NTFS titkai - jogok, jogosultságok és örökségük. SMB és NTFS engedélyek

Miért van a szervezet legtöbb esetben a szerverre? Active Directory, RDS, nyomtatószerver és egy csomó kis és nagy szolgáltatás. A legjelentősebb szerep talán a fájlkiszolgáló. Az emberek vele, ellentétben más szerepekkel, tudatosan dolgozni. Emlékeztetnek arra, hogy mely mappák milyenek abban a hazugságokban, ahol a dokumentumok beolvasása, ahol jelentéseik vannak, ahol a faxok, ahol a közös mappa, amelyben mindannyian hozzáférhetnek csak az egyik osztályhoz, ahol más, és nem ismerik fel

A Hálózathoz és a helyi mappákhoz való hozzáférésről a kiszolgálón szeretnék beszélni.

A megosztott erőforrásokhoz való hozzáférés a szerveren történik, hogy mindenki tökéletesen tudja mindent, az SMB Protocol 3.0 szerint. A mappákhoz való hálózati hozzáférés csak az SMB és az NTFS-jogosultságokhoz korlátozható. Az SMB engedélyek csak akkor működnek, ha megosztott mappát használnak a hálózaton keresztül, és nincsenek hatással az adott mappa rendelkezésre állására. Az NTFS-engedélyek mind a hálózaton, mind a helyi szinten működnek, ami sokkal nagyobb rugalmasságot biztosít a hozzáférési jogok megteremtésében. Az SMB és az NTFS-jogosultságok nem dolgoznak külön, de kiegészítik egymást a jogok legnagyobb korlátozásának elvének megfelelően.

Annak érdekében, hogy a mappa megoszthassa a Server 2012-et az SMB Share Cmdlets csoportban, az új SMBSHARE CMDlet megjelent. A cmdlet példáján az összes olyan funkciót fogjuk látni, amely megosztott mappát hoz létre, a fürtkonfigurációk mellett (ez egy külön nagy téma).

Új megosztott mappa létrehozása nagyon egyszerűnek tűnik:
Net Share HomeFolder \u003d S: \\ Ivanivanov / Grant: "Admin", Teljes / Grant: "Folderowner", Change / Grant: "Manager", Olvasás / gyorsítótár: Programok / Megjegyzés: "Ivanov" vagy
NEW-SMBSHARE HomeFolder S: \\ Ivanivanov -CachingMode Programok -Fullacess Admin -ChangeAccess Folderowner -ReadAccess menedzser -Noaccess Minden -FolderenumerationMode AccessBased -Description "Ivanov"

Értjük:

-Name A hálózat megosztott mappájának neve eltérhet a helyi számítógép mappájától. 80 karakteres határértékkel rendelkezik, nem használhat cső- és levelezési neveket.

Elérési út a beírni kívánt helyi mappához. Az útvonalnak teljesnek kell lennie, a lemez gyökeréből.

CachingMode A fájlok autonómiájának beállítása megosztott mappában.

Mi az önálló fájl?

Az önálló fájl a szerveren található fájl egy példánya. Ez a másolat a helyi számítógépen található, és lehetővé teszi, hogy a szerverhez való csatlakozás nélkül dolgozzon. A változás összekapcsolásakor szinkronizálva van. Mindkét irányban szinkronizálva van: Ha módosította az offline fájlt - a következő alkalommal, amikor csatlakoztatja a fájlt a kiszolgálón; Ha valaki megváltozott a szerveren - akkor a helyi másolat megváltozik. Ha a változások mindkét fájlban egyszerre fordultak elő, akkor szinkronizálási hibát kapunk, és meg kell választanunk, hogy melyik verziót kell menteni. Ennek a lehetőségnek a megosztása, nem használnám ezt a lehetőséget, de ha minden felhasználó számára labdát készít, és korlátozza a hozzáférést más olvasáshoz, a felvétel lehetősége nélkül, a következő zsemleit kapjuk:

  • A munka nem függ a hálózattól - meg lehet égetni a kapcsolót, egy kiszolgáló újraindíthat, a vezeték áttörheti a hozzáférési pontot, vagy kikapcsolhatja a hozzáférési pontot - a felhasználó dolgozik a másolatával, nem képzett, hogy van valamiféle baleset, A hálózati kapcsolat helyreállításakor a kiszolgálóhoz megy.
  • A felhasználó bármikor dolgozik: a házban, a buszon, a síkon - azokon a helyeken, ahol a VPN-hez valamilyen oknál fogva nem áll rendelkezésre.
  • Ha a felhasználó is a VPN-n keresztül működik, de a kapcsolat vagy a nagyon lassú, vagy folyamatosan törődik - könnyebben dolgozni egy offline másolattal és szinkronizálni a változásokat, mint a kiszolgálón.
  • A felhasználó maga választhatja ki, és mikor kell szinkronizálni, ha lehetőséget adsz.

A következő értékeket veszi:
  • semelyik - A fájlok nem érhetők el offline állapotban, a kiszolgálóhoz való hozzáféréshez hozzáférést kell biztosítani a kiszolgálóhoz.
  • kézikönyv - A felhasználók kiválasztják az autonóm módon elérhető fájlokat
  • programok - mind a mappában elérhető autonóm módon (dokumentumok és programok (fájlok a * .exe, * .dll kiterjesztés))))))))))
  • dokumentumok - A rendelkezésre álló dokumentumok, nincsenek programok
  • branchCache - A helyi számítógépes felhasználó helyett a franciaválasztás a fióktelepiszolgálókon történik, a felhasználók az offline fájlokat választják magukat
-Nemaccess, -rereadAccess, -ChangEccess, -fullaccess általános hozzáférési jogosultságok (megosztási engedélyek).

Ezek az engedélyek egy nagy előnye van - nagyon egyszerűek.

NoAccess titkár, steward - önfenntartó és relozem egyébként az általános számviteli mappákban
-ReadAccess auditor - könyvvizsgáló ellenőrzi a számviteli munka látható fájlneveket és almappákat egy megosztott mappát, nyitott fájlok olvasásához, a programok futtatásához.
-ChangeAccess Könyvelő - Accountants megosztott mappa létrehozhat fájlokat és almappákat, a változás a meglévő fájlokat, törölni fájlokat és almappákat
-Fullacess Admin - Fullaccess egy ReadAccess + ChangeAccess, valamint a képesség, hogy módosítsák az engedélyeket.

Megosztott mappa létrehozásakor a legszigorúbb szabályt automatikusan használják - az "All" csoport olvasható.

Ezek az engedélyek csak olyan felhasználók számára érvényesek, akik hozzáférnek a hálózaton keresztüli megosztott mappához. Helyi belépés a rendszerbe, például egy terminálkiszolgáló esetében, és a titkár és a korona a számvitelben látható, minden kívánság. Ezt az NTFS-jogosultságok javítják. Az SMB-jogosultságok minden fájlra és mappára vonatkoznak a megosztott erőforráson. A vékonyabb hozzáférési jogokat az NTFS engedélyek is végzik.

Concurrentuserlimit Használja ezt a paramétert a megosztott mappához való maximális számának korlátozásához. Elvileg azt is használhatja, hogy korlátozza a mappához való hozzáférést, kiegészítse az NTFS-jogosultságokat, csak akkor kell pontosan magabiztosnak lennie a szükséges számban.

Leírás A megosztott erőforrás leírása, amely látható a hálózati környezetben. A leírás nagyon jó dolog, amit sok elhanyagolnak.

Titkosítása titkosítás

Az SMB 3.0-s verzió, az egyetlen módja, hogy megvédje a forgalom a fájl szerver a kliens volt VPN. Hogyan hajthatjuk végre teljesen a rendszergazda preferenciáitól: SSL, PPTP, IPsec-alagutak vagy valami más. A 2012-es szerveren a titkosítás működik a dobozból, rendszeres helyi hálózaton vagy megbízhatatlan hálózatokon keresztül, anélkül, hogy különleges infrastrukturális megoldásokat igényelne. Mind a teljes kiszolgáló, mind az egyes megosztott mappák esetében engedélyezhető. Az SMB 3.0 titkosítási algoritmusa az AES-CCM, a HMAC-SHA256 helyett a hasító algoritmus az AES-CMAc-hoz vált. A jó hír az, hogy az SMB 3.0 támogatja a hardver AES-t (AES-NI), a rossz hír az, hogy Oroszország nem támogatja az AES-NI-t.

