NTFS Tajomstvo - práva, povolenia a ich dedičstvo. Povolenia SMB a NTFS

Prečo vo väčšine prípadov v organizácii potrebuje server? Active Directory, RDS, tlačový server a banda malých a veľkých služieb. Najvýznamnejšou úlohou je snáď súborový server. Ľudia s ním, na rozdiel od iných rolí, pracujú vedome. Pamätajú si, ktorý priečinok to, čo leží, kde sú skenovanie dokumentov, kde sú ich prehľady, kde sú faxy, kde majú spoločný priečinok, v ktorom všetci môžete mať prístup k jednému z oddelení, kde inde, a nerozpoznávajú

O prístup k sieti a miestnym priečinkom na serveri Chcem hovoriť.

Prístup k zdieľaným zdrojom na serveri sa vykonáva, ako všetci presne pozná všetko, v súlade s protokolom SMB 3.0. Sieťový prístup k priečinkom je možné obmedziť na povolenia SMB a NTFS. Povolenia SMB pracujú len pri prístupe k zdieľanému priečinku cez sieť a nemajú žiadny vplyv na dostupnosť konkrétneho priečinka lokálne. Povolenia NTFS pracujú tak v sieti aj lokálne, poskytujú oveľa väčšiu flexibilitu pri vytváraní prístupových práv. Povolenia SMB a NTFS nefungujú samostatne, ale vzájomne sa dopĺňajú v súlade so zásadou najväčšieho obmedzenia práv.

Aby ste mohli dať priečinok zdieľať server 2012 v skupine SMB SHOCE SHOCE, NEW-SMBSHARE CMBDLET sa objavil. V príklade tohto CMDlet uvidíme všetky dostupné funkcie pri vytváraní zdieľaného priečinka, okrem konfigurácií klastra (to je samostatná veľká téma).

Vytvorenie nového zdieľaného priečinka vyzerá veľmi jednoduché:
NET SHARE HOMEFOLDER \u003d S: IVANIVANOV / GRANT: "admin", plný / grant: "folitrower", zmena / grant: "manažér", čítanie / cache: programy / poznámka: "IVANOV" alebo
NEW-SMBSHARE HOMEFOLDER S: IVANIVANOV -CACHINGMODE PROGRESS-TUNLLACESSS admin -ChangeAccess folderser -ReadAccess manager -noaccess všetky -folderenburárneMode AccessBased -Description "Ivanov" \\ t

Rozumieme:

-Name Názov zdieľaného priečinka v sieti sa môže líšiť od priečinka v lokálnom počítači. Má limit v 80 znakoch, nemôžete použiť názvy potrubných a poštových služieb.

Cesta cesta do lokálneho priečinka, ktorý chcete zadávať. Cesta musí byť kompletná, z koreňa disku.

CACHINGMODE Nastavenie autonómie súborov v zdieľanom priečinku.

Čo je to samostatný súbor?

Samostatný súbor je kópia súboru umiestneného na serveri. Táto kópia sa nachádza na lokálnom počítači a umožňuje pracovať so súborom bez pripojenia na server. Pri pripojení zmeny je synchronizovaná. Synchronizované v oboch smeroch: Ak ste vykonali zmeny v súbore offline - nabudúce sa zmení súbor na serveri; Ak niekto urobil zmeny na serveri - potom sa zmení miestna kópia. Ak sa zmeny vyskytli v oboch súboroch naraz - získame chybu synchronizácie a budete musieť vybrať, ktorá verzia bude uložená. Ak chcete zdieľať túto príležitosť, nepoužil by som túto príležitosť, ale ak urobíte loptu pre každého používateľa a obmedzíte prístup pre iné čítanie, bez možnosti nahrávania získame nasledujúce buchty:

  • Práca nezávisí od siete - môže spáliť spínač, server môže reštartovať, drôt sa môže prelomiť alebo vypnúť prístupový bod - užívateľ pracuje s jeho kópiou, neznamená si, že tam máte nejakú nehodu, Pri obnovení sieťového pripojenia ide na server.
  • Užívateľ môže pracovať v práci kdekoľvek: pri chate, na autobuse, na lietadle - v tých miestach, kde nie je k dispozícii pripojenie k VPN z nejakého dôvodu.
  • Ak aj užívateľ pracuje cez VPN, ale spojenie alebo veľmi pomalé, alebo sa neustále porušuje - je ľahšie pracovať s opitňou kópie a synchronizovať zmeny, než sa snaží niečo urobiť na serveri.
  • Užívateľ si môže vybrať, že a kedy sa dá synchronizovať, ak ju dáte príležitosť.

Trvá nasledujúce hodnoty:
  • Žiadne - súbory nie sú k dispozícii offline, prístup k serveru potrebujú prístup k serveru.
  • manuálne - Používatelia si vyberú súbory, ktoré budú dostupné samostatne
  • programy - všetko v priečinku sú dostupné autonómne (dokumenty a programy (súbory s * .exe, * .dll Extension)))
  • dokumenty - Dokumenty, žiadne programy
  • branchCache - caching namiesto lokálneho používateľa počítača sa vyskytuje na serveroch BranchCache, používatelia si vyberú súbory offline
-Naccess, -Readaccess, -ChangeAccess, -fulllaccess všeobecné prístupové povolenia (povolenia na akciu).

Tieto povolenia majú jednu veľkú výhodu - sú veľmi jednoduché.

NoAccess Tajomník, Steward - Samostatný tajomník a Relaozem, čo sa týka všeobecných účtovných priečinkov
-Reaccess Auditor - Kontrola audítora Účtovná práca môže vidieť názvy súborov a podpriečinky v zdieľanom priečinku, otvoriť súbory na čítanie, spustiť programy.
-ChangeAccess účtovník - účtovníci v ich zdieľanom priečinku môžu vytvoriť súbory a podpriečinky, zmeniť existujúce súbory, odstrániť súbory a podpriečinky
-Fullacess Admin - FullAccess je čitateľstvo + changeaccess plus schopnosť meniť povolenia.

Pri vytváraní zdieľaného priečinka sa automaticky používa najrechtivnejšie pravidlo - "ALLY" Skupina je daná čítaniu.

Tieto povolenia platia len pre používateľov, ktorí majú prístup k zdieľanému priečinku cez sieť. S miestnom vstupu do systému, napríklad v prípade terminálového servera, a sekretárka a koruna budú vidieť v účtovníctve, všetko, čo si želá. Toto je korigované povoleniami NTFS. Povolenia SMB sa vzťahujú na všetky súbory a priečinky na spoločnom zdroji. Riedidlo prístupové práva vykonávajú aj NTFS povolenia.

CoCIRENTUSERLIMIT Použite tento parameter, aby sa obmedzil maximálny počet pripojení do zdieľaného priečinka. V zásade môžete použiť aj na obmedzenie prístupu k priečinku, dopĺňať povolenia NTFS, musíte byť presne presvedčený o požadovanom počte pripojení.

Popis Opis zdieľaného zdroja, ktorý je viditeľný v sieťovom prostredí. Popis je veľmi dobrá vec, ktorú mnohí zanedbávajú.

Šifrovanie šifrovania

V SMB na verziu 3.0 jediný spôsob, ako chrániť prevádzku zo súboru servera k klientovi, bol VPN. Ako ho implementovať úplne závisel od preferencií správcu systému: SSL, PPTP, IPSEC-tunely alebo niečo iné. Na serveri 2012, šifrovacie práce z krabice, v pravidelnej lokálnej sieti alebo prostredníctvom nedôveryhodných sietí, bez toho, aby si vyžadovalo akékoľvek špeciálne riešenia infraštruktúry. Môže byť povolený pre celý server aj pre jednotlivé zdieľané priečinky. Šifrovací algoritmus v SMB 3.0 je AES-CCM, algoritmus hashovania namiesto HMAC-SHA256 sa stal AES-CMAC. Dobrou správou je, že SMB 3.0 podporuje hardvérové \u200b\u200bAES (AES-NI), zlá správa je, že Rusko nepodporuje AES-NI.

