NTFS Secretele - drepturi, permisiuni și moștenirea acestora. Permisiunile SMB și NTFS

De ce în majoritatea cazurilor din organizație are nevoie de un server? Active Directory, RDS, server de imprimare și o grămadă de servicii mici și mari. Cel mai proeminent rolul este probabil serverul de fișiere. Oameni cu el, spre deosebire de alte roluri, lucrează conștient. Ei își amintesc ce dosar ce se află în cazul în care scanările de documente sunt în cazul în care rapoartele lor sunt în cazul în care faxurile în care dosarul comun în care puteți avea acces la o singură departament, unde altundeva, și nu recunosc

Despre accesul la folderele de rețea și locale de pe serverul pe care vreau să-l vorbesc.

Accesul la resursele partajate pe server este efectuat, cum toată lumea știe totul perfect, conform Protocolului SMB 3.0. Accesul la rețea la foldere poate fi limitat la permisiunile SMB și NTFS. Permisiunile SMB funcționează numai atunci când accesează un folder partajat în rețea și nu au niciun efect asupra disponibilității unui anumit folder local. Permisiunile NTFS funcționează atât în \u200b\u200brețea, cât și la nivel local, oferind mult mai multă flexibilitate în crearea drepturilor de acces. Permisiunile SMB și NTFS nu funcționează separat, ci se completează reciproc, în conformitate cu principiul celei mai mari limitări ale drepturilor.

Pentru a da dosarului să împărtășească serverul 2012 în grupul SMB Share cmdlets, a apărut cmdletul nou-smshare. Pe exemplul acestui cmdlet, vom vedea toate caracteristicile disponibile la crearea unui folder partajat, în plus față de configurațiile de cluster (acesta este un subiect separat separat).

Crearea unui nou folder partajat arată foarte simplu:
Net Share Homefolder \u003d S: \\ Ivanivanov / Grant: "Admin", Full / Grant: "Folderowner", Modificare / Grant: "Manager", Citește / Cache: Programe / Observație: "Ivanov" sau
Nou-smshare Homefolder S: \\ Ivanivanov -cachingmodem Programe -Fullacess Admin -Cochangeaccess folderowner -cacaccess manager -noaccess toate -folderenumerationmode acces Baedbased -Decription "Ivanov"

Înțelegem:

-Name Numele folderului partajat din rețea poate diferi de dosarul de pe computerul local. Are o limită în 80 de caractere, nu puteți folosi numele de țeavă și de poștă electronică.

Calea calea spre folderul local pe care doriți să îl introduceți. Calea trebuie să fie completă, de la rădăcina discului.

Cachingmode Setarea autonomiei fișierelor într-un folder partajat.

Ce este un fișier standalone?

Un fișier independent este o copie a fișierului situat pe server. Această copie este situată pe computerul local și vă permite să lucrați cu un fișier fără conectarea la server. Când conectați schimbarea este sincronizată. Sincronizat în ambele direcții: Dacă ați făcut modificări în fișierul dvs. offline - data viitoare când conectați fișierul de pe server va fi modificat; Dacă cineva a făcut schimbări pe server - atunci copia dvs. locală va fi schimbată. Dacă modificările au avut loc în ambele fișiere simultan - obținem o eroare de sincronizare și va trebui să alegeți ce versiune să fie salvată. Pentru a împărtăși această ocazie, nu aș folosi această oportunitate, dar dacă faceți o minge pentru fiecare utilizator și restricționați accesul pentru alte lecturi, fără posibilitatea de a înregistra, obținem următoarele bunuri:

  • Lucrarea nu depinde de rețea - poate arde un întrerupător, un server poate reporni, firul poate rupe sau dezactiva punctul de acces - utilizatorul funcționează cu copia lui, fără a observa că aveți un fel de accident acolo, La restaurarea conexiunii la rețea, se duce la server.
  • Utilizatorul poate lucra de lucru oriunde: la cabana, în autobuz, în avion - în acele locuri în care conexiunea la VPN dintr-un motiv nu este disponibilă.
  • Dacă chiar și utilizatorul funcționează prin VPN, dar conexiunea sau foarte lentă sau este în mod constant de rupere - este mai ușor să lucrați cu o copie offline și să sincronizați modificările decât încercarea de a face ceva pe server.
  • Utilizatorul însuși poate alege acest lucru și când să se sincronizeze, dacă îi dați o oportunitate.

Ia următoarele valori:
  • none - Fișierele nu sunt disponibile offline, accesul la server are nevoie de acces la server.
  • manual - Utilizatorii aleg fișierele care vor fi disponibile în mod autonom
  • programe - Toate în dosar sunt disponibile în mod autonom (documente și programe (fișiere cu extensia * .exe, * .dll)))
  • documente - Documente disponibile, fără programe
  • suckCache - cache în loc de un utilizator de computer local apare pe serverele SuckCache, utilizatorii aleg fișiere offline în sine
-Naccess, -cacaccess, -Cangeaccess, - Permisiuni generale de acces general (permisiuni de partajare).

Aceste autorizații au un avantaj mare - sunt foarte simple.

Secretarul lui Noaccess, Steward - Secretarul Secretarului și Relozem oricum de făcut în dosarele generale de contabilitate
-Cacaccess auditor - un auditor care verifică lucrările de contabilitate poate vedea numele și subfolderele fișierelor într-un dosar partajat, fișiere deschise pentru citire, rulați programe.
-Cangeacces contabil - contabili din folderul lor partajat pot crea fișiere și subfoldere, schimbați fișierele existente, ștergeți fișierele și subfolderele
- Fullaccess Admin - Fullaccess este o readaccess + schimbare plus capacitatea de a schimba permisiunile.

La crearea unui folder partajat, cea mai restrictivă regulă este utilizată automat - grupul "All" este dat citirii.

Aceste permisiuni se aplică numai utilizatorilor care au acces la un dosar comun în rețea. Cu o intrare locală în sistem, de exemplu, în cazul unui server terminal, iar secretarul și coroana vor fi văzute în contabilitate, toată dorința. Acest lucru este corectat de permisiunile NTFS. Permisiunile SMB se aplică tuturor fișierelor și folderelor dintr-o resursă partajată. Drepturile de acces mai subțiri sunt, de asemenea, efectuate de permisiunile NTFS.

Concurrentuserlimit Utilizați acest parametru pentru a limita numărul maxim de conexiuni la folderul partajat. În principiu, puteți utiliza, de asemenea, pentru a restricționa accesul la un dosar, care completează permisiunile NTFS, numai că trebuie să fiți exact încrezători în numărul necesar de conexiuni.

Descriere O descriere a resurselor comune care este vizibilă în mediul de rețea. Descrierea este un lucru foarte bun pe care mulți neglijează.

Criptarea criptată

În SMB la versiunea 3.0, singura modalitate de a proteja traficul de la serverul de fișiere la client a fost VPN. Cum să îl puneți în aplicare complet depins de preferințele administratorului de sistem: SSL, PPTP, IPSec-tuneluri sau altceva. În server 2012, criptarea funcționează din cutie, într-o rețea locală obișnuită sau prin rețelele nevacte, fără a solicita soluții speciale de infrastructură. Acesta poate fi activat atât pentru întregul server, cât și pentru folderele partajate individuale. Algoritmul de criptare în SMB 3.0 este AES-CCM, algoritmul hashing în loc de HMAC-SHA256 a devenit AES-CMAC. Vestea bună este că SMB 3.0 sprijină AES Hardware (AES-NI), vestea proastă este că Rusia nu susține AES-NI.