Mi veszélyezteti a titkosítás felvételét? Az a tény, hogy csak az SMB 3.0 ügyfelek támogatják a titkosított közös mappákkal, azaz a Windows 8. okait, a felhasználók jogainak maximális megengedett korlátait. Feltételezzük, hogy az adminisztrátor tudja, mit csinál, és ha szükséges, hozzáférést biztosít az ügyfelek számára az SMB másik verziójával. De mivel az SMB 3.0 új titkosítási algoritmusokat használ, és az ügyfélforgalom egy másik SMB verzióval nem lesz titkosítva, a VPN szükséges. Ahhoz, hogy az összes ügyfelet a titkosítási fájlkiszolgálón engedélyezte, segít a Set-Smbserverconfiguration-areSEjectUncryptedAccess $ hamis parancs segítségével
Az alapértelmezett beállítás (nem snugged forgalom titkosított megosztott mappák tilos, miközben megpróbálja elérni a kliens mappát SMB változat kisebb mint 3,0 a kliens, akkor kap egy „hozzáférési hiba”. A kiszolgálón a Microsoft-Windows-SMBSERVER / MŰKÖDÉS NAPJÁNAK, egy 1003 esemény kerül hozzáadásra, amelyben megtalálja az ügyfél IP-címét, amely megpróbál hozzáférni.

Az SMB és az EFS titkosítás különböző olyan dolgok, amelyek nem kapcsolódnak egymáshoz, vagyis a zsíron és a reflektorokon keresztül is használható.

FolderenMemationMode Ez egy hozzáférési alapú felsorolás. Az Access alapú számlálás engedélyezett, a felhasználók, akik nem férnek hozzá a megosztott mappa egyszerűen nem fogja látni azt a fájl szerver, és nem lesz kevesebb kérdésre, miért nem férnek hozzá ezt vagy azt a mappát. A felhasználó meglátja a rendelkezésre álló mappákat, és nem próbál más dolgokat mászni. Alapértelmezett - Ki.

  • accessedBased - Engedélyezés
  • korlátlan - kapcsolja ki
-Temporary Ez a gomb ideiglenes megosztott mappát hoz létre, amelyhez a kiszolgáló újraindítása után megáll. Alapértelmezés szerint állandó megosztott mappák jönnek létre.

NTFS jogosultságok

Az NTFS engedélyek segítségével részletesebben elhatárolhatjuk a mappák jogait. Tiltunk egy adott csoport megváltoztatásához egy adott fájl megváltoztatásához, így a teljes főszerk szerkesztésének képessége; Ugyanebben a mappában a felhasználók egy csoportja jogosult lehet egy fájl megváltoztatására, és nem tudja megtekinteni más felhasználói csoport által szerkesztett más fájlokat, és fordítva. Röviden, az NTFS-jogosultságok lehetővé teszik számunkra, hogy hozzon létre egy nagyon rugalmas hozzáférési rendszert, a legfontosabb dolog később nem zavarja meg. Ezenkívül az NTFS engedélyek működnek mind a hálózati mappa elérésekor, kiegészítve a teljes hozzáférési jogosultságokat és a helyi hozzáférést a fájlok és mappákhoz.

Hat fő (alapvető) engedélyek vannak, amelyek 14 további engedélyek kombinációja.

Fő jogosultságok
Teljes hozzáférés (FullControl) - teljes hozzáférés egy mappához vagy fájlhoz, azzal a képességgel, hogy megváltoztassa a hozzáférési jogokat és az ellenőrzési szabályokat mappákhoz és fájlokhoz

Módosít - Az olvasáshoz, változáshoz, a mappa tartalmának megtekintése, mappák / fájlok törlése és a végrehajtott fájlok futtatása. Tartalmazza az olvasást és a végrehajtást (SeadandExecute), írás (írás) és törlés.

Olvasás és végrehajtás (SeadandEndExecute) - A mappák megnyitásához és a fájlok olvasásához, a felvétel lehetősége nélkül. A fájlok futtatása is lehetséges.

Tartalom mappa (listdirectory) listája - a mappa tartalmának megtekintéséhez való jog

Olvasás (olvasás) - A mappák megnyitásához és a fájlok olvasásához, a felvétel lehetősége nélkül. Tartalmazza a mappa tartalma / olvasási adatok (Olvasás), olvasás attribútumok (readattributes), olvasás további attribútumok (readextendedattributes) és az olvasás jogosultságokat (ReadPermissions)

Felvétel (írás) - A mappák és fájlok létrehozásának joga, a fájlok módosítása. Tartalmazza a fájlok létrehozása / írása Adatkészítés / adatkárosodás (appenddata), attribútum felvétel (WriteTtributes) és további attribútumok felvétele (WriteExendentattributes)

További engedélyek
A 14 engedélyek közül csak 1 mappába helyeztem, és figyeltem, hogy mi kiderül. A valós világban a legtöbb esetben elegendő nagyobb engedélyek vannak, de a lehető legmagasabb jogokkal rendelkező mappák és fájlok viselkedését érdekelték.

Traverse mappák / fájlok végrehajtása (áthaladó) - A fájlok elindításához és olvasásához való jog, függetlenül a mappához való hozzáférési jogoktól. A mappa mappájához való hozzáférés nem lesz hozzáférése (amely a mappában van jelen, továbbra is rejtély marad), de a mappában lévő fájlok közvetlen kapcsolatban lesznek (teljes, relatív vagy UNC elérési út). A TRVERSE mappákat a mappa mappájába helyezi, és a fájl bármely más engedélyt kell dolgozni. A fájlok létrehozása és törlése a felhasználó mappájában nem fog működni.

Readatributes olvasás - Az attribútumok (fileatributes) mappák vagy fájlok megtekintésének joga.
Tekintse meg a mappa vagy fájlok tartalmát, vagy módosíthatja az attribútumok módosítását.

ReadExTendentattributes (ReadExtendentattattributes) - A mappa vagy fájl további attribútumainak megtekintése.

Az egyetlen dolog, amit további attribútumokon találhatok, az, amit az OS / 2 alkalmazásokkal való visszafogott kompatibilitás biztosítása. (Windows Interals, 2. rész: A Windows Server 2008 R2 és a Windows 7) lefedése). Nem tudok többet róluk.

Fájlok / írás adat létrehozása (WRITITATA) - megadja a felhasználót, hogy fájlokat hozzon létre a mappában, amelyben nincs hozzáférése. A fájlokat a mappába másolhatja, és új fájlokat hozhat létre a mappában. Nem tekintheti meg a mappa tartalmát, új mappákat hozhat létre és módosíthatja a meglévő fájlokat. A felhasználó nem fogja megváltoztatni bármilyen fájlt, még akkor is, ha ez a fájl tulajdonosa - csak hozza létre.

Mappák / adatkárosodás létrehozása (appenddata) - lehetőséget ad a felhasználónak arra, hogy létrehozza az almappák és adatokat adhatunk a végén a fájl megváltoztatása nélkül a meglévő tartalmat.

Jelölje be

Az almappák létrehozásával minden világos: Ni C: \\ TEREPERMS \\ TEVERAPEND -ITEEMTYPE könyvtár a várt módon működik - létrehoz egy tesztperper almappát a felhasználó megtekintéséhez. Próbáljuk meg hozzáadni egy karakterláncot a fájl végéhez - Készítsen néhány napló karbantartását. Newevent \u003e\u003e C: \\ Testperpers \\ user.log elutasításra kerül.
Hmm ... a CMD-ben nem működik. És ha igen. AC C: \\ Testperms \\ user.log NewEvent AC: férhetnek mentén "C: \\ Testperms \\ user.log".
És a szállítószalagban? "Newevent" | Out-file c: \\ testperms \\ user.log -append out-file: megtagadva a "C: \\ Testperpers \\ user.log" elérési út mentén.
És így nem működik.

Kezdjük egy fekete mágikus munkamenet: Használja a fájlosztályt, az appendtext módszert. Kapunk egy naplóobjektumot.
$ Log \u003d :: appendtext ("C: \\ Testperpers \\ user.log") Kizárás Ha "appendtext" hívása "1" argumentumokkal: "Megtagadva az elérési út mentén" C: \\ Testperms \\ user.log ".
Azt hiszem, az AppendallText nem érdemes megpróbálni
$ Log \u003d :: appendalttext ("C: \\ Testperpers \\ user.log", "Newevent") Kivétel, amikor "appendalttext" hívás közben "2" argumentumokkal: "Megtagadta a hozzáférést a" C: \\ TestPerms \\ user.log "útvonalon . "
Az ügy elvileg világos. Csak az adatok előtti adatok előzetes küldéséhez a módszerek nem elegendőek, szükségük van egy bejegyzésre a fájlba. De ezzel együtt lehetőséget kapunk arra, hogy megváltoztassuk a fájlt, és ne csak rekordokat adjunk hozzá, azaz kinyitjuk a fájl összes tartalmának pusztítását.