Čo ohrozuje zahrnutie šifrovania? V skutočnosti, že len klienti Podpora SMB 3.0 budú môcť pracovať so šifrovanými spoločnými priečinkami, to znamená, Windows 8. Dôvodom opäť, maximálny povolený limit práv užívateľov. Predpokladá sa, že administrátor vie, čo robí, a ak je to potrebné, poskytne prístup zákazníkom s inou verziou SMB. Keďže SMB 3.0 používa nové šifrovacie algoritmy a klientská prevádzka s inou verziou SMB nebude šifrovaná, je potrebná VPN. Ak chcete, aby všetci zákazníci na súborový server s Encryption aktivoval, pomôže SET-SMBSServerconfiguration -CejectRectryptedAccess $ False Command
V predvolenej konfigurácii (non-drugged prevádzka na šifrované zdieľané priečinky je zakázané, pri pokuse o prístup k priečinku klienta s verziou SMB pod 3,0 na klientovi, dostaneme "Error Access Chyba". Na serveri do systému Microsoft-Windows-SMBSServer / Operation Log, bude pridaná udalosť 1003, v ktorej môžete nájsť IP adresu klienta, ktorá sa snaží prístup.

Šifrovanie SMB a EFS sú rôzne veci, ktoré nie sú navzájom spojené, to znamená, že môže byť použitý na tuk a objemy.

FoldernMemationMode Toto je prístup na základe prístupu. Pomocou prístupovej enuberácie, používatelia, ktorí nemajú prístup k zdieľanému priečinku, jednoducho nebudú vidieť na serveri súborov a bude menej otázok, prečo nemám prístup k tomuto priečinku alebo v tomto priečinku. Užívateľ vidí svoje dostupné priečinky a nesnaží sa vyliezť do záležitostí iných ľudí. Predvolené.

  • prístup - Povoliť
  • neobmedzené - vypnúť
-Temuary Tento kľúč vytvorí dočasný zdieľaný priečinok, prístup, ktorý sa zastaví po reštartovaní servera. Štandardne sa vytvoria konštantné zdieľané priečinky.

Povolenia NTFS

S pomocou povolenia NTFS môžeme podrobnejšie vymedziť práva v priečinku. Môžeme zakázať konkrétnu skupinu, aby zmenila špecifický súbor, zanechal schopnosť upravovať celý hlavný; V rovnakom priečinku môže mať jedna skupina používateľov právo na zmenu jedného súboru a nebude môcť zobraziť iné súbory upravené inou skupinou používateľov a naopak. Stručne povedané, NTFS povolenia nám umožňujú vytvoriť veľmi flexibilný prístupový systém, hlavnú vec neskôr v ňom nezmení. Okrem toho, ntfs povolenia fungujú, a to ako pri prístupe k sieťovému priečinku, ktoré dopĺňajú celkové povolenia prístupu a s miestnym prístupom do súborov a priečinkov.

Existuje šesť hlavných (základných) povolení, ktoré sú kombináciou 14 dodatočných povolení.

Hlavné povolenia
Úplný prístup (FullControl) - Úplný prístup do priečinka alebo súboru so schopnosťou zmeniť prístupové práva a pravidlá auditu do priečinkov a súborov

Upraviť - Právo na čítanie, zmena, zobrazenie obsahu priečinka, odstrániť priečinky / súbory a spustiť vykonané súbory. Zahŕňa čítanie a vykonanie (ReadAndExCute), písanie (zápis) a odstrániť.

Čítanie a vykonanie (ReadAndExCute) - právo otvoriť priečinky a čítanie súborov bez možnosti nahrávania. Je tiež možné spustiť spustené súbory.

Zoznam zložiek obsahu (ListDirectory) - právo na zobrazenie obsahu priečinka

Čítanie (čítanie) - právo otvoriť priečinky a čítanie súborov bez možnosti nahrávania. Obsahuje obsah priečinka / čítania dát (readdata), atribúty čítania (čítanie), čítanie dodatočných atribútov (readExteddedAttributes) a oprávnenia na čítanie (čítanie)

Nahrávanie (zápis) - Právo na vytvorenie priečinkov a súborov, modifikovať súbory. Zahŕňa vytváranie súborov / písanie údajov / poškodenie dát (APPHENDDATA), nahrávanie atribútov (WriteatTributes) a nahrávanie ďalších atribútov (WriteEExtextededTributes)

Dodatočné povolenia
Dal som do priečinka len 1 zo 14 povolení a sledoval, čo sa ukáže. V reálnom svete je vo väčšine prípadov dostatok veľkých povolení, ale mal som záujem o správanie priečinkov a súborov s najvyššími možnými právami.

Prejdite priečinky / Vykonávanie súborov (Traverse) - právo na spustenie a čítanie súborov bez ohľadu na prístupové práva do priečinka. V priečinku nebude prístupný žiadny prístup k priečinku, (ktorý je v priečinku zostane záhadou), ale súbory v priečinku budú k dispozícii v priamom prepojení (plná, relatívna alebo unc cesta). Priečinky Travers môžete vložiť do priečinka priečinka a na súbor akékoľvek iné povolenia, ktoré používateľ potrebuje pracovať. Vytvorenie a odstránenie súborov v priečinku používateľa nebude fungovať.

Čítanie čitateľov - Právo na zobrazenie atribútov (footettributes) priečinky alebo súbor.
Zobrazenie obsahu priečinka alebo súborov alebo zmeňte všetky atribúty nie je možné zmeniť.

ReadExteddedTributes (readExteddedAttributes) - právo zobraziť ďalšie atribúty priečinka alebo súboru.

Jediná vec, ktorú som mohol nájsť na ďalšie atribúty, je to, čo sa používajú na zabezpečenie spätnej kompatibility s aplikáciami OS / 2. (Windows Internals, Časť 2: Pokrytie systému Windows Server 2008 R2 a Windows 7). Neviem o nich nič viac.

Vytvorenie súborov / písanie údajov (WREDATA) - dáva užívateľovi možnosť vytvárať súbory v priečinku, v ktorom nemá prístup. Súbory môžete kopírovať do priečinka a vytvoriť nové súbory v priečinku. Nemôžete zobraziť obsah priečinka, vytvoriť nové priečinky a zmeniť existujúce súbory. Užívateľ nebude môcť zmeniť žiadny súbor, aj keď je to vlastník tohto súboru - vytvárať.

Vytvorenie priečinkov / poškodenia údajov (APPENDDATA) - Poskytuje užívateľovi možnosť vytvárať podpriečinky v priečinku a pridať údaje do konca súboru bez zmeny existujúceho obsahu.

Skontrolovať

S vytvorením podpriečinkov je všetko jasné: NI C: Testperms Directory TestraPend -itemType Directory bude fungovať podľa očakávania - vytvorí subfolder testerperms na prezeranie používateľa. Pokúsme sa pridať reťazec na koniec súboru - Urobte si údržbu nejakého denníka. Newevent \u003e\u003e C: Testperms užívateľ.log je odmietnutý prístup.
Hmm ... v CMD nefunguje. A ak áno. AC C: Testperms užívateľ.log Newevent AC: Odmietnutý prístup pozdĺž "C: Testerperms User.log".
A v dopravníku? "Newevent" | Out-File C: Testperms User.log -append Out-File: Odmietnutý prístup pozdĺž cesty "C: Testperms užívateľ.log".
A tak nefunguje.

Spustíme čiernu magickú reláciu: Použite triedu súborov, metódu adventextu. Dostaneme objekt log.
$ Log \u003d :: APPETTTEXT ("C: SECTPERMMS Uster.Log") Vylúčenie pri volaní "APPENTTEXT" s "1" argumenty: "Odmietnutý prístup pozdĺž cesty" C: Testperms Uster.log ".
Myslím, že APPENDALLTEXT nestojí za to
$ LOG \u003d :: APPENDALLTEXT ("C: Testperms User.log", "Newevent") Výnimka pri volaní "APPENDALLTEXT" s "2" argumenty: "Odmietnutý prístup na cestu" C: Testperms User.log " "
V zásade, jasný. Iba práva na predbežné odosielanie údajov do súboru nad metódami nestačia, potrebujú vstup do súboru. Ale spolu s tým vám poskytneme možnosť zmeniť súbor, a nie len pridávanie záznamov, to znamená, že otvoríme potenciálnu schopnosť zničiť všetky obsah súboru.

