How to Understand Those Confusing Windows 7 File/Share Permissions

  • Taylor Gibb

    @taybgibb

  • Updated October 28, 2019, 8:49am EDT

Czy kiedykolwiek próbowałeś rozgryźć wszystkie uprawnienia w systemie Windows? Są tam uprawnienia do udziałów, uprawnienia NTFS, listy kontroli dostępu i wiele innych. Oto jak one wszystkie razem działają.

Identyfikator zabezpieczeń

Systemy operacyjne Windows używają identyfikatorów SID do reprezentowania wszystkich zasad zabezpieczeń. Identyfikatory SID to ciągi znaków alfanumerycznych o zmiennej długości, które reprezentują maszyny, użytkowników i grupy. Identyfikatory SID są dodawane do list ACL (Access Control Lists) za każdym razem, gdy użytkownik lub grupa otrzymuje uprawnienia do pliku lub folderu. Za sceną SID są przechowywane tak samo jak wszystkie inne obiekty danych, w postaci binarnej. Jednak kiedy widzisz SID w Windows, będzie on wyświetlany przy użyciu bardziej czytelnej składni. Nie jest to częste, że zobaczysz jakąkolwiek formę SID w Windows, najczęstszym scenariuszem jest, gdy nadasz komuś uprawnienia do zasobu, a następnie jego konto użytkownika zostanie usunięte, wtedy pojawi się jako SID w ACL. Tak więc spójrzmy na typowy format, w którym można zobaczyć SID w Windows.

Zapis, który można zobaczyć przyjmuje pewną składnię, poniżej znajdują się różne części SID w tym zapisie.

  1. Przedrostek „S”
  2. Numer rewizji struktury
  3. 48-bitowa wartość organu identyfikatora
  4. Zmienna liczba 32-bitowych wartości podorganu lub identyfikatora względnego (RID)
Reklama

Używając mojego identyfikatora SID na poniższym obrazku, rozbijemy różne sekcje, aby lepiej zrozumieć.

Struktura SID:

„S” – Pierwszym elementem SID jest zawsze „S”. Jest ona poprzedzona wszystkimi identyfikatorami SID i służy do informowania systemu Windows, że to, co następuje, jest identyfikatorem SID.
’1′ – Drugi składnik identyfikatora SID to numer rewizji specyfikacji SID, jeśli specyfikacja SID miałaby się zmienić, zapewniłaby ona zgodność wsteczną. W systemach Windows 7 i Server 2008 R2 specyfikacja SID jest nadal w pierwszej rewizji.
„5” – Trzecia sekcja identyfikatora SID jest nazywana organem identyfikacyjnym. Określa ona, w jakim zakresie został wygenerowany identyfikator SID. Możliwymi wartościami dla tej sekcji SID mogą być:

  1. 0 – Null Authority
  2. 1 – World Authority
  3. 2 – Local Authority
  4. 3 – Creator Authority
  5. 4 – Non-unique Authority
  6. 5 – NT Authority

’21’ – Czwarty składnik to sub-autorytet 1, wartość ’21’ jest używana w czwartym polu, aby określić, że sub-autorytety, które następują po nim, identyfikują maszynę lokalną lub domenę.
’1206375286-251249764-2214032401′ – Są one nazywane odpowiednio sub-autorytetami 2,3 i 4. W naszym przykładzie jest to używane do identyfikacji lokalnej maszyny, ale może to być również identyfikator Domeny.
’1000′ – Poduprawnienie 5 jest ostatnim elementem w naszym SID i jest nazywane RID (Relative Identifier), RID jest względny do każdego głównego zabezpieczenia, proszę zauważyć, że wszelkie obiekty zdefiniowane przez użytkownika, te, które nie są dostarczane przez Microsoft będą miały RID równy 1000 lub większy.

Security Principals

Zasadą bezpieczeństwa jest wszystko, co ma przypisany identyfikator SID, mogą to być użytkownicy, komputery, a nawet grupy. Zasady zabezpieczeń mogą być lokalne lub znajdować się w kontekście domeny. Możesz zarządzać lokalnymi zasadami bezpieczeństwa poprzez Local Users and Groups snap-in, w ramach zarządzania komputerami. Aby się tam dostać, należy kliknąć prawym przyciskiem myszy na skrót komputera w menu start i wybrać zarządzanie.

Aby dodać nową zasadę bezpieczeństwa użytkownika, można przejść do folderu Użytkownicy, kliknąć prawym przyciskiem myszy i wybrać Nowy użytkownik.

Po dwukrotnym kliknięciu użytkownika można dodać go do grupy zabezpieczeń na karcie Członek grupy.

Reklama

Aby utworzyć nową grupę zabezpieczeń, przejdź do folderu Grupy po prawej stronie. Kliknij prawym przyciskiem myszy na białą przestrzeń i wybierz nową grupę.

