Як зрозуміти ті, що плутають Windows 7 файлів / дозволів на спільний доступ

Ви коли-небудь намагалися з'ясувати всі дозволи в Windows? Дозволів на спільний доступ, дозволів NTFS, списків керування доступом тощо. Ось як всі вони працюють разом.

Ідентифікатор безпеки

Операційні системи Windows використовують SID для представлення всіх принципів безпеки. Ідентифікатори SID - це лише рядки змінної довжини буквено-цифрових символів, які представляють машини, користувачі та групи. Ідентифікатори SID додаються до списків керування доступом (списки керування доступом) щоразу, коли ви надаєте користувачеві або групі дозвіл на файл або папку. За сценою SID зберігаються так само, як і всі інші об'єкти даних, у двійковому вигляді. Однак, коли ви бачите SID у Windows, він буде відображатися за допомогою більш читаного синтаксису. Це не часто, що ви побачите будь-яку форму SID в Windows, найпоширеніший сценарій, коли ви надаєте комусь дозвіл на ресурс, то їх обліковий запис користувача буде видалено, то він з'явиться як SID в ACL. Отже, давайте подивимося на типовий формат, в якому ви побачите SID в Windows.

Нотація, яку ви побачите, приймає певний синтаксис, нижче наведено різні частини SID в цій нотації.

1. Префікс "S"
2. Номер структури редакції
3. Значення повноважень 48-бітного ідентифікатора
4. Змінна кількість значень 32-розрядних підвладних або відносних ідентифікаторів (RID)

Використовуючи мій SID на зображенні нижче, ми розіб'ємо різні розділи, щоб отримати краще розуміння.

Структура SID:

'S' - Перший компонент SID завжди є 'S'. Це префікс для всіх SID і є для того, щоб повідомити Windows, що наступним є SID.
"1" - Другим компонентом SID є номер редакції специфікації SID, якщо специфікація SID повинна була змінити, вона забезпечить зворотну сумісність. У Windows 7 і Server 2008 R2 специфікація SID все ще перебуває у першій версії.
"5" - Третій розділ SID називається уповноваженим ідентифікатором. Це визначає, в якому обсязі був створений SID. Можливими значеннями для цього розділу SID можуть бути:

1. 0 - Null Authority
2. 1 - Світовий орган
3. 2 - Місцева влада
4. 3 - Влада Творця
5. 4 - Невластивий орган
6. 5 - Влада NT

"21" - Четвертий компонент є підвладним органом 1, значення "21" використовується в четвертому полі, щоб вказати, що під-органи, які слідують, визначають локальну машину або домен.
'1206375286-251249764-2214032401' - Вони називаються підвладними органами 2,3 і 4 відповідно. У нашому прикладі це використовується для ідентифікації локальної машини, але також може бути ідентифікатором домену.
"1000" - Підвладність 5 є останнім компонентом нашого SID і називається RID (Relative Identifier), RID є відносно кожного принципу безпеки, зауважте, що будь-які визначені користувачем об'єкти, ті, які не поставляються корпорацією Майкрософт, матимуть RID 1000 або більше.

Принципи безпеки

Принцип безпеки - це все, що має SID, до нього можуть приєднатися користувачі, комп'ютери і навіть групи. Принципи безпеки можуть бути локальними або бути в доменному контексті. Керувати місцевими принципами безпеки можна за допомогою оснащення "Локальні користувачі та групи" під керуванням комп'ютера. Щоб потрапити туди, клацніть правою кнопкою миші на ярлику комп'ютера в меню "Пуск" і виберіть "Керувати".

Щоб додати новий принцип безпеки користувача, можна перейти до папки користувачів і клацнути правою кнопкою миші та вибрати нового користувача.

Якщо двічі клацнути по користувачеві, ви можете додати їх до групи безпеки на вкладці Member Of.

