Jak porozumět matoucím oprávněním k souborům a sdílení ve Windows 7

  • Taylor Gibb

    @taybgibb

  • Aktualizováno 28. října 2019 v 8:49 EDT

Zkoušeli jste se někdy vyznat ve všech oprávněních ve Windows? Existují oprávnění ke sdílení, oprávnění NTFS, seznamy řízení přístupu a další. Zde se dozvíte, jak všechny dohromady fungují.

Identifikátor zabezpečení

Operační systémy Windows používají identifikátory SID, které reprezentují všechny zásady zabezpečení. Identifikátory SID jsou pouze proměnné délky řetězců alfanumerických znaků, které reprezentují stroje, uživatele a skupiny. Identifikátory SID se přidávají do seznamů ACL(Access Control Lists) při každém udělení oprávnění uživateli nebo skupině k souboru nebo složce. Za scénou jsou identifikátory SID uloženy stejně jako všechny ostatní datové objekty, tedy v binární podobě. Když se však SID zobrazí v systému Windows, bude zobrazen pomocí čitelnější syntaxe. Není časté, abyste v systému Windows viděli jakoukoli formu SID, nejčastějším scénářem je, když někomu udělíte oprávnění k prostředku a pak je jeho uživatelský účet odstraněn, pak se zobrazí jako SID v seznamu ACL. Podívejme se tedy na typický formát, ve kterém se v systému Windows setkáte s identifikátory SID:

Zápis, který uvidíte, má určitou syntaxi, níže jsou uvedeny jednotlivé části identifikátoru SID v tomto zápisu.

  1. Předpona „S“
  2. Číslo revize struktury
  3. 48bitová hodnota autority identifikátoru
  4. Proměnlivý počet 32bitových hodnot dílčích autorit nebo relativních identifikátorů (RID)
Reklama

Pomocí mého SID na obrázku níže rozdělíme jednotlivé části pro lepší pochopení.

Struktura SID:

„S“ – První složkou SID je vždy písmeno „S“. Ta je předřazena všem SID a slouží k informování systému Windows, že to, co následuje, je SID.
‚1‘ – Druhou složkou SID je číslo revize specifikace SID, pokud by se specifikace SID změnila, zajistila by se zpětná kompatibilita. Od systému Windows 7 a Server 2008 R2 je specifikace SID stále v první revizi.
‚5‘ – Třetí část SID se nazývá identifikační autorita. Ta definuje, v jakém rozsahu byl identifikátor SID vygenerován. Možné hodnoty pro tuto sekci identifikátoru SID mohou být:

  1. 0 – Nulová autorita
  2. 1 – Světová autorita
  3. 2 – Místní autorita
  4. 3 – Autorita tvůrce
  5. 4 – Nejednotná autorita
  6. 5 – NT autorita

’21‘ – Čtvrtou složkou je dílčí autorita 1, hodnota „21“ se ve čtvrtém poli používá k určení, že následující dílčí autority identifikují místní stroj nebo doménu.
‚1206375286-251249764-2214032401‘ – Tyto komponenty se nazývají dílčí autorita 2,3 a 4 v tomto pořadí. V našem příkladu slouží k identifikaci místního počítače, ale může to být také identifikátor domény.
‚1000‘ – dílčí autorita 5 je poslední složkou v našem SID a nazývá se RID (relativní identifikátor), RID je relativní pro každý bezpečnostní princip, mějte na paměti, že všechny objekty definované uživatelem, tedy ty, které nejsou dodávány společností Microsoft, budou mít RID 1000 nebo vyšší.

Zásady zabezpečení

Zásada zabezpečení je cokoli, k čemu je připojen identifikátor SID, mohou to být uživatelé, počítače a dokonce i skupiny. Principy zabezpečení mohou být místní nebo mohou být v kontextu domény. Místní principy zabezpečení spravujete prostřednictvím modulu snap-in Místní uživatelé a skupiny v části Správa počítačů. Dostanete se tam kliknutím pravým tlačítkem myši na zástupce počítače v nabídce Start a výběrem možnosti spravovat.

Chcete-li přidat nový princip zabezpečení uživatele, můžete přejít do složky uživatelů, kliknout pravým tlačítkem myši a vybrat možnost nový uživatel.

Pokud dvakrát kliknete na uživatele, můžete ho přidat do bezpečnostní skupiny na kartě Člen skupiny.

