NTFS tajemství - práva, oprávnění a jejich dědictví. Oprávnění SMB a NTFS

Proč ve většině případů v organizaci potřebuje server? Active Directory, RDS, tiskový server a banda malých a velkých služeb. Nejvýznamnější role je možná souborový server. Lidé s ním, na rozdíl od jiných rolí, práce vědomě. Pamatují si, která složka, co leží, kde jsou skeni dokumentů, kde jsou jejich zprávy, kde jsou faxy, ve kterých může mít společná složka, ve které můžete mít přístup pouze k jednomu z oddělení, kde jinde a nerozpoznávají

O přístupu k síti a místní složky na serveru chci mluvit.

Přístup k sdíleným prostředkům na serveru se provádí, jak každý zná vše dokonale, podle protokolu SMB 3.0. Přístup k síti ke složkám může být omezen na oprávnění SMB a NTFS. SMB oprávnění fungují pouze při přístupu ke sdílené složce v síti a nemají žádný vliv na dostupnost konkrétní složky lokálně. Oprávnění NTFS pracují jak v síti a lokálně, poskytují mnohem větší flexibilitu při vytváření přístupových práv. Oprávnění SMB a NTFS nepracují samostatně, ale podle zásady největšího omezení práv se navzájem doplňují.

Chcete-li poskytnout složku sdílet Server 2012 v SMB Sdílet CmdLets Group, se objevil nový-SMbshare Cmdlet. Na příkladu tohoto cmdletu uvidíme všechny funkce dostupné při vytváření sdílené složky, kromě konfigurace clusteru (toto je samostatné velké téma).

Vytvoření nové sdílené složky vypadá velmi jednoduchá:
NET SHARE HOMEFOLDER \u003d S: IvanInivanov / Grant: "Admin", Full / Grant: "FoldenOwner", Změnit / Grant: "Manager", Číst / Cache: Programy / Poznámka: "Ivanov" nebo
New-Smbshare HomeFolder S: IvanInivanov -Cachingmode Programy -fullacess Admin -ChangeAccess FolderOwner -Readaccess Manager -Occess All -FolderenumerenmentMode Accessbased -Cription "Ivanov"

Rozumíme:

-Name Název sdílené složky v síti se může lišit od složky v místním počítači. Má limit v 80 znakech, nelze použít názvy potrubí a mailslot.

Cesta cesty do místní složky, kterou chcete zadat. Cesta musí být úplná, z kořene disku.

CachingMode Nastavení autonomie souborů v sdílené složce.

Co je samostatný soubor?

Samostatný soubor je kopie souboru umístěného na serveru. Tato kopie je umístěna v místním počítači a umožňuje pracovat se souborem bez připojení k serveru. Při připojování se změna synchronizuje. Synchronizované v obou směrech: Pokud jste provedli změny v souboru offline - při příštím připojení souboru na serveru bude změněn; Pokud někdo provedl změny na serveru - bude změněna místní kopie. Pokud se změny došlo v obou souborech najednou - dostaneme chybu synchronizace a budete muset zvolit, která verze bude uložena. Chcete-li sdílet tuto příležitost, nevyužil bych tuto příležitost používat, ale pokud uděláte míč pro každého uživatele a omezit přístup pro jiné čtení, bez možnosti nahrávání, dostaneme následující housky:

  • Práce nezávisí na síti - může spínač vypálit, server může restartovat, drát může prolomit nebo vypnout přístupový bod - uživatel pracuje se svou kopií, neovrat, že tam máte nějakou nehodu, Při obnově síťového připojení jde do serveru.
  • Uživatel může pracovat kdekoli: v chatě, na autobusu, v letadle - na těchto místech, kde není spojení s VPN z nějakého důvodu k dispozici.
  • Pokud i uživatel pracuje přes VPN, ale připojení nebo velmi pomalé, nebo se neustále porušuje - je snazší pracovat s offline kopií a synchronizací změn než se snaží něco udělat na serveru.
  • Samotný uživatel si může vybrat a kdy synchronizovat, pokud jí dáte příležitost.

Vezme následující hodnoty:
  • Žádný - Soubory nejsou k dispozici Offline, přístup k serveru potřebuje přístup k serveru.
  • manuál - Uživatelé zvolí soubory, které budou k dispozici autonomně
  • programy - vše ve složce je k dispozici autonomně (Dokumenty a programy (soubory s rozšířením * .exe, * .dll)))
  • dokumenty - dostupné dokumenty, žádné programy
  • branchcache - ukládání do mezipaměti namísto místního uživatele počítače dochází na serverech BranchCache, uživatelé zvolit offline soubory samotné
-NoAccess, -Readaccess, -ChangeAccess, -fuloscess obecná přístupová oprávnění (oprávnění sdílení).

Tato povolení mají jednu velkou výhodu - jsou velmi jednoduché.

Nicacess tajemník, Steward - Selfaktorník a Relozem stejně dělat v obecných účetních složkách
-Readaccess auditor - kontrola auditora Účetní práce může zobrazit názvy souborů a podsložek ve sdílené složce, otevřít soubory pro čtení, spustit programy.
-ChangeAccess účetní - účetní ve své sdílené složce mohou vytvářet soubory a podsložky, změnit existující soubory, odstranit soubory a podsložky
-Vybavení Admin - Fullaccess je readaccess + ChangeAccess a schopnost změnit oprávnění.

Při vytváření sdílené složky se automaticky používá nejmeznější pravidlo - "All" skupina je dána čtení.

Tato oprávnění platí pouze pro uživatele, kteří mají přístup ke sdílené složce v síti. S místním vstupem do systému, například v případě terminálového serveru a sekretářka a korunu budou vidět v účetnictví, všechny tyto přání. To je opraveno oprávněními NTFS. Oprávnění SMB platí pro všechny soubory a složky na sdíleném prostředku. Tenčí přístupová práva provádějí také oprávnění NTFS.

ConcurrentuserLimit Použijte tento parametr pro omezení maximálního počtu připojení ke sdílené složce. V zásadě můžete také omezit přístup ke složce, doplnění oprávnění NTFS, pouze musíte být přesně sebevědomý v požadovaném počtu připojení.

Popis Popis sdíleného prostředku, který je viditelný v síťovém prostředí. Popis je velmi dobrá věc, která mnoho zanedbává.

Šifrování Encryptdata

V SMB na verzi 3.0, jediný způsob, jak chránit provoz z souboru serveru klientovi byl VPN. Jak implementovat zcela závislé na preferencích správce systému: SSL, PPTP, IPSec-tunely nebo něco jiného. V serveru 2012, šifrování funguje z krabice v pravidelné místní síti nebo prostřednictvím nedůvěryhodných sítí, aniž by vyžadovaly speciální řešení infrastruktury. To může být povoleno jak pro celý server, tak pro jednotlivé sdílené složky. Šifrovací algoritmus v SMB 3.0 je AES-CCM, algoritmus hash namísto HMAC-SHA256 se stal AES-CMAC. Dobrou zprávou je, že SMB 3.0 podporuje hardware AES (AES-NI), špatná zpráva je, že Rusko nepodporuje AES-NI.

