- Taylor Gibb
@taybgibb
- Updated October 28, 2019, 8:49am EDT
Ați încercat vreodată să vă dați seama de toate permisiunile din Windows? Există permisiuni de partajare, permisiuni NTFS, liste de control al accesului și multe altele. Iată cum funcționează toate acestea împreună.
Identificatorul de securitate
Sistemele de operare Windows folosesc SID-uri pentru a reprezenta toate principiile de securitate. SID-urile sunt doar șiruri de caractere alfanumerice de lungime variabilă care reprezintă mașini, utilizatori și grupuri. SID-urile sunt adăugate la ACL-uri(Access Control Lists) de fiecare dată când acordați unui utilizator sau grup permisiunea de a accesa un fișier sau un dosar. În spatele scenei, SID-urile sunt stocate în același mod în care sunt stocate toate celelalte obiecte de date, în format binar. Cu toate acestea, atunci când vedeți un SID în Windows, acesta va fi afișat folosind o sintaxă mai ușor de citit. Nu se întâmplă prea des să vedeți orice formă de SID în Windows, cel mai frecvent scenariu este atunci când acordați cuiva permisiunea de a accesa o resursă, apoi contul de utilizator este șters, acesta va apărea ca SID în ACL. Așadar, haideți să aruncăm o privire la formatul tipic în care veți vedea SID-uri în Windows.
Notația pe care o veți vedea are o anumită sintaxă, mai jos sunt prezentate diferitele părți ale unui SID în această notație.
- Un prefix „S”
- Numărul de revizuire a structurii
- O valoare de autoritate a identificatorului pe 48 de biți
- Un număr variabil de valori de sub-autoritate sau de identificator relativ (RID) pe 32 de biți
Utilizând SID-ul meu din imaginea de mai jos, vom despărți diferitele secțiuni pentru a înțelege mai bine.
Structura SID:
‘S’ – Prima componentă a unui SID este întotdeauna un ‘S’. Aceasta este prefixată la toate SID-urile și are rolul de a informa Windows că ceea ce urmează este un SID.
‘1’ – A doua componentă a unui SID este numărul de revizuire al specificației SID, în cazul în care specificația SID ar trebui să se schimbe, aceasta ar asigura compatibilitatea retroactivă. Începând cu Windows 7 și Server 2008 R2, specificația SID se află încă la prima revizuire.
‘5’ – Cea de-a treia secțiune a unui SID se numește Identifier Authority. Aceasta definește în ce domeniu de aplicare a fost generat SID-ul. Valorile posibile pentru această secțiune a SID-ului pot fi:
- 0 – Null Authority
- 1 – World Authority
- 2 – Local Authority
- 3 – Creator Authority
- 4 – Non-unique Authority
- 5 – NT Authority
’21’ – Cea de-a patra componentă este subautoritatea 1, valoarea „21” este utilizată în al patrulea câmp pentru a specifica faptul că sub-autoritățile care urmează identifică mașina locală sau domeniul.
‘1206375286-251249764-2214032401’ – Acestea se numesc sub-autoritatea 2,3 și, respectiv, 4. În exemplul nostru, aceasta este utilizată pentru a identifica mașina locală, dar ar putea fi, de asemenea, identificatorul pentru un domeniu.
‘1000’ – Sub-autoritatea 5 este ultima componentă din SID-ul nostru și se numește RID (Relative Identifier), RID-ul este relativ la fiecare principal de securitate, vă rugăm să rețineți că orice obiecte definite de utilizator, cele care nu sunt livrate de Microsoft, vor avea un RID de 1000 sau mai mare.
Security Principals
Un security principal este orice lucru care are atașat un SID, aceștia pot fi utilizatori, calculatoare și chiar grupuri. Principalii de securitate pot fi locali sau pot fi în contextul domeniului. Gestionați principalii de securitate locali prin intermediul snap-in-ului Local Users and Groups (Utilizatori și grupuri locale), în cadrul gestionării calculatoarelor. Pentru a ajunge acolo, faceți clic dreapta pe scurtătura computerului din meniul Start și alegeți manage.
Pentru a adăuga un nou principal de securitate pentru un utilizator, puteți merge la folderul users și faceți clic dreapta și alegeți new user.
Dacă faceți dublu clic pe un utilizator, îl puteți adăuga la un grup de securitate în fila Member Of (Membru al).
Pentru a crea un nou grup de securitate, mergeți în dosarul Groups (Grupuri) din partea dreaptă. Faceți clic dreapta pe spațiul alb și selectați nou grup.