Reklama

Pro vytvoření nové bezpečnostní skupiny přejděte do složky Skupiny na pravé straně. Klikněte pravým tlačítkem myši na bílé místo a vyberte novou skupinu.

Oprávnění ke sdílení a oprávnění NTFS

V systému Windows existují dva typy oprávnění k souborům a složkám, za prvé jsou to oprávnění ke sdílení a za druhé oprávnění NTFS nazývaná také bezpečnostní oprávnění. Všimněte si, že při sdílení složky je ve výchozím nastavení skupině „Everyone“ přiděleno oprávnění ke čtení. Zabezpečení složek se obvykle provádí kombinací Oprávnění ke sdílení a Oprávnění NTFS, pokud tomu tak je, je nutné si uvědomit, že vždy platí to nejpřísnější, například pokud je oprávnění ke sdílení nastaveno na Everyone = Read (což je výchozí nastavení), ale Oprávnění NTFS umožňuje uživatelům provádět změny v souboru, bude mít přednost Oprávnění ke sdílení a uživatelé nebudou moci provádět změny. Při nastavení oprávnění řídí přístup k prostředku LSASS(Local Security Authority). Při přihlášení je vám přidělen přístupový token s vaším identifikátorem SID, když chcete získat přístup k prostředku, LSASS porovná identifikátor SID, který jste přidali, s ACL (Access Control List), a pokud je identifikátor SID v ACL, rozhodne, zda přístup povolí nebo zamítne. Bez ohledu na to, jaká oprávnění používáte, existují rozdíly, takže se podívejme, abychom lépe pochopili, kdy bychom měli co použít.

Oprávnění ke sdílení:

  1. Pouze pro uživatele, kteří přistupují k prostředku přes síť. Neplatí, pokud se přihlásíte lokálně, například prostřednictvím terminálové služby.
  2. Platí pro všechny soubory a složky ve sdíleném prostředku. Pokud chcete poskytnout podrobnější druh schématu omezení, měli byste kromě sdílených oprávnění použít i oprávnění NTFS
  3. Pokud máte nějaké svazky ve formátu FAT nebo FAT32, bude to jediná forma omezení, kterou máte k dispozici, protože oprávnění NTFS nejsou v těchto souborových systémech k dispozici.

Oprávnění NTFS:

  1. Jediným omezením oprávnění NTFS je, že je lze nastavit pouze na svazku naformátovaném na souborový systém NTFS
  2. Pamatujte, že NTFS jsou kumulativní, což znamená, že efektivní oprávnění uživatele jsou výsledkem kombinace oprávnění přidělených uživateli a oprávnění všech skupin, do kterých uživatel patří.

Nová oprávnění ke sdílení

Systém Windows 7 s sebou přinesl novou techniku „snadného“ sdílení. Možnosti se změnily ze čtení, změny a plného řízení na. Čtení a Čtení/zápis. Tato myšlenka byla součástí mentality celé skupiny Home a usnadňuje sdílení složky lidem, kteří nejsou počítačově gramotní. To se provádí prostřednictvím kontextové nabídky a snadno se sdílí s domácí skupinou.

Pokud byste chtěli sdílet s někým, kdo není v domácí skupině, můžete vždy zvolit možnost „Konkrétní lidé…“. Což by vyvolalo „propracovanější“ dialogové okno. Kde byste mohli zadat konkrétního uživatele nebo skupinu.

Reklama

Jak již bylo zmíněno, existují pouze dvě oprávnění, která dohromady nabízejí schéma ochrany všechno nebo nic pro vaše složky a soubory.

  1. Oprávnění ke čtení je možnost „dívat se, nedotýkat se“. Příjemci mohou soubor otevřít, ale ne upravit nebo odstranit.
  2. Oprávnění ke čtení/zápisu je možnost „dělat cokoli“. Příjemci mohou soubor otevřít, upravit nebo odstranit.

Starý způsob

Starý dialog sdílení měl více možností a dával nám možnost sdílet složku pod jiným aliasem, umožňoval omezit počet současných připojení a také konfigurovat ukládání do mezipaměti. Žádná z těchto funkcí se ve Windows 7 neztratila, spíše se skrývá pod volbou nazvanou „Upřesnit sdílení“. Pokud kliknete pravým tlačítkem myši na složku a přejdete do jejích vlastností, najdete tato nastavení „Upřesnit sdílení“ na kartě sdílení.

Pokud kliknete na tlačítko „Upřesnit sdílení“, které vyžaduje přihlašovací údaje místního správce, můžete nakonfigurovat všechna nastavení, která jste znali z předchozích verzí systému Windows.

