NTFS Sırları - Haklar, İzinler ve Mirasları. SMB ve NTFS İzinleri

Neden organizasyondaki çoğu durumda bir sunucuya ihtiyacı var? Active Directory, RDS, baskı sunucusu ve bir sürü küçük ve büyük hizmetler. En belirgin rol belki de dosya sunucusudur. Onunla olan insanlar, diğer rollerin aksine, bilinçli olarak çalışıyor. Belgelerin taramalarının hangi klasörün, raporlarının bulunduğu yerlerin, bulunduğu ortak klasörün, tüm bölümlerden yalnızca birine erişebileceğiniz ortak klasörün bulunduğu faksların nerede olduğunu, başka nerede olduğunu ve

Sunucudaki ağa ve yerel klasörlere erişim hakkında konuşmak istiyorum.

Sunucudaki paylaşılan kaynaklara erişim, SMB Protokolü 3.0'a göre herkesin her şeyi mükemmel bir şekilde bildiğini, gerçekleştirilir. Klasörlere ağ erişimi, SMB ve NTFS izinleri ile sınırlandırılabilir. SMB İzinleri, yalnızca ağ üzerinden paylaşılan bir klasöre erişirken çalışır ve belirli bir klasörün yerel olarak kullanılabilirliği üzerinde hiçbir etkisi olmaz. NTFS izinleri, hem ağda hem de yerel olarak çalışır ve erişim hakları oluşturma konusunda çok daha fazla esneklik sağlar. SMB ve NTFS izinleri ayrı ayrı çalışmaz, ancak hakların en büyük sınırlandırılmasının ilkesine göre birbirlerini tamamlar.

Sunucu 2012'yi SMB Paylaşın CMDlets Group'ta paylaşacak şekilde klasörü vermek için, yeni Smbshare cmdlet'i ortaya çıktı. Bu cmdlet örneğinde, küme yapılandırmalarına ek olarak paylaşılan bir klasör oluştururken mevcut tüm özellikleri göreceğiz (bu ayrı bir büyük konudur).

Yeni bir paylaşılan klasör oluşturma çok basit görünüyor:
Net Paylaş HomeFolder \u003d S: \\ Ivanivanov / Grant: "admin", tam / hibe: "Folderowner", değiştir / hibe: "Yönetici", okuma / önbellek: Programlar / Not: "ivanov" veya
Yeni-Smbshare HomeFolder S: \\ Ivanivanov -CachingMode Programları -Fullacess Admin -ChangeAccess Folderowner -ReadAccess Manager - Tüm -FolderEnumerationMode AccessBasess -Description "ivanov"

Anlıyoruz:

-Adı Ağdaki paylaşılan klasörün adı, yerel bilgisayardaki klasörden farklı olabilir. 80 karakterde bir limiti var, boru ve maillot adlarını kullanamazsınız.

Yerel klasöre yol yolunu girmek istediğiniz. Yolun, diskin kökünden tamamlanması gerekir.

CachingMode Dosyaların özerkliğini paylaşılan bir klasörde ayarlayın.

Bağımsız bir dosya nedir?

Bağımsız bir dosya sunucuda bulunan dosyanın bir kopyasıdır. Bu kopya yerel bilgisayarda bulunur ve sunucuya bağlanmadan bir dosyayla çalışmanıza izin verir. Değişikliği bağlarken senkronize edilir. Her iki yönde de senkronize edilir: Çevrimdışı dosyanızda değişiklik yaptıysanız - dosyayı sunucudaki bir sonraki bağlandığınızda değiştirilir; Birisi sunucuda değişiklik yaptıysa - yerel kopyanız değiştirilecektir. Her iki dosyada da değişiklikler meydana geldiğinde - bir senkronizasyon hatası alıyoruz ve hangi sürümün kaydedileceğini seçmeniz gerekecektir. Bu fırsatı paylaşmak için, bu fırsatı kullanmazdım, ancak her kullanıcı için bir top yaparsanız ve diğer okuma için erişimi kısıtlarsanız, kayıt olasılığı olmadan, aşağıdaki çörekler elde ederiz:

  • İş, ağa bağlı değildir - bir anahtar yakabilir, bir sunucu yeniden başlatılabilir, tel erişim noktasını kırabilir veya kapatabilir - kullanıcının kopyası ile çalışır, orada bir tür kazanız olduğunu fark etmeyin, Ağ bağlantısını geri yüklerken, sunucuya gider.
  • Kullanıcı her yerde çalışabilir: Yazlık, otobüste, uçakta - bir nedenden dolayı VPN bağlantısının bulunduğu yerlerde mevcut değildir.
  • Kullanıcı bile VPN aracılığıyla çalışıyorsa, ancak bağlantı veya çok yavaş veya sürekli kırılıyorsa - çevrimdışı bir kopya ile çalışmak ve değişiklikleri sunucuda bir şeyler yapmaya çalışmaktan daha senkronize etmek daha kolaydır.
  • Kullanıcı kendisi bunu ve ne zaman senkronize edileceğini, eğer bir fırsat verirseniz.

Aşağıdaki değerleri alır:
  • yok - Dosyalar Çevrimdışı değil, sunucuya erişim sunucuya erişimi gerekir.
  • el Kitabı - Kullanıcılar, özerk olarak mevcut olacağı dosyaları seçin.
  • programlar - klasördeki tümü özerk bir şekilde mevcuttur (belgeler ve programlar (* .exe, * .dll uzantılı dosyalar))))
  • belgeler - Mevcut belgeler, program yok
  • branchCache - Yerel bir bilgisayar kullanıcısı yerine önbellekleme branchcache sunucularında oluşur, kullanıcılar çevrimdışı dosyalar kendileri seçer
-NoAccess, -ReadAccess, -ChangeAccess, -Fullaccess Genel Erişim İzinleri (Paylaşma İzinleri).

Bu izinlerin büyük bir avantajı var - çok basit.

NoAccess Sekreteri, Steward - Genel Muhasebe Klasörlerinde Yapılacak Yine de Kendi Sekreter ve Relozem
-ReadAccess denetçi - Muhasebe çalışmalarını kontrol eden bir denetçi, paylaşılan bir klasördeki dosya adlarını ve alt klasörlerini görebilir, okuma için dosyaları açın, programları çalıştırın.
-ChangeAccess muhasebeci - Paylaşılan klasördeki muhasebeciler dosya ve alt klasörler oluşturabilir, mevcut dosyaları değiştirebilir, dosyaları ve alt klasörleri silebilir
-Fullacess admin - Fullaccess, bir ReadAccess + ChangeAccess ve izinleri değiştirme yeteneğidir.

Paylaşılan bir klasör oluştururken, en kısıtlayıcı kural otomatik olarak kullanılır - "Tüm" grubu okumaya verilir.

Bu izinler yalnızca ağ üzerinden paylaşılan bir klasöre erişimi olan kullanıcılar için geçerlidir. Sisteme yerel bir girişi olan örneğin bir terminal sunucusu durumunda ve Sekreter ve taç, tüm bu dilek muhasebede görülecektir. Bu, NTFS izinleri tarafından düzeltilir. SMB İzinleri, paylaşılan bir kaynaktaki tüm dosyalar ve klasörler için geçerlidir. Tiner erişim hakları, NTFS izinleri tarafından da gerçekleştirilir.

ConcurentUserLimit, paylaşılan klasöre maksimum bağlantı sayısını sınırlamak için bu parametreyi kullanın. Prensip olarak, bir klasöre erişimi kısıtlamak için de kullanabilirsiniz, NTFS izinlerini tamamlayan, yalnızca istenen bağlantı sayısında tam olarak emin olmanız gerekir.

Açıklama Ağ ortamında görülebilen paylaşılan kaynağın bir açıklaması. Açıklama, birçok ihmali çok iyi bir şeydir.

EncryptData Şifreleme

SMB'de 3.0 sürümüne, trafiği dosya sunucusundan istemciye korumanın tek yolu VPN'di. Sistem yöneticisinin tercihlerine bağlı olarak tamamen uygulanır: SSL, PPTP, IPSec tünelleri veya başka bir şey. Sunucu 2012'de, şifreleme, herhangi bir özel altyapı çözümleri gerektirmeden, düzenli bir yerel ağda veya güvenilmeyen ağlar aracılığıyla kutunun dışında çalışır. Hem sunucu için hem de bireysel paylaşılan klasörler için etkinleştirilebilir. SMB 3.0'daki şifreleme algoritması AES-CCM'dir, HMAC-SHA256 yerine karma algoritması AES-CMAC oldu. İyi haber şu ki, SMB 3.0'ın Donanım AES'i (AES-NI) desteklemesidir, kötü haberler Rusya'nın AES-Ni'yi desteklememesidir.

