Sådan forstår du de forvirrende Windows 7-fil-/delingstilladelser

  • Taylor Gibb

    @taybgibb

  • Opdateret 28. oktober 2019, 8:49 EDT

Har du nogensinde prøvet at finde ud af alle tilladelserne i Windows? Der er delingstilladelser, NTFS-tilladelser, adgangskontrollister og meget mere. Her er hvordan de alle arbejder sammen.

Sikkerhedsidentifikator

Windows-operativsystemerne bruger SID’er til at repræsentere alle sikkerhedsprincipper. SID’er er blot strenge af alfanumeriske tegn af variabel længde, som repræsenterer maskiner, brugere og grupper. SID’er tilføjes til ACL’er (Access Control Lists), hver gang du giver en bruger eller gruppe tilladelse til en fil eller en mappe. Bag scenen gemmes SID’er på samme måde som alle andre dataobjekter, nemlig binært. Men når du ser et SID i Windows, vises det med en mere læsbar syntaks. Det er ikke ofte, at du vil se nogen form for SID i Windows, det mest almindelige scenarie er, når du giver en person tilladelse til en ressource, hvorefter dennes brugerkonto slettes, og den vil så blive vist som et SID i ACL’en. Så lad os tage et kig på det typiske format, som du vil se SID’er i Windows.

Den notation, som du vil se, tager en bestemt syntaks, nedenfor er de forskellige dele af et SID i denne notation.

  1. Et ‘S’-præfiks
  2. Strukturrevisionsnummer
  3. En 48-bit identifikationsautoritetsværdi
  4. Et variabelt antal 32-bit underautoritets- eller relative identifikationsværdier (RID)
Annonce

Ved hjælp af mit SID i billedet nedenfor vil vi opdele de forskellige dele for at få en bedre forståelse.

SID-strukturen:

‘S’ – Den første komponent i et SID er altid et ‘S’. Dette er sat foran alle SID’er og er der for at informere Windows om, at det, der følger, er et SID.
‘1’ – Den anden komponent i et SID er revisionsnummeret for SID-specifikationen, hvis SID-specifikationen skulle ændres, ville det give bagudkompatibilitet. Fra Windows 7 og Server 2008 R2 er SID-specifikationen stadig i den første revision.
‘5’ – Den tredje del af et SID kaldes identifikationsmyndigheden. Her defineres det, i hvilket område SID’et blev genereret. Mulige værdier for dette afsnit af SID’et kan være:

  1. 0 – Null Authority
  2. 1 – World Authority
  3. 2 – Local Authority
  4. 3 – Creator Authority
  5. 4 – Non-unique Authority
  6. 5 – NT Authority

’21’ – Den fjerde komponent er sub-authority 1. Værdien “21” bruges i det fjerde felt for at angive, at de efterfølgende sub-authorities identificerer den lokale maskine eller domænet.
‘1206375286-251249764-2214032401’ – Disse kaldes henholdsvis sub-autoritet 2,3 og 4. I vores eksempel bruges dette til at identificere den lokale maskine, men det kan også være identifikatoren for et domæne.
‘1000’ – Subautoritet 5 er den sidste komponent i vores SID og kaldes RID (Relative Identifier), RID er relativ til hver enkelt sikkerhedsprincipal, bemærk venligst, at alle brugerdefinerede objekter, dem, der ikke leveres af Microsoft, vil have en RID på 1000 eller derover.

Sikkerhedsprincipper

Et sikkerhedsprincipal er alt, der har et SID knyttet til sig. Det kan være brugere, computere og endda grupper. Sikkerhedsprincipper kan være lokale eller være i domænekontekst. Du administrerer lokale sikkerhedsprincipper via snap-in’en Lokale brugere og grupper under computeradministration. Du kommer dertil ved at højreklikke på computergenvejen i startmenuen og vælge administrer.

For at tilføje et nyt brugersikkerhedsprincipal kan du gå til mappen brugere og højreklikke og vælge ny bruger.

Hvis du dobbeltklikker på en bruger, kan du tilføje vedkommende til en sikkerhedsgruppe på fanen Medlem af.

Annonce

For at oprette en ny sikkerhedsgruppe skal du navigere til mappen Grupper i højre side. Højreklik på det hvide felt, og vælg ny gruppe.