Щоб створити нову групу безпеки, перейдіть до папки "Групи" праворуч. Клацніть правою кнопкою миші на пробіл і виберіть нову групу.

Спільне використання дозволів та дозвіл NTFS

У Windows існує два типи дозволів на файли та папки, по-перше, є дозвіл на спільний доступ, а по-друге, існують дозволи на NTFS, які також називаються дозволами на безпеку. Зверніть увагу на те, що при спільному використанні папки за замовчуванням групі "Усі" надано дозвіл на читання. Безпека в папках зазвичай виконується за допомогою комбінації дозволу Share і NTFS, якщо це так, важливо пам'ятати, що найбільш обмежувальне завжди застосовується, наприклад, якщо дозвіл на спільний доступ встановлено на Everyone = Read (який є типовим), але дозвіл NTFS дозволяє користувачам вносити зміни до файлу, дозвіл спільного доступу буде віддавати перевагу, і користувачам не буде дозволено вносити зміни. При встановленні дозволів LSASS (Local Security Authority) контролює доступ до ресурсу. Коли ви входите в систему, ви отримуєте маркер доступу з вашим SID на ньому, коли ви йдете, щоб отримати доступ до ресурсу, LSASS порівнює SID, який ви додали до ACL (списку контролю доступу), і якщо SID знаходиться на ACL, він визначає, чи потрібно дозволити або заборонити доступ. Незалежно від того, які дозволи ви використовуєте, є відмінності, так що давайте подивимося, щоб краще зрозуміти, коли ми повинні використовувати те, що.

Права доступу:

1. Застосовувати лише до користувачів, які мають доступ до ресурсу через мережу. Вони не застосовуються, якщо ви входите локально, наприклад, через термінальні служби.
2. Він застосовується до всіх файлів і папок у спільному ресурсі. Якщо ви хочете надати більш деталізовану схему обмежень, ви повинні використовувати дозвіл NTFS на додаток до спільних дозволів
3. Якщо у вас є файли формату FAT або FAT32, це буде єдиною формою обмеження, доступною для вас, оскільки дозвіл NTFS недоступний для цих файлових систем.

Дозволи NTFS:

1. Єдиним обмеженням до дозволів NTFS є те, що вони можуть бути встановлені лише на тому, який відформатований у файловій системі NTFS
2. Пам'ятайте, що NTFS є накопичувальними, що означає, що ефективні дозволи користувачів є результатом поєднання призначених користувачем дозволів і дозволів будь-яких груп, до яких користувач належить.

Нові дозволи долі

Windows 7 придбала нову «легку» техніку обміну. Параметри змінилися з пункту Читати, Змінити і Повний контроль на. Читання та читання / запис. Ідея була частиною менталітету домашньої групи і полегшує обмін папкою для некомпетентних людей. Це робиться через контекстне меню і легко ділиться з вашою домашньою групою.

Якщо ви хочете поділитися з ким-небудь, хто не знаходиться в домашній групі, ви завжди можете вибрати опцію "Конкретні люди ...". Це призвело б до більш «складного» діалогу. Де можна вказати конкретного користувача або групу.

Існує лише два дозволу, як згадувалося раніше, разом вони пропонують схему захисту або нічого для ваших папок і файлів.

1. Читайте Дозвіл - це вигляд "не дивіться, не торкайтеся". Одержувачі можуть відкривати, але не змінювати або видаляти файл.
2. Читати писати є опцією "зробити що-небудь". Одержувачі можуть відкривати, змінювати або видаляти файл.

Шлях старої школи

У старому діалоговому вікні спільного доступу було більше можливостей і надано можливість спільного використання папки під іншим псевдонімом, це дозволило нам обмежити кількість одночасних підключень, а також налаштувати кешування. Жодна з цих функцій не втрачається в Windows 7, а прихована під опцією "Advanced Sharing". Якщо ви клацнете правою кнопкою миші на папці та перейдіть до її властивостей, ви можете знайти ці настройки "Розширеного спільного доступу" на вкладці "Спільний доступ".

