Как да разберем тези объркващи Windows 7 файлове / разрешения за споделяне

2024 Автор: Geoffrey Carr | [email protected]. Последно модифициран: 2023-12-17 11:00

Идентификаторът за сигурност

Операционните системи Windows използват SID, за да представят всички принципи на сигурността. SID са само струнни променливи дължини с буквено-цифрови знаци, които представляват машини, потребители и групи. SID адресите се добавят към списъците за управление на достъпа (списъци за контрол на достъпа) всеки път, когато давате разрешение на потребител или група на файл или папка. Зад сцената SIDs се съхраняват по същия начин, по който всички останали данни са в двоичен вид. Въпреки това, когато видите SID в Windows, той ще се покаже, използвайки по-четлив синтаксис. Често няма да виждате никаква форма на SID в Windows, най-често срещаният сценарий е, когато дадете на някого разрешение на даден ресурс, а след това неговият потребителски акаунт се изтрива, след което той ще се покаже като SID в ACL. Така че нека разгледаме типичния формат, в който ще видите SID в Windows.

1. Префикс "S"
2. Номер на ревизия на структурата
3. 48-битова идентификационна стойност на орган
4. Променлив брой 32-битови стойности за под-орган или относителен идентификатор (RID)

Използвайки моя SID в изображението по-долу, ще разделим различните секции, за да получим по-добро разбиране.

The SID Structure:

‘S’ – The first component of a SID is always an ‘S’. This is prefixed to all SIDs and is there to inform Windows that what follows is a SID. ‘1’ – The second component of a SID is the revision number of the SID specification, if the SID specification was to change it would provide backwards compatibility. As of Windows 7 and Server 2008 R2 the SID specification is still in the first revision. ‘5’ – The third section of a SID is called the Identifier Authority. This defines in what scope the SID was generated. Possible values for this sections of the SID can be:

1. 0 – Null Authority
2. 1 – World Authority
3. 2 – Local Authority
4. 3 – Creator Authority
5. 4 – Non-unique Authority
6. 5 – NT Authority

’21’ – The forth component is sub-authority 1, the value ’21’ is used in the forth field to specify that the sub-authorities that follow identify the Local Machine or the Domain. ‘1206375286-251249764-2214032401’ – These are called sub-authority 2,3 and 4 respectively. In our example this is used to identify the local machine, but could also be the the identifier for a Domain. ‘1000’ – Sub-authority 5 is the last component in our SID and is called the RID (Relative Identifier), the RID is relative to each security principle, please note that any user defined objects, the ones that are not shipped by Microsoft will have a RID of 1000 or greater.

Принципи на сигурност

Принципът на сигурност е всичко, което е свързано със SID, това могат да бъдат потребители, компютри и дори групи. Принципите на сигурност могат да бъдат местни или да са в контекста на домейна. Управлявате местните принципи за сигурност чрез модула Local Users and Groups, под управлението на компютъра. За да направите това, кликнете с десния бутон върху прекия път на компютъра в стартовото меню и изберете управление.

Споделяне на разрешения и разрешение за NTFS

В Windows има два типа разрешения за файлове и папки, на първо място има разрешенията за споделяне и второ има и разрешения за NTFS, наречени "разрешения за защита". Обърнете внимание, че когато споделяте папка по подразбиране, групата "Всеки" получава разрешението за четене. Осигуряването на папки обикновено се извършва с комбинация от споделяне и разрешение за NTFS, ако това е така, е важно да запомните, че винаги се прилага най-рестриктивното, например ако разрешението за споделяне е зададено на Everyone = Read (което е по подразбиране) но разрешението за NTFS позволява на потребителите да правят промени във файла, разрешението за споделяне ще отнеме предпочитание и потребителите няма да могат да извършват промени. Когато зададете разрешенията, LSASS (Local Security Authority) контролира достъпа до ресурса. Когато влезете, получавате означение за достъп със SID, когато отидете за достъп до ресурса, LSASS сравнява SID, който сте добавили към списъка за контрол на достъпа (ACL) и ако SID е в ACL, той определя дали да разрешите или откажете достъп. Независимо какви разрешения използвате, има разлики, така че нека да разгледаме по-добре да разберем кога трябва да използваме това.

