• Taylor Gibb

  @taybgibb

• Frissítve: 2019. október 28., 8:49 EDT

Próbálta már valaha is kitalálni a Windows összes engedélyét? Ott vannak a megosztási engedélyek, az NTFS-engedélyek, a hozzáférés-vezérlési listák és még sok más. Íme, hogyan működnek ezek együtt.

A biztonsági azonosító

A Windows operációs rendszerek SID-ket használnak az összes biztonsági elv képviseletére. Az SID-k csak változó hosszúságú, alfanumerikus karakterekből álló karakterláncok, amelyek gépeket, felhasználókat és csoportokat jelölnek. Az SID-ket minden alkalommal hozzáadjuk az ACL-ekhez (hozzáférés-vezérlési listák), amikor egy felhasználónak vagy csoportnak engedélyt adunk egy fájlhoz vagy mappához. A színfalak mögött az SID-ket ugyanúgy tárolják, mint minden más adatobjektumot, azaz bináris formában. Amikor azonban egy SID-t lát a Windowsban, az olvashatóbb szintaxissal jelenik meg. Nem gyakran fordul elő, hogy a SID bármilyen formája megjelenik a Windowsban, a leggyakoribb forgatókönyv az, amikor valakinek engedélyt adunk egy erőforráshoz, majd a felhasználói fiókját töröljük, ezután SID-ként jelenik meg az ACL-ben. Nézzük meg tehát azt a tipikus formátumot, amelyben a SID-eket a Windowsban látni fogjuk.

A jelölés, amelyet látni fogunk, egy bizonyos szintaxist vesz fel, az alábbiakban a SID különböző részeit mutatjuk be ebben a jelölésben.

1. Egy “S” előtag
2. Szerkezet felülvizsgálati száma
3. Egy 48 bites azonosító hatósági érték
4. Változó számú 32 bites alhatósági vagy relatív azonosító (RID) érték

Az alábbi képen látható SID-emet használva felbontjuk a különböző részeket, hogy jobban megértsük.

A SID szerkezete:

‘S’ – A SID első összetevője mindig egy ‘S’. Ez minden SID előtt szerepel, és arra szolgál, hogy tájékoztassa a Windowst, hogy ami ezután következik, az egy SID.
‘1’ – A SID második összetevője a SID specifikáció revíziós száma, ha a SID specifikáció változik, akkor ez biztosítja a visszafelé kompatibilitást. A Windows 7 és a Server 2008 R2 esetében a SID specifikáció még mindig az első revízióban van.
‘5’ – A SID harmadik része az úgynevezett azonosító hatóság. Ez határozza meg, hogy a SID milyen hatókörben készült. A SID ezen szakaszának lehetséges értékei a következők lehetnek:

1. 0 – Null Authority
2. 1 – World Authority
3. 2 – Local Authority
4. 3 – Creator Authority
5. 4 – Non-unique Authority
6. 5 – NT Authority

’21’ – A negyedik összetevő az 1. alhatóság, a ’21’ értéket a negyedik mezőben arra használjuk, hogy az ezt követő alhatóságok a helyi gépet vagy a tartományt azonosítják.
‘1206375286-251249764-2214032401’ – Ezeket nevezzük 2.,3. és 4. aljogosultságnak. Példánkban ez a helyi gép azonosítására szolgál, de lehet egy tartomány azonosítója is.
‘1000’ – Az 5. aljogosultság az utolsó összetevő a SID-ben, és RID-nek (Relative Identifier) nevezik, a RID minden biztonsági megbízóhoz relatív, kérjük, vegye figyelembe, hogy minden felhasználó által definiált objektumnak, a nem a Microsoft által szállított objektumoknak 1000-es vagy annál nagyobb RID-je lesz.

Security Principals

A security principal minden, amihez SID tartozik, ezek lehetnek felhasználók, számítógépek és akár csoportok is. A biztonsági megbízók lehetnek helyi vagy tartományi környezetben. A helyi biztonsági elvek kezelése a Helyi felhasználók és csoportok beépülő modulon keresztül történik, a számítógépek kezelése alatt. Ehhez kattintson a jobb gombbal a számítógép parancsikonra a Start menüben, majd válassza a Kezelés parancsot.

Új felhasználói biztonsági főnök felvételéhez menjen a felhasználók mappába, majd kattintson a jobb gombbal, és válassza az Új felhasználó parancsot.

Ha duplán kattint egy felhasználóra, akkor a Member Of lapon hozzáadhatja egy biztonsági csoporthoz.

Új biztonsági csoport létrehozásához navigáljon a jobb oldali Groups mappába. Kattintson a jobb gombbal a fehér foltra, és válassza az új csoportot.