Ce amenință includerea criptare? În faptul că numai clienții suportă SMB 3.0 vor putea lucra cu foldere comune criptate, adică Windows 8. Motivul din nou, limita maximă admisibilă a drepturilor utilizatorilor. Se presupune că administratorul știe ce face și, dacă este necesar, va avea acces la clienți cu o altă versiune de SMB. Dar, deoarece SMB 3.0 utilizează noi algoritmi de criptare și traficul de clienți cu o altă versiune SMB nu va fi criptată, VPN este nevoie. Pentru a pune toți clienții pe un server de fișiere cu criptare activată va ajuta la setul-smbserverconfiguration -rejecTuncryPaccess $ comenzi false
În configurația implicită (traficul necomercit la folderele partajate criptate este interzis, încercând să acceseze dosarul Client cu versiunea SMB sub 3.0 pe client, vom primi o "eroare de acces". Pe serverul la jurnalul Microsoft-Windows-SMBSERVER / operațional, va fi adăugat un eveniment 1003, în care puteți găsi adresa IP a clientului care încearcă să acceseze.

Criptarea SMB și EFS sunt lucruri diferite care nu sunt legate între ele, adică pot fi utilizate pe grăsimi și refirmă volumele.

FoldErenMemationMode Aceasta este o enumerare bazată pe acces. Cu enumerarea bazată pe acces, utilizatorii care nu au acces la un folder partajat pur și simplu nu o vor vedea pe serverul de fișiere și vor exista mai puține întrebări, de ce nu am acces la acest sau în acel director. Utilizatorul își vede dosarele disponibile și nu încearcă să urce în afacerile altor persoane. Implicit.

  • accessBased - Activare
  • nerestricționat - opriți
-Timborary Această cheie creează un dosar temporar partajat, accesul la care va fi oprit după repornirea serverului. În mod implicit, sunt create foldere comune constante.

Permisiuni NTFS.

Cu ajutorul permiselor NTFS, putem delimita mai detaliat drepturile din dosar. Putem interzice un grup specific să schimbe un anumit fișier, lăsând capacitatea de a edita întregul principal; În același dosar, un grup de utilizatori poate avea dreptul de a schimba un fișier și nu va putea vizualiza alte fișiere editate de un alt grup de utilizatori și viceversa. Pe scurt, permisiunile NTFS ne permit să creăm un sistem de acces foarte flexibil, principalul lucru mai târziu în ea nu se confundă. În plus, permisiunile NTFS funcționează, atât atunci când acceseze un dosar de rețea, completarea permisiunilor globale de acces și accesul local la fișiere și foldere.

Există șase permisiuni principale (de bază) care reprezintă o combinație de 14 permisiuni suplimentare.

Principalele permisiuni
Acces complet (FullControl) - accesul complet la un dosar sau un fișier, cu capacitatea de a modifica drepturile de acces și regulile de audit în foldere și fișiere

Modifica - Dreptul de a citi, schimba, vizualiza conținutul folderului, șterge folderele / fișierele și rulați fișierele executate. Include citirea și execuția (Readandexecute), scrierea (scrie) și ștergerea.

Citiți și executați (Readandexecute) - Dreptul de a deschide dosarele și de a citi fișiere, fără posibilitatea de a înregistra. De asemenea, este posibil să începeți să rulați fișiere.

Lista dosarului de conținut (listrectoria) - dreptul de a vizualiza conținutul dosarului

Citirea (citiți) - Dreptul de a deschide dosarele și de a citi fișiere, fără posibilitatea de a înregistra. Include conținutul dosarului / citirii datelor (READDATA), atributele de citire (Readattributes), citirea atributelor suplimentare (readextendatedtributes) și permisiuni de citire (citire -perări)

Înregistrarea (scrieți) - Dreptul de a crea dosare și fișiere, modificați fișierele. Include crearea fișierelor / scrierea de date a datelor / deteriorarea datelor (APPLADDATA), înregistrarea atributelor (WriteAttributes) și înregistrarea atributelor suplimentare (WriteXpendenddittributes)

Permisiuni suplimentare
Am pus dosarul doar 1 din cele 14 permisiuni și am urmărit ceea ce se dovedește. În lumea reală, în majoritatea cazurilor există suficiente permise majore, dar am fost interesat de comportamentul dosarelor și dosarelor cu cele mai înalte drepturi posibile.

Traverse Foldere / Executare a fișierelor (traverse) - Dreptul de a lansa și citi fișiere, indiferent de drepturile de acces la dosar. Nu va exista acces la dosar pentru un dosar (care este în dosar va rămâne un mister), dar fișierele din dosar vor fi disponibile în legătură directă (plină, relativă sau cale unc). Puteți pune folderele de traversare în dosarul dosarului și în fișierul oricăror alte permisiuni pe care utilizatorul trebuie să le funcționeze. Crearea și ștergerea fișierelor din dosarul utilizatorului nu va funcționa.

ReadAtifica lectură - Dreptul de vizualizare a atributelor (FileAttributes) sau fișier.
Vizualizați conținutul folderului sau fișierelor sau modificați orice atribute nu pot fi modificate.

Readextenddittributes (readextendatedtributes) - dreptul de a vizualiza atributele suplimentare ale dosarului sau fișierului.

Singurul lucru pe care l-aș putea găsi pe atribute suplimentare este ceea ce sunt folosite pentru a oferi compatibilitate înapoi cu aplicațiile OS / 2. (Internavele Windows, Partea 2: Acoperirea Windows Server 2008 R2 și Windows 7). Nu știu nimic despre ei.

Crearea de fișiere / date de scriere (WRATETATA) - Oferă utilizatorului posibilitatea de a crea fișiere în dosarul în care nu are acces. Puteți copia fișierele în dosar și puteți crea fișiere noi în dosar. Nu puteți vizualiza conținutul folderului, să creați foldere noi și să modificați fișierele existente. Utilizatorul nu va putea schimba niciun fișier, chiar dacă acesta este proprietarul acestui fișier - creați numai.

Crearea de dosare / daune de date (APPLADDATE) - Oferă utilizatorului posibilitatea de a crea subfoldere în dosar și de a adăuga date până la sfârșitul fișierului fără a schimba conținutul existent.

Verifica

Cu crearea de subfoldere, totul este clar: Ni C: \\ TestPerms \\ Testapend-itypetype Director va funcționa așa cum se aștepta - va crea un subfolder Testperms pentru vizualizarea utilizatorului. Să încercăm să adăugăm un șir la sfârșitul fișierului - să faceți întreținerea unui jurnal. Newevent \u003e\u003e C: \\ TestPerms \\ user.log este refuzat accesul.
Hmm ... în cmd nu funcționează. Și dacă da. AC C: \\ TestPerms \\ user.log Newevent AC: a refuzat accesul de-a lungul "C: \\ testperms \\ user.log".
Și în transportor? "Newevent" | Fișierul Out-Fișier C: \\ TestPerms \\ user.log -Appensă fișier: a refuzat accesul de-a lungul căii "C: \\ testperms \\ user.log".
Și așa nu funcționează.

Începem o sesiune magică neagră: utilizați clasa de fișiere, metoda apendtext. Avem un obiect de jurnal.
$ Log \u003d :: ApenDTEXT ("C: \\ testperms \\ user.log") atunci când sunați la "Apendtext" cu argumente "1": "Acuzărea accesului pe calea" C: \\ testperms \\ user.log "."
Cred că apendicalText nu merită încercat
$ Log \u003d :: AppendallText ("C: \\ testperms \\ user.log", "Newevent") atunci când sunați la "ApendallText" cu argumente "2": "Acutarea refuzată pe calea" C: \\ testperms \\ user.log " . "
Cazul, în principiu, clar. Doar drepturile de a trimite date de trimitere a dosarului de mai sus, metodele nu sunt suficiente, au nevoie de o intrare în dosar. Dar, împreună cu aceasta, vom oferi posibilitatea de a schimba fișierul și nu doar adăugăm înregistrări, adică deschidem capacitatea potențială de a distruge toate conținutul fișierului.

