Reklama

Od tej doby Systém súborov NTFS Z FAT na NTFS na ZFS: Demystifikované systémy súborovRôzne pevné disky a operačné systémy môžu používať rôzne systémy súborov. Tu je, čo to znamená a čo potrebujete vedieť. Čítaj viac bol zavedený ako predvolený formát v spotrebiteľských vydaniach systému Windows (počnúc systémom Windows XP), ľudia mali problémy s prístupom k svojim údajom na interných aj interných serveroch. externé disky. Jednoduché atribúty súborov už nie sú jedinou príčinou problémov pri vyhľadávaní a používaní ich súborov. Teraz musíme bojovať s povoleniami pre súbory a priečinky, ako zistil jeden z našich čitateľov.

Otázka nášho čitateľa:

Na vnútornom pevnom disku nevidím priečinky. Spustil som príkaz „Attrib -h -r -s / s / d“ a zobrazuje odmietnutý prístup v každej zložke. Môžem ísť do priečinkov pomocou príkazu Spustiť, ale na pevnom disku nevidím priečinky. Ako to vyriešim?

Bruceova odpoveď:

Tu uvádzame niekoľko bezpečných predpokladov založených na informáciách, ktoré sme dostali: Operačný systém je Windows XP alebo novší; používaný systém súborov je NTFS; používateľ nemá oprávnenie úplnej kontroly na časť súborového systému, s ktorou sa snaží manipulovať; nie sú v kontexte správcu; a predvolené povolenia v systéme súborov sa mohli zmeniť.

instagram viewer

všetko vo Windows je objekt, či už ide o kľúč databázy Registry, tlačiareň alebo súbor. Aj keď používajú rovnaké mechanizmy na definovanie prístupu používateľov, obmedzíme našu diskusiu na objekty systémových súborov, aby sme ich udržali čo najjednoduchšie.

Riadenie prístupu

zabezpečenia Red Alert: 10 blogov o počítačovej bezpečnosti, ktoré by ste mali sledovať dnesBezpečnosť je kľúčovou súčasťou výpočtovej techniky a mali by ste sa snažiť vzdelávať a zostať v aktuálnom stave. Budete chcieť vyskúšať týchto desať bezpečnostných blogov a odborníkov na bezpečnosť, ktorí ich píšu. Čítaj viac všetkého druhu je všetko o kontrole kto môže niečo urobiť na zabezpečovanom objekte. Kto má kľúčovú kartu na odomknutie brány na vstup do areálu? Kto má kľúče na otvorenie kancelárie generálneho riaditeľa? Kto má kombináciu na otvorenie trezoru vo svojej kancelárii?

green-gate

Rovnaký typ myslenia sa vzťahuje na bezpečnosť súborov a priečinkov v súborových systémoch NTFS. Každý užívateľ v systéme nemá opodstatnenú potrebu prístupu ku všetkým súborom v systéme, ani nemusia mať všetci rovnaký prístup k týmto súborom. Rovnako ako každý zamestnanec spoločnosti nemusí mať prístup k trezoru v kancelárii generálneho riaditeľa alebo schopnosť upravovať firemné správy, aj keď im môže byť umožnené prečítať si ich.

oprávnenie

Systém Windows riadi prístup k objektom systému súborov (súbory a priečinky) nastavením oprávnení pre používateľov alebo skupiny. Tieto určujú, aký druh prístupu má užívateľ alebo skupina k objektu. Tieto oprávnenia je možné nastaviť buď na dovoliť alebo poprieť špecifický typ prístupu a dá sa nastaviť buď priamo na objekte, alebo implicitne prostredníctvom dedenia z jeho nadradeného priečinka.

Štandardné povolenia pre súbory sú: Úplná kontrola, Modifikácia, Čítanie a vykonávanie, Čítanie, Zápis a Špeciálne. Priečinky majú ďalšie špeciálne povolenie, ktoré sa nazýva Zoznam zložiek. Tieto štandardné povolenia sú preddefinované sady rozšírené povolenia ktoré umožňujú podrobnejšiu kontrolu, ale zvyčajne sa nevyžadujú mimo štandardných povolení.

Napríklad Čítať a vykonávať štandardné povolenie obsahuje nasledujúce rozšírené povolenia:

  • Prejdite do priečinka / spustite súbor
  • Zoznam zložiek / čítanie údajov
  • Prečítajte si atribúty
  • Prečítajte si rozšírené atribúty
  • Prečítajte si povolenia

Zoznamy kontroly prístupu

Každý objekt v systéme súborov má pridružený zoznam riadenia prístupu (ACL). Zoznam ACL je zoznam bezpečnostných identifikátorov (SID), ktoré majú oprávnenie na objekt. Subsystém Local Security Authority Subsystem (LSASS) porovná SID pripojené k prístupovému tokenu danému užívateľovi pri prihlásení k SID v ACL pre objekt, ku ktorému sa užívateľ pokúša získať prístup. Ak sa identifikátor SID používateľa nezhoduje so žiadnym identifikátorom SID v zozname prístupových práv, prístup bude zamietnutý. Ak sa zhoduje, požadovaný prístup bude udelený alebo zamietnutý na základe povolení pre tento identifikátor SID.

