Как понять тех, кто смущает разрешения доступа к файлам и общим ресурсам Windows 7

Вы когда-нибудь пытались выяснить все разрешения в Windows? Доступны общие ресурсы, разрешения NTFS, списки контроля доступа и многое другое. Вот как они все работают вместе.

Идентификатор безопасности

Операционные системы Windows используют SID для представления всех принципов безопасности. SID – это просто строки алфавитно-цифровых символов переменной длины, которые представляют машины, пользователей и группы. SID добавляются в ACL (списки контроля доступа) каждый раз, когда вы предоставляете пользователю или группе разрешение на файл или папку. За сценой SID хранятся так же, как и все остальные объекты данных, в двоичном виде. Однако, когда вы видите SID в Windows, он будет отображаться с использованием более читаемого синтаксиса. Нечасто вы видите любую форму SID в Windows, наиболее распространенный сценарий – когда вы предоставляете кому-то разрешение на доступ к ресурсу, затем его учетная запись пользователя удаляется, и затем он отображается как SID в ACL. Итак, давайте взглянем на типичный формат, в котором вы увидите SID в Windows.

Обозначение, которое вы увидите, принимает определенный синтаксис, ниже представлены различные части SID в этой нотации.

1. Префикс «S»
2. Номер редакции структуры
3. Значение авторитетного 48-битного идентификатора
4. Переменный номер 32-битных значений подузла или относительного идентификатора (RID)

Используя мой SID на изображении ниже, мы разберем различные разделы, чтобы лучше понять.

Структура SID .

‘S’ . Первым компонентом SID всегда является «S». Это префикс для всех идентификаторов безопасности и служит для информирования Windows о том, что следует за SID.
‘1’ . Второй компонент SID – это номер редакции спецификации SID. Если спецификация SID будет изменена, это обеспечит обратную совместимость. Начиная с Windows 7 и Server 2008 R2 спецификация SID все еще находится в первой редакции.
‘5’ . Третий раздел SID называется органом по идентификации. Это определяет, в какой области был создан SID. Возможные значения для этого раздела SID могут быть:

1. 0 – нулевой орган
2. 1 – Мировой авторитет
3. 2 – Местная власть
4. 3 – Создатель власти
5. 4 – неуникальный орган
6. 5 – NT Authority

’21 ‘. Четвертый компонент – это подраздел 1, значение’ 21 ‘используется в четвертом поле, чтобы указать, что нижестоящие органы определяют локальный компьютер или домен.
1206375286-251249764-2214032401 ’. Они называются подчиненными органами 2,3 и 4 соответственно. В нашем примере это используется для идентификации локальной машины, но также может быть идентификатором для домена.
‘1000’ . Подраздел 5 является последним компонентом нашего SID и называется RID (относительный идентификатор). RID относится к каждому принципу безопасности. Обратите внимание, что любые определенные пользователем объекты, те, которые не поставляются Microsoft, будут иметь RID 1000 или больше.

Принципы безопасности

Принцип безопасности – это все, к чему привязан SID, это могут быть пользователи, компьютеры и даже группы. Принципы безопасности могут быть локальными или находиться в контексте домена. Вы управляете принципами локальной безопасности с помощью оснастки «Локальные пользователи и группы» под управлением компьютера. Для этого щелкните правой кнопкой мыши ярлык компьютера в меню «Пуск» и выберите «Управление».

Чтобы добавить новый принцип безопасности пользователя, вы можете перейти в папку пользователей и щелкнуть правой кнопкой мыши и выбрать нового пользователя.

Если дважды щелкнуть пользователя, вы можете добавить его в группу безопасности на вкладке «Член».

Чтобы создать новую группу безопасности, перейдите в папку «Группы» с правой стороны. Щелкните правой кнопкой мыши на пустом месте и выберите новую группу.

Разрешения общего доступа и разрешение NTFS

В Windows есть два типа разрешений для файлов и папок, во-первых, это разрешения общего доступа, а во-вторых, разрешения NTFS, также называемые разрешениями безопасности. Обратите внимание, что при совместном использовании папки по умолчанию группе «Все» предоставляется разрешение на чтение. Безопасность для папок обычно осуществляется с помощью комбинации общего ресурса и разрешения NTFS. В этом случае важно помнить, что всегда применяется самое ограничительное, например, если для ресурса общего доступа установлено значение «Все = чтение» (по умолчанию), но разрешение NTFS позволяет пользователям вносить изменения в файл, разрешение общего доступа будет иметь приоритет, и пользователям не будет разрешено вносить изменения.Когда вы устанавливаете разрешения, LSASS (Local Security Authority) контролирует доступ к ресурсу. Когда вы входите в систему, вы получаете токен доступа с вашим SID на нем, когда вы переходите к ресурсу, LSASS сравнивает SID, который вы добавили в ACL (список контроля доступа), и, если SID находится в ACL, он определяет, следует ли разрешить или запретить доступ. Независимо от того, какие разрешения вы используете, есть различия, поэтому давайте взглянем, чтобы лучше понять, когда мы должны использовать что.

Разрешения для общего доступа .

1. Применяется только к пользователям, которые получают доступ к ресурсу через сеть. Они не применяются, если вы входите в систему локально, например, через терминальные службы.
2. Это относится ко всем файлам и папкам в общем ресурсе. Если вы хотите предоставить более детальную схему ограничений, вы должны использовать разрешение NTFS в дополнение к общим разрешениям.
3. Если у вас есть отформатированные тома FAT или FAT32, это будет единственной доступной формой ограничения, так как разрешения NTFS недоступны в этих файловых системах.