Trebuie să reconsiderăm conceptul: Să nu obținem un obiect de jurnal, ci să creăm una nouă, în care ne întrebăm toți parametrii care ne interesează. Avem nevoie de ceva în care putem specifica în mod explicit permisiunile. Avem nevoie de FileStream și mai precis, vom ajuta Filestem Constructor (String, Filemode, FileSystemrights, Fileshare, INT32, Fileoptions). Următorii parametri au nevoie de:

  • Calea către fișier este clară
  • Cum să deschideți fișierul - Deschideți fișierul și găsiți sfârșitul fișierului
  • Drepturile de acces ale fișierelor - Datele de date
  • Accesul pentru alte obiecte filestream - nu este nevoie
  • Dimensiune tampon - implicit 8 octeți
  • Opțiuni suplimentare - nr
Se pare că este așa:
$ Log \u003d nou-obiect io.filestream ("C: \\ testperms \\ user.log", :: APPLAD, :: ApendData, :: Nici unul, 8, :: Nici unul)
Lucrări! Am creat un obiect de jurnal, încercați să scriem ceva acolo. Metoda FileStream.Write ia valorile primite în octeți. Disrimităm evenimentul pe care dorim să îl înregistrăm, la codificarea clasei, metoda de coduri de colectare (nu avem nevoie de krakozimabe la ieșire) și getbytes (de fapt convertirea)
$ eveniment \u003d "Un nou eveniment sa întâmplat." $ Eventbytes \u003d :: Genderie ("Windows-1251"). Getbytes ($ eveniment)
FileStream.Write Parametri:
Ce sa scriu; Unde să începeți scrierea; Numărul de octeți de scris
Noi scriem:
$ log.Write ($ eventytes, 0, $ eventytes.count)
Verifica.
GC C: \\ testperms \\ user.log GC: Accesul refuzat de-a lungul "C: \\ testperms \\ user.log".
Totul este bine, utilizatorul nu are drepturi de vedere scris. Schimbăm sub administrator.
GC C: \\ testperms \\ user.log sa întâmplat un nou eveniment.
Totul funcționează.

Dosarul în care fișierul, pe lângă permisiunea, crearea de foldere / date dashing trebuie să fie permisă rezolvarea dosarului de conținut / citire. Fișierul este suficient doar pentru a crea dosare / date dashing cu moștenirea dezactivată. Protejați pe deplin Utilizatorul (și utilizatorul poate fi un atacator) din fișierele în care ar trebui să scrie ceva nu va funcționa, dar pe de altă parte, în plus față de lista de fișiere din dosar, utilizatorul nu va vedea nimic și poate nu.

Concluzie Din acest simplu: în Batnikov, implementați o exploatare sigură a ceva nu va funcționa, PowerShell salvează abilitatea de a lucra cu obiecte .NET.


Înregistrarea atributelor (writeAttributes) - Lăsați utilizatorul să schimbe atributele fișierului sau folderului. Se pare că este simplu. Dar acum răspundeți doar la întrebarea: "Fotografiile pisicilor mele ocupă aproape tot locul în profilul meu și nu am loc pentru corespondența de afaceri. Aș dori să stoarce dosarul cu citatele, dar cer drepturi de administrator. Ai spus că am dreptul să schimbor atributele dosarelor. Este atributul? De ce nu o pot schimba?

Da, utilizatorul cu atributele de drept de scriere poate fi schimbat aproape toate atributele vizibile ale fișierelor și folderelor, cu excepția atributelor de compresie și criptare. Din punct de vedere tehnic, utilizatorul are dreptul de a executa caracteristica SetFileAttributes. Iar compresia fișierului este efectuată de funcția DeviceIocontrol, pe care doriți să o transferați parametrul FSCTL_SET_Compression și compresia fișierului este departe de munca sa. Cu această caracteristică, putem gestiona toate dispozitivele și resursele lor în sistem și, probabil, dau utilizatorului acest drept dreptul de a efectua această caracteristică înseamnă a face un administrator.

Cu criptare, povestea este similară: funcția de criptare, care este responsabilă pentru criptare, necesită ca utilizatorul să aibă dreptul de conținut / datele de citire, crearea de fișiere / scrierea datelor, atributele de citire, atributele de intrare și sincronizarea obiectului. Fără ei, nimic nu se va întâmpla.

Writextenddatetribute înregistrări (writextenddatedtributes). Ei bine, acestea sunt cele utilizate pentru compatibilitatea înapoi cu aplicațiile OS / 2, AHA. Ei bine, chiar și în atributele avansate ale fișierului C: \\ Windows \\ System32 \\ Services.exe a început recent scrierea Trojanov (Zeroaccess.c). Poate că ar trebui să fie oprite la nivelul superior? Nu pot da un răspuns la această întrebare, teoretic - poate merită, practic în producție - nu am încercat.

Eliminați subfolderele și fișierele. (DeletesubdirectorysandFiles) O rezoluție interesantă aplicată numai dosarelor. Esența este de a permite utilizatorului să șterge subfolderele și fișierele din dosarul părinte, fără a da permisiunea de a elimina.

Să presupunem că există un catalog de bunuri în care utilizatorii aduc date. Există un catalog de dosare părinte, în interiorul subfolderului în conformitate cu alfabetul, de la A la Z, unele nume în interiorul lor. Numele se schimbă în fiecare zi, se adaugă ceva, ceva schimbă, ceva devine depășit și trebuie să ștergeți informațiile depășite. Dar nu va fi foarte bun dacă cineva din plutitorul sau intenția malware rolă întregul catalog K, care este foarte posibil dacă utilizatorii au dreptul de a elimina. Dacă ridicați dreptul de a elimina dreptul, atunci administratorul poate schimba în siguranță lucrările, deoarece va efectua cereri de ștergere a unui nume toată ziua.

Aici se aprinde eliminarea subfolderelor și a fișierelor. În toate literele alfabetului, moștenirea este dezactivată și utilizatorii sunt abordați pentru a șterge subfolderele și fișierele. Ca rezultat, în dosarul de catalog, utilizatorii nu vor putea elimina nicio literă, dar în interiorul literelor pot șterge orice.

Șterge. Totul este simplu aici. Ștergerea este ștearsă. Nu funcționează fără dreptul de a citi.

Citirea de citire a citirii Dă dreptul la utilizator să vizualizeze permisiunile pe un dosar sau un fișier. Nu este corect - utilizatorul nu vede permisiunea în fila de siguranță

Schimbați permisele (Modificări) - Permite utilizatorului să schimbe permisiunile, în esență face ca utilizatorul de către administratorul dosarului. Puteți utiliza, de exemplu, delegați puterile suportului tehnic. Fără dreptul de a citi permisele, nu are sens. Schimbarea autorizațiilor nu implică o schimbare a proprietarului dosarului.

Schimbarea proprietarului (haine) - În primul rând, cine este un proprietar. Proprietarul este un utilizator care a creat un fișier sau un dosar.

Caracteristica proprietarului este că are acces complet la dosarul creat, poate distribui permisiuni în dosarul său creat, dar mai important - nimeni nu poate lipsi proprietarul dreptului de a schimba permisiunile din dosarul sau dosarul său. Dacă Vasya a creat un dosar, el a accesat complet accesul la animale de companie, iar Petya a mers și a certat accesul la dosarul în general și Vasi în special, apoi Vasya fără dificultate poate restabili status quo, ca este proprietarul dosarului. Schimbarea proprietarului dosarului Petya nu va fi capabil, chiar dacă are permisiunea de a schimba proprietarul. Mai mult, chiar și Vasya nu poate schimba proprietarul, în ciuda faptului că a creat dosarul. Dreptul de a schimba proprietarul se aplică numai grupului administratorilor sau administratorilor de domenii.

Dar dacă PTYA în interiorul dosarului Vasina a creat un fișier și nu ți-a dat acces la ea, atunci poți să gândești și să ghicești ce este în interiorul acestui fișier al unui astfel de secret. Vasya nu va putea schimba drepturile de acces la dosar, deoarece proprietarul fișierului este Petya. De asemenea, Vasya nu va putea schimba proprietarul fișierului - schimbarea proprietarului subsperării și obiectelor este, de asemenea, privilegiul grupului administratorilor, la care nu se aplică Vasya. Singura versiune a opțiunii WASI este să vă uitați la fișierul PETIN din dosarul său.