Co ohrožuje začlenění šifrování? Ve skutečnosti, že pouze klienti podporuje SMB 3.0 budou schopni pracovat se šifrovanými společnými složkami, tj. Windows 8. důvodem, maximální přípustný limit práv uživatelů. Předpokládá se, že správce ví, co to dělá, a v případě potřeby poskytne přístup ke zákazníkům s jinou verzí SMB. Ale protože SMB 3.0 používá nové šifrovací algoritmy a klientský provoz s jinou verzí SMB nebude šifrována, je potřeba VPN. Chcete-li umístit všechny zákazníky na souborový server s povoleným šifrováním, pomůže SET-SMSERVERCONFIGIGIGIGIGURACTION -RECTCECCRYPTEDAccess $ False
Ve výchozí konfiguraci (non-sunged provoz pro šifrované sdílené složky je zakázáno, při pokusu o přístup ke složce klienta s verzí SMB pod 3.0 na klientovi obdržíme "Chyba přístupu". Na serveru do systému Microsoft-Windows-SMServer / Operační protokol bude přidána událost 1003, ve které můžete najít IP adresu klienta, která se snaží přístup.

Šifrování SMB a EFS jsou různé věci, které nejsou navzájem spojeny, to znamená, že lze použít na tukové a refs objemy.

FolderenMemationMode Toto je výčet přístupu k přístupu. S aktivovaným výčetem založeným na přístupu, uživatelé, kteří nemají přístup k sdílené složce, neuvidí jej na souborovém serveru a budou méně otázek, proč nemám přístup k této nebo této složce. Uživatel vidí své dostupné složky a nesnaží se vylézt do záležitostí jiných lidí. Výchozí.

  • accessBased - Enable.
  • neomezený - vypnout
-Temporary Tento klíč vytvoří dočasnou sdílenou složku, přístup, ke kterému se po restartování serveru zastaví. Ve výchozím nastavení jsou vytvořeny konstantní sdílené složky.

Oprávnění NTFS

S pomocí NTFS povoluje, můžeme podrobněji vymezit práva ve složce. Můžeme zakázat konkrétní skupinu změnit konkrétní soubor, ponechat schopnost upravit celý hlavní; Ve stejné složce může mít jedna skupina uživatelů právo změnit jeden soubor a nebude moci zobrazit další soubory upravené jinou skupinou uživatelů a naopak. Stručně řečeno, oprávnění NTFS nám umožňují vytvořit velmi flexibilní přístupový systém, hlavní věc později v něm není zmatená. Pracovní oprávnění NTFS navíc pracují při přístupu k síťové složce, doplňující celkové oprávnění přístupu as lokálním přístupem k souborům a složkám.

Existuje šest hlavních (základních) oprávnění, která jsou kombinací 14 dalších oprávnění.

Hlavní oprávnění
Celý přístup (FullControl) - plný přístup ke složce nebo souboru, se schopností změnit přístupová práva a pravidla auditu na složky a soubory

Modifikovat - Právo číst, změnit, zobrazit obsah složky, Vymazat složky / soubory a spustit provedené soubory. Zahrnuje čtení a realizaci (ReadandEdexecute), psaní (zápis) a smazat.

Přečtěte si a realizace (readandexecute) - Právo otevřít složky a číst soubory bez možnosti nahrávání. Je také možné spustit spuštěné soubory.

Seznam složky obsahu (listdirectory) - Právo zobrazení obsahu složky

Čtení (čtení) - Právo otevřít složky a číst soubory bez možnosti nahrávání. Zahrnuje obsah složky / čtení dat (readdata), atributy čtení (readattributes), čtení dalších atributů (readextendedattributes) a oprávnění čtení (readermissions)

Nahrávání (zápis) - Právo vytvářet složky a soubory, upravovat soubory. Zahrnuje vytváření souborů / Psaní vytváření dat / poškození dat (AppendData), nahrávání atributů (writeattributes) a nahrávání dalších atributů (writeExtendedTributes)

Další oprávnění
Dal jsem složku pouze 1 ze 14 oprávnění a sledoval, co se to ukáže. V reálném světě ve většině případů existuje dostatek hlavních povolení, ale měl jsem zájem o chování složek a souborů s nejvyššími možnými právy.

Traverse složky / provedení souborů (traverz) - Právo spustit a číst soubory bez ohledu na přístupová práva ke složce. Neexistuje žádný přístup ke složce pro složku, (která je ve složce zůstane záhadou), ale soubory ve složce budou k dispozici v přímém odkazu (plná, relativní nebo cesta UNC). Pomocí složky složky můžete umístit pomocí složky složky a na souboru jakákoli jiná oprávnění, kterou uživatel potřebuje pracovat. Vytvoření a odstranění souborů v uživatelské složce nebude fungovat.

Readatributes čtení - Právo zobrazit atributy (Fileativtibutes) složky nebo soubor.
Zobrazení obsahu složky nebo souborů nebo změnit všechny atributy nelze změnit.

ReadextendedTributes (ReadextendedTributes) - Právo zobrazení dalších atributů složky nebo souboru.

Jediná věc, kterou jsem mohl najít na dalších atributech, je to, co se používají k poskytnutí zpětné kompatibility s aplikacemi OS / 2. (Windows Internals, Část 2: Pokrytí systému Windows Server 2008 R2 a Windows 7). O nich nic nevím.

Vytváření souborů / zápisu (Writedata) - Dává uživateli možnost vytvářet soubory ve složce, ve které nemá přístup. Soubory můžete zkopírovat do složky a vytvářet nové soubory ve složce. Obsah složky nelze zobrazit, vytvořit nové složky a změnit existující soubory. Uživatel nebude moci změnit žádný soubor, i když je vlastníkem tohoto souboru - pouze vytvořit.

Vytváření složek / poškození dat (AppendData) - Dává uživateli možnost vytvářet podsložky ve složce a přidat data na konec souboru bez změny stávajícího obsahu.

Šek

S tvorbou podsložek je vše zřejmé: NI C: Testovače Testapend -Itemtype adresář bude fungovat podle očekávání - vytvoří podsložka testovače pro zobrazení uživatele. Pokusme se přidat řetězec na konec souboru - proveďte údržbu nějakého protokolu. Newevent \u003e\u003e C: TestperMS user.log je odepřen přístup.
Hmm ... v CMD nefunguje. A pokud ano. AC C: TestperMes User.log NewEvent AC: Odepření přístupu podél "C: TestperMS user.log".
A v dopravníku? "Newevent" | OUT-FILE C: TESTERMS User.log -Apt-out-soubor: Odepření přístupu podél cesty "C: TestperMS \\ TSER.LOG".
A tak nefunguje.

Spustíme black Magic Session: Použijte třídu souborů, metodu AppendText. Dostáváme objekt protokolu.
$ LOG \u003d :: AppendText ("C: testperms / user.log") vyloučení při volání "AppendText" s argumenty "1": "Odepřen přístup podél cesty" C: TestperMS user.log "."
Myslím, že appendalltext nestojí za pokus
$ LOG \u003d :: AppendAltAtext ("C: Testperms / user.log", "newevent"), "newevent"), když voláte "appendalltext" s argumenty "2": "Odepřen přístup na cestě" C: testerms \\ ts.log " . "
V zásadě jasný. Pouze práva k přednastavení dat do souboru nad metodami nestačí, potřebují záznam do souboru. Ale spolu s tím dáme příležitost změnit soubor, a ne jen přidat záznamy, to znamená, že otevřeme potenciální schopnost zničit veškerý obsah souboru.

