- Taylor Gibb
@taybgibb
- Frissítve: 2019. október 28., 8:49 EDT
Próbálta már valaha is kitalálni a Windows összes engedélyét? Ott vannak a megosztási engedélyek, az NTFS-engedélyek, a hozzáférés-vezérlési listák és még sok más. Íme, hogyan működnek ezek együtt.
A biztonsági azonosító
A Windows operációs rendszerek SID-ket használnak az összes biztonsági elv képviseletére. Az SID-k csak változó hosszúságú, alfanumerikus karakterekből álló karakterláncok, amelyek gépeket, felhasználókat és csoportokat jelölnek. Az SID-ket minden alkalommal hozzáadjuk az ACL-ekhez (hozzáférés-vezérlési listák), amikor egy felhasználónak vagy csoportnak engedélyt adunk egy fájlhoz vagy mappához. A színfalak mögött az SID-ket ugyanúgy tárolják, mint minden más adatobjektumot, azaz bináris formában. Amikor azonban egy SID-t lát a Windowsban, az olvashatóbb szintaxissal jelenik meg. Nem gyakran fordul elő, hogy a SID bármilyen formája megjelenik a Windowsban, a leggyakoribb forgatókönyv az, amikor valakinek engedélyt adunk egy erőforráshoz, majd a felhasználói fiókját töröljük, ezután SID-ként jelenik meg az ACL-ben. Vessünk tehát egy pillantást arra a tipikus formátumra, amelyben a Windowsban SID-eket láthatunk.
A jelölés, amelyet látni fogunk, egy bizonyos szintaxist vesz fel, az alábbiakban a SID különböző részeit mutatjuk be ebben a jelölésben.
- Egy “S” előtag
- Szerkezet revíziós száma
- Egy 48 bites azonosító hatósági érték
- Változó számú 32 bites alhatósági vagy relatív azonosító (RID) érték
Az alábbi képen látható SID-emet használva felbontjuk a különböző részeket, hogy jobban megértsük.
A SID szerkezete:
‘S’ – A SID első összetevője mindig egy ‘S’. Ez minden SID előtt szerepel, és arra szolgál, hogy tájékoztassa a Windowst, hogy ami ezután következik, az egy SID.
‘1’ – A SID második összetevője a SID specifikáció revíziós száma, ha a SID specifikáció változik, ez biztosítja a visszafelé kompatibilitást. A Windows 7 és a Server 2008 R2 esetében a SID specifikáció még mindig az első revízióban van.
‘5’ – A SID harmadik része az úgynevezett azonosító hatóság. Ez határozza meg, hogy a SID milyen hatókörben készült. A SID ezen szakaszának lehetséges értékei a következők lehetnek:
- 0 – Null Authority
- 1 – World Authority
- 2 – Local Authority
- 3 – Creator Authority
- 4 – Non-unique Authority
- 5 – NT Authority
’21’ – A negyedik komponens az 1. alhatóság, a ’21’ érték a negyedik mezőben azt határozza meg, hogy az ezt követő alhatóságok a helyi gépet vagy a tartományt azonosítják.
‘1206375286-251249764-2214032401’ – Ezeket nevezzük 2., 3. és 4. aljogosultságnak. Példánkban ez a helyi gép azonosítására szolgál, de lehet egy tartomány azonosítója is.
‘1000’ – Az 5. aljogosultság az utolsó összetevő a SID-ben, és RID-nek (Relative Identifier) nevezik, a RID minden biztonsági megbízóhoz relatív, kérjük, vegye figyelembe, hogy minden felhasználó által definiált objektum, a nem a Microsoft által szállított objektumok RID-je 1000 vagy annál nagyobb lesz.
Security Principals
A biztonsági főnök minden, amihez egy SID tartozik, ezek lehetnek felhasználók, számítógépek és akár csoportok is. A biztonsági megbízók lehetnek helyi vagy tartományi környezetben. A helyi biztonsági elveket a Helyi felhasználók és csoportok beépülő modulon keresztül, a számítógépek kezelése alatt kezelhetjük. Ehhez kattintson a jobb gombbal a számítógép parancsikonra a Start menüben, majd válassza a Kezelés parancsot.
Új felhasználói biztonsági főnök felvételéhez menjen a felhasználók mappába, majd kattintson a jobb gombbal, és válassza az Új felhasználó parancsot.
Ha duplán kattint egy felhasználóra, akkor a Member Of lapon hozzáadhatja egy biztonsági csoporthoz.
Új biztonsági csoport létrehozásához navigáljon a jobb oldali Groups mappába. Kattintson a jobb gombbal a fehér foltra, és válassza az új csoportot.