Permisiuni de partajare și permisiuni NTFS
În Windows există două tipuri de permisiuni pentru fișiere și foldere, în primul rând există permisiunile de partajare și în al doilea rând există permisiunile NTFS, numite și permisiuni de securitate. Rețineți că, atunci când partajați un dosar, în mod implicit, grupul „Everyone” primește permisiunea de citire. Securitatea dosarelor se realizează, de obicei, printr-o combinație de permisiuni de partajare și NTFS. În acest caz, este esențial să rețineți că se aplică întotdeauna cea mai restrictivă dintre acestea; de exemplu, dacă permisiunea de partajare este setată la Everyone = Read (care este cea implicită), dar permisiunea NTFS permite utilizatorilor să modifice fișierul, permisiunea de partajare va avea prioritate, iar utilizatorilor nu li se va permite să facă modificări. Atunci când setați permisiunile, LSASS (Autoritatea locală de securitate) controlează accesul la resursă. Atunci când vă conectați, vi se oferă un token de acces cu SID-ul dumneavoastră, iar când doriți să accesați resursa, LSASS compară SID-ul pe care l-ați adăugat la ACL (Access Control List – Lista de control al accesului) și, dacă SID-ul se regăsește în ACL, stabilește dacă permite sau nu accesul. Indiferent de permisiunile pe care le folosiți, există diferențe, așa că haideți să aruncăm o privire pentru a înțelege mai bine când ar trebui să folosim ce anume.
Share Permissions:
- Se aplică numai utilizatorilor care accesează resursa prin rețea. Nu se aplică dacă vă conectați local, de exemplu prin servicii de terminal.
- Se aplică tuturor fișierelor și folderelor din resursa partajată. Dacă doriți să oferiți un tip de restricție mai granulară, ar trebui să utilizați NTFS Permission în plus față de permisiunile partajate
- Dacă aveți volume formatate FAT sau FAT32, aceasta va fi singura formă de restricție pe care o aveți la dispoziție, deoarece NTFS Permissions nu este disponibilă pe aceste sisteme de fișiere.
Permisiuni NTFS:
- Singura restricție privind permisiunile NTFS este că acestea pot fi setate numai pe un volum care este formatat în sistemul de fișiere NTFS
- Rețineți că NTFS sunt cumulative, ceea ce înseamnă că permisiunile efective ale unui utilizator sunt rezultatul combinării permisiunilor atribuite utilizatorului și a permisiunilor oricărui grup din care acesta face parte.
Noile permisiuni de partajare
Windows 7 a adus cu sine o nouă tehnică de partajare „ușoară”. Opțiunile s-au schimbat de la Read, Change și Full Control la. Read și Read/Write. Ideea făcea parte din întreaga mentalitate a grupului Home și ușurează partajarea unui dosar pentru persoanele care nu știu să folosească calculatorul. Acest lucru se face prin intermediul meniului contextual și se partajează cu ușurință cu grupul de acasă.
Dacă doriți să partajați cu cineva care nu face parte din grupul de acasă, puteți alege întotdeauna opțiunea „Persoane specifice…”. Ceea ce ar face să apară un dialog mai „elaborat”. În care ați putea specifica un utilizator sau un grup specific.
Există doar două permisiuni, așa cum am menționat anterior, care împreună oferă o schemă de protecție „totul sau nimic” pentru folderele și fișierele dumneavoastră.
- Permisiunea de citire este opțiunea „privește, nu atinge”. Destinatarii pot deschide, dar nu pot modifica sau șterge un fișier.
- Read/Write (Citire/Scriere) este opțiunea „fă orice”. Destinatarii pot deschide, modifica sau șterge un fișier.
The Old School Way
Vechiul dialog de partajare avea mai multe opțiuni și ne oferea posibilitatea de a partaja folderul sub un alias diferit, ne permitea să limităm numărul de conexiuni simultane, precum și să configurăm caching-ul. Niciuna dintre aceste funcționalități nu este pierdută în Windows 7, ci mai degrabă este ascunsă sub o opțiune numită „Partajare avansată”. Dacă faceți clic dreapta pe un dosar și accesați proprietățile acestuia, puteți găsi aceste setări „Partajare avansată” sub fila de partajare.
Dacă faceți clic pe butonul „Partajare avansată”, care necesită acreditări de administrator local, puteți configura toate setările cu care erați familiarizați în versiunile anterioare de Windows.
