Hogyan értsük meg a Windows 7 zavaros fájl/megosztási engedélyeit

  • Taylor Gibb

    @taybgibb

  • Frissítve: 2019. október 28., 8:49 EDT

Próbálta már valaha is kitalálni a Windows összes engedélyét? Ott vannak a megosztási engedélyek, az NTFS-engedélyek, a hozzáférés-vezérlési listák és még sok más. Íme, hogyan működnek ezek együtt.

A biztonsági azonosító

A Windows operációs rendszerek SID-ket használnak az összes biztonsági elv képviseletére. Az SID-k csak változó hosszúságú, alfanumerikus karakterekből álló karakterláncok, amelyek gépeket, felhasználókat és csoportokat jelölnek. Az SID-ket minden alkalommal hozzáadjuk az ACL-ekhez (hozzáférés-vezérlési listák), amikor egy felhasználónak vagy csoportnak engedélyt adunk egy fájlhoz vagy mappához. A színfalak mögött az SID-ket ugyanúgy tárolják, mint minden más adatobjektumot, azaz bináris formában. Amikor azonban egy SID-t lát a Windowsban, az olvashatóbb szintaxissal jelenik meg. Nem gyakran fordul elő, hogy a SID bármilyen formája megjelenik a Windowsban, a leggyakoribb forgatókönyv az, amikor valakinek engedélyt adunk egy erőforráshoz, majd a felhasználói fiókját töröljük, ezután SID-ként jelenik meg az ACL-ben. Vessünk tehát egy pillantást arra a tipikus formátumra, amelyben a Windowsban SID-eket láthatunk.

A jelölés, amelyet látni fogunk, egy bizonyos szintaxist vesz fel, az alábbiakban a SID különböző részeit mutatjuk be ebben a jelölésben.

  1. Egy “S” előtag
  2. Szerkezet revíziós száma
  3. Egy 48 bites azonosító hatósági érték
  4. Változó számú 32 bites alhatósági vagy relatív azonosító (RID) érték
Hirdetés

Az alábbi képen látható SID-emet használva felbontjuk a különböző részeket, hogy jobban megértsük.

A SID szerkezete:

‘S’ – A SID első összetevője mindig egy ‘S’. Ez minden SID előtt szerepel, és arra szolgál, hogy tájékoztassa a Windowst, hogy ami ezután következik, az egy SID.
‘1’ – A SID második összetevője a SID specifikáció revíziós száma, ha a SID specifikáció változik, ez biztosítja a visszafelé kompatibilitást. A Windows 7 és a Server 2008 R2 esetében a SID specifikáció még mindig az első revízióban van.
‘5’ – A SID harmadik része az úgynevezett azonosító hatóság. Ez határozza meg, hogy a SID milyen hatókörben készült. A SID ezen szakaszának lehetséges értékei a következők lehetnek:

  1. 0 – Null Authority
  2. 1 – World Authority
  3. 2 – Local Authority
  4. 3 – Creator Authority
  5. 4 – Non-unique Authority
  6. 5 – NT Authority

’21’ – A negyedik komponens az 1. alhatóság, a ’21’ érték a negyedik mezőben azt határozza meg, hogy az ezt követő alhatóságok a helyi gépet vagy a tartományt azonosítják.
‘1206375286-251249764-2214032401’ – Ezeket nevezzük 2., 3. és 4. aljogosultságnak. Példánkban ez a helyi gép azonosítására szolgál, de lehet egy tartomány azonosítója is.
‘1000’ – Az 5. aljogosultság az utolsó összetevő a SID-ben, és RID-nek (Relative Identifier) nevezik, a RID minden biztonsági megbízóhoz relatív, kérjük, vegye figyelembe, hogy minden felhasználó által definiált objektum, a nem a Microsoft által szállított objektumok RID-je 1000 vagy annál nagyobb lesz.

Security Principals

A biztonsági főnök minden, amihez egy SID tartozik, ezek lehetnek felhasználók, számítógépek és akár csoportok is. A biztonsági megbízók lehetnek helyi vagy tartományi környezetben. A helyi biztonsági elveket a Helyi felhasználók és csoportok beépülő modulon keresztül, a számítógépek kezelése alatt kezelhetjük. Ehhez kattintson a jobb gombbal a számítógép parancsikonra a Start menüben, majd válassza a Kezelés parancsot.

Új felhasználói biztonsági főnök felvételéhez menjen a felhasználók mappába, majd kattintson a jobb gombbal, és válassza az Új felhasználó parancsot.

Ha duplán kattint egy felhasználóra, akkor a Member Of lapon hozzáadhatja egy biztonsági csoporthoz.

Hirdetés

Új biztonsági csoport létrehozásához navigáljon a jobb oldali Groups mappába. Kattintson a jobb gombbal a fehér foltra, és válassza az új csoportot.

