authority) valvoo resurssin käyttöä. Kun kirjaudut sisään, sinulle annetaan pääsymerkki, jossa on SID-tunnuksesi, ja kun haluat käyttää resurssia, LSASS vertaa SID-tunnusta, jonka olet lisännyt ACL:ään (Access Control List, pääsynvalvontaluettelo), ja jos SID-tunnus on ACL:ssä, LSASS päättää, sallitaanko vai kielletäänkö pääsy. Riippumatta siitä, mitä käyttöoikeuksia käytät, on eroja, joten katsotaanpa, jotta ymmärretään paremmin, milloin mitäkin pitäisi käyttää.

Jako-oikeudet:

  1. Käytetään vain käyttäjiin, jotka käyttävät resurssia verkon kautta. Niitä ei sovelleta, jos kirjaudutaan paikallisesti, esimerkiksi päätepalvelun kautta.
  2. Käytetään kaikkiin jaetun resurssin tiedostoihin ja kansioihin. Jos haluat tarjota hienojakoisemman rajoitusjärjestelmän, sinun on käytettävä NTFS-käyttöoikeuksia jaettujen käyttöoikeuksien lisäksi
  3. Jos käytössäsi on FAT- tai FAT32-muotoisia tietovälineitä, tämä on ainoa käytettävissäsi oleva rajoitusmuoto, sillä NTFS-käyttöoikeudet eivät ole käytettävissä näissä tiedostojärjestelmissä.

NTFS-oikeudet:

  1. NTFS-oikeuksien ainoa rajoitus on se, että ne voidaan asettaa vain sellaiselle tietueelle, joka on alustettu NTFS-tiedostojärjestelmään
  2. Muista, että NTFS on kumulatiivinen, mikä tarkoittaa sitä, että käyttäjän todelliset käyttöoikeudet ovat tulosta, joka syntyy, kun yhdistetään käyttäjän määritetyt käyttöoikeudet ja kaikkien niiden ryhmien käyttöoikeudet, joihin käyttäjä kuuluu.

Uudet jako-oikeudet

Windows 7 toi mukanaan uuden ”helpon” jakotekniikan. Vaihtoehdot muuttuivat lukemisesta, muuttamisesta ja täydestä hallinnasta muotoon. Read ja Read/Write. Ajatus oli osa koko Kotiryhmä-mentaliteettia ja tekee kansion jakamisen helpoksi tietokoneen lukutaidottomille ihmisille. Tämä tapahtuu kontekstivalikon kautta ja jakaminen kotiryhmän kanssa on helppoa.

Jos halusit jakaa kansion jollekin henkilölle, joka ei kuulu kotiryhmään, voit aina valita vaihtoehdon ”Specific people…”. Joka toisi esiin ”tarkemman” dialogin. Jossa voisit määrittää tietyn käyttäjän tai ryhmän.

Mainos

Lukulupia on vain kaksi, kuten aiemmin mainittiin, yhdessä ne tarjoavat kaikki tai ei mitään -suojausjärjestelmän kansioillesi ja tiedostoillesi.

  1. Lukulupavaihtoehto on ”katso, älä koske”. Vastaanottajat voivat avata, mutta eivät muuttaa tai poistaa tiedostoa.
  2. Lue/Kirjoita on ”tee mitä tahansa” -vaihtoehto. Vastaanottajat voivat avata, muokata tai poistaa tiedoston.

Vanhan koulun tapa

Vanhassa jakamisvalintaikkunassa oli enemmän vaihtoehtoja, ja siinä oli mahdollisuus jakaa kansio eri aliaksella, sen avulla voitiin rajoittaa samanaikaisten yhteyksien määrää sekä määrittää välimuistitallennus. Mikään näistä toiminnoista ei ole kadonnut Windows 7:ssä, vaan ne on piilotettu ”Advanced Sharing” -nimisen vaihtoehdon alle. Jos napsautat kansiota hiiren kakkospainikkeella ja siirryt sen ominaisuuksiin, löydät nämä ”Advanced Sharing” -asetukset jakamisvälilehdeltä.

Jos napsautat ”Advanced Sharing” -painiketta, joka vaatii paikallisen järjestelmänvalvojan tunnukset, voit määrittää kaikki asetukset, jotka olivat tuttuja aiemmista Windows-versioista.

Jos napsautat ”Käyttöoikeudet”-painiketta, saat näkyviin kolme asetusta, jotka ovat meille kaikille tuttuja.