Musíme prehodnotiť koncepciu: nemeníme k objektu log, ale vytvoriť nový, v ktorom sa pýtame všetky parametre, ktoré nás zaujímajú. Potrebujeme niečo, kde môžeme explicitne špecifikovať povolenia. Potrebujeme FIMESTREM a konkrétnejšie, pomôžeme Filestem Constructor (String, Filemode, FilesystemRights, Fileshare, Intr32, FileOptions). Ďalšie parametre potrebujú:

  • Cesta k súboru je jasná
  • Ako otvoriť súbor - otvorte súbor a nájdite koniec súboru
  • Prístupové práva na súbor - údaje údajov
  • Prístup pre ostatné objekty FIMESTREAM - nepotrebujete
  • Veľkosť vyrovnávacej pamäte - predvolené 8 bajtov
  • Ďalšie možnosti - Nie
Ukazuje sa niečo takéto:
$ Log \u003d nový objekt io.filstream ("c: testperms užívateľ.log", :: Pripojiť, :: APPIDDDATA, :: NONE, 8, :: NONE)
Tvorba! Vytvorili sme logický objekt, skúste tam niečo napísať. Metóda Filestream.write má prichádzajúce hodnoty v bajtoch. Diestieme udalosť, ktorú chceme zaznamenať, v Bytes - kódovanie triedy, metóda Getencoding (nepotrebujeme Krakozyabe na výstup) a GetBytes (vlastne konvertovanie)
$ udalosť \u003d "Nová udalosť sa stala." $ Eventbytes \u003d :: gteencoding ("Windows-1251"). GetBytes ($ udalosť)
Parametre filestream.write:
Čo písať; Kde začať písať; Počet bajtov na písanie
Píšeme:
$ log.write ($ eventbytes, 0, $ eventbytes.count)
Skontrolovať.
GC C: Testperms Uster.Log GC: Odmietnutý prístup pozdĺž "C: Testperms užívateľ.log".
Všetko je v poriadku, užívateľ nemá žiadne práva na zobrazenie písaných. Posunujeme sa pod správcom.
GC C: Testperms Uster.Log sa stalo novou udalosťou.
Všetko funguje.

Priečinok, v ktorom je súbor okrem povolenia, vytváranie priečinkov / prístrojových dát musí mať možnosť vyriešiť zložku obsahu / čítania. Súbor stačí len vytvoriť priečinky / informačné údaje so zdravotne postihnutým dedičstvom. Plne chrániť užívateľa (a používateľ môže byť útočníkom) zo súborov, v ktorých by mal napísať niečo, nebude fungovať, ale na druhej strane, okrem zoznamu súborov v priečinku, užívateľ nevide nič a môže nerobiť.

Záver z tohto jednoduchého: v Batnikovi, implementovať bezpečné ťažbu niečoho nebude fungovať, Powershell uloží zručnosť pracovať s objektmi .NET .NET .NET.


Nahrávanie atribútov (WriteatTributes) - Nechajte užívateľ zmeniť atribúty súborov alebo priečinkov. Zdá sa, že je to jednoduché. Ale teraz len odpovedať na otázku: "Fotografie mojich mačiek zaberajú takmer všetky miesto v mojom profile a nemám miesto pre obchodnú korešpondenciu. Chcel by som stlačiť priečinok s citáciami, ale ja požiadam o práva správcu. Povedali ste, že mám právo zmeniť atribúty priečinkov. Je atribút? Prečo to nemôžem zmeniť? "

Áno, užívateľ s právom na zapisovanie atribútov je možné zmeniť takmer všetky viditeľné atribúty súborov a priečinkov, okrem kompresných atribútov a šifrovania. Technicky užívateľ dostane právo vykonávať funkciu SETFILEATTRIBUTS. A kompresia súborov sa vykonáva pomocou funkcie DeviceIOCONTROL, ktorú chcete preniesť parameter FSCTL_SET_COMpression a kompresia súborov je ďaleko od jeho práce. S touto funkciou môžeme spravovať všetky zariadenia a ich zdroje v systéme a pravdepodobne dať užívateľovi toto právo vykonať túto funkciu znamená, že je správcom.

So šifrovaním je príbeh podobný: Funkcia šifrovania, ktorá je zodpovedná za šifrovanie, vyžaduje, aby užívateľ mal právo na obsah Priečinok / čítanie údajov, vytváranie súborov / zápis údajov, atribúty čítania, vstupných atribútov a synchronizácie na objekt. Bez nich sa nič nestane.

Záznam o výpiseDazedníkoch (WritexTxtedDedTributes). No, to sú tie, ktoré sa používajú na spätnú kompatibilitu s aplikáciami OS / 2, AHA. No, dokonca aj v pokročilých atribútoch súboru C: Windows System32 Služby.exe nedávno začala písanie Trojanov (Zoradenie.c). Možno by sa mali vypnúť na najvyššej úrovni? Nemôžem dať odpoveď na túto otázku, teoreticky - možno stojí za to, prakticky vo výrobe - som sa neskúsil.

Odstráňte podpriečinky a súbory. (DeletesubDirectoriesBandFiles) Zaujímavé rozlíšenie sa aplikovalo len na priečinky. Essence je umožniť používateľovi odstrániť podpriečinky a súbory v materskom priečinku bez toho, aby sa umožnilo povolenie na odstránenie.

Predpokladajme, že existuje katalóg tovaru, v ktorom užívatelia prinášajú údaje. K dispozícii je materský katalóg priečinkov, vo vnútri podvýboru podľa abecedy, od A do Z, niektoré mená v nich. Názvy sa menia každý deň, niečo sa pridáva, niečo sa mení, niečo sa stáva zastaraným a musíte odstrániť zastarané informácie. Ale nebude to veľmi dobré, ak niekto v plaváku alebo škodlivé zámery valí celý katalóg K, ktorá je veľmi možná, ak majú užívatelia právo odstrániť. Ak zdvihnete právo odstrániť právo, potom administrátor môže bezpečne zmeniť prácu, pretože bude vykonávať požiadavky na vymazanie mena celý deň.

Tu sa zmení na odstránenie podpriečinkov a súborov. Vo všetkých písmenách abecedy je dedičstvo vypnuté a používatelia sú adresované na odstránenie podpriečinkov a súborov. V dôsledku toho, v priečinku katalógu, používatelia nebudú môcť odstrániť žiadny list, ale vo vnútri písmen môže niečo odstrániť.

Vymazať. Všetko je tu jednoduché. Odstránenie sa vymaže. Nefunguje bez práva na čítanie.

Čítanie čítania Poskytuje právo užívateľovi zobraziť povolenia na priečinok alebo súbor. Žiadne právo - užívateľ nevide povolenie na bezpečnostnej karte

Zmeniť povolenia (zmenami) - Umožňuje užívateľovi zmeniť povolenia, v podstate robí užívateľa administrátorom priečinka. Môžete použiť napríklad delegovať právomoci technickej podpory. Bez práva na čítanie povolení, to nemá zmysel. Zmena povolení neznamená zmenu vlastníka priečinka.

Zmena vlastníka (odevná) - začať, kto je takýmto vlastníkom. Majiteľ je užívateľ, ktorý vytvoril súbor alebo priečinok.

Funkcia vlastníka je, že má plný prístup k vytvorenému priečinku, môže distribuovať povolenia do vytvoreného priečinka, ale je dôležitejšie - nikto nemôže zbaviť vlastníka práva na zmenu oprávnení na jeho priečinok alebo súbor. Ak Vasya vytvoril priečinok, dal plný prístup k PET a PETYA išiel a zavolval prístup do priečinka všeobecne a najmä Vasi, potom Vasya bez toho, aby mohla obnoviť status quo, pretože je to vlastník priečinka. Zmena vlastníka priečinka PETYA nebude môcť, aj keď má povolenie na zmenu vlastníka. Okrem toho, aj Vasya nemôže zmeniť majiteľa, napriek tomu, že vytvoril priečinok. Právo na zmenu vlastníka sa vzťahuje len na administrátorov alebo administrátorov domén.

Ale ak petya vnútri priečinka Vasina vytvoril súbor a nedáva vám prístup k nemu, potom si môžete myslieť a hádajte, čo je vo vnútri tohto súboru takéhoto tajomstva. Vasya nebude môcť zmeniť prístupové práva k súboru, pretože vlastník súboru je PETYA. Tiež Vasya nebude schopný zmeniť majiteľa súboru - zmena vlastníka subferátov a objektov je tiež privilégiom skupiny administrátorov, ku ktorým sa Vasya neuplatňuje. Jedinou verziou COI je pozrieť sa na súbor petin vo vašej zložke.