NTFS Permissions:

1. Единственное ограничение на разрешения NTFS заключается в том, что они могут быть установлены только на томе, отформатированном в файловой системе NTFS.
2. Помните, что NTFS является кумулятивным, что означает, что эффективные разрешения пользователей являются результатом объединения назначенных пользователю разрешений и разрешений любых групп, к которым принадлежит пользователь.

Новые разрешения для общего ресурса

Windows 7 куплена по новой «легкой» технологии обмена. Параметры изменились с Чтение, Изменить и Полный доступ на. Читать и читать/писать. Эта идея была частью менталитета всей Домашней группы и позволяет легко делиться папкой для неграмотных людей. Это делается через контекстное меню и легко делится с вашей домашней группой.

Если вы хотите поделиться с кем-то, кто не входит в домашнюю группу, вы всегда можете выбрать опцию «Конкретные люди…». Что приведет к более «сложному» диалогу. Где вы могли бы указать конкретного пользователя или группы.

Существует только два разрешения, как было упомянуто ранее, вместе они предлагают схему «все или ничего» для ваших папок и файлов.

1. Чтение – это опция «смотреть, не трогать». Получатели могут открывать, но не изменять или удалять файл.
2. Чтение/запись – это опция «делать что угодно». Получатели могут открывать, изменять или удалять файлы.

Старый школьный путь

В старом диалоговом окне общего доступа было больше опций, и мы могли предоставить общий доступ к папке под другим псевдонимом, что позволило нам ограничить количество одновременных подключений, а также настроить кэширование. Ни одна из этих функций не потеряна в Windows 7, а скорее скрыта под опцией, называемой «Расширенный общий доступ». Если вы щелкнете правой кнопкой мыши по папке и перейдете к ее свойствам, вы можете найти эти настройки «Расширенный общий доступ» на вкладке «Общий доступ».

Если вы нажмете кнопку «Расширенный общий доступ», для которой требуются учетные данные локального администратора, вы сможете настроить все параметры, с которыми вы были знакомы в предыдущих версиях Windows.

Если вы нажмете кнопку разрешений, вам будут представлены 3 настройки, с которыми мы все знакомы.

1. Разрешение Чтение позволяет просматривать и открывать файлы и подкаталоги, а также запускать приложения. Однако это не позволяет вносить какие-либо изменения.
2. Разрешение Изменить позволяет вам делать все, что позволяет разрешение Чтение , а также добавляет возможность добавлять файлы и подкаталоги, удалять подпапки и изменять данные в файлах.
3. Полный контроль – это «делать все» из классических разрешений, так как он позволяет вам выполнять все предыдущие разрешения. Кроме того, он предоставляет расширенные возможности изменения разрешения NTFS, это применимо только к папкам NTFS.

NTFS разрешения

Разрешение NTFS позволяет очень детально контролировать ваши файлы и папки. С учетом сказанного количество гранулярности может быть пугающим для новичка. Вы также можете установить разрешение NTFS для каждого файла, а также для каждой папки. Чтобы установить NTFS Permission для файла, вы должны щелкнуть правой кнопкой мыши и перейти к свойствам файлов, где вам нужно перейти на вкладку безопасности.

Чтобы изменить разрешения NTFS для пользователя или группы, нажмите кнопку редактирования.

Как вы можете видеть, существует довольно много NTFS-разрешений, поэтому давайте разберем их. Сначала мы посмотрим на разрешения NTFS, которые вы можете установить для файла.

1. Полный контроль позволяет вам читать, писать, изменять, выполнять, изменять атрибуты, разрешения и владеть файлом.
2. Изменить позволяет читать, писать, изменять, выполнять и изменять атрибуты файла.
3. Чтение и выполнение позволит вам просмотреть данные, атрибуты, владельца и разрешения файла, а также запустить файл, если это программа.
4. Чтение позволит вам открыть файл, просмотреть его атрибуты, владельца и разрешения.
5. Запись позволит вам записать данные в файл, добавить его в файл, а также прочитать или изменить его атрибуты.

Разрешения NTFS для папок имеют несколько разные параметры, поэтому давайте рассмотрим их.

1. Полный доступ позволяет вам читать, писать, изменять и выполнять файлы в папке, изменять атрибуты, разрешения и владеть папкой или файлами внутри.
2. Изменить позволяет читать, записывать, изменять и выполнять файлы в папке и изменять атрибуты папки или файлов внутри.
3. Чтение и выполнение позволит вам отображать содержимое папки и отображать данные, атрибуты, владельца и разрешения для файлов в папке, а также запускать файлы в папке.
4. Список содержимого папки позволит вам отображать содержимое папки и отображать данные, атрибуты, владельца и разрешения для файлов в папке.
5. Читать позволит вам просмотреть данные, атрибуты, владельца и разрешения файла.
6. Запись позволит вам записать данные в файл, добавить его в файл, а также прочитать или изменить его атрибуты.

Документация Microsoft также гласит, что «Список содержимого папки» позволит вам выполнять файлы внутри папки, но для этого вам все равно потребуется включить «Чтение и выполнение». Это очень запутанно задокументированное разрешение.

Резюме

Таким образом, имена пользователей и группы представляют собой буквенно-цифровую строку, называемую SID (идентификатор безопасности), разрешения Share и NTFS привязаны к этим идентификаторам безопасности. Разрешения общего ресурса проверяются LSSAS только при доступе по сети, в то время как разрешения NTFS действительны только на локальных машинах. Я надеюсь, что вы все хорошо понимаете, как реализована защита файлов и папок в Windows 7. Если у вас есть какие-либо вопросы, не стесняйтесь в комментариях.