Administra

Cmd pentru a gestiona permisiunile este bine folosite iCaCles bine cunoscute. În PowerShell, gestionarea NTFS-Permisiuni arată astfel:

Obțineți un obiect la care vom stabili permisiunile
$ Acl \u003d obține-acl c: \\ testperms
Construiți o linie cu drepturi folosind sistemul System.Security.AccessControl.Filesystemaccesccesstruccess. Putem stabili următorii parametri:

  • grup / Nume de utilizator - Pentru cine facem ACL
  • rezoluție - Ace (acceptă valorile specificate în post)
  • se aplică la - în GUI este o listă derulantă în parametrii de securitate suplimentari. De fapt, se iau doar 3 valori: nici unul (numai în acest folder), containeririt (se aplică tuturor subfolderelor), ObjectInHerit (se aplică tuturor fișierelor). Valorile pot fi combinate.
  • aplicați aceste permisiuni la obiecte și containere numai în interiorul acestui container (caseta de selectare din GUI) - De asemenea, 3 valori: Niciuna (casetă de selectare), moștenire (Ace se aplică numai tipului de obiect selectat), NopropagateInHerit (aplicați permisiunile numai în interiorul acestui container).
  • regula - Permiteți (permiteți) sau interzicerea (neagră)
Rândul implicit va arăta astfel:
$ permisiune \u003d "contoso.com \\ admin", "fullcontrol", "containerinit, obiectivElinit", "none", "permit"
Faceți un nou as cu permisiunile de mai sus
$ Ace \u003d nou-obiect security.accessControl.Filesystemaccesrul.FilesystemaccessRule $ permisiune
Și aplicați asul proaspăt creat la obiect
$ ACL.SETACCcessrule ($ ACE) $ ACL | Set-ACL C: \\ testperms

Aplicați în practică

Înarmați cu cunoștințe despre permisele SMB și NTFS, combinarea acestora poate fi creată prin reguli de acces de absolut orice complexitate. Câteva exemple:
Un fel Permisiuni SMB. Permisiuni NTFS.
Dosar pentru toată lumea (public) Citirea / înregistrarea membrilor Utilizatori - Schimbare
Cutie neagră. Utilizatorii aruncă rapoarte confidențiale, sugestii, critici - ghiduri. Citirea / înregistrarea membrilor
Manual - Citire / Scriere		 Utilizatorii - Înregistrați, aplicați numai pentru acest dosar. Se presupune că intrarea fișierului în acest dosar este biletul cu sens unic, deoarece o modalitate convenabilă de editare fără dreptul de a vizualiza conținutul folderii folderului salvat în acest folder de fișier nu există (convenabil pentru utilizatorii metodei de scriere la un astfel de dosar, apropo, nu există nici una). Și vizionarea încalcă intimitatea.

Manual - Schimbare.
Aplicații Utilizatorii citesc Utilizatorii citesc, citirea și executarea, vizualizarea conținutului dosarului.

În mod natural, unele aplicații pot necesita drepturi suplimentare de lucru. Dar, în general, de exemplu, depozitarea utilităților de sistem pentru diagnosticare (aceeași suită de sysinternale) este destul de suficientă.

Profilurile utilizatorilor Fiecare utilizator - citiți / scrieți în dosarul său Fiecare utilizator este o schimbare în dosarul său.

Permisiuni în Windows - Lucru contradictiv. Pe de o parte, principalele autorizații sunt destul de simple și au acoperit 90% din cazuri. Dar când începe o reglare mai subtilă: diferiți utilizatori ai utilizatorilor, un dosar, cerințe de securitate pentru folderele partajate - apoi se ocupă de permisiuni suplimentare, moșteniri și proprietari sunt destul de dificile.

Sper că nu am atins pe nimeni chiar mai mult.

În prelegerea anterioară, am vorbit despre securitatea rețelei și despre un astfel de lucru ca permis, dar merită să se returneze acum, deoarece permisiunile sunt disponibile numai pe hard disks în format NTFS. În această secțiune, vom vorbi despre capabilitățile NTFS pentru a vă proteja fișierele de la ochii îngrozitoare. Spre deosebire de sistemul de grăsimi, accesul la resursele partajate nu poate fi activat și deconectat. NTFS oferă acest nivel de detaliu de selecție, care ignoră numai pe cei pe care doriți să-l oferiți și să vă certați pe toți ceilalți.

Permisiunile unui utilizator separat

Înainte de a discuta permisiunile utilizator și grup, precum și fișierele în sine, este important să se ia în considerare elementele de bază ale permiselor. Mai întâi arătăm ce este moștenirea și apoi luați în considerare instrumentul Windows XP Professional, care ar trebui să vă ajute, dar se poate transforma într-un bloc de poticnire dacă nu vă dați seama în funcțiile sale.

Moştenire

În rețea pot exista toți câțiva utilizatori și pot fi mii. Când instalați permisiuni personalizate pentru volumele și folderele NTFS, această sarcină poate fi relativ simplă într-o organizație formată din șase persoane. După cum sa menționat deja în prelegeri 9, dacă organizația începe să crească, împărțirea utilizatorilor la anumite grupuri face ca gestionarea permisiunilor să fie mult mai ușoară.

În primul rând, ar trebui să creați un set de permisiuni pentru un anumit grup, de exemplu pentru ingineri. În acest caz, atunci când noul inginer apare în organizație, acesta este adăugat automat la acest grup. În același timp, el este moștenit de permisiunile pentru acest grup.

Notă. Moștenirea este legată de alte obiecte NTFS Tom. De exemplu, dacă setați permisiuni pentru un anumit folder și apoi ați creat un subfolder în el, atunci dreptul de moștenire vă eliberează de la crearea unui nou set de permisiuni pentru acest subfolder, deoarece moștenește permisiunea dosarului părinte.

Dacă credeți că grupul de ingineri trebuie emis sau a reluat o anumită rezoluție, este ușor de făcut. După schimbare (ceea ce vom vorbi în această prelegere mai târziu), fiecare membru al acestui grup este atribuit un nou permisiune.

Pe de altă parte, un inginer special poate necesita o rezoluție în care restul nu are nevoie. Puteți intra într-un grup de ingineri, faceți modificări necesare acestui utilizator și va primi o nouă permisiune care nu va fi moștenită de el pentru că aparține acestui grup. În acest caz, permisiunea nu va fi distribuită altor membri ai grupului.

Noua calitate din Windows XP Professional este partajarea simplă a fișierelor (partajarea simplă a fișierelor). Această caracteristică este inclusă în instalarea primară a Windows XP Professional sau când utilizați un volum sau un dosar. Pentru a conecta mai mulți instrumente de control al accesului utilizatorilor, pur și simplu partajarea fișierului trebuie dezactivată.

Puteți pune o întrebare de ce aveți nevoie doar de a partaja fișiere dacă această funcție trebuie deconectată. Doar apoi pentru a facilita procesul de partajare a fișierelor și folderelor. Cu fișierul de partajare simplă, nu există fișiere și configurații multiple pentru a accesa utilizatorii la fișiere, imprimante etc. Acest lucru asigură o modalitate ușoară de a partaja fișiere. Cu toate acestea, dacă doriți să reușiți celor care pot primi dreptul de a accesa fișierele, trebuie dezactivată partajarea simplă a fișierelor. Pentru a face acest lucru, faceți următorii pași.

  1. Selectați Start \\ Computerul meu (Start \\ My Computer), apoi faceți clic pe Instrumente și selectați Opțiuni folder (Proprietăți folder).
  2. În caseta de dialog Opțiuni folder, faceți clic pe fila Vizualizare.
  3. Revizuiți lista setărilor din fereastra Advanced Setări și apoi selectați caseta de selectare Utilizare simplă de partajare a fișierelor pentru a utiliza caseta de selectare Utilizare simplă de partajare a fișierelor.
  4. Faceți clic pe OK.