Spravovať

CMD na správu povolení je dobre používané známe ICACL. V Powershell vyzerá správa NTFS-Permissions Management:

Získajte objekt, na ktorý nastavíme povolenia
$ Acl \u003d get-acl c: testperms
Vytvorte riadok s právami pomocou systému.Security.AccessControl.FilesYstemAccessRule triedy. Môžeme nastaviť nasledujúce parametre:

  • skupina / Užívateľské meno - Pre koho robíme ACL
  • rozlíšenie - ACE (prijíma hodnoty uvedené v post)
  • platí to - v GUI je rozbaľovací zoznam v dodatočných bezpečnostných parametroch. V skutočnosti sa prijímajú iba 3 hodnoty: Žiadny (len v tomto priečinku), CONTAINIRIT (platí pre všetky podpriečinky), ObjectinInTerit (platí pre všetky súbory). Hodnoty môžu byť kombinované.
  • aplikujte tieto povolenia na objekty a kontajnery len vo vnútri tejto kontajnera (začiarkavacie políčko v GUI) - aj 3 hodnoty: Žiadne (začiarkavacie políčko), inheritonly (ACE sa vzťahuje len na vybraný typ objektu), NopropagatinInter (aplikovať povolenia len vo vnútri tejto kontajnera).
  • pravidlo - Povoliť (Povoliť) alebo zakázať (odmietnuť)
Predvolený riadok bude vyzerať takto:
$ povolenie \u003d "contoso.com admin", "fullcontrol", "ContainerinInit, Objectinherit", "None", "Povoliť"
Urobte novú eso s vyššie uvedenými povoleniami
$ ACE \u003d NEW-Object Security.AccessControl.filesystemAccessRul.filesystemAccessRule $ povolenie
A aplikovať čerstvo vytvorené eso k objektu
$ Acl.setAccessrule ($ ACE) $ ACL | SET-ACL C: Testperms

V praxi

Vyzbrojení znalosťami povolení SMB a NTFS, ktorý ich kombinuje, môžu byť vytvorené prístupovými pravidlami absolútne akejkoľvek zložitosti. Niekoľko príkladov:
Typ SMB Povolenia Povolenia NTFS
Priečinok pre každého (verejnosť) Členovia čítania / nahrávanie Používatelia - Zmena
Čierna krabica. Užívatelia vyhoďte dôverné správy, návrhy, trhliny - Sprievodca číta. Členovia čítania / nahrávanie
Manuálne - čítanie / písanie		 Používatelia - Záznam, aplikovať len pre tento priečinok. Predpokladá sa, že vstup súborov do tohto priečinka je jednosmerným lístkom, pretože pohodlný spôsob, ako upraviť bez pravej strany na zobrazenie obsahu priečinka uloženého v tomto priečinku súborov neexistuje (vhodný pre používateľov metódy Písanie do takéhoto priečinka, mimochodom neexistuje). A prezeranie porušuje súkromie.

Manuálne - zmena.
Žiadosti Čítanie používateľov Používatelia čítania, čítanie a vykonávanie, prezeranie obsahu priečinka.

Prirodzene, niektoré aplikácie môžu vyžadovať dodatočné práva na prácu. Všeobecne platí, že napríklad skladovanie systémových nástrojov pre diagnostiku (rovnaký SYSIMINERNALS SUITE) je dosť dosť.

Používateľské profily Každý užívateľ - čítanie / zápis do jeho priečinka Každý užívateľ je zmena v priečinku.

Povolenia v systéme Windows - protichodná vec. Na jednej strane sú hlavné povolenia pomerne jednoduché a pokryté 90% prípadov. Ale keď sa to vyžaduje jemnejšie ladenie: rôzni používatelia užívateľov, jeden priečinok, bezpečnostné požiadavky pre zdieľané priečinky - potom sa zaoberajú dodatočnými povoleniami, dedičstvami a vlastníkmi sú dosť ťažké.

Dúfam, že som sa nedotýkalo nikoho ešte viac.

V predchádzajúcej prednáške sme hovorili o bezpečnosti siete a o takejto veci ako povolenia, ale stojí za to vrátiť sa teraz, pretože povolenia sú k dispozícii len na pevných diskoch vo formáte NTFS. V tejto časti budeme hovoriť o možnostiach NTFS na ochranu vašich súborov pred zvedavými očami. Na rozdiel od tukového systému nie je možné zapnúť prístup k zdieľaným zdrojom a odpojený. NTFS poskytuje túto úroveň detailov výberu, ktorá preskočí len tie, ktoré chcete poskytnúť prístup, a prestupuje všetkých ostatných.

Povolenia samostatného používateľa

Pred diskusiou o povoleniach používateľov a skupín, ako aj samotných súborov je dôležité zvážiť základy povolení. Najprv ukážeme, čo je dedičstvo, a potom zvážte nástroj Windows XP Professional Tool, ktorý by vám mal pomôcť, ale môže sa premeniť na ústredný blok, ak na to nie je v jeho funkciách.

Dedičstvo

V sieti môže byť celý pár používateľov a môže byť tisíce. Pri inštalácii vlastných povolení pre objemy a priečinky NTFS môže byť táto úloha relatívne jednoduchá v organizácii pozostávajúcom zo šiestich ľudí. Ako už bolo uvedené v prednáškach 9, ak organizácia začne rásť, rozdelenie používateľov na špecifické skupiny robí riadenie povolení oveľa jednoduchšie.

Po prvé, mali by ste vytvoriť súbor povolení pre konkrétnu skupinu, napríklad pre inžinierov. V tomto prípade, keď sa v organizácii objaví nový inžinier, automaticky sa pridá do tejto skupiny. Zároveň je zdedený povoleniami pre túto skupinu.

Poznámka. Dedičstvo súvisí s inými NTFS Tom objektov. Napríklad, ak nastavíte povolenia pre konkrétny priečinok a potom v ňom vytvoríte podfolder, potom právo na dedičstvo vás uvoľní z vytvárania novej súpravy povolení pre tento podfolder, pretože zdedí povolenie materského priečinka.

Ak si myslíte, že skupina inžinierov je potrebné vydať alebo obnoviť určité uznesenie, je to jednoduché. Po zmene (to, o čom budeme hovoriť v tejto prednáške neskôr) je každému členovi pridelené nové povolenie.

Na druhej strane, niektorí konkrétny inžinier môže vyžadovať rozlíšenie, v ktorom zvyšok nepotrebuje. Môžete vstúpiť do skupiny inžinierov, vykonať zmeny potrebných pre tohto používateľa, a to dostane nové povolenie, ktoré nebudú zdediť ho za to, že patrí tejto skupine. V tomto prípade nie je povolenie distribuované iným členom skupiny.

Nová kvalita v systéme Windows XP Professional je jednoduché zdieľanie súborov (jednoduché zdieľanie súborov). Táto funkcia je zahrnutá v primárnej inštalácii Windows XP Professional alebo pri používaní hlasitosti alebo priečinka. Ak chcete pripojiť viac nástrojov na kontrolu prístupu používateľov, jednoducho zdieľanie súboru musí byť zakázané.

Môžete položiť otázku, prečo potrebujete jednoducho zdieľať súbory, ak musí byť táto funkcia odpojená. Až potom uľahčiť proces zdieľania súborov a priečinkov. S jednoduchým zdieľaným súborom nie sú žiadne súbory a viaceré konfigurácie na prístup k používateľom na súbory, tlačiarne, atď. To zaisťuje jednoduchý spôsob zdieľania súborov. Ak sa však chcete spravovať tým, ktorí môžu dostať právo na prístup k súborom, by sa malo vypnúť jednoduché zdieľanie súborov. Urobte to nasledujúce kroky.

  1. Vyberte položku Štart My Computer (Štart My Computer), potom kliknite na položku Nástroje a vyberte možnosti priečinkov (vlastnosti priečinkov).
  2. V dialógovom okne Možnosti priečinka kliknite na kartu Zobraziť.
  3. Prezrite si zoznam nastavení v okne Rozšírené nastavenia a potom začiarknite políčko Použiť jednoduché zdieľanie súborov, ak chcete použiť tlačidlo Použiť jednoduché zdieľanie súborov.
  4. Kliknite na tlačidlo OK.