Şifreleme dahil etmeyi tehdit eden nedir? Yalnızca müşterilerin SMB 3.0'ı desteklemesi, şifreli ortak klasörlerle çalışabilecek, yani, Windows 8'dir. Yine, kullanıcıların haklarının izin verilen maksimum limiti. Yöneticinin ne yaptığını ve gerektiğinde, SMB'nin başka bir versiyonuyla müşterilere erişim sağlayacağı varsayılmaktadır. Ancak SMB 3.0 yeni şifreleme algoritmaları kullandığından ve başka bir SMB sürümüyle müşteri trafiği şifrelenmeyecek, VPN gereklidir. Tüm müşterileri şifreleme etkin olan bir dosya sunucusuna koymak için SET-SMBSerververConfiguration -RejectuncryptedAccess $ yanlış komutuna yardımcı olur
Varsayılan yapılandırmada (şifrelenmiş paylaşılan klasörlere rahat olmayan trafik yasaktır, istemci klasörüne Müşteride 3.0'ın altındaki SMB sürümüyle erişmeye çalışırken, "erişim hatası" alacağız. Microsoft-Windows-SMBServer / Operasyonel Günlüğe sunucuda, müşterinin IP adresini erişmeye çalışırken bulabileceğiniz bir olay 1003 eklenecektir.

SMB ve EFS şifrelemesi birbirleriyle bağlantılı olmayan farklı şeylerdir, yani yağda kullanılabilir ve Refs hacimleri.

FolderenMemationMode Bu, erişim tabanlı bir numaralandırmadır. Erişim tabanlı numaralandırma etkinken, paylaşılan bir klasöre erişimi olmayan kullanıcılar sadece dosya sunucusunda görmeyecek ve daha az soru olacak, neden bu ya da bu klasöre erişimim yok. Kullanıcı mevcut klasörlerini görür ve diğer kişilerin işlerine tırmanmaya çalışmıyor. Varsayılan - Kapalı.

  • accessBased - Etkinleştir
  • sınırsız - kapatmak
-Temalı Bu tuş, sunucuyu yeniden başlattıktan sonra durdurulacak olan geçici bir paylaşılan klasör oluşturur. Varsayılan olarak, sabit paylaşılan klasörler oluşturulur.

NTFS İzinleri

NTFS izinlerinin yardımı ile, klasördeki hakları daha ayrıntılı olarak sınırlayabiliriz. Belirli bir grubun belirli bir dosyayı değiştirmesini ve tüm ana olanı düzenleme yeteneğini bırakmasını yasaklayabiliriz; Aynı klasörde, bir grup kullanıcının bir dosyayı değiştirme hakkına sahip olabilir ve başka bir kullanıcı grubu tarafından düzenlenen diğer dosyaları görüntüleyemeyecektir ve bunun tersi de geçerlidir. Kısacası, NTFS İzinleri, çok esnek bir erişim sistemi oluşturmamıza izin veriyor, daha sonra, devam eden ana şey karışmaz. Ek olarak, NTFS izinleri, her ikisi de bir ağ klasörüne erişirken, genel erişim izinlerini tamamlarken ve dosyalara ve klasörlere yerel erişim ile çalışır.

14 ek izin kombinasyonu olan altı ana (temel) izin vardır.

Ana İzinler
Tam Erişim (FullControl) - Bir klasöre veya dosyaya, erişim haklarını ve denetim kurallarını klasörlere ve dosyalara değiştirme yeteneğiyle tam erişim

Değiştirmek - Klasörün içeriğini okuma, değiştirme, görüntüleme hakkı, klasörleri / dosyaları silin ve yürütülen dosyaları çalıştırın. Okuma ve yürütme (ReadAndeDexecute), yazma (yazma) ve silme içerir.

Okuma ve Yürütme (ReadandExecute) - Klasörleri açma ve kayıt olasılığı olmadan dosyaları okuma hakkı. Çalışan dosyaları çalıştırmak da mümkündür.

İçerik Klasörünün Listesi (Listdirectory) - Klasörün içeriğini görüntüleme hakkı

Okuma (okuma) - Klasörleri açma ve kayıt olasılığı olmadan dosyaları okuma hakkı. Verilerin klasörünün / okunmasını (ReadData), okuma özelliklerini (Readattributes), ek nitelikleri (readextendedattributes) okuma ve okuma izinlerini (REACEPTISSIONS) içerir.

Kayıt (Yazma) - Klasörler ve dosya oluşturma hakkı, dosyaları değiştirin. Dosya oluşturma / veri oluşturma / veri hasarı (AppendData), nitelik kaydı (writeattributes) ve ek özellikleri kaydetmeyi içerir (WriteexTenderAttributes)

Ek İzinler
Klasörü 14 izinden sadece 1'i koydum ve neler ortaya çıktığını izledim. Gerçek dünyada, çoğu durumda yeterli büyük izinler var, ancak klasörlerin ve dosyaların olası hakları olan davranışlarıyla ilgilendim.

Travers Klasörleri / Dosyaların Yürütülmesi (Travers) - Klasörün erişim haklarından bağımsız olarak, dosyaları başlatma ve okuma hakkı. Bir klasörün klasörüne erişim olmayacak, (klasörde bir gizem kalır) ancak klasördeki dosyalar doğrudan bağlantıda (tam, göreceli veya UNC yolu) kullanılabilir. Travers klasörlerini klasör klasörüne ve dosyadaki kullanıcının çalışması gereken diğer izinleri koyabilirsiniz. Kullanıcının klasöründeki dosyaları oluşturun ve silin.

Readatributes okuma - Nitelikleri (FileAtributes) klasörleri veya dosyayı görüntüleme hakkı.
Klasörün veya dosyaların içeriğini görüntüleyin veya herhangi bir öznitelik değiştirilemez.

ReadextendedAttributes (ReadexteendAttributes) - Klasörün veya dosyanın ek niteliklerini görüntüleme hakkı.

Ek niteliklerde bulabildiğim tek şey, OS / 2 uygulamalarıyla geriye doğru uyumluluk sağlamak için kullanıldıkları şeydir. (Windows Internals, Bölüm 2: Windows Server 2008 R2 ve Windows 7'yi kapsayan). Onlar hakkında daha fazla şey bilmiyorum.

Dosya Oluşturma / Yazma Verileri (Writedata) - Kullanıcıya, erişimi olmayan klasörde dosyalar oluşturma yeteneğini verir. Dosyaları klasöre kopyalayabilir ve klasördeki yeni dosyalar oluşturabilirsiniz. Klasörün içeriğini görüntüleyemez, yeni klasörler oluşturabilir ve mevcut dosyaları değiştiremezsiniz. Kullanıcı, bu dosyanın sahibi olsa bile, yalnızca herhangi bir dosyayı değiştiremez.

Klasörler / veri hasarı oluşturma (AppendData) - Kullanıcıya, klasördeki alt klasörler oluşturma ve mevcut içeriği değiştirmeden dosyanın sonuna veri ekleme yeteneğini verir.

Kontrol

Alt klasörlerin oluşturulmasıyla, her şey açıktır: Ni C: \\ Testperms \\ testapend -itemtype dizini beklendiği gibi çalışır - kullanıcıyı görüntülemek için bir testperm alt klasörü oluşturur. Dosyanın sonuna bir dize eklemeye çalışalım - bir günlüğün bakımını yapın. NewEvent \u003e\u003e C: \\ Testperms \\ user.log erişim engellendi.
Hmm ... cmd'de çalışmıyor. Ve öyle olsa bile. AC C: \\ testperms \\ user.log newEvent AC: "C: \\ Testperms \\ user.log" boyunca reddedilen erişim.
Ve konveyörde mi? "YeniEvent" | DOSYA DOSYA C: \\ TESTPERMS \\ user.log -Append Out-Dosya: "C: \\ Testperms \\ user.log" yolunda reddedildi.
Ve bu yüzden işe yaramaz.

Kara Sihirli Oturum Başlıyoruz: AppendText yöntemini, Dosya Sınıfını kullanın. Bir günlük nesnesi alıyoruz.
$ Log \u003d :: appendText ("C: \\ Testperms \\ user.log") "1" argümanlarla "AppendText" diyirken hariç tutma "C: \\ Testperms \\ user.log". "
Bence AppendallText denemeye değmez
$ LOG \u003d :: AppendallText ("C: \\ Testperms \\ user.log", "newevent") İstisnası "2" argümanlarla "AppendallText" diyirken, "" C: \\ Testperms \\ user.log "yolundaki erişimin reddedildi" "
Durum, prensip olarak açık. Yalnızca verileri metodun üzerindeki dosyaya önceden gönderme hakları yeterli değildir, dosyaya bir girişe ihtiyaçları var. Ancak bununla birlikte, dosyayı değiştirme fırsatı vereceğiz ve sadece kayıt eklememek, yani, dosyanın tüm içeriğini yok etme yeteneğini açıyoruz.