Notă. Prin ea însăși, dezactivarea partajării simple de fișiere nu vă va permite să setați permisiuni pentru fișiere. De asemenea, trebuie să plasați toate fișierele și folderele în volumul sau secțiunea NTFS.

Permisiuni pentru foldere și volume

Permisele efectuează controlul asupra faptului că utilizatorul sau grupul poate face cu un obiect pe rețea sau pe computerul său local. Permisiunile sunt acceptate numai atunci când sunt deconectate prin simpla partajare a fișierului și pe hard disk în format NTFS. În permisiunile enumerate atribuite dosarelor și în fișiere.

Tabelul 10.2. Rezoluțiile dosarelor
Rezoluţie
Modificați permisiunile Schimbați permisiunile folderelor.
Creați fișiere. Crearea de fișiere noi în acest dosar.
Creați foldere. Crearea de subdirectoare în acest dosar.
Șterge. Ștergeți dosarul.
Ștergeți subfolderele și fișierele Ștergeți fișierele și subdirectoarele, chiar dacă nu aveți permisiunea de a le crea.
Listează dosarul. Vizualizați conținutul folderului.
Citiți atributele. Vizualizați atributele folderului.
Citiți permisiunile Vizualizați permisiunile folderelor.
Luați proprietatea. Atribuirea drepturilor unui alt utilizator să dețină un dosar.
Traversați dosarul. Deschiderea unui dosar pentru a vizualiza subdirectoarele și folderele părinte.
Scrie atribute. Efectuarea de modificări ale proprietăților folderului.
Tabelul 10.3. Rezoluția fișierului
Rezoluţie Permite sau interzice această acțiune
Adăugați datele. Adăugarea de informații la sfârșitul fișierului fără a modifica informațiile existente.
Modificați permisiunile Efectuarea de modificări la permisiunea de fișiere.
Șterge. Ștergerea unui fișier.
Executați fișierul. Rulați programul conținut în fișier.
Citiți atributele. Vizualizați atributele de fișiere.
Citiți datele. Vizualizați conținutul fișierului.
Citiți permisiunile Vizualizați permisiunile de fișiere.
Luați proprietatea. Atribuirea de proprietate asupra proprietății acestui dosar de la un alt proprietar.
Scrie atribute. Schimbați atributele fișierelor.
Scrieți date. Schimbarea conținutului fișierului.
Crearea și gestionarea permisiunilor

Crearea permisiunilor pentru fișiere individuale, foldere și volume NTFS, puteți utiliza mult mai multe opțiuni de securitate decât ofertele de sistem de fișiere FAT. Fila Proprietăți din folderul sau volumul selectat include fila de securitate. Făcând clic pe acesta, puteți vedea o serie de opțiuni pentru controlul accesului.

Pentru a ajusta permisiunile acestui dosar sau volum, efectuați pașii următori.

  1. Specificați volumul sau folderul pentru care veți seta permisiunile.
  2. Faceți clic dreapta pe acesta și selectați Proprietăți.
  3. Selectați fila Securitate.

Notă. Dacă volumul NTFS este partajat, trebuie să setați permisiunile prin fila Securitate și să nu utilizați butonul Permisiuni (Permisiuni) din fila Partajare.

În fereastra Proprietăți care apare, veți vedea două ferestre. Fereastra de top conține o listă de utilizatori și grupuri (). În Nizhny - o listă de permisiuni pentru utilizatorul care poate fi instalat și ajustat. Din nou, această filă este disponibilă pentru volumul în format NTFS.

Smochin. 10.7. Box de dialog Tab (Securitate) Proprietăți

Făcând clic pe un anumit utilizator sau grup, puteți seta permisiuni pentru ele în fereastra de jos. Sunt disponibile următoarele permisiuni.

  • Control total. Permite utilizatorului sau grupului să citească, să creeze, să modifice și să ștergă fișierele.
  • Modificați (modificarea). Permite utilizatorilor să șterge fișiere și foldere, să facă modificări la permisiunea sau să primească proprietatea asupra fișierului sau a dosarului de la un alt utilizator.
  • Citiți și executați (citire și execuție). Permite utilizatorilor să citească și să ruleze fișiere fără a efectua modificări ale conținutului volumului sau al folderului partajat.
  • Listează conținutul folderului (lista conținutului de dosare). Permite utilizatorilor să vizualizeze conținutul folderelor.
  • Citiți (citirea). Permite utilizatorilor să vizualizeze conținutul volumului sau al dosarului. De asemenea, pot deschide fișiere, dar nu au dreptul de a salva modificările.
  • Scrie. Permite utilizatorilor să înregistreze în foldere sau volume, dar interzice deschiderea fișierelor sau să vizualizeze lista fișierelor.
  • Permisiuni speciale (permisiuni speciale). Făcând clic pe butonul Avansat (opțional), puteți aplica permisiuni speciale.
Restricționând numărul de utilizatori

În funcție de dimensiunea și structura organizației, este posibil să nu permiteți accesul simultan la toți cei care doresc să o facă. Dacă aveți nevoie să stabiliți o limită a numărului de utilizatori care au acces simultan la un dosar, deschideți caseta de dialog Permisions și selectați fila de partajare (figura 10.8).

În secțiunea Limită utilizator (număr limită de utilizatori), specificați una dintre următoarele opțiuni.

  • Maximul permis permite accesul la numărul maxim de utilizatori de rețea.
  • Permiteți acest număr de utilizatori să permită accesul numai pentru numărul de utilizator specificat.

Mai multe detalii despre permisiuni pot fi găsite în CH. nouă.

Pentru a gestiona accesul utilizatorilor la dosare și fișiere, se utilizează un sistem detaliat și complex de permisiuni. Mecanismul de control al accesului pentru obiectele Windows este unul dintre cele mai detaliate dintre sistemele de operare bine-cunoscute. Pentru fișiere și foldere există cel puțin 14 permisiuni NTFS care pot fi pornite sau blocate - și verificate. Aceste permisiuni pot fi alocate fișiere sau foldere și utilizatori sau grupuri. În plus, este posibilă atribuirea ordinului permisiunilor de moștenire pentru fișiere sau foldere și utilizatori sau grupuri. În permisiunile labirintice sunt ușor de pierdut. Acest articol discută modul în care permite dosare și fișiere și modalități cele mai eficiente de aplicare a acestora.

Bazele accesului la obiecte

Utilizatorul nu intră niciodată la "contactul" direct cu orice obiect de ferestre. Toate accesările la obiecte se efectuează prin programe (de exemplu, Windows Explorer, Microsoft Office) sau procese. Un program care se referă la resursele din partea utilizatorului efectuează o procedură numită impersonație (impersonație). Un program care se referă la o resursă la distanță efectuează procedura denumită delegație (delegație).

După înregistrarea utilizatorului, identificatorul său de sistem (identificator de sistem - SID) și identificatorii SID sunt procesate de procesul Lsass.ass.exe, care generează un marker securizat de acces utilizator. O altă informație este introdusă în marcatorul de acces securizat, inclusiv drepturile (permisiuni) atribuite utilizatorului, ID-ul sesiunii utilizator (unic pentru fiecare sesiune), masca Permisiunilor cu o descriere detaliată a tipului de acces solicitat. Drepturile atribuite utilizatorului pot fi văzute folosind echipa.

Dacă programul apelează de la utilizator la o resursă sigură, monitorul de securitate (monitorul de referință de securitate) solicită diagrama de acces utilizatorului de utilizare a utilizatorului. Apoi, monitorul de securitate analizează marcajul pentru a determina permisiunile eficiente ale utilizatorilor și pentru a interzice sau interzic executarea utilizatorului solicitat de utilizator. Permisiunile eficiente sunt descrise mai detaliat mai jos.

Cota permisiunilor.