Meg kell vizsgálnunk a koncepciót: Ne kapjunk naplóobjektumot, de hozzon létre egy újat, amelyben megkérdezzük az összes érdekelt paramétert. Szükségünk van valamire, ahol kifejezetten megadhatjuk az engedélyeket. Szükségünk van Filestreamre, és pontosabban segítünk a filestem konstruktorban (string, filemode, filesystemrights, Fileshare, Int32, FileOpciók). Következő paraméterek:

  • A fájl elérési útja világos
  • A fájl megnyitása - Nyissa meg a fájlt, és keresse meg a fájl végét
  • Fájl hozzáférési jogok - Adatadatok
  • Hozzáférés más filestream objektumokhoz - nincs szükség
  • Puffer méret - alapértelmezett 8 bájt
  • További lehetőségek - Nem
Kiderül valami ilyesmi:
$ Log \u003d új objektum io.Filestream ("C: \\ Testperpers \\ user.log" ,: append ,: appenddata ,: Nincs, 8, :: sem)
Művek! Létrehoztunk egy naplóobjektumot, próbálunk valamit írni. A Filestream.Write módszer a bejövő értékeket tartalmazza. Elválasztjuk az eseményt, amelyet rögzíteni kívánunk, bájtok - osztálykitkolás, a GetEnCoding módszer (nincs szükségünk Krakozyabe a kimenetre) és a getbytes (valójában konvertálva)
$ Event \u003d "Egy új esemény történt." $ Eventybytes \u003d :: gteencoding ("Windows-1251"). Getbytes ($ esemény)
Filestream.Write paraméterek:
Mit kell írni; Hol kell elkezdeni az írást; Az írandó bájtok száma
Mi írunk:
$ log.write ($ eventytes, 0, $ eventbytes.count)
Jelölje be.
GC C: \\ Testperms \\ user.log GC: férhetnek mentén "C: \\ Testperms \\ user.log".
Minden rendben van, a felhasználónak nincs joga az írásban. Az adminisztrátor alá váltunk.
GC C: \\ Testperperms \\ user.log új esemény történt.
Minden dolgozik.

Az a mappa, amelyben a fájl az engedély mellett, a mappák / dashing adatok létrehozása megengedett a tartalom / olvasási mappa megoldásához. A fájl elegendő csak a letiltott örökléssel rendelkező mappák / dashing adatok létrehozásához. Teljesen védje meg a felhasználót (és a felhasználó lehet támadó) a fájlokból, amelyekben írjon valamit, nem fog működni, de másrészt a mappa fájllistán kívül a felhasználó nem fog semmit látni ne csináld.

Következtetés Ebből az egyszerűnek: a Batnikovban, hogy valamilyen biztonságos naplózást hajtson végre, a PowerShell megmenti a képességeket a .NET objektumokkal.


Attribútum felvétel (WriteTtributes) - Hagyja, hogy a felhasználó módosítsa a fájlt vagy a mappa attribútumokat. Úgy tűnik, egyszerű. De most csak válaszoljon a kérdésre: "A macskám fotói szinte az összes helyet foglalják el a profilomban, és nincs helyem az üzleti levelezésre. Szeretném összenyomni a mappát az idézőjelekkel, de adminisztrátori jogokat igényel. Azt mondtad, hogy jogom van a mappák attribútumainak megváltoztatására. Az attribútum? Miért nem tudom megváltoztatni?

Igen, az attribútumok íráshoz való jogával rendelkező felhasználó módosítható a fájlok és mappák szinte minden látható attribútuma, kivéve a tömörítési attribútumokat és a titkosításokat. Technikailag a felhasználó jogosult a SetFileatTricides funkció végrehajtására. És a fájl tömörítési végzi DeviceIoControl funkció, amely szeretné átadni a FSCTL_SET_COMPRESSION paraméter és a fájl tömörítési messze a munkáját. Ezzel a funkcióval kezelhetjük az összes eszközt és erőforrásait a rendszerben, és valószínűleg adja meg a felhasználónak ezt a funkciót, hogy ezt a funkciót végrehajtja, hogy adminisztrátor legyen.

A titkosítás A történet hasonló: a EncryptFile funkció, ami csak felelős titkosítás, ezért a felhasználónak joga van tartalom mappa / olvasási adatok fájlok létrehozását / írási adatokat, olvasás attribútumok belépési attribútumok és a szinkronizálás az objektumot. Nélkülük semmi sem fog történni.

WRECHEXTEDATTRIBUTTRICSE felvétel (WritingXtendedattributes). Nos, ezek azok, amelyeket a visszafelé kompatibilitás az OS / 2 alkalmazásokat, aha. Nos, még a C: \\ windows \\ system32 \\ services.Exe a fejlett attribútumai is. Talán a felső szinten ki kell kapcsolni őket? Nem adhatok választ erre a kérdésre, elméletileg - talán érdemes, gyakorlatilag a termelésben - nem próbáltam.

Az almappák és fájlok eltávolítása. (Delesubdirecreandfiles) Egy érdekes felbontás csak a mappákra vonatkozik. A lényeg az, hogy a felhasználó törölje az almappákat és fájlokat a szülő mappában, anélkül, hogy engedélyt adna eltávolítani.

Tegyük fel, hogy van egy olyan áru katalógusa, amelyben a felhasználók adatokat hoznak. Van egy szülő mappa katalógus, az almappában az ábécé szerint, az A-tól Z-ig, néhány nevet benne. A nevek minden nap változóak, valami hozzáadódik, valami változik, valami elavulttá válik, és el kell törölnie az elavult információkat. De ez nem lesz nagyon jó, ha valaki az úszóban vagy rosszindulatú szándékban tekeri az egész katalógust, amely nagyon lehetséges, ha a felhasználóknak joga van eltávolítani. Ha felveszi a jogot, hogy távolítsa el a jogot, akkor az adminisztrátor biztonságosan megváltoztathatja a munkát, mert az egész nap törléséhez kéréseket fog végrehajtani.

Itt bekapcsolja az almappák és fájlok eltávolítását. Az ábécé minden betűjében az öröklés le van tiltva, és a felhasználók címzettje az almappák és fájlok törléséhez. Ennek eredményeként a katalógus mappában a felhasználók nem tudnak eltávolítani a levelet, de a betűk belsejében törölhet semmit.

Töröl. Minden itt egyszerű. A törlés törlődik. Nem működik az olvasáshoz való jog nélkül.

ReadperMissions Reading Jobbra adja a felhasználót, hogy megtekinthesse az engedélyeket egy mappában vagy fájlban. Nincs jog - A felhasználó nem látja az engedélyt a Biztonsági lapon

Engedélyek módosítása (Vonahívások) - Lehetővé teszi a felhasználó számára, hogy megváltoztassa az engedélyeket, lényegében a felhasználót a mappa rendszergazdájával teszi lehetővé. Használhatja például a technikai támogatás hatáskörének átruházását. Az engedélyek olvasási jog nélkül nem érthető. Az engedélyek módosítása nem jelent változást a mappa tulajdonosában.

A tulajdonos (HAvownership) megváltoztatása - Kezdeni, ki az ilyen tulajdonos. A tulajdonos olyan felhasználó, aki létrehozott egy fájlt vagy mappát.

A tulajdonos jellemzője, hogy teljes hozzáférést biztosít a létrehozott mappába, akkor terjeszthető engedélyeket annak létrehozott mappába, de ami még fontosabb - senki sem foszthatja meg a tulajdonos a jogot, hogy a jogosultságok megváltoznak az ő mappát vagy fájlt. Ha Vasya létrehozott egy mappát, akkor teljes hozzáférést biztosított a PET-hez, és Petya elment, és a Vasi-i mappához csatlakozott, majd Vasi-nak, majd Vasya sok nehézség nélkül visszaállítja a status quo-t, mivel ez a mappa tulajdonosa. A PETYA mappa tulajdonosának megváltoztatása nem lesz képes, még akkor is, ha engedélye van a tulajdonos megváltoztatására. Ráadásul még a Vasya sem tudja megváltoztatni a tulajdonosát, annak ellenére, hogy létrehozta a mappát. A tulajdonos megváltoztatásának joga csak az adminisztrátorok csoportjára vagy a tartományi rendszergazdákra vonatkozik.

De ha PETYA belsejében a Vasina mappában létrehozott egy fájlt, és nem adta meg a hozzáférést, akkor csak azt gondolhatja és kitalálhatja, hogy mi van ebben a titokban ebben a titokban. Vasya nem fogja megváltoztatni a hozzáférési jogokat a fájlhoz, mert a fájl tulajdonosa Peta. Továbbá, a Vasya nem tudja megváltoztatni a fájl tulajdonosát - a Subspeteers és tárgyak tulajdonosának változása szintén az adminisztrátorok csoportjának kiváltsága, amelyre Vasya nem alkalmazandó. A WASI opció egyetlen verziója, hogy megnézze a petinfájlt a mappában.

