Posted on

Så här förstår du de förvirrande fil- och delningsbehörigheterna i Windows 7

, Author

  • Taylor Gibb

    @taybgibb

  • Uppdaterad 28 oktober 2019, 8:49 EDT

Har du någonsin försökt förstå alla behörigheter i Windows? Det finns delningsbehörigheter, NTFS-behörigheter, åtkomstkontrollistor med mera. Här är hur de alla fungerar tillsammans.

Säkerhetsidentifieraren

Vindows operativsystem använder SID:er för att representera alla säkerhetsprinciper. SID:er är bara strängar av varierande längd med alfanumeriska tecken som representerar maskiner, användare och grupper. SID:er läggs till i ACL:er (Access Control Lists) varje gång du ger en användare eller grupp behörighet till en fil eller mapp. Bakom scenen lagras SID:er på samma sätt som alla andra dataobjekt, i binär form. När du ser ett SID i Windows visas det dock med en mer lättläst syntax. Det är inte ofta du ser någon form av SID i Windows, det vanligaste scenariot är när du ger någon behörighet till en resurs och sedan raderar användarkontot, det kommer då att dyka upp som ett SID i ACL. Låt oss ta en titt på det typiska formatet för SID i Windows.

Notationen som du kommer att se har en viss syntax, nedan är de olika delarna av ett SID i denna notation.

  1. Ett ”S”-prefix
  2. Strukturrevisionsnummer
  3. Ett 48-bitars identifieringsauktoritetsvärde
  4. Ett variabelt antal 32-bitars underauktoritets- eller relativa identifieringsvärden (RID-värden)
Annons

Med hjälp av mitt SID i bilden nedan kommer vi att bryta upp de olika delarna för att få en bättre förståelse.

SID-strukturen:

”S” – Den första komponenten i ett SID är alltid ett ”S”. Detta sätts före alla SID:er och är till för att informera Windows om att det som följer är ett SID.
’1’ – Den andra komponenten i ett SID är revideringsnumret för SID-specifikationen, om SID-specifikationen skulle ändras skulle det ge bakåtkompatibilitet. Från och med Windows 7 och Server 2008 R2 är SID-specifikationen fortfarande i den första revideringen.
’5’ – Den tredje delen av ett SID kallas Identifier Authority. Här anges inom vilket tillämpningsområde SID:n genererades. Möjliga värden för detta avsnitt av SID kan vara:

  1. 0 – Null Authority
  2. 1 – World Authority
  3. 2 – Local Authority
  4. 3 – Creator Authority
  5. 4 – Non-unique Authority
  6. 5 – NT Authority

’21’ – Den fjärde komponenten är sub-authority 1, Värdet ”21” används i det fjärde fältet för att ange att de efterföljande underbehörigheterna identifierar den lokala maskinen eller domänen.
’1206375286-251249764-2214032401’ – Dessa kallas subauktoritet 2,3 respektive 4. I vårt exempel används detta för att identifiera den lokala maskinen, men det kan också vara en identifierare för en domän.
’1000’ – Subauktoritet 5 är den sista komponenten i vår SID och kallas RID (Relative Identifier), RID är relativ till varje säkerhetsprincipal. Observera att alla användardefinierade objekt, de som inte levereras av Microsoft, kommer att ha en RID på 1000 eller mer.

Säkerhetsprinciper

En säkerhetsprincipal är allt som har en SID kopplad till sig. Det kan vara användare, datorer och till och med grupper. Säkerhetsprinciper kan vara lokala eller finnas i domänkontexten. Du hanterar lokala säkerhetsprinciper via snapin-modulen Lokala användare och grupper, under datorhantering. För att komma dit högerklickar du på datorns genväg i startmenyn och väljer hantera.

För att lägga till en ny användares säkerhetsprincip kan du gå till mappen användare och högerklicka och välja ny användare.

Om du dubbelklickar på en användare kan du lägga till den i en säkerhetsgrupp på fliken Medlem av.

Annons

Om du vill skapa en ny säkerhetsgrupp går du till mappen Grupper på höger sida. Högerklicka på det vita utrymmet och välj ny grupp.