Poznámka. Samotné, vypnutie jednoduchého zdieľania súborov vám nedovolí nastaviť povolenia pre súbory. Mali by ste tiež umiestniť všetky súbory a priečinky v časti NTFS alebo sekcie.

Povolenia pre priečinky a zväzky

Povolenia vykonávajú kontrolu nad skutočnosťou, že používateľ alebo skupina môže robiť s objektom v sieti alebo na svojom lokálnom počítači. Povolenia sú podporované len vtedy, keď je odpojené jednoduchým zdieľaním súboru a na pevnom disku v NTFS formáte. V uvedených povoleniach priradených priečinkom a v - pre súbory.

Tabuľka 10.2. Uznesenia priečinkov
Rozhodnutie
Zmeniť povolenia Zmeniť povolenia priečinkov.
Vytvorte súbory. Vytvorenie nových súborov v tomto priečinku.
Vytvorte priečinky. Vytvorenie podadresácií v tomto priečinku.
Vymazať. Odstrániť priečinok.
Odstrániť podpriečinky a súbory Odstráňte súbory a podadresáre, aj keď nemáte povolenie na ich vytvorenie.
Zoznam priečinka. Zobrazenie obsahu priečinka.
Čítať atribúty. Zobrazenie atribútov priečinkov.
Prečítajte si povolenia Zobrazenie povolení priečinkov.
Prevziať vlastníctvo. Priradenie práv iného používateľa na vlastnú zložku.
Priečky. Otvorenie priečinka na zobrazenie podadresárov a rodičovských priečinkov.
Atribúty. Zmeny vlastností priečinka.
Tabuľka 10.3. Rozlíšenie súboru
Rozhodnutie Umožňuje alebo zakazuje túto akciu
Pripojiť údaje. Pridanie informácií do konca súboru bez zmeny existujúcich informácií.
Zmeniť povolenia Zmeny povolení na spisy.
Vymazať. Vymazanie súboru.
Spustiť súbor. Spustite program obsiahnutý v súbore.
Čítať atribúty. Zobrazenie atribútov súborov.
Prečítajte si údaje. Zobrazenie obsahu súboru.
Prečítajte si povolenia Zobrazenie oprávnení na súbor.
Prevziať vlastníctvo. Priradenie vlastníctva vlastníctva tohto súboru od iného majiteľa.
Atribúty. Zmeniť atribúty súborov.
Písať údaje. Zmena obsahu súboru.
Vytvorenie a riadenie povolení

Vytváranie povolení pre jednotlivé súbory, priečinky a objemy NTFS môžete použiť oveľa viac možností bezpečnosti, ako ponúka systém súborov tuku. Karta vlastností zvoleného priečinka alebo hlasitosti obsahuje kartu zabezpečenia. Kliknutím naň môžete vidieť niekoľko možností pre kontrolu prístupu.

Ak chcete upraviť povolenia tohto priečinka alebo zväzku, vykonajte nasledujúce kroky.

  1. Zadajte hlasitosť alebo priečinok, pre ktorý budete nastaviť povolenia.
  2. Kliknite pravým tlačidlom myši a vyberte položku Vlastnosti.
  3. Vyberte kartu Zabezpečenie.

Poznámka. Ak sa hlasitosť NTFS v zdieľaní, musíte nastaviť povolenia cez kartu Zabezpečenie a nepoužívajte tlačidlo oprávnení (povolenia) na karte Zdieľanie.

V okne Vlastnosti, ktoré sa zobrazí, uvidíte dva okná. Vrchné okno obsahuje zoznam používateľov a skupín (). V Nižnom - zoznam povolení pre používateľa, ktorý môže byť nainštalovaný a nastavený. Táto karta je opäť k dispozícii pre zväzky vo formáte NTFS.

Obr. 10.7. Dialógové okno Bezpečnostné karty (Zabezpečenie)

Kliknutím na konkrétneho používateľa alebo skupiny môžete nastaviť povolenia pre nich v spodnom okne. K dispozícii sú nasledujúce povolenia.

  • Úplná kontrola. Umožňuje používateľovi alebo skupine čítať, vytvárať, upravovať a odstrániť súbory.
  • Modifikovať (modifikácia). Umožňuje používateľom vymazať súbory a priečinky, vykonať zmeny povolenia alebo získať vlastníctvo súboru alebo priečinka od iného používateľa.
  • Čítať a vykonať (čítanie a vykonanie). Umožňuje používateľom čítať a spúšťať súbory bez vykonania zmien obsahu zdieľaného hlasitosti alebo priečinka.
  • Zoznam Priečinok Obsah (zoznam obsahu priečinka). Umožňuje používateľom zobraziť obsah priečinkov.
  • Čítať (čítanie). Umožňuje používateľom zobraziť obsah hlasitosti alebo priečinka. Môžu tiež otvoriť súbory, ale nemajú právo ukladať zmeny.
  • Písať. Umožňuje používateľom nahrávať v priečinkoch alebo objeme, ale zakazujú otváranie súborov alebo zobraziť zoznam súborov.
  • Osobitné povolenia (špeciálne povolenia). Kliknutím na tlačidlo Rozšírené (voliteľné) môžete použiť špeciálne povolenia.
Obmedzenie počtu používateľov

V závislosti od veľkosti a štruktúry organizácie nemusíte dovoliť simultánny prístup ku všetkým, ktorí chcú jeden. Ak potrebujete vytvoriť limit na počtu používateľov, ktorí majú súčasne prístup do priečinka, otvorte dialógové okno Povolenia a vyberte kartu Zdieľanie (Obr. 10.8).

V časti limitu používateľa (limit číslo používateľov) zadajte jednu z nasledujúcich možností.

  • Maximálne povolené umožnenie prístupu k maximálnemu počtu používateľov siete.
  • Nechajte tento počet používateľov umožniť prístup len pre zadané číslo používateľa.

Viac informácií o povoleniach nájdete v CH. deväť.

Ak chcete spravovať prístup užívateľa k priečinkom a súborom, používa sa podrobný a komplexný systém povolení. Mechanizmus riadenia prístupu pre objekty systému Windows je jedným z najpodrobnejšieho medzi dobre známymi operačnými systémami. Pre súbory a priečinky sú aspoň 14 povolení NTFS, ktoré môžu byť zapnuté alebo zablokované - a kontrolované. Tieto povolenia môžu byť priradené súbory alebo priečinky a používateľov alebo skupiny. Okrem toho je možné priradiť poradie dedičských povolení pre súbory alebo priečinky a používateľov alebo skupiny. V povoleniach bludiska sa ľahko stratia. Tento článok sa zaoberá, ako povolenia pre priečinky a súbory a najúčinnejšie spôsoby ich aplikácie.

Základy prístupu k objektom

Užívateľ nikdy vstúpi do priameho "kontaktu" s ľubovoľným objektom systému Windows. Všetok prístup k objektom sa vykonáva prostredníctvom programov (napríklad Prieskumník Windows, Microsoft Office) alebo procesov. Program, ktorý odkazuje na zdroje v mene používateľa, vykonáva postup s názvom Breaksonácia (neosobní). Program, ktorý odkazuje na vzdialený zdroj, vykonáva postup s názvom Delegovanie (delegovanie).

Po registrácii používateľa je jeho identifikátor systému (identifikátor systému - SID) a Identifikátory SID spracováva proces LSASS.EXE, ktorý generuje bezpečný prístup k užívateľskému prístupu. Ďalšie informácie sa zadávajú do systému bezpečného prístupu, vrátane užívateľských práv (povolenia), ID používateľa (jedinečné pre každú reláciu), masku povolenia s podrobným popisom typu požadovaného prístupu. Práva pridelené užívateľovi možno vidieť pomocou tímu.

Ak program odvoláva od užívateľa na zabezpečený zdroj, bezpečnostný monitor (bezpečnostný referenčný monitor) požiada o bezpečný používateľský prístup používateľa. Potom bezpečnostný monitor analyzuje značku na určenie účinných povolení používateľa a umožňuje alebo zakazuje vykonanie používateľa požadovaného používateľovi. Účinné povolenia sú podrobnejšie opísané nižšie.

Zdieľanie povolení.