Megosztási engedélyek és NTFS-engedélyek

A Windowsban kétféle fájl- és mappaengedély létezik, egyrészt a Megosztási engedélyek, másrészt az NTFS-engedélyek, más néven Biztonsági engedélyek. Vegye figyelembe, hogy egy mappa megosztásakor alapértelmezés szerint a “Mindenki” csoport kap olvasási engedélyt. A mappák biztonsága általában a Megosztási és NTFS-engedélyek kombinációjával történik, ha ez a helyzet, fontos megjegyezni, hogy mindig a legszigorúbb érvényes, például ha a megosztási engedély a Mindenki = Olvasás (ami az alapértelmezett), de az NTFS-engedélyek lehetővé teszik a felhasználók számára a fájl módosítását, akkor a Megosztási engedélyek élveznek elsőbbséget, és a felhasználók nem végezhetnek módosításokat. A jogosultságok beállításakor az LSASS(Local Security Authority) ellenőrzi az erőforráshoz való hozzáférést. Amikor bejelentkezik, kap egy hozzáférési tokent, amelyen szerepel a SID azonosítója, amikor pedig hozzáfér az erőforráshoz, a LSASS összehasonlítja az ACL-hez (Access Control List) hozzáadott SID-t, és ha a SID szerepel az ACL-ben, akkor eldönti, hogy engedélyezi-e vagy megtagadja a hozzáférést. Nem számít, hogy milyen engedélyeket használunk, vannak különbségek, ezért nézzük meg, hogy jobban megértsük, mikor mit kell használnunk.

Megosztási engedélyek:

1. Kizárólag azokra a felhasználókra vonatkozik, akik a hálózaton keresztül érik el az erőforrást. Nem vonatkoznak a helyi bejelentkezés esetén, például terminálszolgáltatásokon keresztül.
2. A megosztott erőforrás összes fájljára és mappájára vonatkozik. Ha ennél részletesebb korlátozási sémát szeretne biztosítani, akkor a megosztott engedélyek mellett az NTFS engedélyt is használnia kell
3. Ha FAT vagy FAT32 formátumú kötetekkel rendelkezik, akkor ez lesz a korlátozás egyetlen elérhető formája, mivel az NTFS engedélyek nem állnak rendelkezésre ezeken a fájlrendszereken.

NTFS engedélyek:

1. Az NTFS engedélyek egyetlen korlátozása, hogy csak NTFS fájlrendszerrel formázott köteteken állíthatók be
2. Ne feledje, hogy az NTFS kumulatív, ami azt jelenti, hogy a felhasználó tényleges engedélyei a felhasználóhoz rendelt engedélyek és a felhasználóhoz tartozó csoportok engedélyeinek kombinációjából adódnak.

Az új megosztási engedélyek

A Windows 7 egy új, “egyszerű” megosztási technikát hozott magával. A lehetőségek az Olvasás, Módosítás és Teljes ellenőrzés helyett a következőkre változtak. Olvasás és Olvasás/írás. Az ötlet az egész Home csoport mentalitás része volt, és megkönnyíti egy mappa megosztását a nem számítógépes írástudók számára. Ez a kontextusmenüben történik, és könnyen megosztható az otthoni csoporttal.

Ha meg akarja osztani valakivel, aki nem tagja az otthoni csoportnak, mindig választhatja a “Speciális személyek…” opciót. Ami egy “kidolgozottabb” párbeszédpanelt hozna létre. Ahol megadhatna egy adott felhasználót vagy csoportot.

A korábban említettek szerint csak két engedély van, ezek együttesen egy mindent vagy semmit védelmi rendszert kínálnak a mappák és fájlok számára.

1. Az olvasási engedély a “nézd, de ne nyúlj hozzá” opció. A címzettek megnyithatják, de nem módosíthatják vagy törölhetik a fájlt.
2. Az olvasás/írás a “bármit megtehetsz” opció. A címzettek megnyithatják, módosíthatják vagy törölhetik a fájlt.

A régi iskola módszere

A régi megosztási párbeszédpanel több lehetőséggel rendelkezett, és lehetőséget adott a mappa más alias alatt történő megosztására, lehetővé tette az egyidejű kapcsolatok számának korlátozását, valamint a gyorsítótárazás beállítását. A Windows 7-ben ezekből a funkciókból semmi sem veszett el, inkább a “Speciális megosztás” nevű opció alatt rejtőzik. Ha jobb gombbal kattintunk egy mappára, és megnyitjuk a tulajdonságait, akkor a megosztás lapon megtalálhatjuk ezeket a “Speciális megosztás” beállításokat.

Ha a “Speciális megosztás” gombra kattintunk, amihez helyi rendszergazdai hitelesítő adatokra van szükség, akkor a Windows korábbi verzióiban megszokott beállításokat konfigurálhatjuk.

Ha az “Engedélyek” gombra kattint, akkor a mindannyiunk által ismert 3 beállítás jelenik meg.