Musíme znovu přehodnotit koncept: Nedostavme objekt protokolu, ale vytvořit nový, ve které žádáme všechny parametry, které nás zajímají. Potřebujeme něco, co můžeme výslovně specifikovat oprávnění. Potřebujeme FileStream, a konkrétněji, pomůžeme Filestem konstruktér (řetězec, filemode, souborové systémy, Fileshare, Int32, FilePtions). Další parametry potřebují:

  • Cesta k souboru je jasná
  • Jak otevřít soubor - Otevřete soubor a najděte konec souboru
  • Práva pro přístup k souborům - data dat
  • Přístup pro jiné objekty FileStream - nepotřebujete
  • Velikost vyrovnávací paměti - výchozí 8 bajtů
  • Další možnosti - Ne
Ukazuje se něco takového:
\u003c
Pracuje! Vytvořili jsme objektový objekt, zkuste tam něco napsat. Metoda FileStream.Write bere příchozí hodnoty v bajtech. Zakázali jsme událost, kterou chceme nahrávat, v bajtech - kódování třídy, metoda getCoding (nepotřebujeme Krakozyabe na výstupu) a GetByTy (vlastně konverze)
$ Event \u003d "Stala se nová událost." $ Eventbytes \u003d :: gteeencoding ("Windows-1251"). Getbytes ($ událost)
Parametry filtream.write:
Co napsat; Kde začít psát; Počet bajtů k zápisu
Píšeme:
$ LOG.WRITE ($ EventBytes, 0, $ Eventbytes.count)
Šek.
GC C: TestperMMS user.log GC: Odepření přístupu podél "C: TestperMS user.log".
Všechno je v pořádku, uživatel nemá práva k zobrazení písemně. Posunujeme pod správcem.
GC C: TestperMS user.log se stalo novou událost.
Všechno funguje.

Složka, ve které soubor kromě oprávnění musí být umožněno vytváření složek / úmyslu data vyřešit složku obsahu / čtení. Soubor je dostačující pouze pro vytváření složek / ústupních dat se zdravotním postižením dědictví. Plně chránit uživatele (a uživatel může být útočníkem) ze souborů, ve kterých by měl napsat něco nebude fungovat, ale na druhé straně, kromě seznamu souborů ve složce, uživatel neuvidí nic a může nedělat.

Závěr Z tohoto jednoduchého: V Batnikově, implementovat bezpečné protokolování něčeho nebude fungovat, PowerShell šetří dovednosti pracovat s objekty .NET.


Nahrávání atributů (writeattributes) - Nechte uživatel změnit atributy souboru nebo složky. Zdá se, že je to jednoduché. Ale teď jen odpovědět na otázku: "Fotografie mých koček zabírají téměř všechny místo v mém profilu a nemám místo pro obchodní korespondenci. Chtěl bych zmáčknout složku s citacemi, ale požaduji práva správce. Řekl jste, že mám právo změnit atributy složek. Je atribut? Proč to nemůžu změnit? "

Ano, uživatel s právem k zápisu atributů může být změněn téměř všechny viditelné atributy souborů a složek, kromě atributů a šifrování komprese. Technicky uživatel má právo provést funkci SetFileatTributes funkce. A komprese souboru provádí funkci DeviceIcontrol, která chcete přenášet parametr FSCTL_SET_COMLACE a komprese souboru je daleko od jeho práce. S touto funkcí můžeme spravovat všechna zařízení a jejich zdroje v systému a pravděpodobně poskytnout uživateli toto právo provést tuto funkci znamená, aby byl správce.

S šifrováním Příběh je podobný: Funkce šifrování, která je právě zodpovědná za šifrování, vyžaduje, aby uživatel má právo na složku obsahu / čtení dat, vytváření souborů / zápis dat, atributy čtení, atributy položky a synchronizace na objekt. Bez nich se nic nestane.

WRITEXtHedAtattributes Nahrávání (writextendedattributes). To jsou ty, které jsou používány pro zpětnou kompatibilitu s aplikacemi OS / 2, AHA. No, dokonce i v pokročilých atributech souboru C: Windows System32 Services.exe nedávno začal psát Trojanov (ZeroAccess.c). Možná by měly být vypnuty na nejvyšší úrovni? Nemůžu odpovědět na tuto otázku, teoreticky - možná to stojí za to, prakticky ve výrobě - \u200b\u200bnezkusil jsem.

Odstraňte podsložky a soubory. (DeletesubdirectorIdsandFiles) Zajímavé rozlišení se aplikuje pouze na složky. Essence je umožnit uživateli odstranit podsložky a soubory v nadřazené složce, aniž by se povolení odstranilo.

Předpokládejme, že existuje katalog zboží, ve kterém uživatelé přinášejí data. K dispozici je katalog rodičovské složky, uvnitř podsložky podle abecedy, od A do Z, některá jména uvnitř nich. Jména se mění každý den, něco je přidáno, něco se změní, něco se stane zastaralé a musíte smazat zastaralé informace. Ale nebude to moc dobré, pokud někdo v plováku nebo škodlivý záměr hodí celý katalog k, což je velmi možné, pokud mají uživatelé právo odstranit. Pokud vyzvednete právo odstranit právo, pak správce může bezpečně změnit práci, protože bude provádět požadavky na vymazání jména po celý den.

Zde se změní na odstranění podsložek a souborů. Ve všech písmen abecedy je inheritance zakázáno a uživatelé jsou určeny k odstranění podsložek a souborů. V důsledku toho, v katalogové složce, uživatelé nebudou moci odstranit žádné písmeno, ale uvnitř písmen lze libovolovat něco.

Vymazat. Všechno je tady jednoduché. Smazat je vymazán. Nefunguje bez práva číst.

Readpermisí čtení Dává právo uživateli zobrazit oprávnění ve složce nebo souboru. Žádné právo - Uživatel nevidí oprávnění na bezpečnostní kartu

Změna povolení (přechodníky) - Umožňuje uživateli změnit oprávnění, v podstatě uskutečňuje uživatele správcem složky. Můžete použít například k delegování pravomocí technické podpory. Bez práva na čtení povolení, to nedává žádný smysl. Změna povolení neznamená změnu ve vlastníkovi složky.

Změna majitele (prodejce) - začít s tím, kdo je takový majitel. Majitel je uživatel, který vytvořil soubor nebo složku.

Funkce vlastníka je, že má plný přístup k vytvořené složce, může distribuovat oprávnění k jeho vytvořené složce, ale co je důležitější - nikdo nemůže zbavit vlastníkem práva ke změně oprávnění na jeho složku nebo soubor. Pokud Vasya vytvořil složku, dal plný přístup k domácímu mazlíčku a Petya šel a nadával přístup ke složce obecně a VASI zejména, pak Vasya bez velkého potíže může obnovit status quo, protože je to vlastník složky. Změnit majitele složky PETEA nebude schopen, i když má povolení ke změně vlastníka. Dokonce i Vasya nemůže změnit majitele, a to navzdory skutečnosti, že vytvořil složku. Právo změnit vlastník se vztahuje pouze na skupinu správců nebo správcům domény.

Ale pokud PETEA uvnitř složky Vasina vytvořila soubor a nedala vám přístup k ní, pak si můžete myslet a hádat, co je v tomto souboru takového tajemství. Vasya nebude moci změnit přístupová práva k souboru, protože vlastník souboru je PETEA. Také Vasya nebude moci změnit vlastník souboru - změna vlastníkovi subsonalerů a objektů je také oprávnění skupiny Administrators, na kterou se Vasya neplatí. Jedinou verzí možnosti WASI je podívat se na soubor PETIN uvnitř složky.

