Hogyan lehet megérteni azokat, akik zavarják a Windows 7-es fájlmegosztást?

2024 Szerző: Geoffrey Carr | [email protected]. Utoljára módosítva: 2023-12-17 10:54

A biztonsági azonosító

A Windows operációs rendszerek az SID-eket használják az összes biztonsági alapelv bemutatásához. A SID-ek csak olyan változó hosszúságú alfanumerikus karakterláncok, amelyek gépeket, felhasználókat és csoportokat képviselnek. A SID-ek az ACL-ekhez (Access Control Lists) kerülnek minden egyes alkalommal, amikor egy felhasználónak vagy egy csoportnak engedélyezi a fájlt vagy mappát. A jelenet mögött a SID-ek ugyanúgy tárolódnak, mint minden más adatobjektum binárisan. Azonban ha egy SID-t lát a Windows alatt, egy olvashatóbb szintaxis alkalmazásával fog megjelenni. Nem gyakran látja a SID bármely formáját a Windows rendszerben, a leggyakoribb eset az, amikor valaki engedélyt ad az erőforrásnak, majd a felhasználói fiókja törlődik, majd az SID-ként fog megjelenni az ACL-ben. Így nézze meg a tipikus formátumot, amelyen a SID-eket látja Windows alatt.

1. "S" előtag
2. Szerkezet felülvizsgálati száma
3. 48-bites azonosító hatósági érték
4. Változó számú 32 bites alközponti vagy relatív azonosító (RID) érték

Az alábbi képen az SID használatával feltörjük a különböző szakaszokat, hogy jobb megértést kapjunk.

The SID Structure:

‘S’ – The first component of a SID is always an ‘S’. This is prefixed to all SIDs and is there to inform Windows that what follows is a SID. ‘1’ – The second component of a SID is the revision number of the SID specification, if the SID specification was to change it would provide backwards compatibility. As of Windows 7 and Server 2008 R2 the SID specification is still in the first revision. ‘5’ – The third section of a SID is called the Identifier Authority. This defines in what scope the SID was generated. Possible values for this sections of the SID can be:

1. 0 – Null Authority
2. 1 – World Authority
3. 2 – Local Authority
4. 3 – Creator Authority
5. 4 – Non-unique Authority
6. 5 – NT Authority

’21’ – The forth component is sub-authority 1, the value ’21’ is used in the forth field to specify that the sub-authorities that follow identify the Local Machine or the Domain. ‘1206375286-251249764-2214032401’ – These are called sub-authority 2,3 and 4 respectively. In our example this is used to identify the local machine, but could also be the the identifier for a Domain. ‘1000’ – Sub-authority 5 is the last component in our SID and is called the RID (Relative Identifier), the RID is relative to each security principle, please note that any user defined objects, the ones that are not shipped by Microsoft will have a RID of 1000 or greater.

Biztonsági alapelvek

A biztonsági alapelv minden olyan SID-hez van csatolva, ezek lehetnek felhasználók, számítógépek és akár csoportok. A biztonsági alapelvek lehetnek helyiek vagy a tartományi környezetben lehetnek. A Helyi felhasználók és csoportok beépülő modul segítségével kezelheti a helyi biztonsági alapelveket a számítógépes kezelés alatt. Ahhoz, hogy odaérjünk, jobb gombbal kattintsunk a számítógép parancsikonjára a start menüben, és válasszuk a menüt.

Megosztás engedélyek és NTFS engedély

A Windows-ban kétfajta fájl- és mappaengedély létezik, először léteznek a Megosztási jogosultságok, másodsorban NTFS-jogosultságok is nevezik Biztonsági jogosultságok. Vegye figyelembe, hogy ha alapértelmezés szerint megoszt egy mappát, a "Mindenki" csoport megkapja az olvasási engedélyt. A mappák biztonsága általában a Share és NTFS Engedélyezés kombinációjával történik, ha ez a helyzet, akkor feltétlenül fontos megjegyezni, hogy a legszigorúbbak mindig érvényesek, például ha a megosztás engedélye a Mindenki = Read (amely az alapértelmezett), de az NTFS engedély lehetővé teszi a felhasználók számára, hogy változtassanak a fájlon, a Share Permission preferenciát élvez, és a felhasználóknak nem szabad változtatni. Az engedélyek beállításakor az LSASS (Helyi Biztonsági Hatóság) vezérli az erőforráshoz való hozzáférést. Amikor bejelentkezik, hozzáférési tokennel rendelkezik az Ön SID-jével, amikor megkeresi az erőforrást, az LSASS hasonlítja össze az ACL-hez (hozzáférés-vezérlési lista) hozzáadott SID-ot, és ha az SID az ACL-ban van, meghatározza, hogy engedélyezni vagy megtagadni a hozzáférést. Nem számít, milyen jogosultságokat használsz ott a különbségek, így nézd meg, hogy jobban megértsd, mikor kell használni.