Якщо натиснути кнопку "Розширене спільне використання", яка потребує облікових даних місцевих адміністраторів, можна налаштувати всі налаштування, які ви знайомі з попередніми версіями Windows.

Якщо ви натискаєте на кнопку дозволів, вам буде запропоновано 3 налаштування, з якими ми всі знайомі.

1. Читайте Дозвіл дозволяє переглядати і відкривати файли і підкаталоги, а також виконувати програми. Однак це не дозволяє вносити будь-які зміни.
2. Змінити Дозвіл дозволяє робити що-небудь таке Читайте Дозвіл дозволяє, він також додає можливість додавання файлів і підкаталогів, видалення підпапок і зміни даних у файлах.
3. Повний контроль це "зробити що-небудь" з класичних дозволів, оскільки це дозволяє вам робити всі попередні дозволи. Крім того, він надає додаткові зміни до дозволу NTFS, це стосується лише папок NTFS

Дозволи NTFS

Дозвіл NTFS дозволяє дуже детально контролювати файли та папки. При цьому кількість гранулярності може бути складною для новачків. Ви також можете встановити дозвіл NTFS на основі кожного файлу, а також на основі папки. Щоб встановити дозвіл NTFS на файл, клацніть правою кнопкою миші та перейдіть до властивостей файлів, де потрібно перейти на вкладку безпеки.

Для редагування дозволів NTFS для користувача або групи натисніть кнопку редагування.

Як ви можете бачити, існує досить багато дозволів NTFS, так що давайте розіб'ємо їх. Спочатку ми подивимося на дозвіл NTFS, який можна встановити у файлі.

1. Повний контроль дозволяє читати, писати, змінювати, виконувати, змінювати атрибути, дозволи та приймати права власності на файл.
2. Змінити дозволяє читати, писати, змінювати, виконувати і змінювати атрибути файлу.
3. Читати та виконувати дозволить вам відображати дані файлу, атрибути, власника та дозволи, а також запускати файл, якщо він є його програмою.
4. Читайте дозволить вам відкрити файл, переглянути його атрибути, власника та дозволи.
5. Напишіть дозволить Вам записувати дані до файлу, додавати до файлу та читати або змінювати його атрибути.

Дозволи NTFS для папок мають дещо інші варіанти, тому давайте подивимося на них.

1. Повний контроль дозволяє читати, писати, змінювати та виконувати файли в папці, змінювати атрибути, дозволи та приймати права на папку або файли в межах.
2. Змінити дозволяє читати, писати, змінювати та виконувати файли в папці, а також змінювати атрибути папки або файлів у ній.
3. Читати та виконувати дозволить відображати вміст папки та відображати дані, атрибути, власника та дозволи для файлів у папці, а також запускати файли в папці.
4. Список вмісту папки дозволить вам відображати вміст папки та відображати дані, атрибути, власника та дозволи для файлів у теці.
5. Читайте дозволить вам відображати дані файлу, атрибути, власника та дозволи.
6. Напишіть дозволить Вам записувати дані до файлу, додавати до файлу та читати або змінювати його атрибути.

У документації корпорації Майкрософт також зазначається, що "Зміст папки списку" дозволить вам виконувати файли в папці, але для цього вам все одно доведеться увімкнути "Читання та виконання". Це дуже заплутано задокументований дозвіл.

Резюме

Таким чином, імена користувачів і групи представляють алфавітно-цифровий рядок, який називається SID (Security Identifier), дозволами Share і NTFS прив'язані до цих SID. Дозволи на спільний доступ перевіряються LSSAS тільки при доступі через мережу, тоді як права доступу NTFS діють лише на локальних машинах. Я сподіваюся, що всі ви розумієте, як реалізована безпека файлів і папок у Windows 7. Якщо у вас є які-небудь питання, не соромтеся звучати в коментарях.