Spravovat

CMD pro správu oprávnění je dobře používána dobře známé ICACL. V Powershell vypadá správa oprávnění NTFS takto:

Získejte objekt, do kterého nastavíme oprávnění
$ ACL \u003d GET-ACL C: TESTERMS
Sestavte linku s právy pomocí systému System.Security.AccessControl.filesystemAccessRule třídy. Můžeme nastavit následující parametry:

  • skupina / uživatelské jméno - Pro koho děláme ACL
  • rozlišení - ACE (přijímá hodnoty uvedené v příspěvku)
  • platí pro - v GUI je rozevírací seznam v dalších bezpečnostních parametrech. Ve skutečnosti se provádějí pouze 3 hodnoty: Žádný (pouze do této složky), ContainerIrit (platí pro všechny podsložky), objectInteIt (platí pro všechny soubory). Hodnoty lze kombinovat.
  • použijte tato oprávnění k objektům a kontejnerům pouze uvnitř této kontejnery (zaškrtněte políčko v GUI) - také 3 hodnoty: Žádný (zaškrtávací políčko), Inheritonly (ACE platí pouze pro vybraný typ objektu), nopropagateIntherit (aplikovat oprávnění pouze uvnitř této nádoby).
  • pravidlo - Povolit (Povolit) nebo zakázat (Deny)
Výchozí řádek bude vypadat takto:
$ sv.
Vytvořit nový eso s výše uvedenými oprávněními
$ Ace \u003d New-Object Security.AccessControl.filesyYystemAccessrul.filesyYMystemAccessRule $ Povolení
A aplikujte čerstvě vytvořený eso k objektu
$ ACL.SETACCSRULE ($ ACE) $ ACL | SET-ACL C: TESTERMS

Použít v praxi

Ozbrojené znalostmi SMB a NTF umožňuje, kombinovat je lze vytvořit přístupovou pravidlům absolutně jakékoli složitosti. Několik příkladů:
Typ SMB oprávnění Oprávnění NTFS
Složka pro každého (veřejnost) Členové čtení / záznam Uživatelé - změna
Černá skříňka. Uživatelé vyhoďte důvěrné zprávy, návrhy, praskliny - průvodce čte. Členové čtení / záznam
Manuál - číst / psaní		 Uživatelé - záznam, platí pouze pro tuto složku. Předpokládá se, že vstup do této složky je jednosměrná jízdenka, protože pohodlný způsob, jak upravit bez práva pro zobrazení obsahu složky složky uložené v této složce souborů neexistuje (vhodná pro uživatele metody Do takové složky, mimochodem, neexistuje ani). A prohlížení porušuje soukromí.

Manuál - změna.
Aplikace Uživatelé čtení Čtení uživatelů, čtení a provádění, zobrazení obsahu složky.

Některé aplikace mohou přirozeně vyžadovat další práva k práci. Ale obecně, například ukládání systémových nástrojů pro diagnostiku (stejné suite sysinternals) je dost dostačující.

Uživatelské profily Každý uživatel - čtení / zápis do jeho složky Každý uživatel je změna jeho složky.

Oprávnění v systému Windows - protichůdná věc. Na jedné straně jsou hlavní povolení poměrně jednoduché a pokryty 90% případů. Když se však vyžaduje jemnější ladění: různé uživatele uživatelů, jedna složka, bezpečnostní požadavky pro sdílené složky - pak se zabývají dalšími oprávněními, dědičnosti a vlastníků jsou poměrně obtížné.

Doufám, že jsem se nikoho nedotkl.

V předchozí přednášce jsme hovořili o bezpečnosti sítě a o takové věci jako povolení, ale stojí za to vrátit, protože oprávnění jsou k dispozici pouze na pevných discích ve formátu NTFS. V této sekci budeme hovořit o možnostech NTFS, abychom ochránili své soubory před zvědavými očima. Na rozdíl od tukového systému nemůže být přístup k sdíleným zdrojům zapnuto a odpojeno. NTFS poskytuje tuto úroveň výběru detailu, která přeskočí pouze ty, které chcete poskytnout přístup, a prosévat všechny ostatní.

Oprávnění samostatného uživatele

Před projednáváním oprávnění uživatele a skupiny, stejně jako samotné soubory, je důležité zvážit základy povolení. Nejdříve ukážeme, co je dědictví, a pak zvážit profesionální nástroj Windows XP, který by vám měl pomoci, ale může se proměnit v překážku, pokud to nezobrazíte ve svých funkcích.

Dědictví

Na síti může být pár uživatelů a mohou být tisíce. Při instalaci vlastních oprávnění pro svazky a složky NTFS může být tento úkol relativně jednoduchý v organizaci sestávající ze šesti lidí. Jak již bylo uvedeno v přednáškách 9, pokud organizace začne růst, rozdělení uživatelů do konkrétních skupin činí řízení oprávnění je mnohem jednodušší.

Za prvé, měli byste vytvořit soubor oprávnění pro konkrétní skupinu, například pro inženýry. V tomto případě, když se v organizaci zobrazí nový inženýr, automaticky se přidá do této skupiny. Zároveň je zdědil oprávněními pro tuto skupinu.

Poznámka. Dědictví souvisí s jinými objekty NTFS Tom. Pokud například nastavíte oprávnění pro konkrétní složku, a pak vytvořil podsložku v něm, pak vpravo od dědictví vás osvobozuje vytváření nové sady oprávnění pro tuto podsložku, protože zdědí oprávnění rodičovské složky.

Pokud si myslíte, že skupina inženýrů musí být vydávána nebo obnovena určité usnesení, je snadné to udělat. Po změně (o tom, o čem budeme mluvit v této přednášce později) každému členu této skupiny je přiřazeno nové povolení.

Na druhou stranu, určitý konkrétní inženýr může vyžadovat usnesení, ve kterém zbytek nepotřebuje. Můžete vstoupit do skupiny inženýrů, provádět změny nezbytné pro tento uživatel a obdrží nové povolení, které jej nebude zděděno, aby patřil k této skupině. V tomto případě nebude povolení distribuováno ostatním členům skupiny.

Nová kvalita v systému Windows XP Professional je jednoduchá sdílení souborů (jednoduchý sdílení souborů). Tato funkce je obsažena v primární instalaci programu Windows XP Professional nebo při použití svazku nebo složky. Chcete-li připojit více nástrojů pro přístup k uživatelům, jednoduše sdílení souboru musí být zakázán.

Můžete klást otázku, proč je třeba jednoduše sdílet soubory, pokud musí být tato funkce odpojena. Pouze pro usnadnění procesu sdílení souborů a složek. S jednoduchým souborem sdílení neexistují žádné soubory a více konfigurace pro přístup uživatelů do souborů, tiskáren atd. To zajišťuje snadný způsob sdílení souborů. Nicméně, pokud chcete spravovat těm, kteří mohou přijmout právo na přístup k souborům, jednoduché sdílení souborů by mělo být zakázáno. Chcete-li to provést, proveďte následující kroky.

  1. Vyberte Start Můj počítač (Start Můj počítač) a klepněte na položku Nástroje a vyberte možnost Volby složek (vlastnosti složek).
  2. V dialogovém okně Možnosti složky klikněte na kartu Zobrazit.
  3. Zkontrolujte seznam nastavení v okně Upřesnit nastavení a poté zaškrtněte políčko Použít jednoduchý sdílení souborů.
  4. Klikněte na OK.

Poznámka. Samotným, zakázání jednoduchého sdílení souborů neumožňuje nastavit oprávnění pro soubory. Měli byste také umístit všechny soubory a složky v hlasitosti NTFS nebo sekci.

Oprávnění pro složky a svazky

Povolení provádět kontrolu nad skutečností, že uživatel nebo skupina mohou dělat s objektem v síti nebo na svém místním počítači. Oprávnění jsou podporována pouze tehdy, když je odpojena jednoduchým sdílením souboru a na pevném disku ve formátu NTFS. V seznamu uvedených oprávnění přiřazených složek a in - pro soubory.