Existuje aj príkaz na vyhodnotenie povolení, ktoré je potrebné zohľadniť. Explicitné povolenia majú prednosť pred implicitnými povoleniami a povolenia pre odmietnutie majú prednosť pred povoleniami pre povolenie. V poriadku, vyzerá to takto:

  1. Explicitné odmietnutie
  2. Explicitné povolenie
  3. Implicitné odmietnutie
  4. Implicitné povolenie

Predvolené oprávnenia koreňového adresára

Povolenia udelené v koreňovom adresári jednotky sa mierne líšia v závislosti od toho, či je jednotka systémovou jednotkou alebo nie. Ako vidno na obrázku nižšie, systémová jednotka má dve samostatné jednotky dovoliť záznamy pre overených používateľov. Existuje jeden, ktorý umožňuje autentifikovaným používateľom vytvárať priečinky a pridávať údaje k existujúcim súborom, ale nemeniť žiadne existujúce údaje v súbore, ktoré sa vzťahujú výlučne na koreňový adresár. Druhý umožňuje autentifikovaným používateľom upravovať súbory a priečinky obsiahnuté v podpriečinkoch, ak tento podpriečinok dedí povolenia od koreňa.

Root Permissions

Systémové adresáre (Windows, Programové údaje, Programové súbory, Programové súbory (x86), Používatelia alebo Dokumenty a nastavenia a prípadne ďalšie) nededia svoje oprávnenia z koreňového adresára. Pretože sa jedná o systémové adresáre, ich povolenia sú výslovne nastavené tak, aby zabránili neúmyselná alebo škodlivá zmena operačného systému, programu a konfiguračných súborov malvérom alebo hacker.

Ak nejde o systémovú jednotku, jediným rozdielom je to, že skupina Authenticated Users má položku jediného povolenia, ktorá povoľuje úpravy oprávnení pre koreňový priečinok, podpriečinky a súbory. Všetky povolenia priradené pre 3 skupiny a účet SYSTEM sa zdedia po celej jednotke.

Analýza problému

Keď náš plagát bežal attrib príkaz, ktorý sa pokúša odstrániť všetky systémové, skryté a iba na čítanie atribúty zo všetkých súborov a priečinkov začínajúcich na (nešpecifikovaný) adresár, v ktorom sa nachádzali, dostali správy označujúce akciu, ktorú chceli vykonať (zapísať atribúty) bol odmietnutý. V závislosti od adresára, v ktorom sa nachádzali pri spustení príkazu, je to pravdepodobne veľmi dobrá vec, najmä ak sa nachádzali v priečinku C: \.

Namiesto pokusu o spustenie tohto príkazu by bolo lepšie zmeniť nastavenia v programe Windows Prieskumník / Prieskumník a zobraziť skryté súbory a adresáre. To možno ľahko dosiahnuť tým, že pôjdete na Usporiadať> Možnosti priečinka a vyhľadávania v Prieskumníkovi systému Windows alebo Súbor> Zmeniť priečinok a možnosti vyhľadávania v Prieskumníkovi súborov. Vo výslednom dialógovom okne vyberte ikonu Karta Zobraziť> Zobraziť skryté súbory, priečinky a jednotky. Ak je táto voľba povolená, skryté adresáre a súbory sa v zozname zobrazia ako tlmené položky.

nastavenia adresáru

Ak sa súbory a priečinky stále nezobrazujú, v tomto okamihu sa vyskytol problém s rozšíreným povolením na zobrazenie zoznamu priečinkov / údajov na čítanie. Používateľ alebo skupina, do ktorej používateľ patrí, je výslovne alebo implicitne odmietol toto povolenie na príslušné priečinky alebo používateľ nepatrí do žiadnej zo skupín, ktoré majú prístup k týmto zložkám.

Ak používateľ nemá oprávnenie na prístup k zoznamu zložiek / na čítanie údajov, môžete sa opýtať, ako môže čítačka ísť priamo do jedného z týchto priečinkov. Pokiaľ poznáte cestu k priečinku, môžete do nej prejsť za predpokladu, že máte na ňu rozšírené oprávnenia na prechod priečinka / spustenie súboru. To je tiež dôvod, prečo pravdepodobne nebude problém so štandardným povolením Obsah priečinka zoznamu. Má oba týchto rozšírených povolení.