Megosztási engedélyek és NTFS-engedélyek

A Windowsban kétféle fájl- és mappaengedély létezik, egyrészt a Megosztási engedélyek, másrészt az NTFS-engedélyek, más néven Biztonsági engedélyek. Vegye figyelembe, hogy egy mappa megosztásakor alapértelmezés szerint a “Mindenki” csoport kap olvasási engedélyt. A mappák biztonsága általában a Megosztási és NTFS-engedélyek kombinációjával történik, ha ez a helyzet, fontos megjegyezni, hogy mindig a legszigorúbb érvényes, például ha a megosztási engedély a Mindenki = Olvasás (ami az alapértelmezett), de az NTFS-engedélyek lehetővé teszik a felhasználók számára a fájl módosítását, akkor a Megosztási engedélyek élveznek elsőbbséget, és a felhasználók nem végezhetnek módosításokat. A jogosultságok beállításakor az LSASS(Local Security Authority) ellenőrzi az erőforráshoz való hozzáférést. Amikor bejelentkezik, kap egy hozzáférési tokent, amelyen szerepel a SID azonosítója, amikor pedig hozzáfér az erőforráshoz, a LSASS összehasonlítja az ACL-hez (Access Control List) hozzáadott SID-t, és ha a SID szerepel az ACL-ben, akkor eldönti, hogy engedélyezi-e vagy megtagadja a hozzáférést. Nem számít, hogy milyen engedélyeket használunk, vannak különbségek, ezért nézzük meg, hogy jobban megértsük, mikor mit kell használnunk.

Megosztási engedélyek:

  1. Kizárólag azokra a felhasználókra vonatkozik, akik a hálózaton keresztül érik el az erőforrást. Nem vonatkoznak a helyi bejelentkezés esetén, például terminálszolgáltatásokon keresztül.
  2. A megosztott erőforrás összes fájljára és mappájára vonatkozik. Ha ennél részletesebb korlátozási sémát szeretne biztosítani, akkor a megosztott engedélyek mellett az NTFS engedélyt is használnia kell
  3. Ha FAT vagy FAT32 formátumú kötetekkel rendelkezik, akkor ez lesz a korlátozás egyetlen elérhető formája, mivel az NTFS engedélyek nem állnak rendelkezésre ezeken a fájlrendszereken.

NTFS engedélyek:

  1. Az NTFS engedélyek egyetlen korlátozása, hogy csak NTFS fájlrendszerre formázott köteteken lehet beállítani őket
  2. Ne feledje, hogy az NTFS kumulatív, ami azt jelenti, hogy a felhasználó tényleges engedélyei a felhasználóhoz rendelt engedélyek és a felhasználóhoz tartozó csoportok engedélyeinek kombinációjából adódnak.

Az új megosztási engedélyek

A Windows 7 egy új, “egyszerű” megosztási technikát hozott magával. A lehetőségek az Olvasás, Módosítás és Teljes ellenőrzés helyett a következőkre változtak. Olvasás és Olvasás/írás. Az ötlet az egész Home csoport mentalitás része volt, és megkönnyíti egy mappa megosztását a nem számítógépes írástudók számára. Ez a kontextusmenün keresztül történik, és könnyen megosztható az otthoni csoporttal.

Ha meg akarja osztani valakivel, aki nem tagja az otthoni csoportnak, mindig választhatja a “Speciális személyek…” opciót. Ami egy “kidolgozottabb” párbeszédpanelt hozna létre. Ahol megadhatna egy adott felhasználót vagy csoportot.

Hirdetés

A korábban említettek szerint csak két engedély van, ezek együttesen egy mindent vagy semmit védelmi rendszert kínálnak a mappák és fájlok számára.

  1. Az olvasási engedély a “nézd, de ne nyúlj hozzá” opció. A címzettek megnyithatják, de nem módosíthatják vagy törölhetik a fájlt.
  2. Az olvasás/írás a “bármit megtehetsz” opció. A címzettek megnyithatják, módosíthatják vagy törölhetik a fájlt.

A régi iskola módszere

A régi megosztási párbeszédpanel több lehetőséggel rendelkezett, és lehetőséget adott a mappa más alias alatt történő megosztására, lehetővé tette az egyidejű kapcsolatok számának korlátozását, valamint a gyorsítótár beállítását. A Windows 7-ben ezekből a funkciókból semmi sem veszett el, inkább a “Speciális megosztás” nevű opció alatt rejtőzik. Ha jobb gombbal kattintunk egy mappára, és megnyitjuk a tulajdonságait, akkor a megosztás lapon megtalálhatjuk ezeket a “Speciális megosztás” beállításokat.

Ha a “Speciális megosztás” gombra kattintunk, amihez helyi rendszergazdai hitelesítő adatokra van szükség, akkor a Windows korábbi verzióiban megszokott beállításokat konfigurálhatjuk.

Ha az “Engedélyek” gombra kattint, akkor a mindannyiunk által ismert 3 beállítás jelenik meg.