Tabulka 10.2. Rozlišení složek
Řešení
Změnit oprávnění Změnit oprávnění ke složce.
Vytvořit soubory. Vytváření nových souborů v této složce.
Vytvořit složky. Vytváření podadresářů v této složce.
Vymazat. Smazat složku.
Smazat podsložky a soubory Odstranit soubory a podadresáře, i když nemáte povolení k jejich vytváření.
Seznam složky. Zobrazení obsahu složky.
Přečtěte si atributy. Zobrazení atributů složek.
Přečtěte si oprávnění Zobrazení oprávnění složky.
Převzít vlastnictví. Přiřazení práv jiného uživatele vlastní složku.
Traverse složka. Otevření složky pro zobrazení podadresářů a rodičovských složek.
Zápis atributů. Provádění změn vlastností složky.
Tabulka 10.3. Rozlišení souboru.
Řešení Umožňuje nebo zakazuje tuto akci
Dodávejte data. Přidání informací do konce souboru bez změny stávajících informací.
Změnit oprávnění Provádění změn pro oprávnění k souboru.
Vymazat. Vymazání souboru.
Execute soubor. Spusťte program obsažený v souboru.
Přečtěte si atributy. Zobrazit atributy souborů.
Přečtěte si data. Zobrazení obsahu souboru.
Přečtěte si oprávnění Zobrazení oprávnění k souboru.
Převzít vlastnictví. Přiřazení vlastnictví vlastnictví tohoto souboru od jiného vlastníka.
Zápis atributů. Změnit atributy souborů.
Zapište data. Změna obsahu souboru.
Vytváření a správa oprávnění

Vytvoření oprávnění pro jednotlivé soubory, složky a svazky NTFS, můžete použít mnohem více možností zabezpečení než nabídky souborového souboru FAT. Karta Vlastnosti vybrané složky nebo svazku obsahuje záložku zabezpečení. Kliknutím na něj můžete zobrazit řadu možností pro řízení přístupu.

Chcete-li upravit oprávnění této složky nebo hlasitosti, proveďte následující kroky.

  1. Zadejte svazek nebo složku, pro kterou chcete nastavit oprávnění.
  2. Klikněte pravým tlačítkem myši na něj a vyberte příkaz Vlastnosti.
  3. Vyberte kartu Zabezpečení.

Poznámka. Pokud je hlasitost NTFS v sdílení, musíte nastavit oprávnění přes záložku zabezpečení a nepoužívat tlačítka oprávnění (oprávnění) na kartě Sdílení.

V okně Vlastnosti, které se zobrazí, zobrazí se dvě okna. Horní okno obsahuje seznam uživatelů a skupin (). V Nizhny - seznam oprávnění pro uživatele, který lze instalovat a upravit. Tato karta je opět k dispozici pro svazky ve formátu NTFS.

Obr. 10.7. Dialogové okno Vlastnosti zabezpečení (zabezpečení)

Kliknutím na konkrétní uživatel nebo skupinu můžete nastavit oprávnění pro ně v dolním okně. K dispozici jsou následující oprávnění.

  • Plná kontrola. Umožňuje uživateli nebo skupině číst, vytvářet, upravovat a odstranit soubory.
  • Modifikovat (modifikace). Umožňuje uživatelům odstranit soubory a složky, provádět změny oprávnění nebo přijímat vlastnictví souboru nebo složky od jiného uživatele.
  • Přečtěte si & Execute (čtení a provedení). Umožňuje uživatelům číst a spustit soubory bez provedení změn obsahu sdíleného svazku nebo složky.
  • Obsah složky Seznam (seznam obsahu složky). Umožňuje uživatelům zobrazit obsah složek.
  • Přečtěte si (čtení). Umožňuje uživatelům zobrazit obsah hlasitosti nebo složky. Mohou také otevřít soubory, ale nemají právo uložit změny.
  • Napsat. Umožňuje uživatelům nahrávat ve složkách nebo svazcích, ale zakazuje otevírání souborů nebo zobrazit seznam souborů.
  • Zvláštní oprávnění (zvláštní oprávnění). Kliknutím na tlačítko Upřesnit (volitelné) můžete použít speciální oprávnění.
Omezení počtu uživatelů

V závislosti na velikosti a struktuře organizace nemusíte povolit simultánní přístup ke všem, kteří chtějí jeden. Pokud potřebujete navázat limit počtu uživatelů, kteří mají současně přístup ke složce, otevřete dialogové okno Oprávnění a vyberte kartu Sdílení (obr. 10.8).

V části User Limit (Limit počet uživatelů) zadejte jednu z následujících možností.

  • Maximální povoleno umožnit přístup k maximálnímu počtu uživatelů sítě.
  • Povolit tento počet uživatelů povolit přístup pouze pro zadané číslo uživatele.

Více informací o oprávněních naleznete v CH. devět.

Chcete-li spravovat přístup uživatele ke složkám a souborům, použije se podrobný a komplexní systém oprávnění. Mechanismus řízení přístupu pro objekty Windows je jedním z nejpodrobnějších mezi známými operačními systémy. Pro soubory a složky existují alespoň 14 oprávnění NTFS, které lze zapnout nebo blokovat - a zaškrtnuto. Tato oprávnění mohou být přiřazeny soubory nebo složky a uživatelé nebo skupiny. Kromě toho je možné přiřadit pořadí oprávnění dědictví pro soubory nebo složky a uživatele nebo skupiny. V bludiště oprávnění se snadno ztratí. Tento článek popisuje, jak povolení pro složky a soubory a nejúčinnější způsoby jejich aplikace.

Základy přístupu k objektům

Uživatel nikdy nezadá přímý "kontakt" s libovolným předmětem Windows. Veškerý přístup k objektům se provádí prostřednictvím programů (například Průzkumník Windows Explorer, Microsoft Office) nebo procesy. Program, který odkazuje na prostředky jménem uživatele, provádí postup zvaný zosobnění (zosobnění). Program, který odkazuje na vzdálený prostředek, provádí postup nazvaný delegace (delegace).

Po registraci uživatele je identifikátor systému (identifikátor systému - SID) a identifikátory SID zpracovávány procesem lsass.exe, který generuje zabezpečený přístup uživatelem. Další informace jsou zadány do zabezpečeného přístupového markeru, včetně uživatelských práv (oprávnění), ID relace uživatele (jedinečné pro každou relaci), masku oprávnění s podrobným popisem typu požadovaného přístupu. Práva přiřazená uživateli lze vidět pomocí týmu.

Pokud program odvolání od uživatele do zabezpečeného zdroje, monitor zabezpečení (referenční monitor zabezpečení) požaduje zabezpečený přístupový graf uživatelů. Pak se bezpečnostní monitor analyzuje značku, aby určil účinná oprávnění uživatele a umožňuje nebo zakazující provádění uživatele požadovaného uživatelem. Efektivní oprávnění jsou podrobněji popsána níže.

Sdílení oprávnění.

Každá okna chráněný objekt je včetně souborů, složek, sdílených zdrojů, tiskáren a sekcí registru - podporuje zabezpečení usnesení. Veškerá složka systému Windows lze provést veřejně vyřešit vzdálený přístup. Oprávnění ke sdílení lze přiřadit libovolné složce a objekty tiskárny v systému Windows, ale oprávnění se použijí pouze v případě, že odkaz na objekt dochází přes síťový prostředek. Oprávnění ke sdílení složky zahrnují úplnou kontrolu, změnu a čtení.

