How to Understand Those Confusing Windows 7 File/Share Permissions

, Author

  • Taylor Gibb

    @taybgibb

  • Updated October 28, 2019, 8:49am EDT

Czy kiedykolwiek próbowałeś rozgryźć wszystkie uprawnienia w systemie Windows? Są tam uprawnienia do udziałów, uprawnienia NTFS, listy kontroli dostępu i wiele innych. Oto jak one wszystkie razem działają.

Identyfikator zabezpieczeń

Systemy operacyjne Windows używają identyfikatorów SID do reprezentowania wszystkich zasad zabezpieczeń. Identyfikatory SID są ciągami znaków alfanumerycznych o zmiennej długości, które reprezentują maszyny, użytkowników i grupy. SID są dodawane do list ACL (Access Control Lists) za każdym razem, gdy użytkownik lub grupa otrzymuje uprawnienia do pliku lub folderu. Za sceną SID są przechowywane tak samo jak wszystkie inne obiekty danych, w postaci binarnej. Jednak kiedy widzisz SID w Windows, będzie on wyświetlany przy użyciu bardziej czytelnej składni. Nie jest to częste, że zobaczysz jakąkolwiek formę SID w Windows, najczęstszym scenariuszem jest, gdy nadasz komuś uprawnienia do zasobu, a następnie jego konto użytkownika zostanie usunięte, wtedy pojawi się jako SID w ACL. Więc spójrzmy na typowy format, w którym można zobaczyć SID w systemie Windows.

Zapis, który można zobaczyć przyjmuje pewną składnię, poniżej są różne części SID w tym zapisie.

  1. Przedrostek 'S’
  2. Numer rewizji struktury
  3. 48-bitowa wartość autorytetu identyfikatora
  4. Zmienna liczba 32-bitowych wartości pod-autorytetu lub identyfikatora względnego (RID)
Reklama

Korzystając z mojego identyfikatora SID na poniższym obrazku, rozbijemy różne sekcje, aby lepiej zrozumieć.

Struktura SID:

„S” – Pierwszym elementem SID jest zawsze „S”. Jest ona poprzedzona wszystkimi identyfikatorami SID i służy do informowania systemu Windows, że to, co następuje, jest identyfikatorem SID.
’1′ – Drugi składnik identyfikatora SID to numer rewizji specyfikacji SID, jeśli specyfikacja SID miałaby się zmienić, zapewniłaby ona zgodność wsteczną. W systemach Windows 7 i Server 2008 R2 specyfikacja SID jest nadal w pierwszej rewizji.
„5” – Trzecia sekcja identyfikatora SID jest nazywana organem identyfikacyjnym. Określa ona, w jakim zakresie został wygenerowany identyfikator SID. Możliwymi wartościami dla tej sekcji SID mogą być:

  1. 0 – Null Authority
  2. 1 – World Authority
  3. 2 – Local Authority
  4. 3 – Creator Authority
  5. 4 – Non-unique Authority
  6. 5 – NT Authority

’21’ – Czwarty składnik to sub-autorytet 1, wartość „21” jest używana w czwartym polu, aby określić, że podrzędne uprawnienia, które następują, identyfikują maszynę lokalną lub domenę.
’1206375286-251249764-2214032401′ – Są one nazywane odpowiednio sub-autorytetami 2,3 i 4. W naszym przykładzie jest to używane do identyfikacji maszyny lokalnej, ale może to być również identyfikator Domeny.
’1000′ – Poduprawnienie 5 jest ostatnim elementem w naszym SID i jest nazywane RID (Relative Identifier), RID jest względny dla każdego głównego zabezpieczenia, proszę zauważyć, że wszelkie obiekty zdefiniowane przez użytkownika, te, które nie są dostarczane przez Microsoft będą miały RID równy 1000 lub większy.

Security Principals

Zasadą bezpieczeństwa jest wszystko, co ma przypisany SID, mogą to być użytkownicy, komputery, a nawet grupy. Zasady bezpieczeństwa mogą być lokalne lub być w kontekście domeny. Możesz zarządzać lokalnymi zasadami bezpieczeństwa poprzez Lokalni użytkownicy i grupy snap-in, w ramach zarządzania komputerami. Aby się tam dostać, kliknij prawym przyciskiem myszy na skrót komputera w menu start i wybierz zarządzanie.

Aby dodać nową zasadę bezpieczeństwa użytkownika, możesz przejść do folderu Użytkownicy, kliknąć prawym przyciskiem myszy i wybrać Nowy użytkownik.

Jeśli dwukrotnie klikniesz na użytkownika, możesz dodać go do grupy zabezpieczeń na karcie Member Of.

Reklama

Aby utworzyć nową grupę zabezpieczeń, przejdź do folderu Groups po prawej stronie. Kliknij prawym przyciskiem myszy na białej przestrzeni i wybierz nową grupę.