Kezel

A CMD az engedélyek kezeléséhez jól ismert ICACLS. A PowerShellben az NTFS-Engedences menedzsment így néz ki:

Szerezzen olyan objektumot, amelyhez engedélyeket állítunk be
$ ACL \u003d get-acl c: \\ testperms
Építsen egy vonalat a System.Security.Accesscontrol.filesystemAccessrule osztály. Beállíthatjuk a következő paramétereket:

  • csoport / Felhasználónév - akinek az ACL-t csináljuk
  • felbontás - ACE (elfogadja a postai úton megadott értékeket)
  • a GUI-ben a további biztonsági paraméterek legördülő listája. Tény, hogy csak 3 értékeket veszünk: nincs (csak ebben a mappában), ContainerIrit (érvényes az összes almappát), ObjectInherit (valamennyi fájlok). Az értékek kombinálhatók.
  • alkalmazza ezeket az engedélyeket az objektumokra és a tartályokra csak a tartályba (jelölőnégyzet a GUI-ben) - 3 értékek: Nincs (jelölőnégyzet), inheritonly (ACE csak a kiválasztott objektumtípusra vonatkozik), nopropagateinherit (csak a tartály belsejében).
  • szabály - Engedélyezés (engedélyezés) vagy tiltja (megtagadja)
Az alapértelmezett sor így fog kinézni:
$ Engedence \u003d "Contoso.com", "FullControl", "ContainerINHERIT, Objectinherit", "Nincs", "Engedélyezés"
Új ászot készítsen a fenti jogosultságokkal
$ ACE \u003d új objektumbiztonság .Accesscontrol.filesystemAccessrul.FilesystemAccessrule $ engedély
És frissen létrehozott ászot kell alkalmazni az objektumra
$ ACL.SETAccessRule ($ ACE) $ ACL | SET-ACL C: \\ TEREPERMS

Gyakorlatban

Az SMB és az NTFS-es megengedett ismeretekkel való fegyveresek, amelyek ötvözhetők az abszolút bármilyen összetettséggel kapcsolatos hozzáférési szabályokkal. Néhány példa:
Egy típus SMB jogosultságok NTFS jogosultságok
Mappa mindenki számára (nyilvános) Tagok olvasás / felvétel Felhasználók - Változás
Fekete doboz. A felhasználók eldobják a bizalmas jelentéseket, javaslatokat, repedések - útmutatóját. Tagok olvasás / felvétel
Kézi - olvasás / írás		 Felhasználók - Rekord, csak erre a mappára vonatkozik. Feltételezzük, hogy a fájlbejegyzés ebbe a mappába az egyirányú jegy, mivel a fájl mappájának mappájának tartalmának tartalmának megfelelő módja, mivel a fájl mappájának mappájának tartalmának megtekintése nem létezik (kényelmes a módszer felhasználói számára Az ilyen mappák írásaként sem létezik). És a megtekintés megsérti a magánéletet.

Kézi - változás.
Alkalmazások Felhasználók olvasása A felhasználók olvasása, olvasása és végrehajtása, megtekintése a mappa tartalmát.

Természetesen egyes alkalmazások további munkákra is szükség lehetnek. De általában, például a rendszer segédprogramok tárolása a diagnosztika (ugyanaz a Sysinternals Suite) elég elég.

Felhasználói profilok Minden felhasználó - Olvassa el / írja a mappájába Minden felhasználó a mappájának módosítása.

Engedélyek a Windows rendszerben - ellentmondásos dolog. Egyrészt a fő engedélyek meglehetősen egyszerűek és az esetek 90% -át fedezték. De ha egy finomabb hangolás szükséges: a felhasználók különböző felhasználóinak, egy mappában, a megosztott mappák biztonsági követelményeihez - ezután a további jogosultságokkal, az öröklésekkel és a tulajdonosokkal foglalkoznak.

Remélem, még többet nem érintek senkit.

Az előző előadás, beszéltünk a hálózat biztonságát és körülbelül olyan dolog, mint engedély, de érdemes visszatérni most, hiszen engedélyeket csak külön merevlemezt NTFS formátumban. Ebben a részben az NTFS képességekről beszélünk, hogy megvédjék a fájlokat a ragyogó szemektől. A zsírrendszertől eltérően a megosztott erőforrásokhoz való hozzáférés nem kapcsolható be és lekapcsolható. Az NTFS ezt a kiválasztási részletet biztosítja, amely csak azokat, akiket csak hozzáférni akarnak, és mindenkit megszakítanak.

Egy külön felhasználó engedélyei

A felhasználói és csoportos engedélyek megvitatása előtt, valamint a fájlokat maguk is fontos figyelembe venni az engedélyek alapjait. Először megmutatjuk, hogy mi az örökség, majd vegye figyelembe a Windows XP professzionális eszközt, amely segít Önnek, de akadályozhatja, ha nem fogja kitalálni a funkcióit.

Öröklés

A hálózaton lehet mindannyian néhány felhasználó, és több ezer lehet. Az NTFS-kötetek és mappák egyedi engedélyeinek telepítésekor ez a feladat viszonylag egyszerű lehet egy hat emberből álló szervezetben. Amint azt már megjegyezték az előadásokban 9, ha a szervezet növekedni kezd, a felhasználók megosztása az adott csoportok számára megkönnyíti az Engedélygazdálkodás sokkal könnyebb.

Először is létre kell hoznia egy adott csoport engedélyeit, például mérnökök számára. Ebben az esetben, amikor az új mérnök megjelenik a szervezetben, automatikusan hozzáadódik ehhez a csoporthoz. Ugyanakkor örökölte a csoport engedélyeit.

Jegyzet. Az öröklés más NTFS Tom objektumokkal kapcsolatos. Például, ha meg engedélyeket egy adott mappát, majd létrehozott egy mappát benne, akkor az öröklés jogát fölöslegessé teszi létrehozása egy sor új engedélyeket ehhez almappa, hiszen örökli engedélyt a szülő mappát.

Ha úgy gondolja, hogy a mérnökök csoportját ki kell adni vagy folytatni egy bizonyos felbontást, akkor könnyen megtehető. Változás után (amit később fogunk beszélni ebben az előadásban) Egy új engedélyt kapnak e csoport minden tagjához.

Másrészt egy bizonyos mérnök igényelheti a felbontást, amelyben a többi nem igényel. A mérnökök csoportjába léphet, módosíthatja a felhasználót, és új engedélyt kap, amelyet nem örökölni fog az e csoporthoz tartozó tartozáshoz. Ebben az esetben az engedélyt nem osztják el a csoport többi tagjára.

A Windows XP Professional új minősége egyszerű fájlmegosztás (egyszerű fájlmegosztás). Ez a funkció a Windows XP Professional elsődleges telepítéséhez vagy egy hangerővel vagy mappával történik. A több felhasználó hozzáférési vezérlőeszközeinek csatlakoztatásához egyszerűen meg kell osztani a fájlt.

Kérdezhet egy kérdést, hogy miért kell egyszerűen megosztani a fájlokat, ha ezt a funkciót le kell választani. Csak akkor, ha megkönnyíti a fájlok és mappák megosztását. Az egyszerű megosztási fájllal nincsenek fájlok és több konfiguráció a felhasználók számára a fájlokhoz, nyomtatókhoz stb. Ez biztosítja a fájlok megosztását. Ha azonban szeretné kezelni azokat, akik megkapják a jogosultsághoz való jogot, a fájlok egyszerű megosztását le kell tiltani. Ehhez tegye a következő lépéseket.

  1. Válassza a Start \\ Sajátgép (Start \\ Sajátgép) lehetőséget, majd kattintson az Eszközök elemre, és válassza a Mappa beállításai (mappák tulajdonságai) lehetőséget.
  2. A Mappa beállításai párbeszédpanelen kattintson a Nézet fülre.
  3. Tekintse át a Beállítások listáját a Speciális beállítások ablakban, majd válassza ki a használata egyszerű fájlmegosztás jelölőnégyzetet a használat egyszerű fájlmegosztás jelölőnégyzet használatával.
  4. Kattintson az OK gombra.

Jegyzet. Önmagában az egyszerű fájlmegosztás letiltása nem teszi lehetővé a fájlok engedélyeinek beállítását. Az összes fájlt és mappát is el kell helyeznie az NTFS mennyiségben vagy szakaszban.

Mappák és kötetek engedélyei

Engedélyek elvégzik az ellenőrzést, hogy a felhasználó vagy a csoport a hálózaton vagy a helyi számítógépen található objektummal. Engedélyek csak akkor támogatottak, ha a fájl megosztása a fájl és a merevlemezen NTFS formátumban. A mappákhoz rendelt felsorolt \u200b\u200bengedélyeknél és a fájlok esetében.