Fiecare obiect protejat Windows include fișiere, foldere, resurse partajate, imprimante și secțiuni de registry - sprijină rezoluțiile de securitate. Orice folder Windows se poate face în mod public pentru a rezolva accesul la distanță. Permisiunile de acțiuni pot fi atribuite oricăror dosare și obiecte de imprimantă din Windows, dar sunt aplicate permisiuni numai dacă referința la obiect apare prin resursa de rețea. Permisiunile de partajare a folderului includ controlul complet, schimbarea și citirea.

Subiecții de securitate, care sunt atribuite accesului deplin (control complet) la obiect pot produce aproape orice operațiune cu obiectul. Acestea pot șterge, redenumi, copia, mișca și schimba obiectul. Utilizatorul cu dreptul de control complet poate schimba rezoluția obiectului acțiunilor și poate deveni proprietarul obiectului (dacă nu mai este proprietarul și nu are permisiunea de a lua proprietatea). Astfel, orice utilizator cu rezoluție completă de control poate anula permisiunile altor persoane, inclusiv administratorul (deși administratorul poate returna întotdeauna posesia și permisiunile). Abilitatea de a schimba permisiunile este cerința obligatorie a oricărui sistem de operare cu gestionare selectivă a accesului (DAC), cum ar fi Windows.

În majoritatea cazurilor, rezoluția de bază a accesului la resursele solicitate de utilizatorii obișnuiți este schimbarea. Folosind rezoluția de schimbare, utilizatorul poate adăuga, șterge, schimba și redenumi orice resurse din dosarul corespunzător. Rezoluția Citiți oferă vizualizarea, copierea, redenumirea și imprimarea unui obiect. Utilizatorul cu rezoluția de citire poate copia obiectul într-un alt loc în care controlul complet are dreptul.

Permisiuni NTFS.

Dacă sistemul de fișiere NTFS (și nu grăsime) este utilizat în Windows, atunci toate fișierele, folderele, secțiunile de registry și multe alte obiecte au permisiuni NTFS. Permisiunile NTFS sunt utilizate atât cu accesul local cât și la distanță la obiect. Pentru a vizualiza și modifica permisiunile fișierului sau dosarului NTFS, faceți clic pe clic dreapta pe obiect, selectați elementul Proprietăți și accesați fila Securitate.

Tabelul 1 prezintă 7 permisiuni totale NTFS. Permisiunile totale sunt diferite combinații de 14 permisiuni detaliate prezentate în tabelul 2. Vizualizați permisiunile detaliate, puteți deschide caseta de dialog Advanced Settings Settings pentru obiect făcând clic pe butonul Avansat din fila Securitate, apoi faceți clic pe butonul Editare din fila Permisiuni. Fiți familiarizați cu permisiunile detaliate ale obiectului (necesitând în special o mai mare securitate) - un obicei util, deși necesită mai mult efort. Permisiunile totale nu reflectă întotdeauna cu exactitate starea autorizațiilor detaliate. De exemplu, a trebuit să văd permisiunea totală de citire, deși, în realitate, utilizatorul a avut permisiunea de a citi și executa.

Similar soluționării cotei de control complete, permisiunea NTFS completă oferă proprietarilor de mari oportunități. Utilizatorii care nu sunt administratori au adesea permisiunea de la controlul deplin în directorul de domiciliu și în alte fișiere și foldere. După cum sa menționat deja, proprietarul drepturilor unui astfel de nivel poate schimba permisiunile dosarului și poate numi de către proprietar. În loc să furnizați utilizatorilor permisiunea de la controlul deplin, le puteți da doar modificarea corectă. Dacă utilizatorul este proprietarul fișierului, atunci, dacă este necesar, puteți interzice manual să schimbe permisiunile.

Din punct de vedere tehnic, permisiunile NTFS sunt cunoscute ca liste de control selectiv de acces (DACL discreționar). Permisiunile de audit sunt cunoscute sub numele de ACLS System (SACL). Majoritatea obiectelor NTFS protejate au permisiuni ale ambelor specii.

Influența Windows Trust

În mod implicit, toate domeniile și pădurile Windows 2000 și versiunile ulterioare au relații bilaterale de încredere cu toate celelalte domenii forestiere. Dacă domeniul are încredere în un alt domeniu, atunci toți utilizatorii din domeniul de încredere au aceleași permisiuni de securitate în domeniul Trust, deoarece grupul toată lumea și grupul autentificat în domeniul încrederii utilizatorilor. În orice domeniu, multe permisiuni sunt prescrise de aceste grupuri în mod implicit, iar relațiile de încredere oferă implicit drepturi largi care nu ar fi furnizate în alte cazuri. Trebuie amintit că, dacă relațiile confidențiale nu împărtășesc o natură eșantion, atunci orice permisiune furnizată de toți și grupurile utilizatorilor autentificați sunt atribuite tuturor celorlalți utilizatori din pădure.

Verificați permisiunile de la linia de comandă

Administratorii folosesc adesea instrumentele de linie de comandă cum ar fi subinacl.exe, xacls.exe și cacls.exe pentru a verifica permisiunile NTFS. Subincl este inclus în resursele de resurse de resurse Windows Server 2003. Folosind subinacl, puteți vizualiza și modifica permisiunile NTFS pentru fișiere, foldere, obiecte, intrări de registry și servicii. Cea mai importantă posibilitate subinaclă este de a copia permisiunile utilizatorilor, grupurilor sau obiectului și aplicarea acestora unui alt utilizator, grup sau obiect în același domeniu sau alt domeniu. De exemplu, când mutați utilizatorul de la un domeniu la altul, este creat un nou cont de utilizator în Windows; Toate SID-urile sau permisiunile existente anterior asociate utilizatorului inițial sunt anulate. Copierea permisiunii către un cont nou de utilizator utilizând subinacl, le puteți face identice. XCACLS funcționează în mod similar cu subinacul și face parte din setul de resurse de resurse de resurse Windows 2000 Server.

Programul CACLS este descris în Microsoft publicat de Microsoft Articolul "CACLS NOOCOMENTD: Capabilități de permisiuni de grup". Acesta este un instrument mai vechi care a apărut ca parte a ferestrelor din Windows NT. CaCLLS nu este atât de util ca subinacl sau xacrs, dar utilitarul este întotdeauna disponibil în sistemul Windows. Cu Cacls, puteți vizualiza și schimba fișierele și permisiunile de către utilizatori și grupuri, dar nu creați permisiuni detaliate ale NTFS. În prezent, caracteristicile CACLS sunt limitate la locul de muncă fără acces, citire, modificare și control complet de control care se potrivesc cu permisiunile NTFS, dar fără a rezolva cota. În plus, permisiunea programului de citire CACLS îndeplinește rezoluția sistemului Citit & Execute NTFS.

Moştenire

În mod implicit, toate fișierele, folderele și secțiunile de registry moștenesc permisiunile din recipientul-mamă. Moștenirea poate fi activată sau dezactivată pentru fișiere, dosare sau secțiuni individuale și pentru utilizatorii sau grupurile individuale. După cum vedem pe ecranul 1, se aplică pe câmpul Permite din caseta de dialog Advanced Settings Settings se afișează dacă acțiunea unei rezoluții specifice este limitată la recipientul curent sau se extinde la subfoldere și fișiere. Administratorul poate atribui permisiunea (pentru utilizatorii individuali) care sunt moștenite sau nu. În acest exemplu, grupul toată lumea are o permisiune de citire și executare în dosarul curent, iar această permisiune nu este moștenită.

Dacă fișierul sau dosarul moștenește majoritatea autorizațiilor sale, dar are, de asemenea, un set de permisiuni clar specificate, acesta din urmă are întotdeauna prioritate drepturile moștenite. De exemplu, puteți oferi utilizatorului permisiunea de control complet-neagă în catalogul rădăcină al unui anumit volum și setați moștenirea acestor permisiuni prin toate fișierele și folderele de discuri. Apoi puteți să atribuiți orice fișier sau folder pe disc dreptul la acces, care anulează modul de control al controlului complet al controlului.