Uprawnienia udostępniania i uprawnienia NTFS

W systemie Windows istnieją dwa rodzaje uprawnień do plików i folderów, po pierwsze są uprawnienia udostępniania, a po drugie są uprawnienia NTFS zwane również uprawnieniami bezpieczeństwa. Zwróć uwagę, że kiedy udostępniasz folder, domyślnie grupa „Każdy” otrzymuje uprawnienia do odczytu. W takim przypadku należy pamiętać, że zawsze stosuje się najbardziej restrykcyjne uprawnienia, np. jeśli uprawnienia do udostępniania są ustawione na Wszyscy = Odczyt (co jest domyślne), ale uprawnienia NTFS pozwalają użytkownikom na dokonywanie zmian w pliku, uprawnienia do udostępniania będą miały pierwszeństwo, a użytkownicy nie będą mogli dokonywać zmian. Kiedy ustawisz uprawnienia, LSASS (Local Security Authority) kontroluje dostęp do zasobu. Po zalogowaniu się otrzymujesz token dostępu z identyfikatorem SID na nim, kiedy idziesz do zasobu LSASS porównuje SID, które zostały dodane do ACL (Access Control List) i jeśli SID jest na ACL określa, czy zezwolić lub odmówić dostępu. Nie ważne jakich uprawnień używasz są różnice więc spójrzmy aby lepiej zrozumieć kiedy powinniśmy używać czego.

Uprawnienia do udostępniania:

  1. Dotyczy tylko użytkowników, którzy mają dostęp do zasobu przez sieć. Nie mają zastosowania, jeśli użytkownik loguje się lokalnie, na przykład za pośrednictwem usług terminalowych.
  2. Dotyczy wszystkich plików i folderów w udostępnionym zasobie. Jeśli chcesz zapewnić bardziej ziarnisty schemat ograniczeń, powinieneś użyć NTFS Permission oprócz uprawnień współdzielonych
  3. Jeśli masz woluminy sformatowane w FAT lub FAT32, będzie to jedyna dostępna forma ograniczeń, ponieważ NTFS Permissions nie są dostępne na tych systemach plików.

Uprawnienia NTFS:

  1. Jedynym ograniczeniem w Uprawnieniach NTFS jest to, że mogą być ustawione tylko na woluminie, który jest sformatowany do systemu plików NTFS
  2. Pamiętaj, że NTFS są kumulatywne, co oznacza, że efektywne uprawnienia użytkownika są wynikiem połączenia uprawnień przypisanych użytkownikowi i uprawnień wszelkich grup, do których należy użytkownik.

Nowe uprawnienia do udostępniania

Windows 7 kupił wraz z nową „łatwą” techniką udostępniania. Opcje zmieniły się z Odczyt, Zmiana i Pełna kontrola na. Odczyt i Odczyt/Zapis. Pomysł ten był częścią mentalności całej grupy domowej i ułatwia udostępnianie folderów osobom nie znającym się na komputerach. Odbywa się to poprzez menu kontekstowe i udostępnia folder grupie domowej w prosty sposób.

Jeśli chcesz udostępnić folder komuś, kto nie jest w grupie domowej, zawsze możesz wybrać opcję „Określeni ludzie…”. Co spowodowałoby wyświetlenie bardziej „rozbudowanego” okna dialogowego. Gdzie można określić konkretnego użytkownika lub grupy.

Reklama

Istnieją tylko dwa uprawnienia, jak wcześniej wspomniano, razem oferują schemat ochrony wszystko albo nic dla folderów i plików.

  1. Uprawnienie odczytu jest „patrz, nie dotykaj” opcja. Odbiorcy mogą otworzyć plik, ale nie mogą go modyfikować ani usuwać.
  2. Uprawnienia do odczytu/zapisu to opcja „rób wszystko”. Odbiorcy mogą otwierać, modyfikować lub usuwać plik.

Stara szkoła

Stare okno dialogowe udostępniania miało więcej opcji i dawało nam możliwość udostępniania folderu pod innym aliasem, pozwalało nam ograniczyć liczbę jednoczesnych połączeń, jak również skonfigurować buforowanie. Żadna z tych funkcji nie została utracona w Windows 7, ale raczej jest ukryta pod opcją zwaną „Zaawansowane udostępnianie”. Jeśli klikniesz prawym przyciskiem myszy na folderze i przejdziesz do jego właściwości, możesz znaleźć te „Zaawansowane ustawienia udostępniania” w zakładce udostępniania.

Jeśli klikniesz na przycisk „Zaawansowane udostępnianie”, który wymaga poświadczeń lokalnego administratora, możesz skonfigurować wszystkie ustawienia, które były znane w poprzednich wersjach systemu Windows.

Jeśli klikniesz na przycisk „Uprawnienia”, zostaną Ci przedstawione 3 ustawienia, które wszyscy znamy.