10.2. Táblázat. A mappák felbontása
Felbontás
Engedélyek módosítása Mappa engedélyek módosítása.
Fájlok létrehozása. Új fájlok létrehozása ebben a mappában.
Mappák létrehozása. Alkalmazások létrehozása ebben a mappában.
Töröl. Mappa törlése.
Az almappák és fájlok törlése Fájlok és alkönyvtárak törlése, még akkor is, ha nincs engedélye megteremtéséhez.
Lista mappa. Tekintse meg a mappa tartalmát.
Olvassa el az attribútumokat. A mappa attribútumok megtekintése.
Engedélyek olvasása A mappák engedélyeinek megtekintése.
Tulajdonba vétele. Egy másik felhasználó jogainak hozzárendelése egy mappához.
Traverse mappa. Mappa megnyitása az alkönyvtárak és a szülő mappák megtekintéséhez.
Írjon attribútumokat. A mappák tulajdonságainak módosítása.
10.3. Táblázat. Fájl felbontás
Felbontás Lehetővé teszi vagy tiltja ezt a műveletet
Adatok hozzáadása. Információ hozzáadása a fájl végéhez anélkül, hogy megváltoztatná a meglévő információkat.
Engedélyek módosítása A fájl engedélyének módosítása.
Töröl. Fájl törlése.
Fájl végrehajtása. Futtassa a fájlban található programot.
Olvassa el az attribútumokat. Fájl attribútumok megtekintése.
Adatok olvasása. Tekintse meg a fájl tartalmát.
Engedélyek olvasása Fájlengedélyek megtekintése.
Tulajdonba vétele. A fájl tulajdonjogának tulajdonjoga egy másik tulajdonosból.
Írjon attribútumokat. Fájl-attribútumok módosítása.
Adatok írása. A fájl tartalmának módosítása.
Engedélyek létrehozása és kezelése

Engedélyek létrehozása az egyes fájlok, mappák és NTFS kötetek számára, sokkal több biztonsági opciót használhat, mint a FAT fájlrendszer. A kiválasztott mappa vagy hangerő tulajdonságai lapja tartalmazza a Biztonsági lapot. Ha rákattint, a hozzáférési vezérléshez számos lehetőséget láthat.

A mappa vagy a hangerő engedélyeinek módosításához tegye a következő lépéseket.

  1. Adja meg a hangerőt vagy mappát, amelyhez engedélyeket fogszállítani.
  2. Kattintson a jobb gombbal rá, és válassza a Tulajdonságok lehetőséget.
  3. Válassza ki a Biztonságtáblát.

Jegyzet. Ha az NTFS-kötet megosztása van, akkor engedélyt kell adnia a Biztonsági lapon keresztül, és nem használja az Engedélyek (Engedélyek) gombját a Megosztás lapon.

A megjelenő tulajdonságok ablakban két ablak látható. A felső ablak tartalmazza a felhasználók és csoportok listáját (). Nizhny-ben - a telepíthető és beállítási jogosultságok listája. Ismét ez a lap NTFS formátumú kötetekben érhető el.

Ábra. 10.7. Biztonsági lap (Biztonság) Tulajdonságok párbeszédpanel

Egy adott felhasználóra vagy csoportra kattintva az alsó ablakban engedélyezheti az engedélyeket. A következő jogosultságok állnak rendelkezésre.

  • Teljes felügyelet. Lehetővé teszi a felhasználói vagy csoportot, hogy olvassa el, létrehozza, módosítsa és törölje a fájlokat.
  • Módosítása (módosítás). Lehetővé teszi a felhasználóknak, hogy törölni fájlokat és mappákat, módosíthatja a engedélyével vagy fogadni tulajdonjoga a fájlt vagy mappát a másik felhasználó.
  • Olvasás és végrehajtás (olvasás és végrehajtás). Lehetővé teszi a felhasználók számára, hogy a fájlokat a megosztott térfogat vagy mappa tartalmának módosítása nélkül módosítsák.
  • Lista mappa tartalma (a mappa tartalmának listája). Lehetővé teszi a felhasználók számára, hogy megtekinthessék a mappák tartalmát.
  • Olvasni (olvasás). Lehetővé teszi a felhasználók számára, hogy megtekinthessék a kötet vagy mappa tartalmát. A fájlokat is megnyithatják, de nincsenek joguk a változások mentésére.
  • Ír. Lehetővé teszi a felhasználók számára, hogy rögzítsenek mappákban vagy kötetekben, de tiltsák a fájlok megnyitását vagy a fájlok listáját.
  • Különleges jogosultságok (különleges jogosultságok). A Speciális gombra (opcionális) gombra kattintva speciális jogosultságokat alkalmazhat.
A felhasználók számának korlátozása

A szervezet méretétől és szerkezetétől függően előfordulhat, hogy nem teszi lehetővé az egyidejű hozzáférést mindazoknak, akik szeretnék egyet. Ha kell létrehozni korlátozza a felhasználók száma, akik egyidejűleg használhatják a mappában nyissa Engedélyek párbeszédpanelen, és válassza ki a Megosztás fület (ábra. 10,8).

A felhasználói limit szakaszban (a felhasználók száma) adja meg az alábbi lehetőségek egyikét.

  • A maximális megengedett engedélyezés lehetővé teszi a hálózati felhasználók maximális számához való hozzáférést.
  • Engedélyezze, hogy ez a felhasználók száma csak a megadott felhasználói számhoz férjen hozzá.

A jogosultságok részletei megtalálhatók a ch. kilenc.

A felhasználói hozzáférés kezeléséhez a mappákhoz és fájlokhoz való hozzáférés, részletes és összetett engedélyezési rendszert használnak. A Windows objektumok hozzáférési vezérlési mechanizmusa az egyik legrészletesebb a jól ismert operációs rendszerek között. A fájlok és mappák esetében legalább 14 NTFS-jogosultság van bekapcsolható vagy blokkolt és ellenőrizhető. Ezek az engedélyek fájlokat vagy mappákat és felhasználókat vagy csoportokat rendelhetnek hozzá. Ezenkívül az öröklési jogosultságok sorrendjét a fájlokhoz vagy mappákhoz, felhasználókhoz vagy csoportokhoz rendelheti. A labirintus engedélyek könnyen elveszhetnek. Ez a cikk megvitatja, hogyan engedélyezi a mappák és fájlok és a leghatékonyabb módjait.

Az objektumokhoz való hozzáférés alapjai

A felhasználó soha nem lép be a közvetlen "kapcsolattartásra" a Windows objektumával. Az objektumok összes elérését programok (például Windows Intéző, Microsoft Office) vagy folyamatok végzik. Egy olyan program, amely a felhasználó nevében az erőforrásokra utal, elvégzi a személyzetnek nevezett eljárást (megszemélyesítés). A távoli erőforrásra utaló program elvégzi a delegációnak nevezett eljárást (küldöttség).

A regisztráció után a felhasználó, annak a rendszer azonosító (Rendszer azonosító - SID) és SID azonosítók által feldolgozott Lsass.exe, amely létrehoz egy biztonságos felhasználói hozzáférést marker. Tovább információ kerül a biztonságos hozzáférést marker, beleértve a felhasználó által kijelölt jog (engedély), a felhasználói munkamenet azonosítót (egyedi minden egyes ülés), jogosultságmaszkunkat a részletes leírását, hogy milyen típusú hozzáférést kért. A felhasználóhoz rendelt jogok a csapat segítségével láthatók.

Ha a program arra kéri a felhasználót, hogy egy biztonságos forrás, a Security Monitor (Security Reference Monitor) kéri a felhasználót, biztonságos felhasználói hozzáférést chart. Ezután a biztonsági monitor elemzi a jelölőt a hatékony felhasználói engedélyek meghatározásához, és lehetővé teszi a felhasználó által kért felhasználó végrehajtását. A hatékony engedélyeket az alábbiakban részletesebben ismertetjük.

Engedélyek megosztása.

Minden Windows védett objektum tartalmazza a fájlokat, mappákat, megosztott erőforrásokat, nyomtatókat és rendszerleíró részlegeket - támogatja a biztonsági határozatok. Bármely Windows mappát nyilvánosan lehet elvégezni a távoli hozzáférés megoldásához. A megosztási engedélyek bármely mappához és nyomtatóobjektumhoz rendelhetők a Windows rendszerben, de az engedélyek csak akkor alkalmazhatók, ha az objektumra való hivatkozás a hálózati erőforráson keresztül történik. A mappa megosztása Engedélyek közé tartozik a teljes ellenőrzés, a változás és az olvasás.