Jogosultságok megosztása:

1. Csak azokra a felhasználókra vonatkoznak, akik hozzáférnek az erőforráshoz a hálózaton keresztül. Nem érvényesek, ha helyi bejelentkezést végeznek, például terminálszolgáltatások segítségével.
2. Ez a megosztott erőforrások összes fájljára és mappájára vonatkozik. Ha több szemcsés rendszert szeretne megadni, akkor az NTFS engedélyt kell használnia a megosztott jogosultságok mellett
3. Ha bármilyen FAT vagy FAT32 formátumú kötet van, akkor ez lesz az egyetlen korlátozás az Ön számára, mivel NTFS engedélyek nem állnak rendelkezésre ezeken a fájlrendszereken.

NTFS engedélyek:

1. Az NTFS engedélyek egyetlen korlátozása az, hogy csak az NTFS fájlrendszerre formázott kötetre állíthatók be
2. Ne felejtsük el, hogy az NTFS halmozott, ami azt jelenti, hogy a felhasználók tényleges jogosultságai a felhasználó hozzárendelt jogosultságainak és a felhasználói csoporthoz tartozó jogosultságok egyesítésének az eredménye.

Az új megosztási jogosultságok

A Windows 7 egy új "könnyű" megosztási technikával vásárolt. Az opciók az Olvasás, a Módosítás és a Teljes vezérlés beállításai közül megváltoztak. Olvasás és Olvasás / Írás. Az ötlet része volt az egész Home csoport mentalitásnak és megkönnyíti a nem számítógéptudású emberek mappájának megosztását. Ez a helyi menüből történik, és egyszerűen megosztja otthoni csoportjával.

1. Read permission is the “look, don’t touch” option. Recipients can open, but not modify or delete a file.
2. Read/Write is the “do anything” option. Recipients can open, modify, or delete a file.

Az óvárosi út

A régi megosztási párbeszédablaknak több lehetősége volt, és megadta nekünk azt a lehetőséget, hogy megoszthassuk a mappát egy másik álnév alatt, lehetővé tette számunkra, hogy korlátozzuk az egyidejű kapcsolatok számát, valamint konfiguráljuk a gyorsítótárat. A Windows 7 operációs rendszer egyetlen funkcióját sem veszíti el, hanem egy "Speciális megosztás" opciót rejt. Ha jobb egérgombbal rákattint egy mappára, és meglátogatja a tulajdonságait, megtalálhatja ezeket a "Haladó megosztás" beállításokat a megosztási lapon.

1. Read permission allows you to view and open files and subdirectories as well as execute applications. However it doesn’t allow any changes to be made.
2. Modify permission allows you to do anything that Read permission allows, it also add the ability to add files and subdirectories, delete subfolders and change data in the files.
3. Full Control is the “do anything” of the classic permissions, as it allows for you to do any and all of the previous permissions. In addition it gives you the advanced changing NTFS Permission, this only applies on NTFS Folders

NTFS jogosultságok

Az NTFS engedély lehetővé teszi a fájlok és mappák nagyon szemcsés vezérlését. Ezzel azt mondják, hogy a granularitás mennyisége megrémítheti az újoncot. NTFS engedélyt is megadhat fájlok alapján, valamint mappánként. Az NTFS-fájl engedélyezéséhez kattintson a jobb egérgombbal, és menjen a fájlok tulajdonságaihoz, ahol a biztonsági lapra kell lépnie.

1. Full Control allows you to read, write, modify, execute, change attributes, permissions, and take ownership of the file.
2. Modify allows you to read, write, modify, execute, and change the file’s attributes.
3. Read & Execute will allow you to display the file’s data, attributes, owner, and permissions, and run the file if its a program.
4. Read will allow you to open the file, view its attributes, owner, and permissions.
5. Write will allow you to write data to the file, append to the file, and read or change its attributes.

NTFS A mappák engedélyei kissé eltérőek, így megtekintheti őket.

1. Full Control allows you to read, write, modify, and execute files in the folder, change attributes, permissions, and take ownership of the folder or files within.
2. Modify allows you to read, write, modify, and execute files in the folder, and change attributes of the folder or files within.
3. Read & Execute will allow you to display the folder’s contents and display the data, attributes, owner, and permissions for files within the folder, and run files within the folder.
4. List Folder Contents will allow you to display the folder’s contents and display the data, attributes, owner, and permissions for files within the folder.
5. Read will allow you to display the file’s data, attributes, owner, and permissions.
6. Write will allow you to write data to the file, append to the file, and read or change its attributes.

A Microsoft dokumentációja azt is kimondja, hogy a "Listamappa-tartalom" lehetővé teszi a fájlok futtatását a mappában, de ehhez még engedélyezni kell a "Read &Execute" lehetőséget. Ez egy zavaróan dokumentált engedély.

összefoglalás

Összefoglalva, a felhasználónevek és a csoportok egy alfanumerikus karakterláncot ábrázolnak, amelyet SID (Security Identifier) neveznek, a megosztás és az NTFS jogosultságok kötődnek ezekhez a SID-ekhez. A jogosultságok megosztását az LSSAS csak akkor ellenőrzi, ha a hálózaton keresztül érkeznek, míg az NTFS jogosultságok csak a helyi gépeken érvényesek. Remélem, mindenkinek alapos megértése van arról, hogyan valósul meg a fájlok és a mappák biztonsága a Windows 7 rendszerben. Ha bármilyen kérdése van, nyugodtan szólaljon meg a megjegyzésekben.