Delningsbehörigheter och NTFS-behörighet

I Windows finns det två typer av fil- och mappbehörigheter, för det första finns det delningsbehörigheter och för det andra finns det NTFS-behörigheter som även kallas säkerhetsbehörigheter. Observera att när du delar en mapp får som standard gruppen ”Alla” läsbehörighet. Säkerheten på mappar görs vanligtvis med en kombination av Share- och NTFS-behörighet. Om detta är fallet är det viktigt att komma ihåg att den mest restriktiva alltid gäller, t.ex. om share-behörigheten är inställd på Everyone = Read (vilket är standard), men NTFS-behörigheten tillåter användare att göra ändringar i filen, kommer Share-behörigheten att ha företräde och användarna kommer inte att tillåtas att göra ändringar. När du ställer in behörigheterna kontrollerar LSASS (Local Security Authority) tillgången till resursen. När du loggar in får du en åtkomsttoken med ditt SID, när du vill komma åt resursen jämför LSASS det SID som du lagt till i ACL (Access Control List) och om SID finns med i ACL avgörs det om åtkomsten ska tillåtas eller nekas. Oavsett vilka behörigheter du använder finns det skillnader så låt oss ta en titt för att få en bättre förståelse för när vi ska använda vad.

Share Permissions:

  1. Gäller endast användare som har tillgång till resursen via nätverket. De gäller inte om du loggar in lokalt, till exempel via terminaltjänster.
  2. Det gäller alla filer och mappar i den delade resursen. Om du vill tillhandahålla en mer detaljerad typ av begränsningsschema bör du använda NTFS Permission utöver delade behörigheter
  3. Om du har några FAT- eller FAT32-formaterade volymer kommer detta att vara den enda form av begränsning som är tillgänglig för dig, eftersom NTFS Permissions inte är tillgängligt för dessa filsystem.

NTFS-behörigheter:

  1. Den enda begränsningen för NTFS-behörigheter är att de endast kan ställas in på en volym som är formaterad till NTFS-filsystemet
  2. Håll i minnet att NTFS är kumulativa, det vill säga att en användares effektiva behörigheter är resultatet av att man kombinerar användarens tilldelade behörigheter och behörigheterna för eventuella grupper som användaren tillhör.

De nya delningsbehörigheterna

Windows 7 köpte med sig en ny ”enkel” delningsteknik. Alternativen ändrades från läsa, ändra och full kontroll till. Read och Read/Write. Idén var en del av hela hemgruppsmentaliteten och gör det enkelt att dela en mapp för icke datorkunniga personer. Detta görs via kontextmenyn och delar enkelt med din hemgrupp.

Om du vill dela med någon som inte är med i hemgruppen kan du alltid välja alternativet ”Specifika personer…”. Vilket skulle ge upphov till en mer ”utarbetad” dialogruta. Där du kunde ange en specifik användare eller grupp.

Reklam

Det finns bara två behörigheter som tidigare nämnts, tillsammans erbjuder de ett allt eller inget-skydd för dina mappar och filer.

  1. Läsbehörighet är alternativet ”titta, rör inte”. Mottagare kan öppna, men inte ändra eller radera en fil.
  2. Läs/skriv är alternativet ”gör vad som helst”. Mottagare kan öppna, ändra eller ta bort en fil.

The Old School Way

Den gamla delningsdialogrutan hade fler alternativ och gav oss möjlighet att dela mappen under ett annat alias, den gjorde det möjligt att begränsa antalet samtidiga anslutningar samt att konfigurera caching. Ingen av dessa funktioner har gått förlorade i Windows 7 utan är snarare dolda under ett alternativ som heter ”Avancerad delning”. Om du högerklickar på en mapp och går till dess egenskaper kan du hitta dessa inställningar för ”Avancerad delning” under fliken Delning.

Om du klickar på knappen ”Avancerad delning”, som kräver lokala administratörsuppgifter, kan du konfigurera alla de inställningar som du var bekant med i tidigare versioner av Windows.

Om du klickar på knappen ”Behörigheter” visas de 3 inställningar som vi alla känner till.