Každý chránený predmet Windows je vrátane súborov, priečinkov, zdieľaných zdrojov, tlačiarní a registračných sekcií - podporuje bezpečnostné uznesenia. Akýkoľvek priečinok Windows možno vykonať verejne na vyriešenie vzdialeného prístupu. Povolenia zdieľania môžu byť priradené k ľubovoľnému priečinku a tlačiarne objekty v systéme Windows, ale povolenia sa aplikujú len vtedy, ak sa odkaz na objekt vyskytne prostredníctvom sieťového zdroja. Priepustné povolenia zdieľania zahŕňajú úplnú kontrolu, zmenu a čítanie.

Bezpečnostné predmety, ktoré sú priradené k úplnému prístupu (plná kontrola) na objekt, môžu produkovať takmer všetky operácie s objektom. Môžu odstrániť, premenovať, kopírovať, presunúť a zmeniť objekt. Užívateľ s právom plnej kontroly môže zmeniť rozlíšenie objektu akcií a stať sa vlastníkom objektu (ak už nie je vlastníkom a nemá povolenie prevzatia vlastníctva). Akýkoľvek používateľ s úplným riešením kontroly môže tak zrušiť povolenia iných osôb, vrátane administrátora (hoci administrátor môže vždy vrátiť držanie a povolenia). Schopnosť meniť povolenia je povinná požiadavka akéhokoľvek operačného systému s selektívnym riadením prístupu (DAC), napríklad Windows.

Vo väčšine prípadov sa zmení základné riešenie prístupu k zdroju potrebným obvyklými užívateľmi. Pomocou rozlíšenia zmeny môže užívateľ pridať, odstrániť, zmeniť a premeniť akékoľvek zdroje v príslušnom priečinku. Rozlíšenie čítania poskytuje prezeranie, kopírovanie, premenovanie a tlač objektu. Užívateľ s rozlíšením čítania môže skopírovať objekt na iné miesto, v ktorom má plná kontrola vpravo.

Povolenia NTFS

Ak sa systém súborov NTFS (a nie tuk) používa v systéme Windows, potom všetky súbory, priečinky, Registry sekcií a mnoho ďalších objektov majú povolenia NTFS. Povolenia NTFS sa používajú s lokálnym aj vzdialeným prístupom k objektu. Ak chcete zobraziť a zmeniť povolenia súborov NTFS alebo priečinka, kliknite pravým tlačidlom myši na objekt, vyberte položku Vlastnosti a prejdite na kartu Zabezpečenie.

Tabuľka 1 Ukazuje 7 celkových povolení NTFS. Celkové povolenia sú rôzne kombinácie 14 podrobnejších povolení uvedených v tabuľke 2. Zobrazenie podrobných povolení, môžete otvoriť dialógové okno Rozšírené nastavenia zabezpečenia pre objekt kliknutím na tlačidlo Rozšírené v karte Zabezpečenie a potom kliknite na tlačidlo Upraviť Karta Povolenia. Zoznámte sa s podrobnými oprávneniami objektu (najmä vyžadujúce zvýšenú bezpečnosť) - užitočný zvyk, hoci vyžaduje viac úsilia. Celkové povolenia nie vždy presne odrážajú stav podrobných povolení. Musel som napríklad vidieť celkové povolenie čítať, hoci v skutočnosti užívateľ mal povolenie na čítanie a vykonanie.

Podobne ako riešenie úplného kontrolného podielu, povolenie úplnej kontroly NTFS poskytuje majiteľom veľkých príležitostí. Používatelia, ktorí nie sú správcovia, často majú povolenie z plnej kontroly v ich domovskom adresári a iných súboroch a priečinkoch. Ako už bolo uvedené, vlastník práv takejto úrovne môže zmeniť povolenia spisu a vymenovať vlastník. Namiesto toho, aby ste poskytli užívateľom povolenie z plnej kontroly, môžete im dávať len správne upravovať. Ak je používateľ vlastníkom súboru, ak je to potrebné, môžete ho manuálne zakázať zmeniť povolenia.

Technicky sú povolenia NTFS známe ako zoznam zoznamov selektívneho prístupu (DACL diskrect). Povolenia auditu sú známe ako systém ACLS (SACL). Väčšina chránených objektov NTFS má povolenia oboch druhov.

Vplyv dôvery systému Windows

V predvolenom nastavení majú všetky domény Windows 2000 domény a lesy a neskoršie verzie bilaterálne dôveryhodné vzťahy so všetkými ostatnými lesnými doménmi. Ak doména dôveruje ďalšiu doménu, potom všetci používatelia v dôveryhodnej doméne majú rovnaké bezpečnostné povolenia v doméne Trust Doméne ako skupina pre všetkých, ktorí sú overení domény. V akomkoľvek doméne, mnohé povolenia predpísali tieto skupiny štandardne, a dôveryhodné vzťahy implicitne poskytujú široké práva, ktoré by neboli poskytnuté v iných prípadoch. Treba pripomenúť, že ak dôverné vzťahy nezdieľajú prirodzenú povahu, potom všetky ostatným používateľom v lese sú priradené akékoľvek povolenia poskytnuté všetkými a overenými skupinami používateľov.

Skontrolujte povolenia z príkazového riadku

Administrátori často používajú nástroje príkazového riadka, ako je subinacl.exe, XACLS.exe a CaCLS.exe, aby skontrolovali povolenia NTFS. Subincl je zahrnutý do nástrojov Windows Server 2003 Resource Kit. Pomocou SubinacL môžete zobraziť a meniť povolenia NTFS pre súbory, priečinky, objekty, položky databázy Registry a služby. Najdôležitejšou možnosťou Subinacl je kopírovať užívateľské povolenia, skupiny alebo objekt a aplikovať ich na iného používateľa, skupiny alebo objektu v rovnakej alebo inej doméne. Napríklad, keď presuniete užívateľovi z jednej domény do druhého, vytvorí sa nový používateľský účet v systéme Windows; Všetky predtým existujúce SIDS alebo povolenia spojené s počiatočným používateľom sú zrušené. Kopírovanie povolenia na nový používateľský účet pomocou subinacl, môžete ich zriadiť identické. XCACLS funguje podobne ako subinacl a je súčasťou systému zdrojov systému Windows 2000 Server Server.

Program CACLS je opísaný v Microsoft, ktorý vydáva Microsoft Article "Unocumentd Cacls: Skupinové oprávnení". Toto je starší nástroj, ktorý sa objavil ako súčasť systému Windows z Windows NT. CACLS nie je tak užitočné ako subinacl alebo XACL, ale nástroj je vždy k dispozícii v systéme Windows. S CACLS môžete zobraziť a meniť súbory a povolenia používateľom a skupín, ale nevytvárajte podrobné povolenia NTFS. V súčasnosti sú funkcie CACLS obmedzené na prácu bez prístupu, čítania, zmien a úplných regulačných povolení, ktoré zodpovedajú povoleniam NTFS, ale nie riešiť zdieľanie. Okrem toho, povolenie čítačného programu CACLS spĺňa rozlíšenie systému NTFS NTFS.

Dedičstvo

V predvolenom nastavení všetky súbory, priečinky a registračné časti zdedia povolenia od materskej kontajnera. Dedičstvo môže byť aktivované alebo zakázané pre jednotlivé súbory, priečinky alebo sekvencie registra a pre jednotlivcov alebo skupiny. Ako vidíme na obrazovke 1, aplikovať na kartu Oprávnenie na karte Povolenia v dialógovom okne Rozšírené nastavenia zabezpečenia zobrazuje, či je akcia špecifického rozlíšenia obmedzená na aktuálny kontajner, alebo sa rozširuje na podpriečinky a súbory. Správca môže priradiť povolenie (pre jednotlivých používateľov), ktoré sú zdedené alebo nie. V tomto príklade má každá skupina povolenie čítať a vykonať v aktuálnom priečinku a toto povolenie nie je zdedené.

Ak súbor alebo priečinok zdedí väčšinu svojich povolení, ale má tiež súbor jasne stanovených povolení, tieto majú vždy prioritu zdedených práv. Môžete napríklad poskytnúť užívateľovi povolenie úplného ovládania - popierajúc v katalógu koreňového katalógu konkrétneho objemu a nastavte dedičstvo týchto povolení všetkými súbormi a diskovými priečinkami. Potom môžete priradiť akýkoľvek súbor alebo priečinok na disku právo na prístup, ktorý zrušíte zdedený režim plnej kontroly.