Kavramı yeniden gözden geçirmemiz gerekiyor: Hadi bir günlük nesnesi alamayız, ancak bizi ilgilendiren tüm parametrelere sorduğumuz yeni bir tane oluşturun. İzinleri açıkça belirtebileceğimiz bir şeye ihtiyacımız var. FILESTREAM'a ihtiyacımız var ve daha spesifik olarak, Filestem yapıcısına (dize, FileMode, Filesystemrights, FileShare, Int32, FileOptions) yardımcı olacağız. Sonraki parametrelerin ihtiyacı:

  • Dosyanın yolu açık
  • Dosya Nasıl Açılır - Dosyayı Açın ve Dosyanın Sonunu Bulun
  • Dosya Erişim Hakları - Veri Verileri
  • Diğer filestream nesneleri için erişim - İhtiyacınız yok
  • Tampon Boyutu - Varsayılan 8 Bayt
  • Ek Seçenekler - Hayır
Böyle bir şey ortaya çıkar:
$ Log \u003d yeni nesnesi io.filtream ("C: \\ testperms \\ user.log", :: APPEND, :: AppendData, :: Yok, 8, :: Yok)
İşler! Bir günlük nesnesi oluşturduk, orada bir şey yazmaya çalıştık. Filestream.write yöntemi, bayt cinsinden gelen değerleri alır. Kaydetmek istediğimiz, bayt-sınıf kodlamasında, Getencoding yöntemi (çıkışta Krakozyabe'ye ihtiyacımız yok) ve GetBytes (aslında dönüştürme) dağıtıyoruz.
$ olayı \u003d "Yeni bir olay oldu." $ Eventbytes \u003d :: gteenCoding ("Windows-1251"). GetBytes ($ etkinlik)
Filestream.write parametreleri:
Ne yazmalı; Yazmaya başlamak için; Yazılacak bayt sayısı
Biz yazarız:
$ log.write ($ Eventbytes, 0, $ Eventytes.Count)
Kontrol.
Gc c: \\ testperms \\ user.log gc: "C: \\ Testperms \\ user.log" bölümünde reddedilen erişim.
Her şey yolunda, kullanıcının yazılı görüntüleme hakkı yoktur. Yönetici altında kayıyoruz.
GC C: \\ TESTPERMS \\ user.log yeni bir etkinlik oldu.
Her şey çalışıyor.

Dosyanın izin dışında olduğu klasör, Klasörlerin / Kesme verilerinin oluşturulması, içerik / okuma klasörünü çözmek için izin verilmelidir. Dosya yalnızca devre dışı bırakılmış mirasa sahip klasörler / atma verileri oluşturmak için yeterlidir. Kullanıcıyı tamamen koruyun (ve kullanıcı bir şey yazması gereken bir şey yazması gereken dosyalardan, ancak diğer yandan, klasördeki dosya listesine ek olarak, kullanıcı bir şey görmeyecek ve bir şey görmeyecek yapma.

Sonuç Bu basit: Batnikov'da, bir şeyin güvenli bir şekilde kaydedilmesi çalışmayacak, PowerShell .NET nesneleriyle çalışma becerisini kazandırır.


Özellik Kayıt (WriteatTributes) - Kullanıcının dosyayı veya klasör öznitelerini değiştirmesine izin verin. Basit görünüyor. Ama şimdi sadece soruyu cevapla: "Kedilerimin fotoğrafları profilimdeki neredeyse tüm yerleri işgal ediyor ve iş yazışmaları için bir yerim yok. Klasörü tırnaklarla sıkmak istiyorum, ancak yönetici haklarını talep ediyorum. Klasörlerin niteliklerini değiştirme hakkım olduğunu söylediniz. Nitelik mi? Neden değiştiremiyorum? "

Evet, yazma nitelikleri hakkındaki kullanıcı, sıkıştırma özellikleri ve şifreleme hariç, neredeyse tüm görünen dosya ve klasör özelliklerini değiştirilebilir. Teknik olarak, kullanıcının SetFileAttributes özelliğini kullanma hakkı verilir. Ve dosya sıkıştırma, FSCTL_SET_COMPRION parametresini aktarmak istediğiniz CanceCoControl işlevi tarafından yapılır ve dosya sıkıştırma çalışmasından uzaktır. Bu özellik sayesinde, tüm cihazları ve kaynaklarını sistemdeki yönetebiliriz ve muhtemelen, kullanıcıya bu özelliği gerçekleştirme hakkını verebiliriz.

Şifreleme ile Hikaye benzer: Şifrelemeden sorumlu olan EncryptFile işlevi, kullanıcının İçerik Klasörü / Okuma Verileri Hakkı, Dosya Oluşturma / Yazma, Veri Okuma, Nispet Etme, Giriş Öznitelikleri ve Nesneye Senkronizasyon. Onlarsız, hiçbir şey olmayacak.

Writextedattributes kayıt (writextedattributes). Bunlar, OS / 2 uygulamaları, AHA ile geriye dönük uyumluluk için kullanılanlardır. Peki, C: \\ Windows \\ System32 \\ Services.exe dosyasının gelişmiş özelliklerinde bile, Trojanov (zeroaccess.c) yazmaya başladı. Belki üst düzeyde kapatılmalıdırlar? Bu soruya cevap veremiyorum, teorik olarak - belki de pratik olarak üretimde buna değer - denemedim.

Alt klasörleri ve dosyaları kaldırın. (Deletesubdirectoriesandfiles) Sadece klasörlere uygulanan ilginç bir çözüm. Öz, kullanıcının kaldırma izni vermeden, ana klasördeki alt klasörleri ve dosyaları silmesini sağlamaktır.

Kullanıcıların veri getirdiği malların bir kataloğu olduğunu varsayalım. Alfabeye göre, A'dan Z'ye, bazı isimler olan alt klasörün içinde bir ana klasör kataloğu vardır. İsimler her gün değişiyor, bir şey eklenir, bir şey değişir, bir şey eski haline gelir ve modası geçmiş bilgileri silmeniz gerekir. Ancak, float veya kötü niyetli niyetteki biri, kullanıcıların kaldırma hakkına sahipse, çok mümkün olan tüm katalog K kataloğunu yuvarlarsa, çok iyi olmayacak. Hakkı kaldırma hakkını alırsanız, yönetici işi güvenli bir şekilde değiştirebilir, çünkü tüm gün bir adın silinmesi için istekleri gerçekleştirir.

Burada alt klasörlerin ve dosyaların çıkarılmasını açar. Alfabenin tüm harflerinde, kalıtım devre dışı bırakılır ve kullanıcılar alt klasörleri ve dosyaları silmek için ele alınır. Sonuç olarak, Katalog klasöründe, kullanıcılar herhangi bir harfi kaldıramayacaklar, ancak harflerin içinde herhangi bir şeyi silebilir.

Silmek. Her şey burada basit. Sil silinir. Okuma hakkı olmadan çalışmaz.

Readpermissions okuma Bir klasördeki veya dosyadaki izinleri görüntülemek için kullanıcının hakkını verir. Sağ yok - kullanıcı güvenlik sekmesinde izni göremiyor

Değişim İzni (Changepermissions) - Kullanıcının izinleri değiştirmesini sağlar, özünde kullanıcıyı klasörün yöneticisi tarafından yapar. Örneğin, teknik desteğin güçlerini devretmek için kullanabilirsiniz. İzinleri okuma hakkı olmadan, herhangi bir anlam ifade etmiyor. Değişen izinler, klasörün sahibinde bir değişiklik anlamına gelmez.

Değişen Sahibi (Görev Alma) - Başlamak, kim böyle bir mal sahibi. Sahibi bir dosya veya klasör oluşturan bir kullanıcıdır.

Sahibi özelliği, oluşturulan klasöre tam erişime sahip olmasıdır, izinlerini oluşturulan klasöre dağıtabilir, ancak daha da önemlisi - Kimse, klasöründeki veya dosyasındaki izinleri değiştirme hakkının sahibini yok edebilir. Vasya bir klasör oluşturursa, evcil hayvanlara tam erişim sağladı ve Petya, genel olarak ve özellikle VASI klasörüne erişime geçti ve çok fazla zorluk çekmeden Vasya, klasörün sahibi olduğu için statükoyu geri yükleyebilir. Petya klasörünün sahibini değiştirme, sahibini değiştirme iznine sahip olsa bile mümkün olmayacak. Dahası, klasörü oluşturmadığı gerçeğine rağmen, Vasya'nın sahibini değiştiremez. Sahibini değiştirme hakkı yalnızca Administrators grubu veya etki alanı yöneticileri için geçerlidir.

Ancak Vasina klasörünün içindeki Petya bir dosya oluşturursa ve size erişim sağlamadıysa, yalnızca bu dosyanın içinde bu dosyanın içinde ne olduğunu düşünebilir ve tahmin edebilirsiniz. Vasya, dosyanın sahibi dosyanın erişim haklarını değiştiremeyecek, çünkü dosyanın sahibi PETYA'dır. Ayrıca, Vasya dosyanın sahibini değiştiremeyecek - alt stajların ve nesnelerin sahibindeki değişim, Vasya'nın uygulanmadığı yönetici grubunun imtiyazıdır. WASI seçeneğinin tek sürümü, klasöründeki Petin dosyasına bakmaktır.