Megosztási engedélyek és NTFS-engedélyek
A Windowsban kétféle fájl- és mappaengedély létezik, egyrészt a Megosztási engedélyek, másrészt az NTFS-engedélyek, más néven Biztonsági engedélyek. Vegye figyelembe, hogy egy mappa megosztásakor alapértelmezés szerint a “Mindenki” csoport kap olvasási engedélyt. A mappák biztonsága általában a Megosztási és NTFS-engedélyek kombinációjával történik, ha ez a helyzet, fontos megjegyezni, hogy mindig a legszigorúbb érvényes, például ha a megosztási engedély a Mindenki = Olvasás (ami az alapértelmezett), de az NTFS-engedélyek lehetővé teszik a felhasználók számára a fájl módosítását, akkor a Megosztási engedélyek élveznek elsőbbséget, és a felhasználók nem végezhetnek módosításokat. A jogosultságok beállításakor az LSASS(Local Security Authority) ellenőrzi az erőforráshoz való hozzáférést. Amikor bejelentkezik, kap egy hozzáférési tokent, amelyen szerepel a SID azonosítója, amikor pedig hozzáfér az erőforráshoz, a LSASS összehasonlítja az ACL-hez (Access Control List) hozzáadott SID-t, és ha a SID szerepel az ACL-ben, akkor eldönti, hogy engedélyezi-e vagy megtagadja a hozzáférést. Nem számít, hogy milyen engedélyeket használunk, vannak különbségek, ezért nézzük meg, hogy jobban megértsük, mikor mit kell használnunk.
Megosztási engedélyek:
- Kizárólag azokra a felhasználókra vonatkozik, akik a hálózaton keresztül érik el az erőforrást. Nem vonatkoznak a helyi bejelentkezés esetén, például terminálszolgáltatásokon keresztül.
- A megosztott erőforrás összes fájljára és mappájára vonatkozik. Ha ennél részletesebb korlátozási sémát szeretne biztosítani, akkor a megosztott engedélyek mellett az NTFS engedélyt is használnia kell
- Ha FAT vagy FAT32 formátumú kötetekkel rendelkezik, akkor ez lesz a korlátozás egyetlen elérhető formája, mivel az NTFS engedélyek nem állnak rendelkezésre ezeken a fájlrendszereken.
NTFS engedélyek:
- Az NTFS engedélyek egyetlen korlátozása, hogy csak NTFS fájlrendszerre formázott köteteken lehet beállítani őket
- Ne feledje, hogy az NTFS kumulatív, ami azt jelenti, hogy a felhasználó tényleges engedélyei a felhasználóhoz rendelt engedélyek és a felhasználóhoz tartozó csoportok engedélyeinek kombinációjából adódnak.
Az új megosztási engedélyek
A Windows 7 egy új, “egyszerű” megosztási technikát hozott magával. A lehetőségek az Olvasás, Módosítás és Teljes ellenőrzés helyett a következőkre változtak. Olvasás és Olvasás/írás. Az ötlet az egész Home csoport mentalitás része volt, és megkönnyíti egy mappa megosztását a nem számítógépes írástudók számára. Ez a kontextusmenün keresztül történik, és könnyen megosztható az otthoni csoporttal.
Ha meg akarja osztani valakivel, aki nem tagja az otthoni csoportnak, mindig választhatja a “Speciális személyek…” opciót. Ami egy “kidolgozottabb” párbeszédpanelt hozna létre. Ahol megadhatna egy adott felhasználót vagy csoportot.
A korábban említettek szerint csak két engedély van, ezek együttesen egy mindent vagy semmit védelmi rendszert kínálnak a mappák és fájlok számára.
- Az olvasási engedély a “nézd, de ne nyúlj hozzá” opció. A címzettek megnyithatják, de nem módosíthatják vagy törölhetik a fájlt.
- Az olvasás/írás a “bármit megtehetsz” opció. A címzettek megnyithatják, módosíthatják vagy törölhetik a fájlt.
A régi iskola módszere
A régi megosztási párbeszédpanel több lehetőséggel rendelkezett, és lehetőséget adott a mappa más alias alatt történő megosztására, lehetővé tette az egyidejű kapcsolatok számának korlátozását, valamint a gyorsítótár beállítását. A Windows 7-ben ezekből a funkciókból semmi sem veszett el, inkább a “Speciális megosztás” nevű opció alatt rejtőzik. Ha jobb gombbal kattintunk egy mappára, és megnyitjuk a tulajdonságait, akkor a megosztás lapon megtalálhatjuk ezeket a “Speciális megosztás” beállításokat.
Ha a “Speciális megosztás” gombra kattintunk, amihez helyi rendszergazdai hitelesítő adatokra van szükség, akkor a Windows korábbi verzióiban megszokott beállításokat konfigurálhatjuk.
Ha az “Engedélyek” gombra kattint, akkor a mindannyiunk által ismert 3 beállítás jelenik meg.
- Az olvasási engedély lehetővé teszi a fájlok és alkönyvtárak megtekintését és megnyitását, valamint az alkalmazások végrehajtását. Ez azonban nem teszi lehetővé semmilyen változtatás elvégzését.