Delingstilladelser og NTFS-tilladelse

I Windows er der to typer tilladelser til filer og mapper, for det første er der delingstilladelser, og for det andet er der NTFS-tilladelser også kaldet sikkerhedstilladelser. Vær opmærksom på, at når du deler en mappe, får gruppen “Alle” som standard læsetilladelse. Hvis dette er tilfældet, er det vigtigt at huske, at den mest restriktive altid gælder, f.eks. hvis delingstilladelsen er indstillet til Alle = Læs (hvilket er standard), men NTFS-tilladelsen tillader brugere at foretage ændringer i filen, vil delingstilladelsen have forrang, og brugerne vil ikke få lov til at foretage ændringer. Når du indstiller tilladelserne, kontrollerer LSASS (Local Security Authority) adgangen til ressourcen. Når du logger ind, får du et adgangstoken med dit SID på, og når du vil have adgang til ressourcen, sammenligner LSASS det SID, du har tilføjet til ACL’en (Access Control List), og hvis SID’et er på ACL’en, afgør den, om adgangen skal tillades eller nægtes. Uanset hvilke tilladelser du bruger, er der forskelle, så lad os tage et kig for at få en bedre forståelse for, hvornår vi skal bruge hvad.

Delingstilladelser:

  1. Gælder kun for brugere, der har adgang til ressourcen via netværket. De gælder ikke, hvis du logger på lokalt, f.eks. via terminaltjenester.
  2. Det gælder for alle filer og mapper i den delte ressource. Hvis du vil give en mere granulær form for begrænsningsordning, skal du bruge NTFS-tilladelse ud over delte tilladelser
  3. Hvis du har nogen FAT- eller FAT32-formaterede volumener, vil dette være den eneste form for begrænsning, du har til rådighed, da NTFS-tilladelser ikke er tilgængelige på disse filsystemer.

NTFS-tilladelser:

  1. Den eneste begrænsning for NTFS-tilladelser er, at de kun kan indstilles på en volumen, der er formateret til NTFS-filsystemet
  2. Husk, at NTFS er kumulative, hvilket betyder, at en brugers effektive tilladelser er resultatet af en kombination af brugerens tildelte tilladelser og tilladelserne for eventuelle grupper, som brugeren tilhører.

De nye delingstilladelser

Windows 7 købte med sig en ny “nem” delingsteknik. Mulighederne ændrede sig fra Læs, Ændre og Fuld kontrol til. Læs og Læs/skriv. Ideen var en del af hele Home group-mentaliteten og gør det nemt at dele en mappe for ikke-computerkyndige personer. Dette gøres via kontekstmenuen og deler nemt med din hjemmegruppe.

Hvis du ønskede at dele med en person, der ikke er med i hjemmegruppen, kunne du altid vælge indstillingen “Specifikke personer…”. Hvilket ville få en mere “udførlig” dialogboks frem. Hvor du kunne angive en bestemt bruger eller gruppe.

Annonce

Der er kun to tilladelser som tidligere nævnt, sammen tilbyder de en alt eller intet-beskyttelsesordning for dine mapper og filer.

  1. Læsetilladelse er “se, rør ikke ved”-muligheden. Modtagerne kan åbne, men ikke ændre eller slette en fil.
  2. Læs/skriv er indstillingen “gør alt”. Modtagerne kan åbne, ændre eller slette en fil.

Den gammeldags måde

Den gamle delingsdialog havde flere muligheder og gav os mulighed for at dele mappen under et andet alias, den gav os mulighed for at begrænse antallet af samtidige forbindelser samt at konfigurere caching. Ingen af disse funktioner er gået tabt i Windows 7, men er derimod skjult under en indstilling kaldet “Avanceret deling”. Hvis du højreklikker på en mappe og går til dens egenskaber, kan du finde disse “Avanceret deling”-indstillinger under fanen deling.

Hvis du klikker på knappen “Avanceret deling”, som kræver lokale administratoroplysninger, kan du konfigurere alle de indstillinger, som du var bekendt med i tidligere versioner af Windows.

Hvis du klikker på knappen “Tilladelser”, får du vist de 3 indstillinger, som vi alle er bekendt med.