Споделяне на разрешения:

1. Прилага се само за потребители, които имат достъп до ресурса в мрежата. Те не се прилагат, ако се логвате локално, например чрез терминални услуги.
2. Той се отнася за всички файлове и папки в споделения ресурс. Ако искате да предоставите по-подробен вид ограничителна схема, трябва да използвате разрешение за NTFS в допълнение към споделените разрешения
3. Ако имате FAT или FAT32 форматирани томове, това ще бъде единствената форма на ограничение, достъпна за вас, тъй като NTFS Permissions не са достъпни за тези файлови системи.

NTFS разрешения:

1. Единственото ограничение за разрешенията за NTFS е, че те могат да бъдат зададени само на обем, форматиран към NTFS файловата система
2. Не забравяйте, че NTFS са кумулативни, което означава, че ефективните разрешения на потребителите са резултат от комбинирането на присвоените разрешения на потребителя и разрешенията на всички групи, към които принадлежи потребителят.

Новите разрешения за споделяне

Windows 7 купи по нова "лесна" техника за споделяне. Опциите са променени от Прочети, Промени и Пълен контрол до. Четене и четене / запис. Идеята е част от цялостната манталитет на домашната група и улеснява споделянето на папка за неграмотните хора. Това става лесно чрез контекстното меню и споделя с вашата домашна група.

1. Read permission is the “look, don’t touch” option. Recipients can open, but not modify or delete a file.
2. Read/Write is the “do anything” option. Recipients can open, modify, or delete a file.

Старият училищен път

Старият диалог за споделяне имаше повече опции и ни даде възможност да споделяме папката под различен псевдоним, позволяваше ни да ограничим броя на едновременните връзки, както и да конфигурираме кеширането. Нито една от тези функции не е загубена в Windows 7, а е скрита под опцията "Разширено споделяне". Ако кликнете с десния бутон на мишката върху папка и отидете в нейните свойства, можете да намерите тези настройки "Разширено споделяне" в раздела "Споделяне".

1. Read permission allows you to view and open files and subdirectories as well as execute applications. However it doesn’t allow any changes to be made.
2. Modify permission allows you to do anything that Read permission allows, it also add the ability to add files and subdirectories, delete subfolders and change data in the files.
3. Full Control is the “do anything” of the classic permissions, as it allows for you to do any and all of the previous permissions. In addition it gives you the advanced changing NTFS Permission, this only applies on NTFS Folders

NTFS Permissions

Разрешението за NTFS позволява много строг контрол върху файловете и папките ви. С това казано, количеството на зрялост може да бъде обезсърчително за новодошлия. Можете също така да зададете разрешение за NTFS на базата на файл, както и на основа на папка. За да зададете разрешение за NTFS на файл, трябва да кликнете с десния бутон на мишката и да отидете на файловите свойства, където ще трябва да отидете в раздела за сигурност.

1. Full Control allows you to read, write, modify, execute, change attributes, permissions, and take ownership of the file.
2. Modify allows you to read, write, modify, execute, and change the file’s attributes.
3. Read & Execute will allow you to display the file’s data, attributes, owner, and permissions, and run the file if its a program.
4. Read will allow you to open the file, view its attributes, owner, and permissions.
5. Write will allow you to write data to the file, append to the file, and read or change its attributes.

NTFS разрешенията за папки имат леко различни опции, така че нека да ги разгледаме.

1. Full Control allows you to read, write, modify, and execute files in the folder, change attributes, permissions, and take ownership of the folder or files within.
2. Modify allows you to read, write, modify, and execute files in the folder, and change attributes of the folder or files within.
3. Read & Execute will allow you to display the folder’s contents and display the data, attributes, owner, and permissions for files within the folder, and run files within the folder.
4. List Folder Contents will allow you to display the folder’s contents and display the data, attributes, owner, and permissions for files within the folder.
5. Read will allow you to display the file’s data, attributes, owner, and permissions.
6. Write will allow you to write data to the file, append to the file, and read or change its attributes.

Документацията на Microsoft също гласи, че "Съдържанието на папката на списъците" ви позволява да изпълнявате файлове в папката, но все пак ще трябва да активирате "Read &Execute", за да направите това. Това е много объркващо документирано разрешение.

резюме

В обобщение, потребителските имена и групи са изображения на буквено-цифров низ, наречен SID (Security Identifier), Споделяне и NTFS разрешения са свързани с тези SIDs. Споделянето на разрешения се проверява от LSSAS само когато се осъществява достъп през мрежата, докато NTFS Permissions са валидни само за локалните машини. Надявам се, че всички сте добре запознати със сигурността на файловете и папките в Windows 7. Ако имате някакви въпроси, можете да прочетете коментарите си.