Permisiuni eficiente

Monitorul de securitate Windows definește permisele eficiente ale utilizatorilor (permisiunile reale pe care le au în practică) luând în considerare mai mulți factori. După cum sa menționat mai sus, monitorul de protecție colectează mai întâi informații despre contul individual al utilizatorului și toate grupurile la care aparține și rezumă toate permisiunile atribuite tuturor SIDS utilizator și grupului. Dacă neagă și permite permisiunile să existe la un nivel, atunci, de regulă, neagă are prioritate. Dacă prioritatea primește controlul complet, utilizatorul nu are de obicei acces la obiect.

În mod implicit, la înregistrarea NTFS și partajarea permisiunilor (utilizatorul se conectează la o resursă prin rețea), monitorul de protecție trebuie să colecteze toate permisiunile de acțiuni și NTFS. Ca urmare, permisiunile eficiente ale utilizatorilor reprezintă un set de permisiuni furnizate atât de permisiunile de acțiuni, cât și de NTFS.

De exemplu, în cele din urmă, utilizatorul se poate dovedi a fi citirea și modificarea permisiunii de partajare, iar permisiunile NTFS au citit și modifică. Permisele eficiente - cel mai limitat set de permisiuni. În acest caz, permisiunile sunt aproape identice. Permisiunile eficiente vor fi citite și modificări / modificări. Mulți administratori consideră în mod eronat că permisiunile eficiente sunt citite numai, datorită exemplelor rele, excesive simplificate sau unei documentații învechite.

În caseta de dialog Advanced Settings Settings din Windows XP și versiunile mai noi, a apărut fila de permisiuni eficiente (a se vedea ecranul 2). Din păcate, în fila efectivă de permisiuni, se reflectă numai permisiunile NTFS. Impactul permiselor de acțiuni, acțiuni bazate pe membrii a căror membru nu are și alți factori, cum ar fi sistemul de fișiere de criptare (criptarea sistemului de fișiere - EFS). Dacă EFS este activat pentru un fișier sau un dosar, utilizatorul cu NTF-urile corespunzătoare și permisiunile de partajare poate pierde posibilitatea accesului la obiect dacă nu are un acces EFS la un dosar sau un fișier.

  • Oferiți cu atenție permisiunea de la controlul deplin la utilizatorii obișnuiți. Este util să o atribuiți în loc de rezoluția modificată. În majoritatea cazurilor, această abordare oferă utilizatorilor toate permisiunile necesare, fără a permite schimbarea drepturilor sau alocarea proprietății.
  • Lucrați cu atenție cu grupul toată lumea; Este mai bine să utilizați grupul autentificat (sau utilizatorii) sau un grup limitat special. Omisiunile importante ale grupului de utilizatori autentificați sunt lipsa unui oaspete și a unui utilizator neautorizat.
  • Adesea, administratorii de rețea sunt rugați să intre în conturile oaspeților pentru utilizatorii terți (de exemplu, consultanți, contractori, programatori independenți). Dar drepturile regulate ale utilizatorilor sunt adesea redundante oaspeților. Ar trebui să creați și să utilizați un grup al cărui drepturi sunt foarte trimițate (de exemplu, permisiunea de control complet de control pentru directoarele rădăcinilor) și apoi permiteți în mod explicit accesul la fișiere și foldere necesare pentru acest cont de oaspeți. Sunt preferate permisiuni explicitate, deoarece oferă utilizatorilor oaspeților acele permisiuni necesare pentru munca lor, dar nu mai mult.
  • Îngrijirea ar trebui luată, impunând interdicții asupra grupurilor tuturor și ale utilizatorilor, deoarece administratorii sunt incluși în aceste grupuri.
  • În cazul relațiilor de încredere cu alte domenii, este util să se aplice încredere unilaterală și selectivă pentru a limita drepturile utilizatorilor de domeniu de încredere.
  • Este necesar să audiți periodic NTFS și să împărtășească permisiunile pentru a se asigura că acestea sunt cât mai limitate posibil.

Folosind aceste recomandări și tabele de referință cu o scurtă descriere a tuturor permiselor, puteți merge în siguranță la sistemul de fișiere labirint. Administratorul va fi capabil să atribuie cu încredere permisiuni pentru fișiere, foldere, utilizatori și grupuri.

Tabelul 1. Rezumatul permisiunilor NTFS

Rezoluţie

act

Oferă vizualizare, copiere, imprimare și redenumire fișiere, foldere și obiecte. Nu pornește executabilul programului, cu excepția fișierelor de scenariu. Vă permite să citiți permisiunile obiectelor, atributele de obiect și atributele avansate (de exemplu, arhivă, biți EFS). Vă permite să efectuați o listă de fișiere și foldere subfolder.

Citirea permiselor, plus crearea și rescrierea fișierelor și a dosarelor

Lista (numai foldere)

Vă permite să vizualizați numele fișierelor și subfolderele în interiorul dosarului

Citiți permisiunile și fișierele software care rulează

Oferă toate permisele, pe lângă capacitatea de a atribui posesia și de a atribui permisiuni. Vă permite să citiți, să ștergeți, să modificați și să suprascrieți fișierele și folderele.

Oferă gestionarea completă a dosarelor și fișierelor, inclusiv vă permite să atribuiți permisiuni.

Permisiuni speciale

Vă permite să întocmi combinația de 14 autorizații mai detaliate care nu intră în nici una dintre celelalte 6 permisiuni totale. Acest grup include permisiunea de sincronizare

Tabelul 2. Permisiuni detaliate ale NTFS

Rezoluţie

act

Traverse Folder / Executare fișier

Traverse Folder vă permite să vă deplasați pe foldere pentru a accesa alte fișiere și foldere, chiar dacă entitatea de securitate nu are permisiuni în dosarul de tranzit. Se aplică numai dosarelor. Folderul de traversare intră în vigoare numai dacă entitatea de securitate nu are permisiunea utilizatorului de verificare a traversei (furnizate de grupul implicit pentru toată lumea). Executați fișierul vă permite să rulați fișiere de program. Atribuirea permisiunii folderului Traverse pentru folder nu instalează automat permisiunile de fișiere Execute automat pentru toate fișierele din dosar

Lista dosarului / citiți datele

Oferă vedere la numele de fișiere și subfoldere în dosar. Dosarul listei afectează conținutul folderului - nu afectează dacă dosarul va fi introdus în lista pentru care este atribuită rezoluția. Citiți datele vă permite să vizualizați, copiați și imprimați fișiere

Entitatea de securitate vede atributele obiectului (de exemplu, numai pentru citire, sistem, ascunse)

Citiți atributele extinse.

Entitatea de securitate vede atributele de obiecte extinse (de exemplu, EFS, compresie)

Creați fișiere / scrieți date

Crearea fișierelor vă permite să creați fișiere în interiorul folderului (aplicate numai în foldere). Scrierea datelor vă permite să modificați fișierul și să suprascrie conținutul existent (aplicat numai fișierelor)

Creați dosare / Adăugați datele

Crearea dosarelor vă permite să creați foldere în interiorul folderului (aplicate numai în foldere). APPLAD Date vă permit să modificați la sfârșitul fișierului, dar nu modificați, ștergeți sau să suprascrieți datele existente (aplicate numai fișierelor)

Scrie atribute.

Stabilește dacă entitatea de securitate poate înregistra sau schimba atributele standard (de exemplu, numai pentru citire, sistem, ascunse) și foldere. Nu afectează conținutul fișierelor și folderelor, numai pe atributele acestora.

Scrie atribute extinse.

