Posted on

Como entender essas permissões confusas do Windows 7 Arquivo/Partilha

, Author

  • Taylor Gibb

    @taybgibb

  • Atualizado em 28 de outubro de 2019, 8:49am EDT

Você já tentou descobrir todas as permissões no Windows? Há permissões de compartilhamento, permissões NTFS, listas de controle de acesso, e muito mais. Aqui está como todos eles trabalham juntos.

The Security Identifier

Os sistemas operacionais Windows usam SIDs para representar todos os princípios de segurança. Os SIDs são apenas cadeias de caracteres alfanuméricos de comprimento variável que representam máquinas, usuários e grupos. Os SIDs são adicionados às ACLs (Listas de Controle de Acesso) toda vez que você concede a um usuário ou grupo permissão para um arquivo ou pasta. Atrás da cena os SIDs são armazenados da mesma forma que todos os outros objetos de dados são, em binário. No entanto, quando você vê um SID no Windows, ele será exibido usando uma sintaxe mais legível. Não é frequente ver qualquer forma de SID no Windows, o cenário mais comum é quando se concede permissão a alguém para um recurso, depois a sua conta de utilizador é apagada, e este aparecerá como um SID no ACL. Então vamos dar uma olhada no formato típico no qual você verá SIDs no Windows.

A notação que você verá leva uma certa sintaxe, abaixo estão as diferentes partes de um SID nesta notação.

  1. Um prefixo ‘S’
  2. Número de revisão da estrutura
  3. Um valor de autoridade de identificador de 48 bits
  4. Um número de variável de valores de sub-autoridade de 32 bits ou identificador relativo (RID)
Anúncio

Utilizando meu SID na imagem abaixo vamos quebrar as diferentes seções para obter uma melhor compreensão.

A Estrutura do SID:

‘S’ – O primeiro componente de um SID é sempre um ‘S’. Isto é prefixado a todos os SIDs e está lá para informar ao Windows que o que se segue é um SID.
‘1’ – O segundo componente de um SID é o número de revisão da especificação do SID, se a especificação do SID fosse mudada, ele forneceria compatibilidade com versões anteriores. A partir do Windows 7 e Server 2008 R2 a especificação SID ainda está na primeira revisão.
‘5’ – A terceira seção de um SID é chamada de Autoridade Identificadora. Isto define em que escopo o SID foi gerado. Os valores possíveis para estas secções do SID podem ser:

  1. 0 – Autoridade Nula
  2. 1 – Autoridade Mundial
  3. 2 – Autoridade Local
  4. 3 – Autoridade Criadora
  5. 4 – Autoridade Não Única
  6. 5 – Autoridade NT

’21’ – O quarto componente é a sub-autoridade 1, o valor ’21’ é usado no quarto campo para especificar que as sub-autoridades que se seguem identificam a Máquina Local ou o Domínio.
‘1206375286-251249764-2214032401’ – Estas são chamadas sub-autoridades 2,3 e 4 respectivamente. No nosso exemplo isto é usado para identificar a máquina local, mas também pode ser o identificador de um Domínio.
‘1000’ – Sub-autoridade 5 é o último componente do nosso SID e é chamado de RID (Identificador Relativo), o RID é relativo a cada princípio de segurança, note que qualquer objeto definido pelo usuário, os que não são enviados pela Microsoft, terão um RID de 1000 ou maior.

Principais de Segurança

Um principal de segurança é qualquer coisa que tenha um SID anexado a ele, estes podem ser usuários, computadores e até mesmo grupos. Os principais de segurança podem ser locais ou estar no contexto do domínio. Você gerencia os princípios de segurança locais através do snap-in de Usuários Locais e Grupos, sob gestão de computadores. Para chegar lá clique com o botão direito do mouse no atalho do computador no menu iniciar e escolha manage.

Para adicionar um novo diretor de segurança do usuário você pode ir para a pasta de usuários e clicar com o botão direito do mouse e escolher um novo usuário.

Se você clicar duas vezes em um usuário, você pode adicioná-los a um Grupo de Segurança na pasta Member Of.