Yönetmek

İzinleri yönetmek için CMD iyi bilinen ICACL'leri iyi kullanılmıştır. PowerShell'de, NTFS izinleri yönetimi şöyle görünüyor:

İzinleri ayarlayacağımız bir nesne alın
$ ACL \u003d GET-ACL C: \\ TESTPERMS
System.Security.AccessControl.FilesystemAccessRule sınıfını kullanarak haklara sahip bir çizgi oluşturun. Aşağıdaki parametreleri ayarlayabiliriz:

  • grup / Kullanıcı Adı - Kime ACL Yaptığımız
  • Çözünürlük - ACE (Post'ta belirtilen değerleri kabul eder)
  • gUI için geçerlidir - Ek güvenlik parametrelerinde bir açılır listedir. Aslında, sadece 3 değer alınır: hiçbiri (yalnızca bu klasöre), konteyner (tüm alt klasörlere uygulanır), objectInherit (tüm dosyalara uygulanır). Değerler birleştirilebilir.
  • bu izinleri yalnızca bu kabın içindeki nesnelere ve kaplara uygulayın (GUI'deki onay kutusu) - ayrıca 3 değerler: Yoktur (onay kutusu), mirassız (ACE sadece seçilen nesne türüne uygulanır), Nopropagatinherit (sadece bu kabın içinde izin verir).
  • kural - izin ver (izin ver) veya yasak (reddetme)
Varsayılan sıra şöyle görünecektir:
$ izni \u003d "contoso.com \\ admin", "fullcontrol", "ContainerInit, ObjectInherit", "Yok", "İzin Ver"
Yukarıdaki izinlerle yeni bir ACE yapın
$ ACE \u003d New-Nesne Security.AccessControl.FilesystemAccessRul.FilesystemAccessRule $ İzin
Ve nesneye taze oluşturulan ACE uygulayın
$ ACL.SETACCESSRULE ($ ACE) $ ACL | SET-ACL C: \\ TESTPERMS

Uygulamaya başvur

SMB ve NTFS izinleri bilgisi ile donanmış, bunları birleştirmek, kesinlikle herhangi bir karmaşıklığın erişim kuralları ile oluşturulabilir. Birkaç örnek:
Bir tür SMB İzinleri NTFS İzinleri
Herkes için klasör (halka açık) Üyeler Okuma / Kayıt Kullanıcılar - Değişim
Siyah kutu. Kullanıcılar gizli raporları, önerileri, çatlaklar - kılavuz okur. Üyeler Okuma / Kayıt
Manuel - Okuma / Yazma		 Kullanıcılar - Kayıt, yalnızca bu klasör için geçerli. Bu klasöre dosya girişinin tek yönlü bir bilet olduğu varsayılmaktadır, çünkü bu dosya klasöründe kaydedilen klasörün klasörünün içeriğini görüntüleme hakkını görüntüleme hakkı olmadan düzenlemenin uygun bir yolu yoktur (yöntem kullanıcıları için uygun) böyle bir klasöre yazma, bu arada, da mevcut değil). Ve görüntüleme gizliliği ihlal ediyor.

Manuel - Değişim.
Başvurular Kullanıcılar okuma Kullanıcılar, klasörün içeriğini görüntüleme, okuma ve yürütme.

Doğal olarak, bazı uygulamalar çalışma için ek haklar gerektirebilir. Ancak genel olarak, örneğin, teşhis için sistem yardımcı programlarının depolanması (aynı SysInternals Suite) oldukça yeterlidir.

Kullanıcı profilleri Her kullanıcı - klasörüne okuma / yazma Her kullanıcı klasöründeki bir değişikliktir.

Windows'ta izinler - çelişkili şey. Bir yandan, ana izinler oldukça basit ve vakaların% 90'ı kaplamıştır. Ancak, daha ince bir ayar yapmaya başladığında: Kullanıcıların farklı kullanıcıları, bir klasör, paylaşılan klasörler için güvenlik gereksinimleri - daha sonra ek izinler, miraslar ve sahipler ile başa çıkmak oldukça zordur.

Umarım daha da fazla kimseye dokunmadım.

Önceki derste, ağ güvenliği ve bunun için izinler hakkında bir şey hakkında konuştuk, ancak şimdi geri dönmeye değer, çünkü izinler sadece NTFS formatındaki sabit disklerde bulunur. Bu bölümde, dosyalarınızı meraklı gözlerden korumak için NTFS yetenekleri hakkında konuşacağız. Yağ sisteminin aksine, paylaşılan kaynaklara erişim açılamaz ve bağlantısı kesilemez. NTFS, yalnızca erişim sağlamak istediğiniz kişileri atlayan bu seçim detayını sağlar ve herkesi elinizden gelir.

Ayrı bir kullanıcının izinleri

Kullanıcı ve grup izinlerini tartışmadan önce, dosyaların kendileri de, izinlerin temellerini göz önünde bulundurmak önemlidir. Öncelikle mirasın ne olduğunu gösteririz ve ardından size yardımcı olması gereken Windows XP Professional aracını göz önünde bulundurun, ancak işlevlerinde çözemezseniz, tökezleme bloğuna dönüşebiliriz.

Miras

Ağda, hepsi birkaç kullanıcı olabilir ve binlerce olabilir. NTFS hacimleri ve klasörleri için özel izinler kurarken, bu görev altı kişiden oluşan bir kuruluşta nispeten basit olabilir. 9. Ders 9'da belirtildiği gibi, kuruluş büyümeye başlarsa, kullanıcıların belirli gruplara bölünmesi, izin yönetiminin çok daha kolay olmasını sağlar.

İlk olarak, örneğin mühendisler için belirli bir grup için bir dizi izin oluşturmalısınız. Bu durumda, yeni mühendis organizasyonda göründüğünde, otomatik olarak bu gruba eklenir. Aynı zamanda, bu grup için izinler tarafından miras alınır.

Not. Kalıtım, diğer NTFS Tom nesneleriyle ilgilidir. Örneğin, belirli bir klasör için izinler belirlerseniz ve sonra bir alt klasör oluşturduysanız, devralma hakkı, ebeveyn klasörünün iznini devraldığı için bu alt klasör için yeni bir izin seti oluşturmanızı sağlar.

Mühendis grubunun belirli bir çözünürlüğe verilmesi veya devam etmesi gerektiğini düşünüyorsanız, yapması kolaydır. Değişimden sonra (bu konuda daha sonra hakkında konuşacağımız şey), bu grubun her üyesine yeni bir izin verilir.

Öte yandan, belirli bir mühendis, gerisinin ihtiyaç duymadığı bir çözünürlük gerektirebilir. Bir grup mühendisine girebilir, bu kullanıcıya gerekli değişiklikler yapabilirsiniz ve bu gruba ait olduğu için onun tarafından devralınmayacak yeni bir izin alacak. Bu durumda, izin grubun diğer üyelerine dağıtılmayacaktır.

Windows XP Professional'daki yeni kalite basit bir dosya paylaşımıdır (basit dosya paylaşımı). Bu özellik, Windows XP Professional'ın birincil kurulumunda veya bir birim veya klasör kullanırken dahil edilmiştir. Daha fazla kullanıcının erişim kontrol araçlarını bağlamak için, sadece dosyayı paylaşmanız gerekir.

Bu fonksiyonun bağlantısı kesilmesi durumunda dosyaları neden basitçe paylaşmanız gerektiğini sorabilirsiniz. Ancak o zaman dosya ve klasörleri paylaşma işlemini kolaylaştırmak için. Basit paylaşım dosyasıyla, kullanıcılara dosyalara, yazıcılara vb. İçin erişmek için dosya ve çoklu yapılandırmalar yoktur. Bu, dosyaları paylaşmanın kolay bir yolunu sağlar. Ancak, dosyalara erişme hakkını alabilecekleri başarabilecekleri yönetmek istiyorsanız, dosyaların basit paylaşılması devre dışı bırakılmalıdır. Bunu yapmak için aşağıdaki adımları izleyin.

  1. Bilgisayarıma Başlat'ı seçin (Bilgisayarım'ı başlatın), ardından Araçlar'ı tıklatın ve Klasör Seçenekleri'ni (Klasör Özellikleri) öğesini seçin.
  2. Klasör Seçenekleri iletişim kutusunda, Görünüm sekmesine tıklayın.
  3. Gelişmiş Ayarlar penceresindeki ayarların listesini gözden geçirin ve ardından Basit Dosya Paylaşımını Kullan onay kutusunu kullanmak için Basit Dosya Paylaşımı Kullan onay kutusunu işaretleyin.
  4. Tamam'a tıklayın.