Subjekty zabezpečení, které jsou přiřazeny k úplnému přístupu (plnou kontrolu) k objektu, mohou produkovat téměř všechny operace s objektem. Mohou smazat, přejmenovat, kopírovat, přesunout a změnit objekt. Uživatel s právem na plnou kontrolu může změnit rozlišení objektu sdílené položky a stát se vlastníkem objektu (pokud již není vlastníkem a nemá povolení převzetí vlastnictví). Každý uživatel s rozlišením úplného řízení může tedy zrušit oprávnění jiných osob, včetně správce (i když správce může vždy vrátit držení a oprávnění). Schopnost měnit oprávnění je povinným požadavkem jakéhokoli operačního systému se selektivním řízením přístupu (DAC), jako jsou Windows.

Ve většině případů se změní základní rozlišení přístupu ke zdroji požadovaným obvyklým uživateli. Pomocí příkazu změny může uživatel přidat, mazat, změnit a přejmenovat prostředky v odpovídající složce. Rozlišení pro čtení poskytuje prohlížení, kopírování, přejmenování a tisk objektu. Uživatel s rozlišením čtení může kopírovat objekt na jiné místo, ve kterém má plná kontrola vpravo.

Oprávnění NTFS

Pokud je systém souborů NTFS (a ne FAT) používán v systému Windows, pak všechny soubory, složky, sekce registru a mnoho dalších objektů mají oprávnění NTFS. Oprávnění NTFS se používají jak s lokálním, tak vzdáleným přístupem k objektu. Chcete-li zobrazit a změnit oprávnění souboru nebo složky NTFS, klepněte pravým tlačítkem myši na objekt, vyberte položku Vlastnosti a přejděte na kartu Zabezpečení.

Tabulka 1 ukazuje 7 celkových oprávnění NTFS. Celková oprávnění jsou různé kombinace 14 podrobnějších oprávnění uvedených v tabulce 2. Zobrazit podrobná oprávnění, můžete otevřít dialogové okno Rozšířené nastavení zabezpečení pro objekt kliknutím na tlačítko Upřesnit na kartě Zabezpečení a potom klepněte na tlačítko Upravit Karta oprávnění. Seznámit se s detailními oprávněními objektu (zejména vyžadujícím zvýšenou bezpečnost) - užitečný zvyk, i když to vyžaduje větší úsilí. Celková oprávnění ne vždy přesně odrážejí stav podrobných povolení. Například, musel jsem vidět celkové povolení čtení, i když ve skutečnosti měl uživatel oprávnění ke čtení a provedení.

Podobně jako usnesení plnou kontrolní sdílení, povolení plné kontroly NTFS poskytuje majitelům velkých příležitostí. Uživatelé, kteří nejsou správci, mají oprávnění z plné kontroly v domovském adresáři a dalších souborech a složkách. Jak již bylo uvedeno, vlastník práv na takovou úroveň může změnit oprávnění souboru a jmenovat sama vlastníka. Místo toho, aby uživatelé poskytovali povolení z plné kontroly, můžete jim dávat pouze upravit. Pokud je uživatel vlastníkem souboru, pak je-li to nutné, můžete jej ručně zakázat změnu oprávnění.

Technicky, oprávnění NTFS jsou známa jako Selective Seznamy řízení přístupu (DACL diskreční). Oprávnění auditu jsou známy jako systémové ACL (SACL). Většina chráněných objektů NTFS má oprávnění obou druhů.

Vliv služby Windows Důvěra

Ve výchozím nastavení mají všechny domény a lesy Windows 2000 a novější verze bilaterální důvěryhodné vztahy se všemi ostatními lesními doménami. Pokud doména důvěřuje jinou doménou, všichni uživatelé v důvěryhodné doméně mají stejná oprávnění zabezpečení v doméně důvěryhodnosti jako skupina pro všechny a skupiny ověřených uživatelům důvěryhodné domény. V jakékoli doméně, mnoho oprávnění je předepsáno těmito skupinami ve výchozím nastavení a důvěryhodné vztahy implicitně poskytují široká práva, která by nebyla poskytována v jiných případech. Je třeba mít na paměti, že pokud důvěrné vztahy nesdílejí vzorová povaha, pak všechna oprávnění poskytovaná všemi a ověřenými skupinami uživatelů jsou přiřazeny všem ostatním uživatelům v lese.

Zkontrolujte oprávnění z příkazového řádku

Správci často používají nástroje příkazového řádku, jako je subinacl.exe, xacls.exe a caCls.exe ke kontrole oprávnění NTFS. SUBINCL je součástí prostředků pro nástroje Windows Server 2003 prostředky. Pomocí SubinacL můžete zobrazit a změnit oprávnění NTFS pro soubory, složky, objekty, položky registru a služby. Nejdůležitější možností Subinacl je kopírovat uživatelská oprávnění, skupiny nebo objekt a aplikovat je na jinou uživateli, skupinu nebo objekt ve stejné nebo jiné doméně. Pokud například přesunete uživatele z jedné domény na jinou, je v systému Windows vytvořen nový uživatelský účet; Všechny dříve existující SID nebo oprávnění spojená s počátečním uživatelem jsou zrušeny. Kopírování oprávnění k novému uživatelskému účtu pomocí Subinacl, můžete je učinit identickými. XCACLS funguje podobně jako subinacl a je součástí sady zdrojů Windows 2000 Server Resource Resource Sada.

Program CACLS je popsán v Microsoftu publikovaném článkem společnosti Microsoft "Undocumentd CACL: Skupinová oprávnění Možnosti". Jedná se o starší nástroj, který se objevil jako součást Windows z Windows NT. CACLS není tak užitečné jako subinacl nebo xcls, ale nástroj je vždy dostupný v systému Windows. S CACLS můžete zobrazit a změnit soubory a oprávnění pomocí uživatelů a skupin, ale nevytvářejí detailní oprávnění NTFS. Funkce CACLS jsou v současné době omezeny na práci bez přístupu, čtení, čtení, změnou a úplné kontroly, které odpovídají oprávněními NTFS, ale neřeší se sdílení. Kromě toho svolení čtecího programu CACL splňuje rozlišení systému čtení a spouštění NTFS.

Dědictví

Ve výchozím nastavení všechny soubory, složky a sekce registru zdědí oprávnění z nadřazeného kontejneru. Dědictví lze aktivovat nebo deaktivovat pro jednotlivé soubory, složky nebo sekce registru a pro jednotlivé uživatele nebo skupiny. Jak vidíme na obrazovce 1, pole Použít na na kartě Oprávnění v dialogovém okně Rozšířené nastavení zabezpečení zobrazuje, zda je akce konkrétního rozlišení omezena na aktuální kontejner, nebo se rozprostírá na podsložky a soubory. Správce může přiřadit povolení (pro jednotlivé uživatele), které jsou zděděny nebo ne. V tomto příkladu má skupina Everyone svolení čtení a spuštění v aktuální složce a toto povolení není zděděno.

Pokud soubor nebo složka zdědí většinu svých povolení, ale má také soubor jasně zadaných oprávnění, druhá má vždy prioritu pro zděděná práva. Můžete například poskytnout uživateli svolení plné kontroly-popírání v kořenovém katalogu konkrétního svazku a nastavit dědičnost těchto oprávnění všemi soubory a diskových složek. Potom můžete přiřadit libovolný soubor nebo složku na disku vpravo na přístup, který zruší zděděný režim Full Control-Depy.