Pokud kliknete na tlačítko oprávnění, zobrazí se 3 nastavení, která všichni známe:

  1. Oprávnění ke čtení umožňuje zobrazovat a otevírat soubory a podadresáře a spouštět aplikace. Neumožňuje však provádět žádné změny.
  2. Oprávnění Modifikovat umožňuje provádět vše, co umožňuje oprávnění Číst, přidává také možnost přidávat soubory a podadresáře, odstraňovat podadresáře a měnit data v souborech.
  3. Plné řízení je „cokoli“ z klasických oprávnění, protože umožňuje provádět všechny předchozí oprávnění. Kromě toho umožňuje pokročilou změnu oprávnění NTFS, to platí pouze pro složky NTFS

Oprávnění NTFS

Oprávnění NTFS umožňují velmi podrobnou kontrolu nad soubory a složkami. S tím, že množství granularity může být pro nováčka skličující. Oprávnění NTFS můžete nastavit jak pro jednotlivé soubory, tak pro jednotlivé složky. Chcete-li nastavit oprávnění NTFS pro soubor, měli byste kliknout pravým tlačítkem myši a přejít do vlastností souboru, kde budete muset přejít na kartu zabezpečení.

Reklama

Pro úpravu oprávnění NTFS pro uživatele nebo skupinu klikněte na tlačítko upravit.

Jak můžete vidět, oprávnění NTFS je poměrně hodně, takže si je rozebereme. Nejprve se podíváme na Oprávnění NTFS, která můžete nastavit u souboru.

  1. Plné řízení umožňuje číst, zapisovat, upravovat, spouštět, měnit atributy, oprávnění a přebírat vlastnictví souboru.
  2. Modifikovat umožňuje číst, zapisovat, upravovat, spouštět a měnit atributy souboru.
  3. Číst & Spustit umožní zobrazit data souboru, jeho atributy, vlastníka a oprávnění a spustit soubor, pokud je to program.
  4. Čtení umožní otevřít soubor, zobrazit jeho atributy, vlastníka a oprávnění.
  5. Zápis umožní zapsat data do souboru, připojit je k souboru a číst nebo měnit jeho atributy.

Právnění NTFS pro složky mají poněkud odlišné možnosti, proto se na ně podíváme.

  1. Plné řízení umožňuje číst, zapisovat, upravovat a spouštět soubory ve složce, měnit atributy, oprávnění a převzít vlastnictví složky nebo souborů v ní.
  2. Upravit vám umožní číst, zapisovat, upravovat a spouštět soubory ve složce a měnit atributy složky nebo souborů v ní.
  3. Číst & Spustit vám umožní zobrazit obsah složky a zobrazit data, atributy, vlastníka a oprávnění souborů ve složce a spouštět soubory ve složce.
  4. Zobrazit obsah složky vám umožní zobrazit obsah složky a zobrazit data, atributy, vlastníka a oprávnění souborů ve složce.
  5. Čtení umožní zobrazit data, atributy, vlastníka a oprávnění souboru.
  6. Zápis umožní zapisovat data do souboru, připojovat k souboru a číst nebo měnit jeho atributy.
Reklama

Dokumentace společnosti Microsoft také uvádí, že „Seznam obsahu složky“ vám umožní spouštět soubory ve složce, ale k tomu budete muset ještě povolit „Čtení & Spouštění“. Je to velmi zmatečně zdokumentované oprávnění.

Shrnutí

Shrnuto, uživatelská jména a skupiny jsou reprezentací alfanumerického řetězce zvaného SID(Security Identifier), Oprávnění ke sdílení a NTFS jsou vázána na tyto SID. Oprávnění ke sdílení kontroluje systém LSSAS pouze při přístupu přes síť, zatímco oprávnění NTFS jsou platná pouze na místních počítačích. Doufám, že jste všichni dobře pochopili, jak je implementováno zabezpečení souborů a složek v systému Windows 7. Pokud máte nějaké dotazy, neváhejte se vyjádřit v komentářích.

Taylor Gibb
Taylor Gibb je profesionální vývojář softwaru s téměř desetiletou praxí. Dva roky působil jako regionální ředitel společnosti Microsoft v Jihoafrické republice a získal několik ocenění Microsoft MVP (Most Valued Professional). V současné době pracuje v oddělení R&D ve společnosti Derivco International.Přečtěte si celý životopis “

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.