Uprawnienia udostępniania i uprawnienia NTFS

W systemie Windows istnieją dwa rodzaje uprawnień do plików i folderów, po pierwsze są to Uprawnienia udostępniania, a po drugie są to Uprawnienia NTFS zwane również Uprawnieniami bezpieczeństwa. Zwróć uwagę, że kiedy udostępniasz folder, domyślnie grupa „Każdy” otrzymuje uprawnienia do odczytu. W takim przypadku należy pamiętać, że zawsze stosuje się najbardziej restrykcyjne z nich, np. jeśli uprawnienie do udostępniania jest ustawione na Wszyscy = Odczyt (co jest domyślne), ale uprawnienie NTFS pozwala użytkownikom na zmianę pliku, uprawnienie do udostępniania będzie miało pierwszeństwo, a użytkownicy nie będą mogli wprowadzać zmian. Kiedy ustawisz uprawnienia, LSASS (Local Security Authority) kontroluje dostęp do zasobu. Po zalogowaniu się otrzymujesz token dostępu z identyfikatorem SID na nim, kiedy idziesz do zasobu LSASS porównuje SID, które zostały dodane do ACL (Access Control List) i jeśli SID jest na ACL określa, czy zezwolić lub odmówić dostępu. Bez względu na to, jakie uprawnienia są używane są różnice, więc spójrzmy, aby uzyskać lepsze zrozumienie, kiedy powinniśmy użyć co.

Share Uprawnienia:

  1. Mają zastosowanie tylko do użytkowników, którzy mają dostęp do zasobu przez sieć. Nie mają zastosowania, jeśli użytkownik loguje się lokalnie, na przykład za pośrednictwem usług terminalowych.
  2. Dotyczy wszystkich plików i folderów w udostępnionym zasobie. Jeśli chcesz zapewnić bardziej ziarnisty schemat ograniczeń, powinieneś użyć NTFS Permission oprócz uprawnień współdzielonych
  3. Jeśli masz woluminy sformatowane w FAT lub FAT32, będzie to jedyna dostępna forma ograniczeń, ponieważ NTFS Permissions nie są dostępne na tych systemach plików.

Uprawnienia NTFS:

  1. Jedynym ograniczeniem w Uprawnieniach NTFS jest to, że mogą być ustawione tylko na woluminie, który jest sformatowany do systemu plików NTFS
  2. Pamiętaj, że NTFS są kumulatywne, co oznacza, że efektywne uprawnienia użytkownika są wynikiem połączenia uprawnień przypisanych użytkownikowi i uprawnień wszelkich grup, do których należy użytkownik.

Nowe uprawnienia do udostępniania

Windows 7 kupił wraz z nową „łatwą” techniką udostępniania. Opcje zmieniły się z Odczyt, Zmiana i Pełna kontrola na. Odczyt i Odczyt/Zapis. Pomysł ten był częścią mentalności całej grupy domowej i sprawia, że udostępnianie folderu jest łatwe dla osób nie potrafiących obsługiwać komputera. To jest zrobione przez menu kontekstowe i dzieli się z twoją grupą domową łatwo.

Jeśli chciałeś podzielić się z kimś, kto nie jest w grupie domowej, zawsze mogłeś wybrać opcję „Określeni ludzie…”. Co spowodowałoby wyświetlenie bardziej „rozbudowanego” okna dialogowego. Gdzie mógłbyś określić konkretnego użytkownika lub grupę.

Reklama

Są tylko dwa uprawnienia, jak wcześniej wspomniano, razem oferują schemat ochrony wszystko albo nic dla twoich folderów i plików.

  1. Uprawnienie odczytu jest opcją „patrz, nie dotykaj”. Odbiorcy mogą otworzyć plik, ale nie mogą go modyfikować ani usuwać.
  2. Uprawnienie do odczytu/zapisu to opcja „rób wszystko”. Odbiorcy mogą otworzyć, zmodyfikować lub usunąć plik.

Stara szkoła

Stare okno dialogowe udostępniania miało więcej opcji i dawało nam możliwość udostępnienia folderu pod innym aliasem, pozwalało nam ograniczyć liczbę jednoczesnych połączeń, jak również skonfigurować buforowanie. Żadna z tych funkcji nie została utracona w Windows 7, ale raczej jest ukryta pod opcją zwaną „Udostępnianie zaawansowane”. Jeśli klikniesz prawym przyciskiem myszy na folderze i przejdziesz do jego właściwości, możesz znaleźć te ustawienia „Udostępniania zaawansowanego” w zakładce udostępniania.

Jeśli klikniesz na przycisk „Udostępnianie zaawansowane”, który wymaga poświadczeń lokalnego administratora, możesz skonfigurować wszystkie ustawienia, które były znane w poprzednich wersjach systemu Windows.

Jeśli klikniesz na przycisk „Uprawnienia”, zostaną Ci przedstawione 3 ustawienia, które wszyscy znamy.