  1. Læsetilladelse giver dig mulighed for at se og åbne filer og undermapper samt udføre programmer. Den tillader dog ikke, at der foretages ændringer.
  2. Ændre-tilladelsen giver dig mulighed for at gøre alt det, som læsetilladelsen giver mulighed for, den giver også mulighed for at tilføje filer og undermapper, slette undermapper og ændre data i filerne.
  3. Fuld kontrol er “gør alt” af de klassiske tilladelser, da den giver dig mulighed for at gøre alt, hvad de tidligere tilladelser tillader. Derudover giver den dig den avancerede ændring af NTFS-tilladelse, dette gælder kun for NTFS-mapper

NTFS-tilladelser

NTFS-tilladelse giver dig mulighed for meget granulær kontrol over dine filer og mapper. Når det er sagt, kan mængden af granularitet være skræmmende for en nybegynder. Du kan også indstille NTFS-tilladelser for hver enkelt fil og for hver enkelt mappe. For at indstille NTFS-tilladelse på en fil skal du højreklikke og gå til filens egenskaber, hvor du skal gå til fanen Sikkerhed.

Annonce

For at redigere NTFS-tilladelser for en bruger eller gruppe skal du klikke på knappen Rediger.

Som du kan se, er der en hel del NTFS-tilladelser, så lad os dele dem op. Først vil vi se på de NTFS-tilladelser, som du kan indstille på en fil.

  1. Fuld kontrol giver dig mulighed for at læse, skrive, ændre, udføre, ændre attributter, tilladelser og overtage ejerskab af filen.
  2. Ændre giver dig mulighed for at læse, skrive, ændre, modificere, udføre og ændre filens attributter.
  3. Læse & Udføre giver dig mulighed for at få vist filens data, attributter, ejer og tilladelser og køre filen, hvis det er et program.
  4. Læs giver dig mulighed for at åbne filen, få vist dens attributter, ejer og tilladelser.
  5. Skriv giver dig mulighed for at skrive data til filen, vedhæfte til filen og læse eller ændre dens attributter.

NTFS-tilladelser til mapper har lidt forskellige muligheder, så lad os se på dem.

  1. Fuld kontrol giver dig mulighed for at læse, skrive, ændre og udføre filer i mappen, ændre attributter, tilladelser og overtage ejerskabet til mappen eller filerne i den.
  2. Ændre giver dig mulighed for at læse, skrive, ændre og udføre filer i mappen og ændre attributter for mappen eller filerne i den.
  3. Læse & Udføre giver dig mulighed for at vise mappens indhold og vise data, attributter, ejer og tilladelser for filer i mappen samt køre filer i mappen.
  4. Liste mappens indhold giver dig mulighed for at vise mappens indhold og vise data, attributter, ejer og tilladelser for filer i mappen.
  5. Læs giver dig mulighed for at få vist filens data, attributter, ejer og tilladelser.
  6. Skriv giver dig mulighed for at skrive data til filen, tilføje til filen og læse eller ændre dens attributter.
Annonce

Microsofts dokumentation angiver også, at “List Folder Contents” giver dig mulighed for at udføre filer i mappen, men du skal stadig aktivere “Read & Execute” for at kunne gøre det. Det er en meget forvirrende dokumenteret tilladelse.

Summary

Sammenfattende er brugernavne og grupper repræsentationer af en alfanumerisk streng kaldet en SID(Security Identifier), Share og NTFS-tilladelser er bundet til disse SID’er. Share-tilladelser kontrolleres kun af LSSAS, når der er adgang over netværket, mens NTFS-tilladelser kun er gyldige på de lokale maskiner. Jeg håber, at I alle har fået en god forståelse af, hvordan fil- og mappesikkerhed i Windows 7 er implementeret. Hvis du har spørgsmål, er du velkommen til at give lyd fra dig i kommentarerne.

Taylor Gibb
Taylor Gibb er en professionel softwareudvikler med næsten ti års erfaring. Han var Microsofts regionale direktør i Sydafrika i to år og har modtaget flere Microsoft MVP-priser (Most Valued Professional). Han arbejder i øjeblikket i R&D hos Derivco International.Læs hele biografien ”

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.