Dacă faceți clic pe butonul „Permisiuni” vă vor fi prezentate cele 3 setări pe care le cunoaștem cu toții.
- Permisiunea de citire vă permite să vizualizați și să deschideți fișiere și subdirectoare, precum și să executați aplicații. Cu toate acestea, nu permite efectuarea de modificări.
- Permisiunea de modificare vă permite să faceți tot ceea ce permite permisiunea de citire, dar adaugă, de asemenea, posibilitatea de a adăuga fișiere și subdirectoare, de a șterge subdirectoare și de a modifica datele din fișiere.
- Controlul total este „face orice” dintre permisiunile clasice, deoarece vă permite să faceți orice și toate permisiunile anterioare. În plus, vă oferă permisiunea avansată de modificare a permisiunii NTFS, aceasta se aplică numai la folderele NTFS
Permisiunile NTFS
Permisiunile NTFS permit un control foarte granular asupra fișierelor și folderelor dumneavoastră. Acestea fiind spuse, cantitatea de granularitate poate fi descurajantă pentru un nou-venit. De asemenea, puteți seta permisiunile NTFS pentru fiecare fișier în parte, precum și pentru fiecare dosar în parte. Pentru a seta permisiunea NTFS pentru un fișier, trebuie să faceți clic dreapta și să accesați proprietățile fișierelor, unde va trebui să accesați fila de securitate.
Pentru a edita permisiunile NTFS pentru un utilizator sau un grup, faceți clic pe butonul de editare.
După cum puteți vedea, există destul de multe permisiuni NTFS, așa că haideți să le împărțim. Mai întâi ne vom uita la Permisiunile NTFS pe care le puteți seta pe un fișier.
- Controlul total vă permite să citiți, să scrieți, să modificați, să executați, să schimbați atributele, permisiunile și să preluați proprietatea asupra fișierului.
- Modificare vă permite să citiți, să scrieți, să modificați, să executați și să schimbați atributele fișierului.
- Citire & Executare vă va permite să afișați datele, atributele, proprietarul și permisiunile fișierului și să executați fișierul dacă este un program.
- Read vă va permite să deschideți fișierul, să vizualizați atributele, proprietarul și permisiunile acestuia.
- Write vă va permite să scrieți date în fișier, să adăugați la fișier și să citiți sau să modificați atributele acestuia.
Permisiunile TNFS pentru dosare au opțiuni ușor diferite, așa că haideți să le analizăm.
- Controlul total vă permite să citiți, să scrieți, să modificați și să executați fișierele din dosar, să schimbați atributele, permisiunile și să preluați proprietatea asupra dosarului sau a fișierelor din dosar.
- Modificare vă permite să citiți, să scrieți, să modificați și să executați fișierele din dosar și să modificați atributele dosarului sau ale fișierelor din acesta.
- Citire & Executare vă va permite să afișați conținutul dosarului și să afișați datele, atributele, proprietarul și permisiunile pentru fișierele din dosar și să executați fișierele din dosar.
- Listare conținut dosar vă va permite să afișați conținutul dosarului și să afișați datele, atributele, proprietarul și permisiunile pentru fișierele din dosar.
- Read (Citire) vă va permite să afișați datele, atributele, proprietarul și permisiunile fișierului.
- Write (Scriere) vă va permite să scrieți date în fișier, să adăugați la fișier și să citiți sau să modificați atributele acestuia.
Documentația Microsoft precizează, de asemenea, că „List Folder Contents” vă va permite să executați fișierele din dosar, dar tot va trebui să activați „Read & Execute” pentru a face acest lucru. Este o permisiune documentată foarte confuz.
Summary
În rezumat, numele de utilizator și grupurile sunt reprezentări ale unui șir alfanumeric numit SID (Security Identifier), permisiunile Share și NTFS sunt legate de aceste SID-uri. Permisiunile de partajare sunt verificate de LSSAS numai atunci când sunt accesate prin rețea, în timp ce permisiunile NTFS sunt valabile numai pe mașinile locale. Sper că ați înțeles bine cum este implementată securitatea fișierelor și a dosarelor în Windows 7. Dacă aveți întrebări, nu ezitați să le expuneți în comentarii.
Taylor Gibb este un dezvoltator de software profesionist cu aproape un deceniu de experiență. A ocupat funcția de director regional Microsoft în Africa de Sud timp de doi ani și a primit mai multe premii Microsoft MVP (Most Valued Professional). În prezent, el lucrează în R&D la Derivco International.Read Full Bio ”