Účinné povolenia

Sledovanie zabezpečenia systému Windows definuje efektívne povolenie používateľa (skutočné povolenia, ktoré majú v praxi), pričom sa zohľadňujú niekoľko faktorov. Ako je uvedené vyššie, monitor ochrany najprv zhromažďuje informácie o individuálnom účte používateľa a všetky skupiny, na ktoré patrí a sumarizuje všetky povolenia priradené všetkým užívateľom a skupinám SIDS. Ak odmietnuť a povoliť povolenia na jednej úrovni, potom, ako pravidlo, popierajú prioritu. Ak priorita dostane plnú kontrolu, užívateľ zvyčajne nemá prístup k objektu.

V predvolenom nastavení pri registrácii NTFS a Share Povolenia (užívateľ sa pripája k zdroju cez sieť), musí monitor ochrany zhromažďovať všetky povolenia na zdieľanie a NTFS. Výsledkom je, že účinné povolenia používateľa sú súbor oprávnení, ktoré poskytli povolenia akcií a NTFS.

Napríklad nakoniec sa môže užívateľ ukázať ako prečítanie a zmeny povolenia na akciu, a povolenia NTFS si prečítajú a upravujú. Efektívne povolenia - najviac obmedzený súbor povolení. V tomto prípade sú povolenia takmer identické. Účinné povolenia budú čítať a meniť / zmeniť. Mnohí administrátori sa mylne veria, že účinné povolenia sa čítajú len z dôvodu zlých, nadmerne zjednodušených príkladov alebo zastaranej dokumentácie.

V dialógovom okne Rozšírené nastavenia zabezpečenia v systéme Windows XP a novšie verzie sa objavila karta Efektívne oprávnenia (pozri obrazovku 2). Na karte Efektívne oprávnenia sa bohužiaľ, sa odrážajú iba povolenia NTFS. Vplyv povolení na akcie, akcie založené na členov, ktorých členstvo nemá, a iné faktory, ako napríklad šifrovací súborový systém (šifrovanie súborového systému - EFS). Ak je EFS aktivovaný pre súbor alebo priečinok, užívateľ s príslušnými povoleniami NTFS a zdieľania môže stratiť možnosť prístupu k objektu, ak nemá prístup EFS do priečinka alebo súboru.

  • Starostlivo poskytnite povolenie z plnej kontroly pre bežných používateľov. Namiesto modifikovaného rozlíšenia je užitočné. Vo väčšine prípadov tento prístup poskytuje používateľom všetky potrebné povolenia, neumožňuje zmeniť práva alebo priradiť vlastníctvo.
  • Starostlivo pracovať so skupinou všetkých; Je lepšie použiť skupinu overených používateľov (alebo užívateľov) alebo špeciálnu limitovanú skupinu. Dôležité opomenutie overených používateľov skupiny sú nedostatok hosťa a bez autentifikovaného používateľa.
  • Často sú správcovia siete požiadaní, aby zadali hosťa účty pre užívateľov tretích strán (napríklad konzultanti, dodávatelia, programátorov na voľnej nohe). Pravidelné užívateľské práva sú však často nadbytočné pre hosťa. Mali by ste vytvoriť a používať skupinu, ktorej práva sú vysoko orezané (napr Výhodné sú výslovne stanovené povolenia, pretože poskytujú hosťujúcim užívateľom týmito povoleniami, ktoré sú potrebné pre ich prácu, ale nie viac.
  • Malo by sa prijať starostlivosť, ukladanie zákazov v skupinách všetkých a užívateľov, pretože administrátori sú zahrnuté v týchto skupinách.
  • V prípade dôveryhodných vzťahov s inými domén je užitočné uplatňovať jednostrannú a selektívnu dôveru, aby sa obmedzili práva používateľov dôveryhodnej domény.
  • Je potrebné pravidelne audit NTFS a Povolenia zdieľať, aby ste sa uistili, že sú čo najviac obmedzené.

Pomocou týchto odporúčaní a referenčných tabuliek s stručným popisom všetkých povolení môžete bezpečne ísť do systému súborov Labyrinth. Správca bude schopný s dôverou priradiť povolenia pre súbory, priečinky, používateľov a skupiny.

Tabuľka 1. Zhrnutie povolení NTFS

Rozhodnutie

Konať

Poskytuje prezeranie, kopírovanie, tlač a premenovanie súborov, priečinkov a predmetov. Nespustí program spustiteľný, okrem súborov scenárov. Umožňuje čítať povolenia objektov, atribúty objektov a pokročilých atribútov (napríklad Archív, EFS bit). Umožňuje vytvoriť zoznam súborov a priečinkov podvýboru.

Povolenia na čítanie, plus Vytvorte a prepisujte súbory a priečinky

Zoznam (len priečinky)

Umožňuje zobraziť názvy súborov a podpriečinkov vo vnútri priečinka

Prečítajte si povolenia a spustené softvérové \u200b\u200bsúbory

Poskytuje všetky povolenia, okrem schopnosti priradiť vlastníctvo a priradiť povolenia. Umožňuje čítať, odstrániť, zmeniť a prepísať súbory a priečinky.

Poskytuje úplné riadenie priečinkov a súborov, vrátane vám umožňuje priradiť povolenia.

Osobitné povolenia

Umožňuje vypracovať kombináciu 14 podrobných povolení, ktoré nevstúpia do žiadnej z ďalších 6 celkových povolení. Táto skupina zahŕňa synchronizáciu povolenia

Tabuľka 2. Podrobné povolenia NTFS

Rozhodnutie

Konať

Traverse Folder / Execute súbor

Traverse Priečinok vám umožňuje presunúť na priečinkoch na prístup k ostatným súborom a priečinkom, aj keď bezpečnostný subjekt nemá povolenia v priečinku tranzitu. Platí len pre priečinky. Traverse priečinok vstúpi do platnosti len vtedy, ak bezpečnostný subjekt nemá povolenie obtoku prechádzajúceho užívateľa (poskytnuté predvoleným každým skupinou). Execute súbor vám umožňuje spustiť programové súbory. Priradenie povolenia priečinka Traverse pre priečinok sa automaticky nenainštaluje povolenia na spustenie súborov pre všetky súbory v priečinku

Zoznam Priečinok / Prečítajte si údaje

Poskytuje pohľady na názvy súborov a podpriečinkov v priečinku. Priečinok zoznamu ovplyvňuje obsah priečinka - neovplyvňuje, či sa priečinok zadá do zoznamu, pre ktorý je rozlíšenie pridelené. Čítanie údajov Umožňuje zobraziť, kopírovať a tlačiť súbory

Bezpečnostný subjekt vidí atribúty objektu (napríklad len na čítanie, systém, skrytý)

Prečítajte si rozšírené atribúty.

Bezpečnostný subjekt vidí rozšírené atribúty objektu (napríklad EFS, kompresia)

Vytvorte súbory / zápis údajov

Vytvorenie súborov vám umožní vytvoriť súbory vo vnútri priečinka (aplikované len na priečinky). Zápis údajov vám umožňujú vykonať zmeny v súbore a prepísať existujúci obsah (aplikovaný len na súbory)

Vytvorte priečinky / Pripojené údaje

Vytvorenie priečinkov vám umožňuje vytvoriť priečinky vo vnútri priečinka (aplikované len na priečinky). Doplnkové údaje vám umožňujú vykonať zmeny na konci súboru, ale nemenia, odstrániť alebo prepísať existujúce údaje (aplikované len na súbory)

Atribúty.

Určuje, či bezpečnostný subjekt môže nahrávať alebo zmeniť štandardné atribúty (napríklad len na čítanie, systémové, skryté) súbory a priečinky. Nemá vplyv na obsah súborov a priečinkov, len na ich atribútoch.

Napíšte rozšírené atribúty.

Určuje, či bezpečnostný subjekt môže nahrávať alebo upraviť rozšírené atribúty (napríklad EFS, kompresné) súbory a priečinky. Nemá vplyv na obsah súborov a priečinkov, len na ich atribútoch

Odstrániť podpriečinky a súbory

Umožňuje odstrániť podpriečinky a súbory, aj keď rozlíšenie odstránenia nie je vybavené podvýokom alebo súborom

Umožňuje odstrániť priečinok alebo súbor. Ak nie je povolenie na odstránenie pre súbor alebo priečinok, ktorý je možné odstrániť, ak existuje rozlíšenie odstraňovania podpriečinkov a súborov v materskom priečinku

Prečítajte si povolenia

Zmeniť povolenia

Umožňuje zmeniť povolenia (napríklad plnú kontrolu, čítanie, zápisu) alebo priečinku. Nedovoľuje, aby ste zmenili samotný súbor

Určuje, kto môže byť vlastníkom súboru alebo priečinka. Majitelia môžu mať vždy plnú kontrolu a ich povolenia v súbore alebo priečinku nemožno neustále zrušiť, ak sa vlastníctvo nezruší.