  1. Uprawnienie odczytu pozwala na przeglądanie i otwieranie plików i podkatalogów, a także wykonywanie aplikacji. Nie pozwala jednak na dokonywanie żadnych zmian.
  2. Uprawnienie Modyfikuj pozwala na robienie wszystkiego, na co pozwala uprawnienie Odczyt, dodaje również możliwość dodawania plików i podkatalogów, usuwania podkatalogów i zmiany danych w plikach.
  3. Pełna kontrola jest „robieniem wszystkiego” z klasycznych uprawnień, ponieważ pozwala na robienie wszystkiego z poprzednich uprawnień. Dodatkowo daje ci zaawansowaną zmianę Uprawnienia NTFS, dotyczy to tylko Folderów NTFS

Uprawnienia NTFS

Uprawnienia NTFS pozwalają na bardzo granularną kontrolę nad plikami i folderami. Z tym, że ilość szczegółowości może być zniechęcająca dla nowicjusza. Możesz ustawić uprawnienia NTFS zarówno dla pojedynczych plików jak i folderów. Aby ustawić Uprawnienia NTFS na pliku należy kliknąć prawym przyciskiem myszy i przejść do właściwości plików, gdzie trzeba będzie przejść do zakładki bezpieczeństwa.

Reklama

Aby edytować Uprawnienia NTFS dla Użytkownika lub Grupy kliknij na przycisk edycji.

Jak można zauważyć, istnieje dość dużo Uprawnień NTFS, więc podzielmy je. Najpierw przyjrzymy się Uprawnieniom NTFS, które można ustawić na pliku.

  1. Pełna Kontrola pozwala na odczyt, zapis, modyfikację, wykonanie, zmianę atrybutów, uprawnień i przejęcie własności pliku.
  2. Modyfikuj pozwala na odczyt, zapis, modyfikację, wykonanie i zmianę atrybutów pliku.
  3. Czytaj & Wykonaj pozwala na wyświetlenie danych pliku, atrybutów, właściciela i uprawnień oraz uruchomienie pliku, jeśli jest to program.
  4. Read pozwoli na otwarcie pliku, wyświetlenie jego atrybutów, właściciela i uprawnień.
  5. Write pozwoli na zapisanie danych do pliku, dołączenie do pliku oraz odczytanie lub zmianę jego atrybutów.

NTFS Uprawnienia dla folderów mają nieco inne opcje, więc przyjrzyjmy się im.

  1. Pełna kontrola pozwala na odczyt, zapis, modyfikację i wykonywanie plików w folderze, zmianę atrybutów, uprawnień i przejęcie własności folderu lub plików w nim zawartych.
  2. Modyfikuj umożliwia odczytywanie, zapisywanie, modyfikowanie i wykonywanie plików w folderze oraz zmianę atrybutów folderu lub plików w nim zawartych.
  3. Czytaj & Wykonaj umożliwi wyświetlenie zawartości folderu oraz wyświetlenie danych, atrybutów, właściciela i uprawnień dla plików w folderze, a także uruchomienie plików w folderze.
  4. List Folder Contents umożliwi wyświetlenie zawartości folderu oraz wyświetlenie danych, atrybutów, właściciela i uprawnień dla plików w folderze.
  5. Odczytaj umożliwi wyświetlenie danych pliku, jego atrybutów, właściciela i uprawnień.
  6. Napisz umożliwi zapisanie danych do pliku, dołączenie do pliku oraz odczytanie lub zmianę jego atrybutów.
Reklama

Dokumentacja Microsoftu stwierdza również, że „List Folder Contents” pozwoli ci wykonać pliki w folderze, ale nadal będziesz musiał włączyć „Read & Execute”, aby to zrobić. Jest to bardzo myląco udokumentowane uprawnienie.

Podsumowanie

Podsumowując, nazwy użytkowników i grup są reprezentacjami alfanumerycznego ciągu zwanego SID (Security Identifier), Uprawnienia do udziałów i NTFS są powiązane z tymi SID. Uprawnienia współdzielenia są sprawdzane przez LSSAS tylko przy dostępie przez sieć, podczas gdy uprawnienia NTFS są ważne tylko na maszynach lokalnych. Mam nadzieję, że wszyscy dobrze zrozumieliście jak zaimplementowane jest bezpieczeństwo plików i folderów w Windows 7. Jeśli masz jakieś pytania nie krępuj się odezwać w komentarzach.

Taylor Gibb
Taylor Gibb jest profesjonalnym programistą z prawie dziesięcioletnim doświadczeniem. Przez dwa lata pełnił funkcję dyrektora regionalnego Microsoft w RPA i otrzymał wiele nagród Microsoft MVP (Most Valued Professional). Obecnie pracuje w dziale R&D w Derivco International.Read Full Bio ”

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.