Stabilește dacă o entitate de securitate poate înregistra sau modifica atributele extinse (de exemplu, fișierele EFS, Compression) și folderele. Nu afectează conținutul fișierelor și dosarelor, numai pe atributele acestora

Ștergeți subfolderele și fișierele

Vă permite să ștergeți subfolderele și fișierele, chiar dacă rezoluția Ștergere nu este furnizată cu un subfolder sau un fișier

Vă permite să ștergeți un dosar sau un fișier. Dacă nu există permisiunea de ștergere pentru un fișier sau un dosar, acesta poate fi șters dacă există o rezoluție a subfolderelor de ștergere și a fișierelor în dosarul părinte

Citiți permisiunile

Modificați permisiunile

Vă permite să schimbați permisiunile (de exemplu, controlul complet, citiți, scrieți) fișier sau folder. Nu vă permite să schimbați fișierul în sine

Determină cine poate fi proprietarul unui fișier sau al unui dosar. Proprietarii pot avea întotdeauna control deplin, iar permisiunile acestora în dosar sau folder nu pot fi anulate în mod constant dacă proprietatea nu este anulată.

Administratorii rareori folosesc această permisiune. Se utilizează pentru sincronizare în programe multi-filetate, multiproces și determină interacțiunea dintre mai multe fire care fac apel la o resursă.

Permisiunile NTFS sunt utilizate pentru a proteja resursele de la:

    utilizatorii locali lucrează la computerul pe care se află resursa;

    utilizatorii de la distanță conectați la folderul partajat din rețea.

Permisiunile NTFS oferă o selecție de securitate ridicată: pentru fiecare fișier din dosar, puteți seta permisiunile. De exemplu, un utilizator vă permite să citiți și să modificați conținutul fișierului, altul - citiți numai, iar restul - în general, interzice accesul la acesta.

Dacă, atunci când formatați un volum, sistemul NTFS este instalat pe acesta, gruparea tuturor este atribuită automat permisiunii Sontrol (Control Full) pe acest volum. Dosarele și fișierele create pe acest volum, în mod implicit, moștenesc această permisiune.

Permisiuni individuale

Windows NT are șase tipuri de permisiuni individuale NTFS, fiecare specifică tipul de acces la fișier sau folder.

Tabelul descrie operațiile rezolvate de utilizator cu un dosar sau un fișier atunci când este aplicat unui obiect al uneia dintre permisiunile individuale NTFS.

Utilizatorul care a creat un fișier sau un folder pe volumul NTFS devine proprietarul acestui fișier sau dosar. Dacă acest utilizator este membru al grupului administratorilor (administratori), proprietarul real devine întregul grup de administratori. Proprietarul are întotdeauna dreptul de a atribui și schimba permisiunile pentru a accesa fișierul sau dosarul său.

Permisiuni standard

În majoritatea cazurilor, vă veți bucura de permisiuni standard NTFS. Acestea sunt combinații de permisiuni individuale. Scopul simultan al mai multor permisiuni individuale pentru un dosar sau un folder simplifică foarte mult administrarea.

După numele rezoluției standard în paranteze, sunt date abrevierile componentelor permisiunilor sale individuale. De exemplu, rezoluția standard citită (citire) pentru un fișier este echivalentă cu două permisiuni individuale - citiți (citirea) și executarea - și în paranteze vor sta RX litere.

Permisiuni standard pentru dosare

Tabelul enumeră permisiunile standard pentru dosare și sunt indicate permisiunile individuale ale NTFS.

Nu există permisiunea de acces (fără acces) interzice accesul la un fișier sau un dosar, chiar dacă utilizatorul este membru al grupului, care este acordat permisiunii de acces. Digger în coloana "Permisiuni individuale pentru fișier" înseamnă că această rezoluție standard nu se aplică fișierelor.

Permisiuni standard pentru fișiere

Tabelul enumeră permisiunile standard pentru fișiere și permisiunile individuale ale NTFS corespunzătoare acestora.

Permisiuni Control complet (control complet) și schimbare (schimbare) Caracteristică că al doilea nu permite schimbarea permisiunilor și proprietarului obiectului.

      1. Aplicarea permiselor NTFS

Permisiunile NTFS sunt atribuite conturilor de utilizator și grupurilor, precum și drepturilor de acces la resursele partajate. Utilizatorul poate obține permisiunea fie direct sau poate fi membru al uneia sau mai multor grupuri având permisiunea.

Utilizarea permisiunilor NTFS pentru foldere este similară cu utilizarea drepturilor de acces la resursele partajate.

    Ca și drepturile de acces la resursele partajate, permisiunile actuale ale NTFS pentru utilizator sunt o combinație de permisiuni de utilizator și grupuri ale căror membru este. Singura excepție este permisiunea de acces (acces): anulează toate celelalte permisiuni.

    Spre deosebire de drepturile de acces la resursele comune, permisiunile NTFS protejează resursele locale. În particular, fișierele și folderele conținute în acest dosar pot avea alte permisiuni decât ea însăși.

Permisiunile NTFS pentru fișier prevalează asupra permisiunilor pentru dosarul la care este conținut. De exemplu, dacă utilizatorul are o permisiune de citire pentru dosar și scrie pentru fișierul atașat la acesta, acesta va putea înregistra datele în fișier, dar nu va putea crea un fișier nou în dosar.

Acest articol este continuat ideologic printr-un articol. După cum sa spus în el, după selectarea utilizatorilor și (sau), trebuie să specificați parametrii de acces la acestea. Acest lucru se poate face utilizând permisiunile sistemului de fișiere NTFS discutate în tabelul următor.

Permisiuni de acces la fișiere

  • Citind. Citirea fișierelor este permisă, precum și vizualizarea parametrilor săi, cum ar fi numele proprietarului, permisiunile și proprietățile suplimentare.
  • Record. Este permisă rescrierea fișierului, schimbând parametrii săi, vizualizarea numelui proprietarului și permisiunilor sale.
  • Citirea și execuția. Permisiunea de a citi și de a lansa o cerere executabilă.
  • Schimbarea. Este permisă schimbarea și ștergerea unui fișier, precum și tot ceea ce este furnizat de permisul de citire și executare, precum și înregistrarea.
  • Acces complet.
  • A permis accesul complet la fișier. Aceasta înseamnă că toate acțiunile prevăzute de toate permisiunile enumerate mai sus sunt permise. De asemenea, este permis să devină proprietarul dosarului și să-și schimbe permisiunile.

Permisiuni de acces la foldere

  • Citind. Este permisă vizualizarea dosarelor și a fișierelor imbricate, precum și proprietățile acestora, cum ar fi numele proprietarului, permisiunile și citirea atributelor, cum ar fi citirea, arhivarea, arhiva și sistemul sistemic.
  • Record. Este permis să creați și să postați fișiere și subfoldere noi în interiorul folderului, precum și să modificați parametrii folderului și să vizualizați proprietățile sale, în special numele proprietarului și permisiunea de a accesa.
  • Lista conținutului de dosare. Este permisă vizualizarea numelor fișierelor conținute în dosar și subfoldere.
  • Citirea și execuția. Este permisă accesul la fișiere în subfoldere, chiar dacă nu există acces la folderul însuși. În plus, aceleași acțiuni furnizate pentru permisiunea de a citi și lista conținutul folderului sunt permise.
  • Schimbarea. Toate acțiunile prevăzute pentru permisiunea de a citi și a citi și executa și șterge folderul este permis.
  • Acces complet. Accesul complet la dosar este permis. Cu alte cuvinte, toate acțiunile prevăzute de toate permisiunile enumerate mai sus sunt permise. În plus, a permis să devină proprietarul dosarului și să-și schimbe permisiunile.
  • Permisiuni speciale. Un set de permisiuni suplimentare diferite de cele standard.

Creatorul de fișiere este întotdeauna considerat proprietarul său care are drepturi Acces complet, chiar dacă contul proprietarului nu este listat în fila Securitatea fișierelor. În plus față de permisiunile de mai sus pentru fișier, puteți selecta două tipuri suplimentare de permisiuni.

  • Schimbarea proprietarului. Acest tip de rezoluție permite utilizatorului să devină proprietarul fișierului. Acest tip de rezoluție este atribuit grupului Administratorii.
  • Schimbarea permiselor. Utilizatorul are capacitatea de a modifica lista de utilizatori și grupuri care au acces la fișier, precum și schimbarea tipurilor de permisiuni de acces la fișier.

Articole similare