Not. Kendi başına, basit dosya paylaşımını devre dışı bırakmak, dosyalar için izinler ayarlamanıza izin vermez. Ayrıca tüm dosyalarınızı ve klasörlerinizi NTFS ses seviyesi veya bölümüne yerleştirmelisiniz.

Klasörler ve hacimler için izinler

İzinler, kullanıcının veya grubun ağdaki bir nesneyle veya yerel bilgisayarında yapabileceği konusunda kontroller yürütmektedir. İzinler, yalnızca dosyayı ve sabit diske NTFS formatında basitçe paylaşılarak kesildiğinde desteklenir. Klasörlere atanan izinler ve dosyalar için.

Tablo 10.2. Klasörlerin Kararları
çözüm
İzinleri değiştir Klasör İzinlerini Değiştir.
Dosyalar oluşturun. Bu klasörde yeni dosyalar oluşturma.
Klasörler oluşturun. Bu klasörde alt dizin oluşturma.
Silmek. Klasörü sil.
Alt klasörleri ve dosyaları silin Onları oluşturmak için izniniz olmasanız bile, dosyaları ve alt dizinleri silin.
Liste klasörü. Klasörün içeriğini görüntüleyin.
Öznitelikleri okuyun. Klasör özniteliklerini görüntüleyin.
Okuma İzinleri Klasör İzinlerini Görüntüle.
Sahipliğini almak. Başka bir kullanıcının bir klasör sahibi olması için haklarını atama.
Travers Klasörü. Alt dizinleri ve üst klasörleri görüntülemek için bir klasör açma.
Nitelikleri yaz. Klasör özelliklerinde değişiklik yapma.
Tablo 10.3. Dosya çözünürlüğü
çözüm Bu eylemi sağlar veya yasaklar
Verileri ekleyin. Mevcut bilgileri değiştirmeden dosyanın sonuna bilgi ekleme.
İzinleri değiştir Dosya izninde değişiklik yapma.
Silmek. Bir dosyayı silme.
Dosyayı yürütün. Dosyada bulunan programı çalıştırın.
Öznitelikleri okuyun. Dosya özniteliklerini görüntüleyin.
Verileri oku. Dosyanın içeriğini görüntüleyin.
Okuma İzinleri Dosya İzinlerini Görüntüle.
Sahipliğini almak. Bu dosyanın mülkiyetinin mülkiyetinin başka bir sahibinden atanması.
Nitelikleri yaz. Dosya özniteliklerini değiştirin.
Veri yaz. Dosya içeriğini değiştirme.
İzinler Oluşturma ve Yönetme

Bireysel dosyalar, klasörler ve NTFS hacimleri için izinler oluşturma, yağ dosya sistemi sunumundan çok daha fazla güvenlik seçeneği kullanabilirsiniz. Seçilen klasörün veya ses seviyesinin özellikleri sekmesi, Güvenlik sekmesini içerir. Üzerine tıklayarak, erişim kontrolü için birkaç seçenek görebilirsiniz.

Bu klasörün veya birimin izinlerini ayarlamak için aşağıdaki adımları izleyin.

  1. İzinler ayarlayacağınız ses seviyesini veya klasörü belirtin.
  2. Üzerine sağ tıklayın ve Özellikler'i seçin.
  3. Güvenlik sekmesini seçin.

Not. NTFS hacmi paylaşılıyorsa, güvenlik sekmesinden izinler ayarlamanız gerekir ve Paylaşım sekmesindeki izinler (izinler) düğmesini kullanmayın.

Görünen özellikler penceresinde, iki pencere göreceksiniz. Üst pencere, kullanıcıların ve grupların listesini içerir (). Nizhny'de - Kurulabilecek ve ayarlayabilecek kullanıcı için izinlerin bir listesi. Yine, bu sekme NTFS formatındaki hacimler için kullanılabilir.

İncir. 10.7. Güvenlik sekmesi (Güvenlik) Özellikleri iletişim kutusu

Belirli bir kullanıcıya veya gruba tıklayarak, alt pencerede onlar için izinler ayarlayabilirsiniz. Aşağıdaki izinler mevcuttur.

  • Tam kontrol. Kullanıcının veya grubun dosyaları okumasını, oluşturmasını, değiştirmesine ve silmesini sağlar.
  • Değiştir (değişiklik). Kullanıcıların dosya ve klasörleri silmelerine, dosya veya klasörün mülkiyetini başka bir kullanıcıdan silmesini veya sahip olmalarını sağlar.
  • Okuma ve yürütme (okuma ve yürütme). Kullanıcıların, paylaşılan birimin veya klasörün içeriğinde değişiklik yapmadan dosyaları okumalarını ve çalıştırmalarını sağlar.
  • Klasör içeriğini (klasör içeriğinin listesi) listeleyin. Kullanıcıların klasörlerin içeriğini görüntülemelerine olanak sağlar.
  • Okuma (okuma). Kullanıcıların birimin veya klasörün içeriğini görüntülemelerine izin verir. Ayrıca dosyaları açabilirler, ancak değişiklikleri kaydetme hakkına sahip değiller.
  • Yazmak. Kullanıcıların klasörlerde veya hacimlerde kaydetmelerini sağlar, ancak dosyaları açmayı veya dosyaların listesini görüntüleme yasaklar.
  • Özel İzinler (Özel İzinler). Gelişmiş düğmeye tıklayarak (isteğe bağlı), özel izinleri uygulayabilirsiniz.
Kullanıcı sayısını kısıtlamak

Kuruluşun büyüklüğüne ve yapısına bağlı olarak, bir tane isteyen herkese eşzamanlı erişime izin vermeyebilirsiniz. Bir klasöre aynı anda erişen kullanıcıların sayısında bir sınır oluşturmanız gerekirse, İzinler iletişim kutusunu açın ve Paylaşım sekmesini seçin (Şek. 10.8).

Kullanıcı limit bölümünde (Kullanıcı Sayısı), aşağıdaki seçeneklerden birini belirtin.

  • İzin verilen maksimum, maksimum ağ kullanıcısı sayısına erişim sağlar.
  • Bu kullanıcı sayısının yalnızca belirtilen kullanıcı numarası için erişime izin vermesine izin verin.

İzinler hakkında daha fazla ayrıntı CH'de bulunabilir. dokuz.

Klasörlere ve dosyalara kullanıcı erişimini yönetmek için, ayrıntılı ve karmaşık bir izin sistemi kullanılır. Windows nesneleri için erişim kontrol mekanizması, tanınmış işletim sistemleri arasında en ayrıntılı olanlardan biridir. Dosya ve klasörler için, açılabilen veya engellenebilecek en az 14 NTFS izinleri vardır - ve kontrol edildi. Bu izinler, dosya veya klasörler ve kullanıcılar veya gruplar atanabilir. Ek olarak, dosyalar veya klasörler ve kullanıcılar veya gruplar için miras izinleri emrini atamak mümkündür. Labirent izinlerinde kaybolmak kolaydır. Bu makalede, klasörler ve dosyalar için izinler ve uygulamalarının en etkili yolları için nasıl.

Nesnelere Erişim Temelleri

Kullanıcı, hiçbir zaman Windows'un herhangi bir nesnesiyle doğrudan "temasa) girmez. Nesnelere olan tüm erişim programları (örneğin, Windows Gezgini, Microsoft Office) veya işlemlerle gerçekleştirilir. Kullanıcı adına kaynakları ifade eden bir program, kimliğe bürünme adı verilen bir prosedür gerçekleştirir (kimliğe bürünme). Uzak bir kaynağı ifade eden bir program Heyet (heyet) olarak adlandırılan prosedürü gerçekleştirir.

Kullanıcıyı kaydettikten sonra, sistem tanımlayıcısı (sistem tanımlayıcısı - SID) ve SID tanımlayıcıları, güvenli bir kullanıcı erişim işaretçisi oluşturan LSASS.EXE işlemi tarafından işlenir. Kullanıcı atanan haklar (izinler), Kullanıcı Oturumu Kimliği (her oturum için benzersiz), istenen erişim türünün ayrıntılı bir açıklamasına sahip izin maskesi de dahil olmak üzere güvenli erişim işaretçisine başka bir bilgi girilir. Kullanıcıya atanan haklar, ekibi kullanarak görülebilir.

Program kullanıcıdan güvenli bir kaynağa temyiz ederse, Güvenlik Monitörü (Güvenlik Referansı Monitörü), kullanıcının güvenli kullanıcı erişim tablosunu ister. Ardından, güvenlik izlemesi etkili kullanıcı izinlerini belirlemek için işaretçiyi analiz eder ve kullanıcının istediği kullanıcının yürütülmesini sağlar veya yasaklamasını sağlar. Etkili izinler aşağıda daha ayrıntılı olarak açıklanmaktadır.

İzinler paylaşın.