A teljes hozzáféréshez (teljes ellenőrzés), amely az objektumhoz (teljes ellenőrzést) hozzárendelve szinte bármilyen műveletet eredményezhet az objektummal. Ezek törölhetik, átnevezhetik, másolhatják, áthelyezhetik és módosíthatják az objektumot. A teljes ellenőrzési joggal rendelkező felhasználó megváltoztathatja a megosztási objektum felbontását, és az objektum tulajdonosává válhat (ha már nem a tulajdonos, és nem rendelkezik a tulajdonjog engedélyével). Így a teljes ellenőrzési felbontású felhasználó törölheti más személyek engedélyeit, beleértve az adminisztrátort is (bár az adminisztrátor mindig visszatarthat birtoklást és engedélyeket). Az engedélyek megváltoztatásának képessége a szelektív hozzáférési menedzsment (DAC), például a Windows operációs rendszer kötelező követelménye.

A legtöbb esetben a szokásos felhasználók által igényelt erőforráshoz való hozzáférés alapvető megoldása megváltozik. A módosítási felbontás használatával a felhasználó hozzáadhat, törölhet, módosíthat és átnevezhet bármilyen erőforrást a megfelelő mappában. Az olvasási felbontás objektum megtekintését, másolását, átnevezését és nyomtatását biztosítja. Az olvasás felbontásával rendelkező felhasználó másolhatja az objektumot egy másik helyre, amelyben a teljes ellenőrzésnek megfelelő.

NTFS jogosultságok

Ha az NTFS fájlrendszer (és nem kövér) használható a Windows rendszerben, akkor minden fájl, mappa, rendszerleíró rész és sok más objektum NTFS-jogosultsággal rendelkezik. Az NTFS-jogosultságokat helyi és távoli hozzáféréssel használják az objektumhoz. Az NTFS fájl vagy mappa engedélyeinek megtekintéséhez és módosításához kattintson a jobb egérgombbal az objektumra, válassza ki a Tulajdonságok elemet, és lépjen a Biztonság fülre.

Az 1. táblázat 7 teljes NTFS-engedélyt mutat. A teljes engedélyek a 2. táblázatban feltüntetett részletes engedélyek különböző kombinációi. A részletes engedélyek megtekintése A Speciális biztonsági beállítások párbeszédpanel megnyitása az objektumhoz kattintson a Security fül fejlett gombjára kattintva, majd kattintson a Szerkesztés gombra Az Engedélyek lap. Ismerje meg az objektum részletes engedélyeit (különösen a megnövekedett biztonság megköveteli) - hasznos szokás, bár nagyobb erőfeszítést igényel. A teljes engedélyek nem mindig pontosan tükrözik a részletes engedélyek állapotát. Például meg kellett látnom az olvasás teljes engedélyét, bár valójában a felhasználónak engedélye volt olvasni és végrehajtani.

A teljes ellenőrzési részesedés felbontásához hasonlóan a teljes ellenőrzési NTF-ek engedélye biztosítja a nagy lehetőségek tulajdonosait. Azok a felhasználók, akik nem adminisztrátorok, gyakran jogosultak a teljes körű ellenőrzést a saját könyvtárában és más fájlokban és mappákban. Mint már említettük, az ilyen szintű jogok tulajdonosa megváltoztathatja a fájl engedélyeit, és kinevezheti magát a tulajdonos. Ahelyett, hogy a felhasználók engedélyt adnának a teljes körű ellenőrzést, csak a megfelelő módosítást adhatja meg. Ha a felhasználó a fájl tulajdonosa, akkor szükség esetén manuálisan megtilthatja az engedélyek módosítását.

Technikailag az NTFS-jogosultságok szelektív hozzáférési ellenőrzési listáknak nevezik (DACL diszkrecionális). Az ellenőrzési engedélyek rendszer Acls (SACL) néven ismertek. A védett NTFS objektumok többsége mindkét fajnak engedélye van.

A Windows Trust hatása

Alapértelmezés szerint az összes Windows 2000 domain és az erdő és a későbbi verzió kétoldalú megbízható kapcsolatokkal rendelkezik az összes többi erdészeti tartományokkal. Ha a domain bízik másik domain, akkor minden felhasználó számára a megbízható tartomány azonos biztonsági engedélyeket az bizalmi tartomány, mint a mindenki csoport és a hitelesített felhasználók megbízó tartomány. Bármely tartományban számos engedélyt az ilyen csoportok alapértelmezés szerint írnak elő, és a bizalmas kapcsolatok implicit módon széles körű jogokat biztosítanak, amelyet más esetekben nem lehet nyújtani. Emlékeztetni kell arra, hogy ha a bizalmas kapcsolatok nem osztják meg a minta természetét, akkor a mindenki és a hitelesített felhasználók csoportja által biztosított engedélyek az összes többi felhasználóhoz tartoznak.

Ellenőrizze az engedélyeket a parancssorból

A rendszergazdák gyakran használják a parancssori eszközöket, például az alinacl.exe, a xacls.exe és a cacls.exe-t az NTFS-engedélyek ellenőrzéséhez. Az alincl a Windows Server 2003 Resource Kit eszközök erőforrásaiban szerepel. Az alinacl használatával megtekintheti és módosíthatja az NTFS jogosultságokat a fájlok, mappák, objektumok, rendszerleíró bejegyzések és szolgáltatásokhoz. A legfontosabb lehetőség Subinacl a felhasználói engedélyek, csoportok vagy objektum másolása, és ugyanazon vagy más tartományban más felhasználói, csoportba vagy objektumra vonatkozik. Például, ha a felhasználót egy tartományból a másikra mozgatja, egy új felhasználói fiókot hoz létre az ablakokban; A kezdeti felhasználóhoz kapcsolódó összes korábban meglévő SID-ek vagy engedélyek törlődnek. Engedély másolása egy új felhasználói fiókba az alinacl használatával, megegyezhet. Az XCACLS hasonlóan működik az alinaclhoz, és része a Windows 2000 kiszolgáló erőforrás-készlet erőforrás-készletének.

A CACLS programot a Microsoft által kiadott Microsoft "undococumentd CaCls: Csoportengedélyezési képességek" című Microsoft ismerteti. Ez egy régebbi eszköz, amely a Windows NT ablakok részeként jelent meg. A CACLS nem olyan hasznos, mint alinacl vagy XACLS, de a segédprogram mindig elérhető a Windows rendszerben. A CACL-ek segítségével megtekintheti és módosíthatja a fájlokat és a jogosultságokat a felhasználók és csoportok által, de nem hoz létre részletes NTFS-jogosultságokat. Jelenleg a CACLS funkciók csak az NTFS-jogosultságokhoz való hozzáférés, olvasás, változtatás és teljes ellenőrzési jogosultságok, de nem oldja meg a megosztást. Ezenkívül az olvasási program CaCls engedélye megfelel az olvasási és végrehajtási NTFS rendszer felbontásának.

Öröklés

Alapértelmezés szerint az összes fájl, mappa és rendszerleíró részleg örökölje engedélyeit az alaptartályból. Az öröklés aktiválható vagy letiltható az egyes fájlok, mappák vagy rendszerleíró részlegek, valamint az egyes felhasználók vagy csoportok esetében. Amint azt a képernyőn látjuk 1, a FELHASZNÁLÓI A FELHASZNÁLÓI TÁMOGATÁSÁNAK A Fejlett biztonsági beállítások párbeszédpanel jelenik meg. Megmutatja, hogy egy adott felbontás művelete az aktuális tartályra korlátozódik-e, vagy kiterjed az almappákra és a fájlokra. Az adminisztrátor hozzárendelhet engedélyt (az egyes felhasználók számára), amelyek örököltek vagy sem. Ebben a példában a Mindenki csoportnak engedélye az olvasás és végrehajtás az aktuális mappában, és ez az engedély nem öröklődik.

Ha a fájl vagy mappa a legtöbb engedélyét örökli, hanem egyértelműen meghatározott jogosultsággal is rendelkezik, az utóbbiak mindig elsőbbséget élveznek az örökölt jogokkal. Például megadhatja a felhasználó engedélyével Teljes hozzáférés-megtagadási a gyökér katalógusában egy adott térfogatú, és állítsa be az örökség ezeket az engedélyeket az összes fájlt és disk mappát. Ezután bármilyen fájlt vagy mappát rendelhet a lemezen a hozzáféréshez való joghoz, amely megszakítja az örökölt teljes kontroll-tenyésztési módot.

Hatékony engedélyek

A Windows Security Monitor meghatározza a hatékony felhasználói engedélyeket (a valódi jogosultságokat a gyakorlatban), figyelembe véve több tényezőt. Amint azt fentebb említettük, a védelmi monitor először összegyűjti a felhasználó egyedi fiókjával és az összes olyan csoportot, amelyhez tartozik, és összefoglalja az összes felhasználóhoz és csoporthoz rendelt összes engedélyt. Ha megtagadja és engedélyezi az engedélyeket egy szinten, akkor általában a megtagadás elsőbbséget élvez. Ha a prioritás teljes körű kezelést kap, a felhasználó általában nem fér hozzá az objektumhoz.