  1. Uprawnienie odczytu pozwala na przeglądanie i otwieranie plików i podkatalogów, a także wykonywanie aplikacji. Nie pozwala jednak na dokonywanie żadnych zmian.
  2. Uprawnienie Modyfikuj pozwala na robienie wszystkiego, na co pozwala uprawnienie Odczyt, dodaje również możliwość dodawania plików i podkatalogów, usuwania podkatalogów i zmieniania danych w plikach.
  3. Pełna kontrola jest „robieniem wszystkiego” z klasycznych uprawnień, ponieważ pozwala na robienie wszystkiego z poprzednich uprawnień. Dodatkowo daje ci zaawansowaną zmianę Uprawnienia NTFS, dotyczy to tylko folderów NTFS

Uprawnienia NTFS

Uprawnienia NTFS pozwalają na bardzo granularną kontrolę nad plikami i folderami. Z tym, że ilość szczegółowości może być zniechęcająca dla nowicjusza. Możesz ustawić uprawnienia NTFS zarówno dla pojedynczych plików jak i folderów. Aby ustawić Uprawnienia NTFS na pliku powinieneś kliknąć prawym przyciskiem myszy i przejść do właściwości plików, gdzie będziesz musiał przejść do zakładki bezpieczeństwa.

Reklama

Aby edytować Uprawnienia NTFS dla Użytkownika lub Grupy kliknij na przycisk edycji.

Jak możesz zauważyć, jest dość dużo Uprawnień NTFS, więc podzielmy je. Najpierw przyjrzymy się Uprawnieniom NTFS, które można ustawić na pliku.

  1. Pełna kontrola pozwala na odczyt, zapis, modyfikację, wykonanie, zmianę atrybutów, uprawnień i przejęcie własności pliku.
  2. Modyfikuj pozwala na odczyt, zapis, modyfikację, wykonanie i zmianę atrybutów pliku.
  3. Czytaj & Wykonaj pozwala na wyświetlenie danych pliku, atrybutów, właściciela i uprawnień oraz uruchomienie pliku, jeśli jest to program.
  4. Read umożliwi otwarcie pliku, wyświetlenie jego atrybutów, właściciela i uprawnień.
  5. Write umożliwi zapisanie danych do pliku, dołączenie do pliku oraz odczytanie lub zmianę jego atrybutów.

NTFS Uprawnienia dla folderów mają nieco inne opcje, więc przyjrzyjmy się im.

  1. Pełna kontrola pozwala na odczyt, zapis, modyfikację i wykonywanie plików w folderze, zmianę atrybutów, uprawnień i przejęcie własności folderu lub plików w nim zawartych.
  2. Modyfikuj umożliwia odczytywanie, zapisywanie, modyfikowanie i wykonywanie plików w folderze oraz zmianę atrybutów folderu lub plików w nim zawartych.
  3. Czytaj & Wykonaj umożliwi wyświetlenie zawartości folderu oraz wyświetlenie danych, atrybutów, właściciela i uprawnień dla plików w folderze, a także uruchomienie plików w folderze.
  4. List Folder Contents umożliwi wyświetlenie zawartości folderu oraz wyświetlenie danych, atrybutów, właściciela i uprawnień dla plików w folderze.
  5. Odczytanie umożliwi wyświetlenie danych pliku, atrybutów, właściciela i uprawnień.
  6. Zapisanie umożliwi zapisanie danych do pliku, dołączenie do pliku oraz odczytanie lub zmianę jego atrybutów.
Reklama

Dokumentacja Microsoftu stwierdza również, że „List Folder Contents” pozwoli ci wykonać pliki w folderze, ale nadal będziesz musiał włączyć „Read & Execute”, aby to zrobić. Jest to bardzo myląco udokumentowane uprawnienie.

Podsumowanie

Podsumowując, nazwy użytkowników i grup są reprezentacjami alfanumerycznego ciągu zwanego SID (Security Identifier), Uprawnienia do udziałów i NTFS są powiązane z tymi SID. Uprawnienia współdzielenia są sprawdzane przez LSSAS tylko przy dostępie przez sieć, podczas gdy uprawnienia NTFS są ważne tylko na maszynach lokalnych. Mam nadzieję, że wszyscy dobrze zrozumieliście jak zaimplementowane jest bezpieczeństwo plików i folderów w Windows 7. Jeśli masz jakieś pytania, nie krępuj się odezwać w komentarzach.

Taylor Gibb
Taylor Gibb jest profesjonalnym programistą z prawie dziesięcioletnim doświadczeniem. Przez dwa lata pełnił funkcję dyrektora regionalnego firmy Microsoft w RPA i otrzymał wiele nagród Microsoft MVP (Most Valued Professional). Obecnie pracuje w dziale R&D w Derivco International.Read Full Bio ”

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.