Her Windows korumalı nesne, dosyalar, klasörler, paylaşılan kaynaklar, yazıcılar ve kayıt defteri bölümleri dahildir - güvenlik çözümlerini destekler. Herhangi bir Windows klasörü uzaktan erişimi çözmek için halka açık olabilir. Paylaşım İzinleri, Windows'ta herhangi bir klasöre ve yazıcı nesnelerine atanabilir, ancak izinler yalnızca nesneye referans ağ kaynağından gerçekleşirse uygulanır. Klasör Paylaşımı İzinleri, tam kontrol, değiştirme ve okumayı içerir.

Nesneye tam erişime (tam kontrol) atanan güvenlik konuları, neredeyse herhangi bir işlemi nesneyle üretebilir. Nesneyi silebilir, yeniden adlandırabilir, kopyalayabilir, taşıyabilir ve değiştirebilirler. Tam kontrol hakkına sahip kullanıcı, hisse nesnesinin çözünürlüğünü değiştirebilir ve nesnenin sahibi olun (artık sahibi değilse ve sahip olma iznine sahip değilse). Böylece, tam kontrol çözünürlüğüne sahip herhangi bir kullanıcı, yönetici de dahil olmak üzere diğer kişilerin izinlerini iptal edebilir (yönetici her zaman mülkiyeti ve izinleri iade edebilir). İzinleri değiştirme yeteneği, Windows gibi seçici erişim yönetimi (DAC) ile herhangi bir işletim sisteminin zorunlu bir gereksinimidir.

Çoğu durumda, normal kullanıcıların gerektirdiği kaynağa erişimin temel çözünürlüğü değişiktir. Değişim çözünürlüğünü kullanarak, kullanıcı karşılık gelen klasördeki kaynakları ekleyebilir, silebilir, değiştirebilir ve yeniden adlandırabilir. Okuma çözünürlüğü, bir nesneyi görüntüleme, kopyalama, yeniden adlandırma ve yazdırma sağlar. Okuma çözünürlüğüne sahip kullanıcı, nesneyi tam kontrolün doğru olduğu başka bir yere kopyalayabilir.

NTFS İzinleri

Windows'ta NTFS dosya sistemi (ve değil), ardından tüm dosyalar, klasörler, kayıt defteri bölümleri ve diğer birçok nesnelerin NTFS izinlerine sahiptir. NTFS izinleri, hem yerel hem de uzaktan erişim ile kullanılır. NTFS dosyasının veya klasörün izinlerini görüntülemek ve değiştirmek için, nesneyi sağ tıklatın, Özellikler öğesini seçin ve Güvenlik sekmesine gidin.

Tablo 1, toplam NTFS izinlerini gösterir. Toplam izinler, Tablo 2'de gösterilen 14 detaylı izinlerin çeşitli kombinasyonlarıdır. Ayrıntılı izinleri görüntüle, Güvenlik sekmesindeki Gelişmiş düğmesine tıklayarak, nesnenin gelişmiş güvenlik ayarları iletişim kutusunu açabilir ve ardından İzinler sekmesi. Nesnenin ayrıntılı izinleri ile tanışın (özellikle daha fazla güvenlik gerektiren) - yararlı bir alışkanlık daha da fazla çaba gerektirir. Toplam izinler, ayrıntılı izinlerin durumunu her zaman doğru bir şekilde yansıtmaz. Örneğin, okumanın toplam iznini görmek zorunda kaldım, gerçekte kullanıcının okuma ve yürütme iznine sahip olmasına rağmen.

Tam kontrol payının çözünürlüğüne benzer şekilde, tam kontrol NTF'lerinin izni, büyük fırsatların sahiplerine sunar. Yöneticinin olmayan kullanıcılar, genellikle ev dizinlerinde ve diğer dosyalarda ve klasörlerinde tam kontrolden izinlidir. Zaten belirtildiği gibi, böyle bir seviye haklarının sahibi, dosyanın izinlerini değiştirebilir ve sahibi tarafından kendini tayin edebilir. Kullanıcıları tam kontrolden izin vererek sağlamak yerine, yalnızca onlara doğru değişiklik yapabilirsiniz. Kullanıcı dosyanın sahibi ise, gerekirse, izinleri değiştirmek için el ile yasaklayabilirsiniz.

Teknik olarak, NTFS izinleri seçici erişim kontrol listeleri (DACL isteğe bağlı) olarak bilinir. Denetim İzinleri Sistem ACLS (SACL) olarak bilinir. Korunan NTFS nesnelerinin çoğu, her iki türün izinlerine sahiptir.

Windows güveninin etkisi

Varsayılan olarak, tüm Windows 2000 etki alanları ve ormanları ve sonraki sürümleri, diğer tüm orman alanlarıyla ikili güvenme ilişkilerine sahiptir. Etki alanı başka bir etki alanına güveniyorsa, güvenilir etki alanındaki tüm kullanıcılar, Güven alanındaki tüm güvenlik izinlerine sahip olan Herkes grubu ve Grup kimliği doğrulanmış kullanıcıların etki alanını güvence altına almaktadır. Herhangi bir etki alanında, bu gruplar tarafından varsayılan olarak birçok izin verilir ve güvenilen ilişkiler, diğer durumlarda sağlanamayacak kadar geniş haklar sunar. Gizli ilişkilerin örnek bir doğayı paylaşmadığı takdirde, herkes tarafından sağlanan herhangi bir izin ve kimliği doğrulanmış kullanıcılar grupları ormandaki diğer tüm kullanıcılara atanması gerektiği unutulmamalıdır.

Komut satırından izinleri kontrol edin

Yöneticiler, NTFS izinlerini kontrol etmek için Subinacl.exe, Xacls.exe ve Cacls.exe gibi komut satırı araçlarını kullanır. SubinCl, Windows Server 2003 Kaynak Seti Araçları Kaynaklarına dahil edilmiştir. Subinacl kullanarak, dosyalar, klasörler, nesneler, kayıt defteri girdileri ve hizmetler için NTFS izinlerini görüntüleyebilir ve değiştirebilirsiniz. En önemli olasılık Subinacl, kullanıcı izinlerini, grupları veya nesneleri kopyalamak ve bunları aynı veya başka bir alandaki başka bir kullanıcıya, gruba veya nesneye kopyalamaktır. Örneğin, kullanıcıyı bir etki alanından diğerine taşıdığınızda, Windows'ta yeni bir kullanıcı hesabı oluşturulur; Daha önce mevcut olan tüm SIDS veya ilk kullanıcı ile ilişkili izinler iptal edilir. Subinacl kullanarak yeni bir kullanıcı hesabına izin kopyalama, bunları aynı yapabilirsiniz. XCACLS, SubinACL'ye benzer şekilde işlev görür ve Windows 2000 Server Kaynak Seti kaynağının bir parçasıdır.

CACLS programı, Microsoft'un "undocumentd caCls: Group izinleri yetenekleri" tarafından yayınlanan Microsoft'ta açıklanmaktadır. Bu, Windows NT'deki Windows'un bir parçası olarak görünen eski bir araçtır. CaCls subinacl veya xacls kadar faydalı değildir, ancak yardımcı program her zaman Windows sisteminde bulunur. CACLS ile, kullanıcılar ve gruplar tarafından dosya ve izinleri görüntüleyebilir ve değiştirebilirsiniz, ancak ayrıntılı NTFS izinleri oluşturmayın. Halen, CACLS özellikleri, NTFS izinlerine uymayan, ancak Paylaşımı çözmeyen erişim, okuma, değişim ve tam kontrol izinleri olmadan çalışmakla sınırlıdır. Ek olarak, Okuma Programının izni CACLS, NTFS sisteminin okuma ve yürütme çözünürlüğünü karşılar.

Miras

Varsayılan olarak, tüm dosyalar, klasörler ve kayıt defteri bölümleri, ana kaptan izinleri devralır. Kalıtım, tek tek dosyalar, klasörler veya kayıt defteri bölümleri ve bireysel kullanıcılar veya gruplar için etkinleştirilebilir veya devre dışı bırakılabilir. Ekran 1'de gördüğümüz gibi, Gelişmiş Güvenlik Ayarları iletişim kutusundaki izinler sekmesindeki alan için Uygula, belirli bir çözünürlüğün eyleminin geçerli kabın ile sınırlı olup olmadığını gösterir veya alt klasörlere ve dosyalara uzanır. Yönetici, kalıtsal olan veya olmayan izinler (bireysel kullanıcılar için) atayabilir. Bu örnekte, Herkes grubu, geçerli klasörde okuma ve yürütme iznine sahiptir ve bu izin miras alınmaz.

Dosya veya klasör izinlerinin çoğunu miras alırsa, ancak aynı zamanda bir dizi açıkça belirtilen izinlere sahipse, ikincisi de her zaman kalıtsal haklara öncelik veriyor. Örneğin, kullanıcıya belirli bir hacmindeki kök kataloğunda tam kontrol reddinin izniyle sağlayabilir ve bu izinlerin mirasını tüm dosyalar ve disk klasörleri tarafından ayarlayabilirsiniz. Daha sonra diskteki herhangi bir dosya veya klasörü atayabilirsiniz. Miras kalan tam kontrol-reddetme modunu iptal eder.