Alapértelmezés szerint az NTFS és a megosztási engedélyek regisztrálásakor (a felhasználó a hálózaton keresztüli erőforráshoz kapcsolódik), a védelmi monitornak meg kell gyűjtenie az összes részvény- és NTFS-engedélyt. Ennek eredményeképpen a hatékony felhasználói engedélyek mind a megosztási engedélyek, mind az NTFS által biztosított jogosultságok csoportja.

Például, a végén, a felhasználó kiderülhet, hogy részvény-engedélyt olvasása és módosítása, valamint az NTFS-engedélyek olvasni és módosítani. Hatékony engedélyek - a leginkább korlátozott engedélyek. Ebben az esetben az engedélyek szinte azonosak. A hatékony engedélyek olvashatók és módosíthatók / módosíthatók. Számos rendszergazda tévesen úgy véli, hogy a hatékony engedélyek csak rossz, túlzottan egyszerűsített példák vagy elavult dokumentáció miatt olvashatók.

A Windows XP és újabb verziók fejlett biztonsági beállítások párbeszédpanelen megjelenik a Hatékony Engedélyek fül (lásd a 2. képernyőt). Sajnos a Hatékony Engedélyek lapon csak az NTFS-jogosultságok tükröződnek. A megosztási engedélyek hatása, olyan tagok alapján, amelyek tagsága nem rendelkeznek, és más tényezők, például titkosítási fájlrendszer (titkosítási fájlrendszer - EFS). Ha az EFS aktiválódik egy fájlhoz vagy mappához, akkor a megfelelő NTF-ekkel és részvényengedélyekkel rendelkező felhasználó elveszítheti az objektumhoz való hozzáférés lehetőségét, ha nem rendelkezik EFS hozzáféréssel egy mappához vagy fájlhoz.

  • Óvatosan adjon meg engedélyt a teljes ellenőrzéstől a rendszeres felhasználókig. Hasznos a módosítási felbontás helyett. A legtöbb esetben ez a megközelítés minden szükséges jogosultsággal rendelkező felhasználók számára biztosítja a jogosultságot, nem engedélyezheti a jogok megváltoztatását vagy tulajdonjogát.
  • Gondosan dolgozzon a mindenki csoportral; Jobb használni a hitelesített felhasználók (vagy felhasználók) csoportot vagy egy speciális korlátolt csoportot. A hitelesített felhasználók csoportjának fontos kihagyása a vendég és a nem hitelesített felhasználó hiánya.
  • Gyakran a hálózati adminisztrátorokat felkérik, hogy fogadják el a vendégfiókokat harmadik féltől származó felhasználók számára (például tanácsadók, vállalkozók, szabadúszó programozók). De a rendszeres felhasználói jogok gyakran redundánsak a vendégre. Olyan csoportot kell létrehoznia és használnia kell egy olyan csoportot, amelynek jogait erősen vágják (például a root könyvtárak teljes körű ellenőrzése), majd kifejezetten lehetővé teszik a vendégfiókhoz szükséges fájlokhoz és mappákhoz való hozzáférést. A kifejezetten kinevezett jogosultságok előnyösek, mivel a vendégfelhasználókat olyan jogosultságokkal biztosítják, amelyek a munkájukhoz szükségesek, de nem több.
  • Vigyázni kell arra, hogy mindenki és felhasználók csoportjaira tiltakoztassák, mivel a rendszergazdák szerepelnek ezeken a csoportokban.
  • A más területekkel kapcsolatos bizalmi kapcsolatok esetében hasznos egyoldalú és szelektív bizalmat alkalmazni annak érdekében, hogy korlátozzák a megbízható terület felhasználói jogait.
  • Rendszeresen ellenőrizni kell az NTF-eket és megosztani az engedélyeket, hogy megbizonyosodjon arról, hogy azok korlátozottak.

Ezeket az ajánlásokat és referenciatáblákat használva az összes engedély rövid leírásával biztonságosan meg lehet menni a Labyrinth fájlrendszerbe. Az adminisztrátor képes lesz magabiztosan hozzárendelni a fájlok, mappák, felhasználók és csoportok engedélyeinek.

1. táblázat: NTFS Engedélyek Összefoglaló

Felbontás

törvény

A fájlok, mappák és objektumok megtekintése, másolás, nyomtatás és átnevezése. Nem indítja el a program végrehajtható programját, kivéve a forgatókönyvfájlokat. Lehetővé teszi az objektumok, az objektum attribútumok és a fejlett attribútumok engedélyezését (például Archívum, EFS bit). Lehetővé teszi a fájlok és az almappák mappák listáját.

Olvasási engedélyek, valamint fájlok és mappák létrehozása és átírása

Lista (csak mappák)

Lehetővé teszi a fájlnevek és az almappák megtekintését a mappában

Az engedélyek olvasása és a szoftverfájlok futtatása

Minden engedélyt biztosít, a birtokhoz való hozzárendelés és az engedélyek hozzárendelése mellett. Lehetővé teszi a fájlok és mappák olvasását, törlését, módosítását és felülírását.

A mappák és fájlok teljes kezelését biztosítja, beleértve az engedélyek hozzárendelését.

Különleges jogosultságok

Lehetővé teszi a 14 részletes engedélyek kombinációját, amelyek nem írnak be a többi 6 teljes engedélyt. Ez a csoport magában foglalja az engedély szinkronizálását

2. táblázat: Részletes NTFS-jogosultságok

Felbontás

törvény

TREVERSE mappa / fájl végrehajtása

A Traverse mappa lehetővé teszi, hogy a mappák más fájlokat és mappákat érjen el, még akkor is, ha a biztonsági egység nem rendelkezik jogosultságokkal a tranzit mappában. Csak a mappákra vonatkozik. A Traverse mappa csak akkor lép hatályba, ha a biztonsági egységnek nincs engedélye a bypass áthaladási felhasználónak (az alapértelmezett mindenki csoport által biztosított). A fájl végrehajtása lehetővé teszi a programfájlok futtatását. A mappa áthaladási mappájának engedélyének hozzárendelése nem telepíti automatikusan a végrehajtási fájl engedélyeit a mappában lévő összes fájlhoz

Lista mappa / olvasási adatok

A mappában található fájlnevek és almappák megtekintése. Mappa befolyásolja a mappa tartalma - ez nem befolyásolja azt, hogy a mappa kerül be a listában, amelyre a felbontás van rendelve. Az adatok olvasása lehetővé teszi a fájlok megtekintését, másolását és nyomtatását

A biztonsági egység látja az objektum attribútumait (például olvasható, rendszer, rejtett)

Olvassa el a kiterjesztett attribútumokat.

A biztonsági egység kiterjesztett objektum-attribútumokat (például EFS, tömörítés) látja

Fájlok létrehozása / Adatok írása

Fájlok létrehozása Lehetővé teszi a fájlok létrehozását a mappában (csak a mappákra). Az adatok írása lehetővé teszi, hogy módosítsa a fájlt, és felülírja a meglévő tartalmat (csak a fájlokra)

Mappa létrehozása / Adatok hozzáadása

A mappák létrehozása lehetővé teszi, hogy mappákat hozzon létre a mappában (csak a mappákra). Az Adatok hozzáadása lehetővé teszi, hogy módosítsa a fájl végét, de ne változtassa meg, törölje vagy felülírja a meglévő adatokat (csak a fájlokra)

Írjon attribútumokat.

Meghatározza, hogy a biztonsági egység rögzítheti-e a szabványos attribútumok (például olvasható, rendszer, rejtett) fájlokat és mappákat. Nem befolyásolja a fájlok és mappák tartalmát, csak attribútumukon.

Írjon hosszabb attribútumokat.

Meghatározza, hogy egy biztonsági egység rögzíthet-e vagy módosíthatja a kiterjesztett attribútumokat (például EFS, tömörítési) fájlokat és mappákat. Nem befolyásolja a fájlok és mappák tartalmát, csak attribútumukon

Az almappák és fájlok törlése

Lehetővé teszi az almappák és fájlok törlését, még akkor is, ha a Törlés felbontása nem tartalmaz egy almappát vagy fájlt

Lehetővé teszi a mappa vagy fájl törlését. Ha nincs törlési engedély egy fájlra vagy mappára, akkor törölhető, ha a szülő mappában található almappák és fájlok törlése

Engedélyek olvasása

Engedélyek módosítása

Lehetővé teszi az engedélyek módosítását (például teljes vezérlés, olvasás, írás) fájl vagy mappát. Nem teszi lehetővé, hogy megváltoztassa a fájlt

Meghatározza, hogy ki lehet a fájl vagy mappa tulajdonosa. A tulajdonosok mindig teljes körű ellenőrzést kaphatnak, és a fájl vagy mappa engedélyeiket nem lehet folyamatosan törölni, ha a tulajdonjog nem törlődik.