  1. Az olvasási engedély lehetővé teszi a fájlok és alkönyvtárak megtekintését és megnyitását, valamint az alkalmazások végrehajtását. Ez azonban nem teszi lehetővé semmilyen változtatás elvégzését.
  2. A Módosítás engedély lehetővé teszi, hogy bármit megtehessünk, amit az Olvasás engedély lehetővé tesz, továbbá hozzáadhatjuk a fájlok és alkönyvtárak hozzáadását, az alkönyvtárak törlését és a fájlokban lévő adatok módosítását.
  3. A Teljes ellenőrzés a klasszikus engedélyek “bármit megtehet”, mivel lehetővé teszi, hogy az előző engedélyek bármelyikét és mindegyikét megtegyük. Ezenkívül megadja a fejlett NTFS engedélyek megváltoztatását, ez csak az NTFS mappákra

NTFS engedélyek

NTFS engedélyek nagyon részletes ellenőrzést tesz lehetővé a fájlok és mappák felett. Ezzel együtt a granularitás mértéke ijesztő lehet egy kezdő számára. Az NTFS engedélyeket fájlonként és mappánként is beállíthatja. Az NTFS-engedélyek beállításához egy fájlra jobb egérgombbal kell kattintania, és a fájl tulajdonságaihoz kell mennie, ahol a biztonság fülre kell lépnie.

Hirdetés

A felhasználó vagy csoport NTFS-engedélyeinek szerkesztéséhez kattintson a szerkesztés gombra.

Amint láthatja, elég sok NTFS-engedély van, ezért bontjuk le őket. Először megnézzük, hogy milyen NTFS-engedélyeket állíthatunk be egy fájlon.

  1. A teljes ellenőrzés lehetővé teszi az olvasást, írást, módosítást, végrehajtást, az attribútumok és engedélyek módosítását, valamint a fájl tulajdonjogának átvételét.
  2. A Módosítás lehetővé teszi a fájl olvasását, írását, módosítását, végrehajtását és az attribútumok megváltoztatását.
  3. Olvasás & A Végrehajtás lehetővé teszi a fájl adatainak, attribútumainak, tulajdonosának és jogosultságainak megjelenítését, valamint a fájl futtatását, ha az egy program.
  4. Read lehetővé teszi a fájl megnyitását, attribútumainak, tulajdonosának és jogosultságainak megtekintését.
  5. Write lehetővé teszi az adatok írását a fájlba, a fájlhoz való csatolást, valamint az attribútumok olvasását vagy módosítását.

NTFS A mappák engedélyei némileg eltérő beállításokkal rendelkeznek, ezért nézzük meg őket.

  1. A Teljes ellenőrzés lehetővé teszi a mappában lévő fájlok olvasását, írását, módosítását és végrehajtását, az attribútumok és engedélyek módosítását, valamint a mappa vagy a benne lévő fájlok tulajdonjogának átvételét.
  2. Módosítás lehetővé teszi a mappában lévő fájlok olvasását, írását, módosítását és végrehajtását, valamint a mappában lévő mappa vagy fájlok attribútumainak módosítását.
  3. Olvasás & Végrehajtás lehetővé teszi a mappa tartalmának megjelenítését, a mappában lévő fájlok adatainak, attribútumainak, tulajdonosának és jogosultságainak megjelenítését, valamint a mappában lévő fájlok futtatását.
  4. Mappa tartalmának listázása lehetővé teszi a mappa tartalmának megjelenítését, a mappában lévő fájlok adatainak, attribútumainak, tulajdonosának és jogosultságainak megjelenítését.
  5. Az Olvasás lehetővé teszi a fájl adatainak, attribútumainak, tulajdonosának és jogosultságainak megjelenítését.
  6. Az Írás lehetővé teszi a fájlba adatok írását, a fájlhoz való csatolást, valamint az attribútumok olvasását vagy módosítását.
Hirdetés

A Microsoft dokumentációja szerint a “Mappa tartalmának listázása” lehetővé teszi a mappán belüli fájlok végrehajtását is, de ehhez még engedélyeznie kell az “Olvasás & Futtatás” opciót. Ez egy nagyon zavarosan dokumentált engedély.

Összefoglaló

Összefoglalva, a felhasználónevek és csoportok egy SID(Security Identifier) nevű alfanumerikus karakterlánc reprezentációi, a Share és NTFS engedélyek ezekhez az SID-ekhez kapcsolódnak. A megosztási engedélyeket az LSSAS csak a hálózaton keresztüli eléréskor ellenőrzi, míg az NTFS-engedélyek csak a helyi gépeken érvényesek. Remélem, hogy mindannyian jól megértették, hogyan valósul meg a fájl- és mappabiztonság a Windows 7-ben. Ha bármilyen kérdésük van, nyugodtan válaszoljanak a hozzászólásokban.

Taylor Gibb
Taylor Gibb professzionális szoftverfejlesztő, közel egy évtizedes tapasztalattal. Két évig a Microsoft dél-afrikai regionális igazgatójaként dolgozott, és többszörös Microsoft MVP (Legértékesebb szakember) díjat kapott. Jelenleg a Derivco International R&D részlegénél dolgozik.Teljes életrajz elolvasása ”

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.