Efektivní oprávnění

Sledování zabezpečení systému Windows definuje efektivní uživatelské povolení (skutečná oprávnění, která mají v praxi) s přihlédnutím k několika faktorům. Jak bylo uvedeno výše, monitor ochrany nejprve shromažďuje informace o individuálním účtu uživatele a ve všech skupinách, ke kterým patří a shrnuje všechna oprávnění přiřazená všem uživatelům a skupinám SIDS. Pokud popírá a umožní oprávnění existovat na jedné úrovni, pak, jako pravidlo, popřít má prioritu. Pokud priorita obdrží plnou kontrolu-popírat, uživatel obvykle nemá přístup k objektu.

Ve výchozím nastavení při registraci oprávnění NTFS a sdílení (uživatel se připojuje k prostředku prostřednictvím sítě), monitor ochrany musí shromažďovat všechny oprávnění sdílení a NTFS. Výsledkem je, že účinná oprávnění uživatele jsou souborem oprávnění poskytnutých oběma oprávněními sdílení a NTFS.

Například, pokud se uživatel může ukázat, že je pro čtení a změnu oprávnění sdílení a oprávnění NTFS číst a upravovat. Efektivní povolení - nejkrásnější soubor oprávnění. V tomto případě jsou oprávnění téměř totožná. Efektivní oprávnění budou číst a měnit / měnit. Mnoho administrátorů mylně se domnívají, že účinná oprávnění jsou čištěna pouze kvůli špatným, příliš zjednodušeným příkladům nebo zastaralým dokumentaci.

V dialogovém okně Rozšířené nastavení zabezpečení v systému Windows XP a novějších verzích se objevila záložka Efektivní oprávnění (viz obrazovka 2). Bohužel na kartě Efektivní oprávnění se odrážejí pouze oprávnění NTFS. Dopad oprávnění akcií, akce založené na poslanci, jejichž členství nemá, a další faktory, jako je systém šifrování souborů (šifrovací souborový systém - EFS). Pokud je EFS aktivován pro soubor nebo složku, uživatel s příslušnými oprávněními NTFS a sdílením může ztratit možnost přístupu k objektu, pokud nemá přístup EFS do složky nebo souboru.

  • Pečlivě poskytnout povolení z plné kontroly běžným uživatelům. Je vhodné jej přiřadit místo modifikovaného rozlišení. Ve většině případů tento přístup poskytuje uživatelům všech nezbytných oprávnění, což umožňuje měnit práva nebo přiřadit vlastnictví.
  • Pečlivě pracovat s skupinou všech; Je lepší použít skupinu ověřených uživatelů (nebo uživatelů) nebo speciální omezenou skupinu. Důležité opomenutí skupiny ověřených uživatelů jsou nedostatek hosta a autentizovaného uživatele.
  • Správci sítě jsou často požádáni, aby zadali účty hostů pro uživatele třetích stran (například konzultanty, dodavatelé, programátory na volné noze). Ale pravidelná uživatelská práva jsou často nadbytečná k hostu. Měli byste vytvořit a používat skupinu, jejíž práva jsou vysoce oříznuta (například plná kontrola-odepření oprávnění pro kořenové adresáře) a pak výslovně povolit přístup k souborům a složkám nezbytným pro tento účet hosta. Explicitně jmenovaná oprávnění jsou preferována, protože poskytují uživatelům hostů s těmito oprávněními, která jsou nezbytná pro jejich práci, ale ne více.
  • Měla by být přijata péče, ukládání zákazů skupin všech a uživatelů, protože správci jsou zahrnuti do těchto skupin.
  • V případě vztahů s důvěrou s jinými doménami je užitečné aplikovat jednostranný a selektivní důvěru za účelem omezení práv uživatelů důvěryhodné domény.
  • Je nutné pravidelně kontrolovat NTFS a sdílení oprávnění, aby se ujistil, že jsou co nejmenší.

Pomocí těchto doporučení a referenční tabulky se stručným popisem všech povolení můžete bezpečně přejdete do labyrintu systému souborů. Správce bude schopen s jistotou přiřadit oprávnění pro soubory, složky, uživatele a skupiny.

Tabulka 1. Shrnutí oprávnění NTFS

Řešení

Akt

Poskytuje prohlížení, kopírování, tisk a přejmenovat soubory, složky a objekty. Nespustí spustitelný soubor, kromě scénářových souborů. Umožňuje přečíst oprávnění objektů, atributů objektů a pokročilých atributů (například archiv, eFS bit). Umožňuje vytvářet seznam souborů a složek podsložek.

Povolení čtení, plus vytvářet a přepisovat soubory a složky

Seznam (pouze složky)

Umožňuje zobrazit názvy souborů a podsložek ve složce

Přečtěte si oprávnění a spuštěné softwarové soubory

Poskytuje všechna povolení, kromě možnosti přiřazení vlastnictví a přiřazení oprávnění. Umožňuje přečíst, mazat, měnit a přepsat soubory a složky.

Poskytuje plnou správu složek a souborů, včetně umožňuje přiřadit oprávnění.

Zvláštní oprávnění

Umožňuje sestavit kombinaci 14 podrobnějších povolení, která nevstoupí do žádné z dalších 6 celkových oprávnění. Tato skupina zahrnuje synchronizaci povolení

Tabulka 2. Podrobná oprávnění NTFS

Řešení

Akt

Traverse Folder / Execute soubor

Folder Traverse Umožňuje přesunout na složky pro přístup k jiným souborům a složkám, i když bezpečnostní entita nemá oprávnění ve složce TRANSIT. Platí pouze pro složky. Složka pro traverse vstupuje v platnost pouze tehdy, pokud bezpečnostní entita nemá povolení uživatelského uživatele bypass procházky (poskytnuté ve výchozím nastavení každého). Execute soubor umožňuje spustit programové soubory. Přiřazení povolení složky Traverse pro složku není automaticky nainstalovat oprávnění spouštění souborů pro všechny soubory ve složce

Seznam složek / čtení dat

Poskytuje zobrazení názvů souborů a podsložky ve složce. Seznam složky ovlivňuje obsah složky - neovlivní, zda bude složka zadána do seznamu, pro které je rozlišení přiřazeno. Čtení dat Umožňuje zobrazit, kopírovat a tisknout soubory

Bezpečnostní jednotka vidí atributy objektu (například pouze pro čtení, systém, skrytý)

Přečtěte si rozšířené atributy.

Bezpečnostní jednotka vidí atributy rozšířených objektů (například EFS, komprese)

Vytvořit soubory / zápis dat

Vytvořit soubory Umožňuje vytvářet soubory uvnitř složky (aplikovat pouze na složky). Zápis data Umožňuje provádět změny souboru a přepsat existující obsah (aplikovaný pouze na soubory)

Vytvořit data / připojovací data

Vytvořit složky Umožňuje vytvářet složky uvnitř složky (aplikovat pouze na složky). Dodat data Umožňuje provádět změny na konci souboru, ale neměníte se, neodstranit ani přepsat existující data (aplikovaná pouze na soubory)

Zápis atributů.

Určuje, zda bezpečnostní entita může zaznamenávat nebo změnit standardní atributy (například, pouze pro čtení, systém, skryté) soubory a složky. Nemá vliv na obsah souborů a složek, pouze na jejich atributech.

Napište rozšířené atributy.

Určuje, zda bezpečnostní entita může nahrávat nebo upravit rozšířené atributy (například EFS, komprese) a složky. Nemá vliv na obsah souborů a složek, pouze na jejich atributech

Smazat podsložky a soubory

Umožňuje odstranit podsložky a soubory, a to i v případě, že odstranění rozlišení není uvedeno s podsložkou nebo souborem

Umožňuje odstranit složku nebo soubor. Pokud neexistuje žádné oprávnění k odstranění souboru nebo složky, může být smazána, pokud existuje rozlišení smazat podsložky a soubory v nadřazené složce

Přečtěte si oprávnění

Změnit oprávnění

Umožňuje změnit oprávnění (například úplné ovládání, čtení, zápis) nebo složku. Neumožňuje změnit samotný soubor

Určuje, kdo může být vlastníkem souboru nebo složky. Majitelé mohou mít vždy plnou kontrolu a jejich oprávnění v souboru nebo složce nelze neustále zrušit, pokud vlastnictví není zrušeno.