A rendszergazdák ritkán használják ezt az engedélyt. A többszálú, többprocesszoros programok szinkronizálására szolgál, és meghatározza az egy erőforráshoz vonzó szálak közötti kölcsönhatást.

Az NTFS-jogosultságokat az erőforrások védelmére használják:

    a számítógépen dolgozó helyi felhasználók, amelyeken az erőforrás található;

    távoli felhasználók csatlakoztatva a megosztott mappához a hálózaton keresztül.

Az NTFS-jogosultságok nagy biztonsági szelektivitást biztosítanak: A mappában lévő minden egyes fájlhoz beállíthatja az engedélyeket. Például egy felhasználó lehetővé teszi, hogy olvassa el és módosítsa a fájl tartalmát, egy másik - csak olvasni, és a többi - általában tiltja a hozzáférést.

Ha a formázást egy kötetet, az NTFS rendszer van telepítve, akkor a Mindenki csoport automatikusan hozzárendelt Teljes Sontrol engedélyt (teljes vezérlés) erre a kötetre. A köteten létrehozott mappák és fájlok alapértelmezés szerint örökölje ezt az engedélyt.

Egyéni jogosultságok

A Windows NT hat típusú egyedi NTFS-jogosultsággal rendelkezik, amelyek mindegyike meghatározza a fájlhoz vagy mappához való hozzáférés típusát.

A táblázat a felhasználó által megoldott műveleteket a mappa vagy fájl alkalmazása az objektum egy egyedi engedélyt NTFS.

A felhasználó, aki létrehozott egy fájlt vagy mappát az NTFS-köteten, a fájl vagy mappa tulajdonosává válik. Ha ez a felhasználó tagja az adminisztrátorok csoportjának (adminisztrátorok), akkor a tényleges tulajdonos lesz az egész Advisors csoport. A tulajdonosnak mindig joga van hozzárendelni és módosítani a jogosultságokat a fájl vagy mappa eléréséhez.

Standard engedélyek

A legtöbb esetben élvezheti a szabványos NTFS-jogosultságokat. Ezek az egyes jogosultságok kombinációi. A fájl vagy mappa több egyedi engedélyének egyidejű célja jelentősen leegyszerűsíti az adminisztrációt.

A zárójelben lévő szabványos felbontás neve után az egyedi jogosultságok komponenseinek rövidítéseit adják meg. Például a standard felbontású olvasható (read) egy fájl megegyezik két egyedi engedélyeket - olvasható (olvasás) és végre - és zárójelben fog állni RX leveleket.

A mappák szabványos engedélyei

A táblázat felsorolja a mappák standard engedélyeit, és a megfelelő egyedi NTFS-jogosultságokat jelöli.

Nincs hozzáférési engedély (nincs hozzáférés) Tiltja a fájlhoz vagy mappához való hozzáférést, még akkor is, ha a felhasználó a csoport tagja, amelyet engedélyt kapnak. Digger a "egyedi jogosultságok a Fájl" oszlopban azt jelenti, hogy ez a szabványos felbontás nem alkalmazható a fájlokra.

A fájlok szabványos engedélyei

A táblázat felsorolja a fájlok standard engedélyeit és a megfelelőnek megfelelő egyedi NTFS-jogosultságokat.

Engedélyek teljes körű ellenőrzése (teljes ellenőrzés) és módosítása (változás) funkció, amely a második nem teszi lehetővé az objektum engedélyeinek és tulajdonosának megváltoztatását.

      1. NTFS-engedélyek alkalmazása

Az NTFS-jogosultságok a felhasználói fiókokhoz és csoportokhoz, valamint a megosztott erőforrásokhoz való hozzáférési jogokhoz vannak rendelve. A felhasználó közvetlenül kaphat közvetlenül vagy egy vagy több olyan csoport tagja, amelynek engedélye van.

Az NTFS jogosultságok használata a mappákhoz hasonlóan a közös erőforrásokhoz való hozzáférési jogok használatához.

    Mint hozzáférési jogokat megosztott erőforrások, a tényleges NTFS engedélyeket a felhasználó kombinációja felhasználói jogosultságok és csoportok tagja van. Az egyetlen kivétel a hozzáférés engedélye (hozzáférés): minden más engedélyt töröl.

    A megosztott erőforrásokhoz való hozzáférés jogaival ellentétben az NTFS engedélyek védik a helyi erőforrásokat. Különösen az ebben a mappában található fájlok és mappák más jogosultságokkal rendelkezhetnek, mint maga.

Az NTFS jogosultságai a fájlra érvényesülnek a mappák engedélyeire, amelyekre vonatkozóan található. Például, ha a felhasználó rendelkezik olvasási jogosultságot a mappa, és írjon a csatolt fájl, ez lesz képes felvenni az adatokat a fájlt, de nem lesz képes, hogy hozzon létre egy új fájlt a mappába.

Ez a cikk ideológiailag folytatódik egy cikk. Mivel azt mondták benne, miután kiválasztotta a felhasználókat és (vagy) csoportokat, meg kell adnia a hozzájuk való hozzáférés paramétereit. Ezt az alábbi táblázatban tárgyalt NTFS fájlrendszer-jogosultságokkal lehet elvégezni.

Fájl hozzáférési engedélyek

  • Olvasás. A fájl olvasása megengedett, valamint megtekintheti paramétereit, például a tulajdonos, az engedélyek és a további tulajdonságok nevét.
  • Rekord. Megengedett, hogy átírja a fájlt, megváltoztathatja paramétereit, megtekintve a tulajdonos és az engedélyek nevét.
  • Olvasás és végrehajtás. A végrehajtható alkalmazás elindításához szükséges engedély.
  • A változás. Megengedett, hogy megváltoztassa és törölje a fájlt, valamint mindent, amelyet az olvasás és végrehajtás lehetővé tétele, valamint a felvétel.
  • Teljes hozzáférés.
  • Lehetővé tette a fájl teljes hozzáférését. Ez azt jelenti, hogy a fent felsorolt \u200b\u200bvalamennyi engedély által előírt valamennyi intézkedés megengedett. A fájl tulajdonosává válhat, és megváltoztathatja az engedélyeit.

Hozzáférési jogosultságok mappákhoz

  • Olvasás. Lehetőség van a beágyazott mappák és fájlok megtekintésére, valamint azok tulajdonságaira, például a tulajdonos, az engedélyek és az attribútumok neve, például olvasás, rejtett, archívum és szisztémás.
  • Rekord. Ez lehetővé tette, hogy hozzon létre és utáni új fájlokat és almappákat a mappában, valamint a változás a mappa paraméterek és megtekintheti annak tulajdonságait, különösen a tulajdonos neve és hozzáférési engedéllyel.
  • A mappa tartalmának listája. Megengedett, hogy megtekinthesse a mappában és az almappákban található fájlok nevét.
  • Olvasás és végrehajtás. Engedélyezhető, hogy hozzáférjen az almappákban lévő fájlokhoz, még akkor is, ha a mappahoz nem érhető el. Ezenkívül ugyanazok a műveletek, amelyek a mappa tartalmának megtekintésére és felsorolására szolgáló engedélyt megengedettek.
  • A változás. A mappa elolvasásához és elolvasásához és törléséhez engedélyezett összes művelet megengedett.
  • Teljes hozzáférés. A mappához való teljes hozzáférés megengedett. Más szóval, a fent felsorolt \u200b\u200bösszes engedély által előírt valamennyi intézkedés megengedett. Ezenkívül lehetővé tette, hogy a mappa tulajdonosává váljon, és módosítsa az engedélyeit.
  • Különleges jogosultságok. A szabványtól eltérő további engedélyek készlete.

A Teremtő fájlja mindig a tulajdonosának tekinthető, akinek joga van Teljes hozzáférés, még ha a tulajdonos fiókja nem szerepel a lapon Fájlbiztonság. A fájl fenti engedélyei mellett két további engedélyt választhat.

  • A tulajdonos megváltoztatása. Ez a fajta felbontás lehetővé teszi a felhasználó számára, hogy a fájl tulajdonosa legyen. Ez a fajta felbontás a csoporthoz van hozzárendelve Adminisztrátorok.
  • Engedélyváltoztatás. A felhasználó képes megváltoztatni a fájlhoz hozzáférő felhasználók és csoportok listáját, valamint megváltoztathatja a hozzáférési jogosultságok típusát a fájlhoz.

Hasonló cikkek