Správcovia zriedka používajú toto povolenie. Používa sa na synchronizáciu v multi-závitových, viacprogramových programoch a určuje interakciu medzi niekoľkými vláknami, ktoré oslovujú jeden zdroj.

Povolenia NTFS sa používajú na ochranu zdrojov z:

    miestni používatelia pracujúci v počítači, na ktorom sa nachádza zdroj;

    vzdialení používatelia pripojení k zdieľanému priečinku cez sieť.

NTFS Povolenia poskytujú vysokú selektivitu bezpečnosti: Pre každý súbor v priečinku môžete nastaviť svoje povolenia. Napríklad, jeden užívateľ vám umožňuje čítať a zmeniť obsah súboru, iný - len prečítať a zvyšok - vo všeobecnosti zakazuje prístup k nemu.

Ak pri formátovaní hlasitosti je na ňom nainštalovaný systém NTFS, každá skupina je automaticky priradená k plnému povoleniu Sontrolu (plná kontrola) na tomto objeme. Priečinky a súbory vytvorené na tomto objeme, štandardne zdediť toto povolenie.

Individuálne povolenia

Windows NT má šesť typov jednotlivých povolení NTFS, z ktorých každý špecifikuje typ prístupu do súboru alebo priečinka.

Tabuľka popisuje operácie riešeného užívateľom s priečinkom alebo súborom, keď sa aplikuje na objekt jedného z jednotlivých povolení NTFS.

Užívateľ, ktorý vytvoril súbor alebo priečinok na hlasitosti NTFS, sa stane vlastníkom tohto súboru alebo priečinka. Ak je tento používateľ členom skupiny administrátorov (administrátori), skutočný vlastník sa stáva celú skupinu administrátora. Majiteľ má vždy právo priradiť a zmeniť povolenia na prístup k jeho súboru alebo priečinku.

Štandardné povolenia

Vo väčšine prípadov si vychutnáte štandardné povolenia NTFS. Sú kombinácie jednotlivých povolení. Súčasný účel niekoľkých individuálnych povolení pre súbor alebo priečinok výrazne zjednodušuje podávanie.

Po názve štandardného rozlíšenia v zátvorkách sa podávajú skratky komponentov jeho individuálnych povolení. Napríklad štandardné rozlíšenie čítanie (čítanie) pre súbor je ekvivalentný dvom individuálnym povoleniam - čítať (čítanie) a vykonávať - \u200b\u200bav zátvorkách bude stáť RX písmená.

Štandardné povolenia pre priečinky

Tabuľka uvádza štandardné povolenia pre priečinky a zodpovedajúce jednotlivé povolenia NTFS sú uvedené.

Žiadne povolenie prístupu (bez prístupu) zakazuje akýkoľvek prístup do súboru alebo priečinka, aj keď je užívateľ členom skupiny, ktorý je uvedený na prístup k povoleniu. Rýpadlo v stĺpci "Individuálne povolenia pre súbor" znamená, že toto štandardné uznesenie sa nevzťahuje na súbory.

Štandardné povolenia pre súbory

Tabuľka uvádza štandardné povolenia pre súbory a zodpovedajúce oprávnenia jednotlivých NTFS zodpovedajúcich im.

Povolenia Plná kontrola (plná kontrola) a zmena (zmena) funkcia, ktorú druhý neumožňuje zmeniť povolenia a vlastník objektu.

      1. Aplikácia povolení NTFS

NTFS povolenia sú priradené používateľským účtom a skupinám, ako aj prístupové práva na zdieľané zdroje. Užívateľ môže získať povolenie priamo alebo byť členom jednej alebo viacerých skupín, ktoré majú povolenie.

Použitie povolení NTFS pre priečinky je podobné používaniu prístupových práv na zdieľané zdroje.

    Rovnako ako prístupové práva na zdieľané zdroje, skutočné povolenia NTFS pre používateľa sú kombináciou oprávnení používateľov a skupín, ktorých člen je. Jedinou výnimkou je povolenie bez prístupu (prístup): Zruší všetky ostatné povolenia.

    Na rozdiel od práv na prístup k zdieľaným zdrojom sú povolenia NTFS chrániť miestne zdroje. Súbory a priečinky obsiahnuté v tomto priečinku môžu mať aj iné povolenia ako sám.

NTFS Povolenia pre súbor prevládajú nad povoleniami pre priečinok, ku ktorému je obsiahnuté. Ak má napríklad používateľ povolenia na čítanie pre priečinok a zápis pre súbor pripojený k nemu, bude môcť zaznamenávať údaje do súboru, ale nebude môcť vytvoriť nový súbor v priečinku.

Tento článok je ideologicky pokračujúci podľa článku. Ako sa v ňom hovorilo, po výbere používateľov a (alebo) skupín musíte zadať parametre prístupu k nim. Toto je možné vykonať pomocou povolení NTFS súborového systému diskutované v nasledujúcej tabuľke.

Povolenia prístupu k súboru

  • Čítanie. Čítanie súborov je povolené, rovnako ako zobrazenie jeho parametrov, ako je názov majiteľa, povolenia a ďalšie vlastnosti.
  • Záznam. Je povolené prepísať súbor, zmeniť jeho parametre, prezeranie názvu jeho vlastníka a povolenia.
  • Čítanie a vykonanie. Povolenie na čítanie a právo na spustenie spustiteľnej aplikácie.
  • Zmena. Je možné zmeniť a vymazať súbor, ako aj všetko, čo je poskytované povolením na čítanie a vykonávanie, ako aj nahrávanie.
  • Úplný prístup.
  • Umožnil úplný prístup k súboru. To znamená, že všetky akcie stanovené všetkými povoleniami uvedenými vyššie sú povolené. Je tiež možné stať sa vlastníkom súboru a zmeniť svoje povolenia.

Prístupové povolenia do priečinkov

  • Čítanie. Je povolené zobraziť vnorené priečinky a súbory, ako aj ich vlastnosti, ako napríklad názov vlastníka, povolenia a čítať atribúty, ako je čítanie, skryté, archív a systémové.
  • Záznam. Je možné vytvoriť a postovať nové súbory a podpriečinky vo vnútri priečinka, ako aj zmeniť parametre priečinkov a zobraziť jeho vlastnosti, najmä názov vlastníka a povolenia na prístup.
  • Zoznam obsahu priečinka. Je povolené zobraziť názvy súborov obsiahnutých v priečinku a podpriečinkov.
  • Čítanie a vykonanie. Je možné získať prístup k súborom v podpriečinkoch, aj keď nie je prístup k samotným priečinkom. Okrem toho sú povolené rovnaké opatrenia, ktoré sú poskytnuté pre povolenie na čítanie a zoznam obsahu priečinka.
  • Zmena. Všetky akcie poskytnuté na povolenie na čítanie a čítanie a vykonanie a vymazanie priečinka.
  • Úplný prístup. Povolený prístup do priečinka. Inými slovami, všetky akcie stanovené vo všetkých vyššie uvedených povoleniach sú povolené. Okrem toho sa umožnilo stať sa majiteľom priečinka a zmeniť svoje povolenia.
  • Osobitné povolenia. Súbor ďalších povolení odlišných od štandardu.

Stvoriteľ súboru je vždy považovaný za svojho vlastníka, ktorý má práva Úplný prístup, aj keď účet majiteľa nie je uvedený na karte Bezpečnosť súborov. Okrem vyššie uvedených povolení pre súbor môžete vybrať dva ďalšie typy povolení.

  • Zmena vlastníka. Tento typ rozlíšenia umožňuje užívateľovi stať sa vlastníkom súboru. Tento typ rozlíšenia je priradený skupine Administrátori.
  • Zmena povolení. Užívateľ má možnosť zmeniť zoznam používateľov a skupín, ktoré majú prístup k súboru, ako aj zmeniť typy prístupových povolení do súboru.

Podobné články