- A Módosítás engedély lehetővé teszi, hogy bármit megtehessünk, amit az Olvasás engedély lehetővé tesz, továbbá hozzáadhatjuk a fájlok és alkönyvtárak hozzáadását, az alkönyvtárak törlését és a fájlokban lévő adatok módosítását.
- A Teljes ellenőrzés a klasszikus engedélyek “bármit megtehet”, mivel lehetővé teszi, hogy az előző engedélyek bármelyikét és mindegyikét megtegyük. Ezenkívül megadja a fejlett NTFS engedélyek megváltoztatását, ez csak az NTFS mappákra
NTFS engedélyek
NTFS engedélyek nagyon részletes ellenőrzést tesz lehetővé a fájlok és mappák felett. Ezzel együtt a granularitás mértéke ijesztő lehet egy kezdő számára. Az NTFS engedélyeket fájlonként és mappánként is beállíthatja. Az NTFS-engedélyek beállításához egy fájlra jobb egérgombbal kell kattintania, és a fájl tulajdonságaihoz kell mennie, ahol a biztonság fülre kell lépnie.
A felhasználó vagy csoport NTFS-engedélyeinek szerkesztéséhez kattintson a szerkesztés gombra.
Amint láthatja, elég sok NTFS-engedély van, ezért bontjuk le őket. Először megnézzük, hogy milyen NTFS-engedélyeket állíthatunk be egy fájlon.
- A teljes ellenőrzés lehetővé teszi az olvasást, írást, módosítást, végrehajtást, az attribútumok és engedélyek módosítását, valamint a fájl tulajdonjogának átvételét.
- A Módosítás lehetővé teszi a fájl olvasását, írását, módosítását, végrehajtását és az attribútumok megváltoztatását.
- Olvasás & A Végrehajtás lehetővé teszi a fájl adatainak, attribútumainak, tulajdonosának és jogosultságainak megjelenítését, valamint a fájl futtatását, ha az egy program.
- Read lehetővé teszi a fájl megnyitását, attribútumainak, tulajdonosának és jogosultságainak megtekintését.
- Write lehetővé teszi az adatok írását a fájlba, a fájlhoz való csatolást, valamint az attribútumok olvasását vagy módosítását.
NTFS A mappák engedélyei némileg eltérő beállításokkal rendelkeznek, ezért nézzük meg őket.
- A Teljes ellenőrzés lehetővé teszi a mappában lévő fájlok olvasását, írását, módosítását és végrehajtását, az attribútumok és engedélyek módosítását, valamint a mappa vagy a benne lévő fájlok tulajdonjogának átvételét.
- Módosítás lehetővé teszi a mappában lévő fájlok olvasását, írását, módosítását és végrehajtását, valamint a mappában lévő mappa vagy fájlok attribútumainak módosítását.
- Olvasás & Végrehajtás lehetővé teszi a mappa tartalmának megjelenítését, a mappában lévő fájlok adatainak, attribútumainak, tulajdonosának és jogosultságainak megjelenítését, valamint a mappában lévő fájlok futtatását.
- Mappa tartalmának listázása lehetővé teszi a mappa tartalmának megjelenítését, a mappában lévő fájlok adatainak, attribútumainak, tulajdonosának és jogosultságainak megjelenítését.
- Az Olvasás lehetővé teszi a fájl adatainak, attribútumainak, tulajdonosának és jogosultságainak megjelenítését.
- Az Írás lehetővé teszi a fájlba adatok írását, a fájlhoz való csatolást, valamint az attribútumok olvasását vagy módosítását.
A Microsoft dokumentációja szerint a “Mappa tartalmának listázása” lehetővé teszi a mappán belüli fájlok végrehajtását is, de ehhez még engedélyeznie kell az “Olvasás & Futtatás” opciót. Ez egy nagyon zavarosan dokumentált engedély.
Összefoglaló
Összefoglalva, a felhasználónevek és csoportok egy SID(Security Identifier) nevű alfanumerikus karakterlánc reprezentációi, a Share és NTFS engedélyek ezekhez az SID-ekhez kapcsolódnak. A megosztási engedélyeket az LSSAS csak a hálózaton keresztüli eléréskor ellenőrzi, míg az NTFS-engedélyek csak a helyi gépeken érvényesek. Remélem, hogy mindannyian jól megértették, hogyan valósul meg a fájl- és mappabiztonság a Windows 7-ben. Ha bármilyen kérdésük van, nyugodtan válaszoljanak a hozzászólásokban.
Taylor Gibb professzionális szoftverfejlesztő, közel egy évtizedes tapasztalattal. Két évig a Microsoft dél-afrikai regionális igazgatójaként dolgozott, és többszörös Microsoft MVP (Legértékesebb szakember) díjat kapott. Jelenleg a Derivco International R&D részlegénél dolgozik.Teljes életrajz elolvasása ”