  1. Läsbehörighet gör det möjligt att visa och öppna filer och underkataloger samt köra program. Det tillåter dock inga ändringar.
  2. Med behörigheten Modify kan du göra allt som behörigheten Read tillåter, men även lägga till möjligheten att lägga till filer och underkataloger, ta bort underkataloger och ändra data i filerna.
  3. Full Control är ”gör vad som helst” av de klassiska behörigheterna, eftersom det tillåter dig att göra allt som de tidigare behörigheterna tillåter. Dessutom ger den dig den avancerade ändringen av NTFS-behörighet, detta gäller endast NTFS-mappar

NTFS-behörighet

NTFS-behörighet ger dig mycket detaljerad kontroll över dina filer och mappar. Med det sagt kan mängden granularitet vara skrämmande för en nybörjare. Du kan också ställa in NTFS-behörigheter både per fil och per mapp. För att ställa in NTFS-behörighet på en fil ska du högerklicka och gå till filens egenskaper där du måste gå till säkerhetsfliken.

Annons

För att redigera NTFS-behörighet för en användare eller grupp klickar du på redigera-knappen.

Som du ser finns det en hel del NTFS-behörigheter så låt oss dela upp dem. Först tar vi en titt på de NTFS-behörigheter som du kan ställa in på en fil.

  1. Fullständig kontroll ger dig rätt att läsa, skriva, ändra, exekvera, ändra attribut, behörigheter och ta äganderätt till filen.
  2. Modifiera tillåter dig att läsa, skriva, ändra, modifiera, exekvera och ändra filens attribut.
  3. Läsa & Exekvera tillåter dig att visa filens data, attribut, ägare och behörigheter samt att köra filen om det är ett program.
  4. Read gör det möjligt att öppna filen, visa dess attribut, ägare och behörigheter.
  5. Write gör det möjligt att skriva data till filen, lägga till filen och läsa eller ändra dess attribut.

NTFS Behörigheter för mappar har lite olika alternativ så låt oss ta en titt på dem.

  1. Fullständig kontroll ger dig möjlighet att läsa, skriva, ändra och exekvera filer i mappen, ändra attribut, behörigheter och ta äganderätt till mappen eller filerna i den.
  2. Modifiera tillåter dig att läsa, skriva, ändra och exekvera filer i mappen samt ändra attribut för mappen eller filerna i den.
  3. Läs & Exekvera tillåter dig att visa mappens innehåll och visa data, attribut, ägare och behörigheter för filer i mappen samt köra filer i mappen.
  4. Visa mappens innehåll tillåter dig att visa mappens innehåll och visa data, attribut, ägare och behörigheter för filer i mappen.
  5. Läs kan du visa filens data, attribut, ägare och behörigheter.
  6. Skriv kan du skriva data till filen, lägga till filen och läsa eller ändra dess attribut.
Annonsering

Microsofts dokumentation anger också att ”List Folder Contents” låter dig exekvera filer i mappen, men att du fortfarande måste aktivera ”Read & Execute” för att kunna göra det. Det är en mycket förvirrande dokumenterad behörighet.

Sammanfattning

Sammanfattningsvis är användarnamn och grupper representationer av en alfanumerisk sträng som kallas SID (Security Identifier), Share- och NTFS-behörigheter är knutna till dessa SID:er. Share Permissions kontrolleras av LSSAS endast vid åtkomst över nätverket, medan NTFS Permissions endast är giltiga på de lokala maskinerna. Jag hoppas att ni alla har fått en god förståelse för hur fil- och mappsäkerheten i Windows 7 är implementerad. Om du har några frågor är du välkommen att höra av dig i kommentarerna.

Taylor Gibb
Taylor Gibb är en professionell mjukvaruutvecklare med nästan tio års erfarenhet. Han var Microsofts regionchef i Sydafrika i två år och har fått flera Microsoft MVP-utmärkelser (Most Valued Professional). Han arbetar för närvarande inom R&D på Derivco International.Läs hela biografin ”

Lämna ett svar

Din e-postadress kommer inte publiceras.