1. Az olvasási engedély lehetővé teszi a fájlok és alkönyvtárak megtekintését és megnyitását, valamint az alkalmazások végrehajtását. Ez azonban nem teszi lehetővé semmilyen változtatás elvégzését.
2. A módosítási engedély lehetővé teszi, hogy bármit megtehessen, amit az olvasási engedély megenged, továbbá hozzáadhatja a fájlok és alkönyvtárak hozzáadását, az alkönyvtárak törlését és a fájlokban lévő adatok módosítását.
3. A teljes ellenőrzés a klasszikus engedélyek “bármit megtehet”, mivel lehetővé teszi, hogy az előző engedélyek bármelyikét és mindegyikét elvégezze. Ezenkívül megadja a fejlett NTFS engedélyek megváltoztatását, ez csak az NTFS mappákra vonatkozik

NTFS engedélyek

NTFS engedélyek nagyon részletes ellenőrzést tesz lehetővé a fájlok és mappák felett. Ezzel együtt a részletesség mértéke ijesztő lehet egy kezdő számára. Az NTFS engedélyeket fájlonként és mappánként is beállíthatja. Az NTFS-engedélyek beállításához egy fájlra jobb egérgombbal kell kattintania, és a fájl tulajdonságaihoz kell mennie, ahol a biztonság fülre kell lépnie.

A felhasználó vagy csoport NTFS-engedélyeinek szerkesztéséhez kattintson a szerkesztés gombra.

Amint láthatja, elég sok NTFS-engedély van, ezért bontjuk le őket. Először megnézzük, hogy milyen NTFS-engedélyeket állíthatunk be egy fájlon.

1. A teljes ellenőrzés lehetővé teszi az olvasást, írást, módosítást, végrehajtást, az attribútumok és engedélyek módosítását, valamint a fájl tulajdonjogának átvételét.
2. Módosítás lehetővé teszi a fájl olvasását, írását, módosítását, végrehajtását és az attribútumok megváltoztatását.
3. Olvasás & Végrehajtás lehetővé teszi a fájl adatainak, attribútumainak, tulajdonosának és jogosultságainak megjelenítését, valamint a fájl futtatását, ha az egy program.
4. Read lehetővé teszi a fájl megnyitását, attribútumainak, tulajdonosának és jogosultságainak megtekintését.
5. Write lehetővé teszi az adatok írását a fájlba, a fájlhoz való csatolást, valamint az attribútumok olvasását vagy módosítását.

NTFS A mappák engedélyei kissé eltérő beállításokkal rendelkeznek, ezért nézzük meg őket.

1. A teljes ellenőrzés lehetővé teszi a mappában lévő fájlok olvasását, írását, módosítását és végrehajtását, az attribútumok és engedélyek módosítását, valamint a mappa vagy a benne lévő fájlok tulajdonjogának átvételét.
2. Módosítás lehetővé teszi a mappában lévő fájlok olvasását, írását, módosítását és végrehajtását, valamint a mappában lévő mappa vagy fájlok attribútumainak módosítását.
3. Olvasás & Végrehajtás lehetővé teszi a mappa tartalmának megjelenítését és a mappában lévő fájlok adatainak, attribútumainak, tulajdonosának és jogosultságainak megjelenítését, valamint a mappában lévő fájlok futtatását.
4. Mappa tartalmának listázása lehetővé teszi a mappa tartalmának megjelenítését és a mappában lévő fájlok adatainak, attribútumainak, tulajdonosának és jogosultságainak megjelenítését.
5. Olvasás lehetővé teszi a fájl adatainak, attribútumainak, tulajdonosának és jogosultságainak megjelenítését.
6. Írás lehetővé teszi az adatok írását a fájlba, a fájlhoz való csatolást, valamint az attribútumok olvasását vagy módosítását.

A Microsoft dokumentációjában az is szerepel, hogy a “Mappa tartalmának listázása” lehetővé teszi a mappán belüli fájlok végrehajtását, de ehhez még engedélyeznie kell az “Olvasás & Végrehajtás” opciót. Ez egy nagyon zavarosan dokumentált engedély.

Összefoglaló

Összefoglalva, a felhasználónevek és a csoportok egy SID(Security Identifier) nevű alfanumerikus karakterlánc reprezentációi, a Share és NTFS engedélyek ezekhez az SID-ekhez kapcsolódnak. A megosztási engedélyeket az LSSAS csak akkor ellenőrzi, ha a hálózaton keresztül történik a hozzáférés, míg az NTFS engedélyek csak a helyi gépeken érvényesek. Remélem, hogy mindannyian jól megértették, hogyan valósul meg a fájl- és mappabiztonság a Windows 7-ben. Ha bármilyen kérdésük van, nyugodtan válaszoljanak a hozzászólásokban.