Etkili İzinler

Windows Security Monitor, çeşitli faktörleri dikkate alarak etkili kullanıcı izinlerini (uygulamadaki gerçek izinler) tanımlar. Yukarıda belirtildiği gibi, koruma monitörü önce kullanıcının bireysel hesabı ve ait olduğu tüm grupları hakkında bilgi toplar ve tüm kullanıcı ve grup SIDS'ye atanan tüm izinleri özetliyor. İzinler reddetmek ve izin vermek tek seviyede var olursa, bir kural olarak, reddetmek önceliklidir. Öncelik tam kontrol-reddettiğinde, kullanıcının genellikle nesneye erişimi yoktur.

Varsayılan olarak, NTFS'yi kaydederken ve paylaşımları paylaşırken (kullanıcı ağ üzerinden bir kaynağa bağlanır), Koruma Monitörü tüm payları ve NTFS izinlerini toplamalıdır. Sonuç olarak, etkili kullanıcı izinleri, hem hisse izinleri hem de NTFS tarafından sağlanan bir izin dizidir.

Örneğin, sonunda, kullanıcı paylaşım izni olarak ortaya çıkabilir ve değiştirebilir ve NTFS izinleri okunur ve değiştirebilir. Etkili izinler - en sınırlı izin seti. Bu durumda, izinler neredeyse aynıdır. Etkili izinler okunur ve değiştirilecektir / değiştirilecektir. Birçok yönetici yanlışlıkla, etkili izinlerin yalnızca kötü, aşırı basitleştirilmiş örnekler veya modası geçmiş belgeler nedeniyle yalnızca okuduğuna inanıyor.

Windows XP ve daha yeni sürümlerdeki Gelişmiş Güvenlik Ayarları iletişim kutusunda, Etkili İzinler sekmesi göründü (ekran 2'ye bakınız). Ne yazık ki, Etkili İzinler sekmesinde, yalnızca NTFS izinleri yansıtılır. Hisse izinlerinin etkisi, üyeliğe sahip olmayan üyelere dayanan eylemler ve şifreleme dosya sistemi gibi diğer faktörler (dosya sistemi - EFS şifreleme). EFS bir dosya veya klasör için etkinleştirilirse, uygun NTFS ve paylaşım izinlerine sahip kullanıcı, bir klasöre veya dosyaya EFS erişimi yoksa, nesneye erişim olasılığını kaybedebilir.

  • Tam kontrolden düzenli kullanıcılara dikkatlice izin verin. Değiştirme çözünürlüğü yerine atamak faydalıdır. Çoğu durumda, bu yaklaşım, kullanıcıların hakları değiştirmemesine veya mülkiyet atamasına izin vermemek için gerekli tüm izinleri sağlar.
  • Herkes grubuyla dikkatlice çalışın; Kimliği doğrulanmış kullanıcıları (veya kullanıcılar) grubunu veya özel bir sınırlı grubu kullanmak daha iyidir. Kimliği doğrulanmış kullanıcılar grubunun önemli ihmalleri, misafir eksikliği ve kimliği doğrulanmamış bir kullanıcısıdır.
  • Genellikle ağ yöneticilerinden üçüncü taraf kullanıcılar için (örneğin, danışmanlar, müteahhitler, serbest programcılar) konuk hesapları girmeleri istenir. Ancak normal kullanıcı hakları genellikle konuğa gereksizdir. Hakları yüksek derecede kesilmiş olan bir grup oluşturmalı ve kullanmalısınız (örneğin, kök dizinler için tam kontrol-reddetme izni) ve daha sonra bu konuk hesabı için gerekli dosyalara ve klasörlere erişime izin vermelisiniz. Açıkça atanan izinler tercih edilir, çünkü konuk kullanıcılarının çalışmaları için gerekli olan izinleri sağladıkları, ancak daha fazla değil.
  • Yöneticiler bu gruplara dahil edildiğinden, herkesin ve kullanıcıların gruplarıyla ilgili yasaklar uygulanmalıdır.
  • Diğer alanlarla ilgili güven ilişkileri durumunda, güvenilir etki alanının kullanıcılarının haklarını sınırlamak için tek taraflı ve seçici güven uygulamak faydalıdır.
  • Mümkün olduğunca sınırlı olduklarından emin olmak için periyodik olarak NTFS ve Paylaşım İzinlerini düzenlemek için gereklidir.

Tüm izinlerin kısa bir açıklamasıyla bu önerileri ve referans tablolarını kullanarak, Dosya Sistemi Labirenth'e güvenle gidebilirsiniz. Yönetici, dosyalar, klasörler, kullanıcılar ve gruplar için izinleri güvenle atayabilecektir.

Tablo 1. NTFS İzinler Özeti

çözüm

davranmak

Dosyaları, klasörleri ve nesneleri görüntüleme, kopyalama, yazdırma ve yeniden adlandırır. Senaryo dosyaları hariç program yürütülebilir dosyaya başlamaz. Nesnelerin, nesne özniteliklerinin ve gelişmiş özelliklerin izinlerini (örneğin, Arşiv, EFS biti) okumanızı sağlar. Dosya ve alt klasör klasörlerinin bir listesini yapmanızı sağlar.

Okuma izinleri, artı dosyaları ve klasörleri oluşturma ve yeniden yazma

Liste (yalnızca klasörler)

Klasörün içindeki dosya adlarını ve alt klasörleri görüntülemenizi sağlar

İzinleri okuma ve yazılım dosyalarını çalıştırma

Mülkiyet atama ve izin atama yeteneğinin yanı sıra tüm izinler sağlar. Dosya ve klasörleri okuman, silmenizi, değiştirmenizi ve üzerine yazmanızı sağlar.

İzinler atamanızı sağlayan klasörlerin ve dosyaların tam yönetimini sağlar.

Özel İzinler

Diğer 6 toplam izinlerden herhangi birine girmeyen 14 detaylı izin kombinasyonunu çizmenizi sağlar. Bu grup iznini senkronize eder

Tablo 2. Ayrıntılı NTFS İzinleri

çözüm

davranmak

Traverse Klasörü / Yürüt Dosyası

Traverse klasörü, güvenlik varlığının Transit klasöründeki izinlere sahip olmasa bile, diğer dosyalara ve klasörlere erişmek için klasörlerde hareket etmenizi sağlar. Sadece klasörler için geçerlidir. Traverse klasörü yalnızca güvenlik varlığının bypass travers kontrol kullanıcısı iznine sahip değilse (varsayılan Herkes grubu tarafından sağlanan) yürürlüğe girer. Dosyayı yürütmek, program dosyalarını çalıştırmanızı sağlar. Klasör için travers klasörünün izninin atanması, klasördeki tüm dosyalar için otomatik olarak çalıştırma dosyası izinlerini yüklemez.

Klasörü Liste / Verileri Oku

Klasördeki dosya adları ve alt klasörlerin görünümlerini sağlar. Liste klasörü klasörün içeriğini etkiler - Klasörün çözünürlüğün atandığı listeye girip girileceğini etkilemez. Verileri oku, dosyaları görüntülemenizi, kopyalamanızı ve yazdırmanızı sağlar

Güvenlik varlığı nesne özniteliklerini görür (örneğin, salt okunur, sistem, gizlenmiş)

Genişletilmiş özellikleri okuyun.

Güvenlik varlığı genişletilmiş nesne özniteliklerini görür (örneğin, EFS, Sıkıştırma)

Dosyalar oluşturun / veri yazma

Dosyalar oluştur klasörün içindeki dosyalar oluşturmanıza olanak sağlar (yalnızca klasörlere uygulanır). Veri yazma, dosyada değişiklik yapmanızı ve mevcut içeriğin üzerine yazmanızı sağlar (yalnızca dosyalara uygulanır)

Klasörler oluşturun / Verileri ekleyin

Klasörler oluşturun, klasörün içindeki klasörler oluşturmanızı sağlar (yalnızca klasörlere uygulanır). Ekler, dosyanın sonuna değişiklik yapmanızı sağlar, ancak mevcut verilerin (yalnızca dosyalara uygulanan) değiştirmeyin, silme, silme veya yazma

Nitelikleri yaz.

Güvenlik varlığının standart özellikleri (örneğin, salt okunur, sistem, gizli) dosyaları ve klasörleri kaydetme veya değiştirmediğini belirler. Dosya ve klasörlerin içeriğini yalnızca özniteliklerinde etkilemez.

Genişletilmiş özellikleri yazın.

Bir güvenlik işletmesinin genişletilmiş öznitelikleri (örneğin, EFS, Sıkıştırma) dosyaları ve klasörleri kaydetmediğini veya değiştirip değiştiremeyeceğini belirler. Dosya ve klasörlerin içeriğini yalnızca özniteliklerinde etkilemez

Alt klasörleri ve dosyaları silin

Sil çözünürlüğü bir alt klasör veya dosyayla sağlanmamış olsa bile alt klasörleri ve dosyaları silmenizi sağlar

Bir klasörü veya dosyayı silmenizi sağlar. Bir dosya veya klasör için silme izni yoksa, ana klasördeki Sil alt klasörlerinin ve dosyaların çözümü varsa silinebilirse silinebilir.