Anúncio

Para criar um novo grupo de segurança, navegue até a pasta Grupos no lado direito. Clique com o botão direito no espaço em branco e selecione novo grupo.

Permissões de Compartilhamento e NTFS Permission

No Windows existem dois tipos de permissões de arquivos e pastas, primeiro existem as Permissões de Compartilhamento e segundo existem as Permissões NTFS também chamadas Permissões de Segurança. Note que quando você compartilha uma pasta por padrão, o grupo “Todos” recebe a permissão de leitura. A segurança em pastas é normalmente feita com uma combinação de Permissões de Compartilhamento e NTFS se este for o caso, é essencial lembrar que a mais restritiva sempre se aplica, por exemplo, se a permissão de compartilhamento for definida para Everyone = Read(que é o padrão), mas a Permission NTFS permite que os usuários façam uma alteração no arquivo, a Permissão de Compartilhamento terá preferência e os usuários não terão permissão para fazer alterações. Quando você define as permissões, a LSASS(Autoridade de Segurança Local) controla o acesso ao recurso. Quando você faz o login, você recebe um token de acesso com seu SID nele, quando você vai acessar o recurso o LSASS compara o SID que você adicionou ao ACL (Access Control List) e se o SID está no ACL ele determina se permite ou nega o acesso. Não importa quais permissões você usa, há diferenças, então vamos dar uma olhada para entender melhor quando devemos usar o que.

Share Permissions:

  1. Apenas se aplica a usuários que acessam o recurso pela rede. Eles não se aplicam se você se conectar localmente, por exemplo através de serviços de terminal.
  2. Aplica-se a todos os arquivos e pastas do recurso compartilhado. Se você quiser fornecer um esquema de restrição mais granular, você deve usar NTFS Permission além das permissões compartilhadas
  3. Se você tiver qualquer volume formatado em FAT ou FAT32, esta será a única forma de restrição disponível para você, pois NTFS Permission não está disponível nesses sistemas de arquivos.

NTFS Permissions:

  1. A única restrição para NTFS Permissions é que elas só podem ser definidas em um volume formatado para o sistema de arquivos NTFS
  2. Lembrar que NTFS são cumulativas, o que significa que as permissões efetivas dos usuários são o resultado da combinação das permissões atribuídas ao usuário e as permissões de quaisquer grupos aos quais o usuário pertença.

As novas permissões de compartilhamento

Windows 7 compradas com uma nova técnica de compartilhamento “fácil”. As opções mudaram de Read, Change e Full Control para. Leitura e Leitura/Escrita. A ideia fez parte de toda a mentalidade do grupo Home e facilita o compartilhamento de uma pasta para pessoas sem conhecimentos de informática. Isto é feito através do menu de contexto e partilha facilmente com o seu grupo de escolha.

Se você quisesse partilhar com alguém que não está no grupo de escolha você poderia sempre escolher a opção “Pessoas específicas…”. O que traria um diálogo mais “elaborado”. Onde você poderia especificar um usuário ou grupo específico.

Anúncio

Existem apenas duas permissões como mencionado anteriormente, juntas elas oferecem um esquema de proteção tudo ou nada para suas pastas e arquivos.

  1. A permissão de leitura é a opção “look, don’t touch”. Os destinatários podem abrir, mas não modificar ou apagar um ficheiro.
  2. Ler/escrever é a opção “fazer qualquer coisa”. Os destinatários podem abrir, modificar ou apagar um ficheiro.

The Old School Way

O antigo diálogo de partilha tinha mais opções e deu-nos a opção de partilhar a pasta sob um alias diferente, permitiu-nos limitar o número de ligações simultâneas, bem como configurar o cache. Nenhuma desta funcionalidade se perde no Windows 7, mas está escondida sob uma opção chamada “Advanced Sharing”. Se você clicar com o botão direito do mouse em uma pasta e ir para suas propriedades você pode encontrar essas configurações de “Compartilhamento Avançado” na aba de compartilhamento.

Se você clicar no botão “Compartilhamento Avançado”, que requer credenciais de administrador local, você pode configurar todas as configurações que você estava familiarizado com as versões anteriores do Windows.

Se clicar no botão “Permissões”, ser-lhe-ão apresentadas as 3 configurações que todos nós conhecemos.