Správci zřídka používají toto povolení. Používá se pro synchronizaci v multiprocesových programech, multiprocess a určuje interakci mezi několika vláken, které oslovují jeden zdroj.

Oprávnění NTFS se používají k ochraně prostředků od:

    místní uživatelé pracující v počítači, na kterém je zdroj umístěn;

    vzdálené uživatele připojené ke sdílené složce v síti.

Oprávnění NTFS poskytují vysokou selektivitu zabezpečení: Pro každý soubor ve složce můžete nastavit oprávnění. Například jeden uživatel vám umožňuje číst a změnit obsah souboru, jiným - pouze číst a zbytek - obecně zakazuje přístup k němu.

Pokud při formátování hlasitosti je na něm nainstalován System NTFS, skupina Everyone je automaticky přiřazena k plnému oprávnění Sontrol (plná kontrola) na tomto svazku. Složky a soubory vytvořené na tomto svazku ve výchozím nastavení zdědí toto povolení.

Individuální oprávnění

Windows NT má šest typů osobních oprávnění NTFS, z nichž každá určuje typ přístupu do souboru nebo složky.

Tabulka popisuje operace uživatelsky vyřešené se složkou nebo souborem při použití na objekt jednoho z jednotlivých oprávnění NTFS.

Uživatel, který vytvořil soubor nebo složku na svazku NTFS se stává vlastníkem tohoto souboru nebo složky. Pokud je tento uživatel členem skupiny Administrators (Administrators), skutečný vlastník se stává celou skupinou Administrations. Majitel má vždy právo přiřadit a měnit oprávnění k přístupu ke svému souboru nebo složce.

Standardní oprávnění

Ve většině případů budete mít standardní oprávnění NTFS. Jsou kombinací jednotlivých oprávnění. Simultánní účel několika individuálních oprávnění pro soubor nebo složku výrazně zjednodušuje správu.

Po názvu standardního rozlišení v závorkách jsou uvedeny zkratky složek jeho jednotlivých oprávnění. Například standardní rozlišení čtení (čtení) pro soubor je ekvivalentní dvě individuální oprávnění - čtení (čtení) a spuštění - a v závorkách bude stát RX písmena.

Standardní oprávnění pro složky

Tabulka uvádí standardní oprávnění pro složky a indikuje se odpovídající individuální oprávnění NTFS.

Žádný přístup k přístupu (bez přístupu) zakazuje žádný přístup k souboru nebo složce, i když je uživatel členem skupiny, která je věnována přístupu k povolení. Digger v "individuálních oprávněních pro soubor" znamená, že toto standardní rozlišení není použitelné pro soubory.

Standardní oprávnění pro soubory

Tabulka uvádí standardní oprávnění pro soubory a odpovídající individuální oprávnění NTFS odpovídající jim.

Oprávnění Full Control (Full Control) a Změnit (změna) funkce, která druhá neumožňuje změnit oprávnění a vlastníka objektu.

      1. Aplikace NTFS povoluje

Oprávnění NTFS jsou přiřazena uživatelským účtům a skupinám, jakož i přístupová práva k sdíleným prostředkům. Uživatel může získat povolení přímo nebo je členem jednoho nebo více skupin s povolením.

Použití oprávnění NTFS pro složky je podobná použití přístupových práv na sdílené zdroje.

    Stejně jako přístupová práva ke sdíleným prostředkům, skutečná oprávnění NTFS pro uživatele je kombinací oprávnění uživatele a skupin, jejichž člen je. Jedinou výjimkou je povolení bez přístupu (přístup): Zruší všechna další oprávnění.

    Na rozdíl od práv přístupu ke sdíleným zdrojům chrání oprávnění NTFS místní zdroje. Zejména soubory a složky obsažené v této složce mohou mít jiná oprávnění než sama.

Oprávnění NTFS pro soubor převažují nad oprávněními pro složku, do které je obsaženo. Pokud například uživatel má oprávnění ke čtení pro složku a zápis do souboru připojeného k němu, bude moci nahrávat data do souboru, ale nebude moci vytvořit nový soubor ve složce.

Tento článek je ideologicky pokračující článkem. Jak bylo uvedeno v něm, po výběru uživatelů a (nebo) skupin, musíte zadat parametry přístupu k nim. To lze provést pomocí oprávnění systému souborů NTFS diskutovaných v následující tabulce.

Přístupová oprávnění k souborům

  • Čtení. Čtení souboru je povoleno, stejně jako zobrazení jeho parametrů, jako je název vlastníka, oprávnění a další vlastnosti.
  • Záznam. Je dovoleno přepisovat soubor, změnou jeho parametrů, prohlížení názvu svého vlastníka a oprávnění.
  • Čtení a provedení. Oprávnění ke čtení a správnému spuštění spustitelné aplikace.
  • Změna. Je povoleno změnit a odstranit soubor, stejně jako vše, co je poskytováno, umožňuje čtení a provádění povolení, stejně jako nahrávání.
  • Plný přístup.
  • Povoleno plný přístup k souboru. To znamená, že všechny akce uvedené pro všechna výše uvedená oprávnění jsou povolena. Je také dovoleno stát se vlastníkem souboru a změnit jeho oprávnění.

Přístupová oprávnění ke složkám

  • Čtení. Je dovoleno zobrazit vnořené složky a soubory, stejně jako jejich vlastnosti, jako je název vlastníka, oprávnění a atributy čtení, jako je například čtení, skryté, archivní a systémové.
  • Záznam. Je dovoleno vytvářet a odesílat nové soubory a podsložky uvnitř složky, stejně jako změnit parametry složek a zobrazit jeho vlastnosti, zejména název vlastníka a oprávnění k přístupu.
  • Seznam obsah složky. Je povoleno zobrazit názvy souborů obsažených ve složce a podsložkách.
  • Čtení a provedení. Je dovoleno získat přístup k souborům v podsložkách, i když není přístup k samotné složce. Kromě toho jsou povoleny stejné akce, které jsou poskytovány pro oprávnění ke čtení a seznamu obsahu složky.
  • Změna. Všechny akce poskytované pro oprávnění ke čtení a čtení a realizaci a odstranění složky jsou povoleny.
  • Plný přístup. Je povolen plný přístup ke složce. Jinými slovy, všechny akce uvedené pro všechna výše uvedená oprávnění jsou povolena. Navíc dovoleno stát se vlastníkem složky a změnit jeho oprávnění.
  • Zvláštní oprávnění. Sada dalších oprávnění odlišná od standardního.

Soubor Creator je vždy považován za jeho vlastníka, který má práva Plný přístup, I když účet vlastníka není uveden na kartě Zabezpečení souborů. Kromě výše uvedených oprávnění pro soubor můžete vybrat dva další typy oprávnění.

  • Změna majitele. Tento typ rozlišení umožňuje uživateli stát se vlastníkem souboru. Tento typ rozlišení je přiřazen skupině Administrátoři.
  • Změna povolení. Uživatel má možnost změnit seznam uživatelů a skupin s přístupem k souboru, stejně jako změní typy přístupových oprávnění k souboru.

Podobné články