Okuma İzinleri

İzinleri değiştir

İzinleri (örneğin, tam kontrol, okuma, yazma) dosyasını veya klasörünü değiştirmenizi sağlar. Dosyayı kendisini değiştirmenize izin vermiyor

Bir dosyanın veya klasörün sahibi kimin olabileceğini belirler. Sahipleri her zaman tam kontrol sahibi olabilir ve mülkiyet iptal edilmezse, dosyadaki veya klasördeki izinleri sürekli iptal edilemez.

Yöneticiler bu izni nadiren kullanır. Çok iş parçacıklı, çok parçalı bir programlarda senkronizasyon için kullanılır ve bir kaynağa hitap eden birkaç iplik arasındaki etkileşimi belirler.

NTFS izinleri kaynakları korumak için kullanılır:

    kaynağın bulunduğu bilgisayarda çalışan yerel kullanıcılar;

    uzak kullanıcılar, paylaşılan klasöre ağ üzerinden bağlı.

NTFS İzinleri Yüksek Güvenlik Seçimi sağlar: Klasördeki her dosya için izinlerinizi ayarlayabilirsiniz. Örneğin, bir kullanıcı, dosyanın içeriğini okumanızı ve değiştirmenize olanak tanır, başka - sadece okuma ve gerisi - genel olarak erişimi yasaklamaktadır.

Bir hacmi biçimlendirirse, NTFS sistemi üzerine yüklenirse, Herkes grubu bu ses seviyesinde otomatik olarak tam sontrol iznine (tam kontrol) atanır. Bu ciltte oluşturulan klasörler ve dosyalar, varsayılan olarak bu izni devralır.

Bireysel izinler

Windows NT, her biri dosya veya klasöre erişim türünü belirten altı tür bireysel NTFS izinlerine sahiptir.

Tablo, bireysel izinlerin NTFS'sinden birinin bir nesnesine uygulandığında bir klasör veya dosyayla kullanıcı çözünmüş işlemleri açıklanmaktadır.

NTFS biriminde bir dosya veya klasör oluşturan kullanıcı bu dosyanın veya klasörün sahibi olur. Bu kullanıcı Administrators grubunun (Yöneticiler) üyesi ise, gerçek sahibi tüm Administratrs grubu olur. Sahip, dosyasına veya klasörüne erişmek için izin verme ve değiştirme hakkına sahiptir.

Standart İzinler

Çoğu durumda, standart NTFS izinlerinin tadını çıkaracaksınız. Bireysel izinlerin kombinasyonlarıdır. Bir dosya veya klasör için birkaç ayrı izinlerin eşzamanlı amacı, yönetimi büyük ölçüde basitleştirir.

Braketlerde standart çözünürlüğün adından sonra, bireysel izinlerinin bileşenlerinin kısaltmaları verilmiştir. Örneğin, bir dosya için standart çözünürlük okuma (okunur) iki ayrı izinle eşdeğerdir - okuma (okuma) ve yürütme - ve parantez içinde RX harfleri durur.

Klasörler için standart izinler

Tablo, klasörler için standart izinleri listeler ve karşılık gelen bireysel NTFS izinleri belirtilir.

Erişim izni yok (erişim yok), kullanıcının iznine erişmek için verilen grubun bir üyesi olsa bile, bir dosyaya veya klasöre erişimi yasaklamaktadır. "Dosya için bireysel izinler" sütununda kazıcı, bu standart çözünürlük dosyalar için geçerli olmadığı anlamına gelir.

Dosyalar için standart izinler

Tablo, dosyalar için standart izinleri ve bunlara karşılık gelen karşılık gelen bireysel NTFS izinlerini listeler.

İzinler Tam Kontrol (Tam Kontrol) ve Değiştir (Değiştir) özelliği, saniyenin nesnenin izinlerini ve sahibini değiştirmesine izin vermediği özelliği.

      1. NTFS İzinlerinin Uygulanması

NTFS izinleri, kullanıcı hesaplarına ve gruplara ve paylaşılan kaynakların erişim haklarına atanır. Kullanıcı doğrudan izin alabilir ya da izin veren bir veya daha fazla grubun üyesi olabilir.

Klasörler için NTFS izinlerinin kullanımı, paylaşılan kaynakların erişim haklarının kullanımına benzer.

    Paylaşılan kaynakların erişim hakları gibi, kullanıcı için gerçek NTFS izinleri, üyesi olan kullanıcı izinlerinin ve grupların bir kombinasyonudur. Tek istisna, erişimin izni (erişim): Diğer tüm izinleri iptal eder.

    Paylaşılan kaynaklara erişim haklarının aksine, NTFS izinleri yerel kaynakları korur. Özellikle, bu klasörde bulunan dosyalar ve klasörler kendisinden başka izinler olabilir.

NTFS Dosyanın İzinleri, bulunduğu klasörün izinleri üzerinde geçerlidir. Örneğin, kullanıcı klasörün okuma izinlerine sahipse ve ekli dosyayı yazarsa, verileri dosyaya kaydedebilecektir, ancak klasörde yeni bir dosya oluşturamayacaktır.

Bu makale ideolojik olarak bir makale ile devam etmektedir. Bunda söylendiği gibi, kullanıcıları ve (veya) gruplarını seçtikten sonra, onlara erişim parametrelerini belirlemelisiniz. Bu, aşağıdaki tabloda tartışılan NTFS dosya sistemi izinleri kullanılarak yapılabilir.

Dosya Erişim İzinleri

  • Okuma. Dosya okumasına izin verilir, ayrıca mal sahibinin, izinlerin ve ek özelliklerin adı gibi parametrelerini görüntüleyin.
  • Kayıt. Dosyayı yeniden yazabilir, parametrelerini değiştirebilir, sahibinin ve izinlerinin adını görüntülemeye izin verilir.
  • Okuma ve yürütme. Yürütülebilir bir uygulamayı başlatmak için okuma ve sağlama izni.
  • Değişim. Bir dosyayı değiştirebilir ve silmek, aynı zamanda okuma ve yürütme izniyle sağlanan her şeyin yanı sıra kayıt yaptırmasına izin verilir.
  • Tam erişim.
  • Dosyaya tam erişime izin verilir. Bu, yukarıda listelenen tüm izinler tarafından sağlanan tüm eylemlerin izin verildiği anlamına gelir. Ayrıca dosyanın sahibi olmasına ve izinlerini değiştirmesine de izin verilir.

Klasörlere Erişim İzinleri

  • Okuma. İç içe geçmiş klasörleri ve dosyaları ve ayrıca okuma, gizli, arşiv ve sistemik gibi sahibinin, izinlerin ve okuma özelliklerinin adı gibi özelliklerini de görmenize izin verilir.
  • Kayıt. Klasörün içindeki yeni dosyalar ve alt klasörler oluşturup, klasör parametrelerini değiştirmelerine ve özelliklerini, özellikle de mal sahibinin adını ve erişme iznini görüntülemesine izin verilir.
  • Klasör içeriğinin listesi. Klasör ve alt klasörlerde bulunan dosyaların adlarını görüntülemeye izin verilir.
  • Okuma ve yürütme. Klasörün kendisine erişim olmasa bile, alt klasörlerdeki dosyalara erişmenize izin verilir. Ek olarak, klasörün içeriğini okuma ve listeleme izni için sağlanan aynı eylemlere izin verilir.
  • Değişim. Tüm eylemler, okuma ve okuma ve yürütme ve klasörün silinmesine izin verilir.
  • Tam erişim. Klasöre tam erişim izin verilir. Başka bir deyişle, yukarıda listelenen tüm izinler tarafından sağlanan tüm eylemler izin verilir. Ek olarak, klasörün sahibi olmasına ve izinlerini değiştirmesine izin verildi.
  • Özel izinler. Standart olandan farklı ek izinler kümesi.

Yaratıcısı her zaman hak sahibi olan sahibi olarak kabul edilir. Tam erişim, sahibinin hesabı sekmesinde listelenmemiş olsa bile Dosya güvenliği. Dosya için yukarıdaki izinlere ek olarak, iki ek uygulama türünü seçebilirsiniz.

  • Değiştirme sahibi. Bu çözünürlük türünün kullanıcının dosyanın sahibi olmasını sağlar. Bu çözünürlük türü gruba atanır Yöneticiler.
  • İzin değiştirme. Kullanıcı, dosyaya erişimi olan kullanıcıların ve grupların listesini değiştirme yeteneğine sahiptir ve ayrıca erişim izni türlerini dosyaya değiştirme yeteneğine sahiptir.

Benzer makaleler