  1. A permissão de leitura permite-lhe ver e abrir ficheiros e subdirectórios, assim como executar aplicações. No entanto, não permite que nenhuma alteração seja feita.
  2. Modificar permissão permite fazer qualquer coisa que a Read permission permite, também adiciona a capacidade de adicionar arquivos e subdiretórios, excluir subpastas e alterar dados nos arquivos.
  3. Full Control é o “fazer qualquer coisa” das permissões clássicas, pois permite que você faça toda e qualquer uma das permissões anteriores. Além disso, ele lhe dá a mudança avançada NTFS Permission, isso só se aplica em NTFS Folders

NTFS Permissions

NTFS Permission permite um controle muito granular sobre seus arquivos e pastas. Com isto dito a quantidade de granularidade pode ser assustadora para um recém-chegado. Você também pode definir a permissão NTFS por arquivo, bem como por pasta. Para definir NTFS Permission em um arquivo você deve clicar com o botão direito do mouse e ir para as propriedades do arquivo onde você precisará ir para a aba de segurança.

Anúncio

Para editar as Permissões NTFS para um Usuário ou Grupo clique no botão editar.

Como você pode ver que há um monte de Permissões NTFS, então vamos quebrá-las. Primeiro vamos ver as NTFS Permissions que você pode definir em um arquivo.

  1. Full Control permite que você leia, escreva, modifique, execute, altere atributos, permissões, e tome posse do arquivo.
  2. Modificar permite-lhe ler, escrever, modificar, executar e alterar os atributos do ficheiro.
  3. Ler & Executar permite-lhe mostrar os dados, atributos, dono e permissões do ficheiro, e executar o ficheiro se for um programa.
  4. Ler lhe permitirá abrir o arquivo, ver seus atributos, dono e permissões.
  5. Escrever lhe permitirá escrever dados no arquivo, anexar ao arquivo, e ler ou alterar seus atributos.

NTFS As permissões para pastas têm opções ligeiramente diferentes, então vamos dar uma olhada nelas.

  1. Full Control permite ler, escrever, modificar e executar arquivos na pasta, alterar atributos, permissões e tomar posse da pasta ou arquivos dentro dela.
  2. Modify permite-lhe ler, escrever, modificar e executar ficheiros na pasta, e alterar os atributos da pasta ou ficheiros dentro da pasta.
  3. Read & Execute permite-lhe mostrar o conteúdo da pasta e mostrar os dados, atributos, dono e permissões dos ficheiros dentro da pasta, e executar ficheiros dentro da pasta.
  4. List Folder Contents permite-lhe mostrar o conteúdo da pasta e mostrar os dados, atributos, dono e permissões dos ficheiros dentro da pasta.
  5. Ler permitirá que você exiba os dados, atributos, dono e permissões do arquivo.
  6. Escrever permitirá que você escreva dados no arquivo, anexe ao arquivo, e leia ou altere seus atributos.
Anúncio

A documentação da Microsoft também declara que “Listar conteúdo da pasta” permitirá que você execute arquivos dentro da pasta, mas ainda assim você precisará habilitar “Ler & Executar” para fazer isso. É uma permissão muito confusa documentada.

Summary

Em resumo, nomes de usuários e grupos são representações de uma string alfanumérica chamada SID(Security Identifier), Share e NTFS Permissions são vinculadas a esses SIDs. As permissões de compartilhamento são verificadas pelo LSSAS somente quando acessadas através da rede, enquanto as permissões NTFS são válidas somente nas máquinas locais. Espero que todos tenham um bom entendimento de como a segurança de arquivos e pastas no Windows 7 é implementada. Se você tiver alguma dúvida, sinta-se à vontade para soar nos comentários.

Taylor Gibb
Taylor Gibb é um desenvolvedor de software profissional com quase uma década de experiência. Ele atuou como Diretor Regional da Microsoft na África do Sul por dois anos e recebeu vários prêmios Microsoft MVP (Most Valued Professional). Ele trabalha atualmente em R&D na Derivco International.Read Full Bio ”

Deixe uma resposta

O seu endereço de email não será publicado.