Uznesenie

S výnimkou systémových adresárov sa väčšina povolení zdedí po reťazci. Prvým krokom je identifikácia adresára, ktorý je najbližšie ku koreňu jednotky, kde sa objavujú príznaky. Po nájdení tohto adresára naň kliknite pravým tlačidlom myši a vyberte príkaz Vlastnosti> karta Zabezpečenie. Skontrolujte povolenia pre každú z uvedených skupín / používateľov, aby ste si overili, či majú v stĺpci Povoliť povolenie na obsah priečinka Zoznam a nie v stĺpci Odmietnuť.

Ak nie je začiarknutý ani jeden stĺpec, pozrite si aj položku Osobitné povolenia. Ak je toto políčko začiarknuté (povoliť alebo zakázať), kliknite na ikonu Pokročilé a potom Zmena povolení vo výslednom dialógovom okne, ak používate systém Vista alebo novší. Zobrazí sa takmer totožné dialógové okno s niekoľkými ďalšími tlačidlami. Vyberte príslušnú skupinu a kliknite na editovať a ubezpečte sa, že je povolené povolenie pre priečinok List / Read data.

pokročilé oprávnenia

Ak sú šeky sivé, znamená to, že sú zdedené povolenie, a zmena by sa mala vykonať v nadradenom priečinku, pokiaľ neexistuje presvedčivý dôvod, prečo tak neurobiť, ako napríklad adresár profilu používateľa a rodičom by boli Používatelia alebo Dokumenty a nastavenia zložky. Nie je múdre pridávať povolenia pre druhého používateľa, aby mal prístup k adresáru profilu iného používateľa. Namiesto toho sa prihláste ako tento užívateľ a získajte prístup k týmto súborom a priečinkom. Ak je to niečo, čo by sa malo zdieľať, presuňte ich do adresára Verejný profil alebo použite kartu Zdieľanie a umožnite ostatným používateľom prístup k zdrojom.

Je tiež možné, že používateľ nemá povolenie na úpravu oprávnení na príslušné súbory alebo adresáre. V takom prípade by mal systém Windows Vista alebo novší obsahovať Kontrola používateľských účtov (UAC) Zastavenie nepríjemných výziev UAC - Ako vytvoriť zoznam povolených na kontrolu používateľských účtov [Windows]Od chvíle, keď sme Vista, sme používatelia Windows trpeli, boli obťažovaní, otrávení a unavení z kontroly používateľských účtov (UAC), ktorá nám oznamuje, že sa začína program, ktorý sme zámerne spustili. Iste, zlepšila sa ... Čítaj viac výzva na zadanie hesla správcu alebo povolenie na zvýšenie oprávnení používateľa na povolenie tohto prístupu. V systéme Windows XP by mal používateľ otvoriť program Windows Prieskumník s možnosťou Spustiť ako... a použiť kláves Účet správcu Účet správcu Windows: Všetko, čo potrebujete vedieťPočnúc systémom Windows Vista je vstavaný účet správcu systému Windows v predvolenom nastavení zakázaný. Môžete to povoliť, ale robte to na svoje vlastné riziko! Ukážeme vám ako. Čítaj viac aby sa zabezpečilo vykonanie zmien, ak ešte nie sú spustené pomocou administratívneho účtu.

Viem, že veľa ľudí by vám len povedalo, aby ste prevzali vlastníctvo príslušných adresárov a súborov, ale existuje jeden obrovský upozornenie na toto riešenie. Ak by to malo vplyv na akékoľvek systémové súbory a / alebo adresáre, vážne by ste oslabili celkovú bezpečnosť vášho systému. Malo by nikdy vykonávať v koreňovom adresári, Windows, Používatelia, Dokumenty a nastavenia, Program Files, Program Files (x86), Program Data, alebo inetpub adresáre alebo ktorékoľvek z ich podpriečinkov.

záver

Ako vidíte, povolenia na jednotkách NTFS nie sú príliš zložité, ale lokalizácia zdroja problémov s prístupom môže byť na systémoch s množstvom adresárov zdĺhavá. Vyzbrojení základným porozumením toho, ako povolenia pracujú so zoznamami kontroly prístupu a trochou húževnatosti, sa lokalizácia a vyriešenie týchto problémov čoskoro stane detskou hrou.

Bruce hrá s elektronikou už od 70. rokov, počítače od začiatku 80. rokov a presne odpovedal na otázky týkajúce sa technológie, ktorú celý čas nepoužíval ani nevidel. Tiež sa hnevá tým, že sa pokúša hrať na gitaru.