  1. Lukemisoikeudella voit katsella ja avata tiedostoja ja alihakemistoja sekä suorittaa sovelluksia. Se ei kuitenkaan salli minkäänlaisten muutosten tekemistä.
  2. Muokkaa-oikeus sallii kaiken, minkä Luku-oikeus sallii, se lisää myös mahdollisuuden lisätä tiedostoja ja alihakemistoja, poistaa alihakemistoja ja muuttaa tiedostojen tietoja.
  3. Täysi hallinta on klassisten oikeuksien ”tee mitä tahansa”, sillä se sallii tehdä mitä tahansa ja kaikkia edellisistä oikeuksista. Lisäksi se antaa sinulle edistyneen NTFS-oikeuksien muuttamisen, tämä koskee vain NTFS-kansioita

NTFS-oikeudet

NTFS-oikeudet mahdollistavat tiedostojen ja kansioiden erittäin tarkan hallinnan. Tämän sanottuaan tarkkuuden määrä voi olla pelottava uudelle tulokkaalle. Voit myös asettaa NTFS-oikeudet tiedosto- ja kansiokohtaisesti. Asettaaksesi NTFS-oikeudet tiedostolle sinun tulee klikata hiiren kakkospainikkeella ja siirtyä tiedoston ominaisuuksiin, jossa sinun tulee siirtyä Security-välilehdelle.

Mainos

Muokataksesi NTFS-oikeuksia käyttäjälle tai ryhmälle klikkaa muokkaus-painiketta.

Kuten huomaatkin, NTFS-oikeuksia on melko paljon, joten eritellään ne. Ensin tarkastelemme NTFS-oikeuksia, joita voit asettaa tiedostolle.

  1. Täysi hallinta sallii tiedoston lukemisen, kirjoittamisen, muokkaamisen, suorittamisen, attribuuttien ja käyttöoikeuksien muuttamisen sekä tiedoston omistusoikeuden.
  2. Modify (Muokkaa) mahdollistaa tiedoston lukemisen, kirjoittamisen, muuttamisen, suorittamisen ja tiedostoattribuuttien muuttamisen.
  3. Read (Lue) & Execute (Suorita) mahdollistaa tiedoston tietojen, attribuuttien, omistajan ja oikeuksien näyttämisen sekä tiedoston suorittamisen, jos se on ohjelma.
  4. Read mahdollistaa tiedoston avaamisen, sen attribuuttien, omistajan ja käyttöoikeuksien näyttämisen.
  5. Write mahdollistaa tietojen kirjoittamisen tiedostoon, tiedostoon liittämisen ja sen attribuuttien lukemisen tai muuttamisen.

NTFS Kansioiden käyttöoikeuksissa on hieman erilaiset vaihtoehdot, joten tarkastellaan niitä.

  1. Täysi hallinta sallii kansiossa olevien tiedostojen lukemisen, kirjoittamisen, muokkaamisen ja suorittamisen, attribuuttien ja käyttöoikeuksien muuttamisen sekä kansion tai kansiossa olevien tiedostojen omistajuuden.
  2. Modify (Muokkaa) mahdollistaa kansion tiedostojen lukemisen, kirjoittamisen, muokkaamisen ja suorittamisen sekä kansion tai kansiossa olevien tiedostojen attribuuttien muuttamisen.
  3. Read & Execute (Suorita) mahdollistaa kansion sisällön näyttämisen ja kansiossa olevien tiedostojen tietojen, attribuuttien, omistajan ja oikeuksien näyttämisen sekä kansiossa olevien tiedostojen suorittamisen.
  4. List Folder Contents (Luettelo kansion sisällöstä) mahdollistaa kansion sisällön näyttämisen ja kansiossa olevien tiedostojen tietojen, attribuuttien, omistajan ja oikeuksien näyttämisen.
  5. Read (Lue) mahdollistaa tiedoston tietojen, attribuuttien, omistajan ja oikeuksien näyttämisen.
  6. Write (Kirjoita) mahdollistaa tietojen kirjoittamisen tiedostoon, liittämisen tiedostoon ja sen attribuuttien lukemisen tai muuttamisen.
Mainos

Microsoftin dokumentaatiossa kerrotaan myös, että ”List Folder Contents” (Luettele kansion sisältö) mahdollistaa kansiossa olevien tiedostojen suorittamisen, mutta sitä varten sinun on silti otettava käyttöön ”Read & Execute” (Lue & Suorita). Se on hyvin sekavasti dokumentoitu käyttöoikeus.

Yhteenveto

Yhteenvetona voidaan todeta, että käyttäjätunnukset ja -ryhmät ovat aakkosnumeerisen merkkijonon nimeltä SID(Security Identifier) esityksiä, ja Share- ja NTFS-oikeudet on sidottu näihin SID:iin. LSSAS tarkistaa jako-oikeudet vain silloin, kun niitä käytetään verkon kautta, kun taas NTFS-oikeudet ovat voimassa vain paikallisissa koneissa. Toivon, että teillä kaikilla on hyvä käsitys siitä, miten tiedostojen ja kansioiden suojaus on toteutettu Windows 7:ssä. Jos sinulla on kysyttävää, ota rohkeasti kantaa kommenteissa.

Taylor Gibb
Taylor Gibb on ammattimainen ohjelmistokehittäjä, jolla on lähes kymmenen vuoden kokemus. Hän toimi Microsoftin aluejohtajana Etelä-Afrikassa kahden vuoden ajan ja on saanut useita Microsoftin MVP-palkintoja (Most Valued Professional). Tällä hetkellä hän työskentelee R&D:ssä Derivco Internationalilla.Lue koko elämäkerta ”

Vastaa

Sähköpostiosoitettasi ei julkaista.