Come comprendere le autorizzazioni di file / condivisione di Windows 7 che confondono
Hai mai provato a capire tutte le autorizzazioni in Windows? Sono disponibili autorizzazioni di condivisione, autorizzazioni NTFS, elenchi di controllo di accesso e altro. Ecco come lavorano tutti insieme.
L'identificatore di sicurezza
I sistemi operativi Windows utilizzano i SID per rappresentare tutti i principi di sicurezza. I SID sono solo stringhe di lunghezza variabile di caratteri alfanumerici che rappresentano macchine, utenti e gruppi. I SID vengono aggiunti agli elenchi ACL (Access Control List) ogni volta che si concede l'autorizzazione di un utente o di un gruppo a un file o una cartella. Dietro la scena i SID sono memorizzati allo stesso modo di tutti gli altri oggetti dati, in binario. Tuttavia quando vedi un SID in Windows verrà visualizzato usando una sintassi più leggibile. Non capita spesso di vedere qualsiasi forma di SID in Windows, lo scenario più comune è quando concedi a qualcuno l'autorizzazione per una risorsa, quindi il loro account utente viene eliminato, quindi verrà visualizzato come SID nell'ACL. Quindi diamo un'occhiata al formato tipico in cui vedrai i SID in Windows.
La notazione che vedrai richiede una certa sintassi, sotto sono le diverse parti di un SID in questa notazione.
- Un prefisso 'S'
- Numero di revisione della struttura
- Un valore di autorizzazione dell'identificatore a 48 bit
- Un numero variabile di valori di sub-autorizzazione o identificatore relativo (RID) a 32 bit
Usando il mio SID nell'immagine seguente, suddivideremo le diverse sezioni per ottenere una migliore comprensione.
La struttura SID:
'S' - Il primo componente di un SID è sempre una "S". Questo è preceduto da tutti i SID ed è lì per informare Windows che quanto segue è un SID.
'1' - Il secondo componente di un SID è il numero di revisione della specifica SID, se la specifica SID dovesse cambiare, fornirebbe la compatibilità all'indietro. A partire da Windows 7 e Server 2008 R2 la specifica SID è ancora nella prima revisione.
'5' - La terza sezione di un SID è denominata autorità di identificazione. Questo definisce in quale ambito è stato generato il SID. I valori possibili per questa sezione del SID possono essere:
- 0 - Autorità nulla
- 1 - Autorità mondiale
- 2 - Autorità locale
- 3 - Autorità del Creatore
- 4 - Autorità non unica
- 5 - NT Authority
'21' - Il quarto componente è l'autorità secondaria 1, il valore "21" viene utilizzato nel campo avanti per specificare che le sottoregioni che seguono identificano la macchina locale o il dominio.
'1206375286-251249764-2214032401' - Questi sono chiamati sub-authority 2,3 e 4 rispettivamente. Nel nostro esempio questo è usato per identificare la macchina locale, ma potrebbe anche essere l'identificatore di un dominio.
'1000' - La sottoregione 5 è l'ultimo componente del nostro SID ed è chiamata RID (Relative Identifier), il RID è relativo a ciascun principio di sicurezza, si noti che tutti gli oggetti definiti dall'utente, quelli non spediti da Microsoft avranno un RID di 1000 o maggiore.
Principi di sicurezza
Un principio di sicurezza è tutto ciò che ha un SID ad esso collegato, questi possono essere utenti, computer e persino gruppi. I principi di sicurezza possono essere locali o essere nel contesto del dominio. Gestisci i principi di sicurezza locali attraverso lo snap-in Utenti e gruppi locali, sotto la gestione del computer. Per arrivare a fare clic destro sul collegamento al computer nel menu di avvio e scegliere Gestisci.
Per aggiungere un nuovo principio di sicurezza dell'utente, puoi andare alla cartella degli utenti e fare clic con il tasto destro del mouse e scegliere un nuovo utente.
Se si fa doppio clic su un utente, è possibile aggiungerli a un gruppo di sicurezza nella scheda Membro di.
Per creare un nuovo gruppo di sicurezza, accedere alla cartella Gruppi sul lato destro. Fai clic con il tasto destro sullo spazio bianco e seleziona il nuovo gruppo.
Permessi di condivisione e autorizzazione NTFS
In Windows ci sono due tipi di permessi per file e cartelle, in primo luogo ci sono i permessi di condivisione e in secondo luogo ci sono permessi NTFS chiamati anche permessi di sicurezza. Prendi nota del fatto che quando si condivide una cartella per impostazione predefinita il gruppo "Tutti" riceve l'autorizzazione di lettura. La sicurezza sulle cartelle viene solitamente effettuata con una combinazione di autorizzazione Condividi e NTFS, se questo è il caso, è fondamentale ricordare che il più restrittivo si applica sempre, ad esempio se l'autorizzazione di condivisione è impostata su Everyone = Read (che è l'impostazione predefinita), ma l'autorizzazione NTFS consente agli utenti di apportare una modifica al file, l'autorizzazione di condivisione avrà la priorità e gli utenti non potranno apportare modifiche. Quando si impostano le autorizzazioni, LSASS (Local Security Authority) controlla l'accesso alla risorsa. Quando si accede a un token di accesso con il SID su di esso, quando si accede alla risorsa, LSASS confronta il SID aggiunto all'ACL (Access Control List) e se il SID si trova nell'ACL determina se consentire o negare l'accesso. Non importa quali permessi usi ci sono differenze, quindi diamo un'occhiata per capire meglio quando dovremmo usare cosa.
Permessi di condivisione:
- Applicabile solo agli utenti che accedono alla risorsa attraverso la rete. Non si applicano se si accede localmente, ad esempio tramite servizi terminal.
- Si applica a tutti i file e le cartelle nella risorsa condivisa. Se si desidera fornire uno schema di restrizione più granulare, è necessario utilizzare l'autorizzazione NTFS oltre alle autorizzazioni condivise
- Se si dispone di volumi formattati FAT o FAT32, questa sarà l'unica forma di restrizione disponibile, poiché le autorizzazioni NTFS non sono disponibili su tali file system.
Autorizzazioni NTFS:
- L'unica restrizione sulle autorizzazioni NTFS è che possono essere impostate solo su un volume formattato nel file system NTFS
- Ricorda che NTFS è cumulativo che significa che le autorizzazioni effettive di un utente sono il risultato della combinazione delle autorizzazioni assegnate dall'utente e delle autorizzazioni di tutti i gruppi a cui appartiene l'utente.
Le nuove autorizzazioni di condivisione
Windows 7 acquistato con una nuova tecnica di condivisione "facile". Le opzioni sono cambiate da lettura, modifica e controllo completo a. Leggi e leggi / scrivi. L'idea faceva parte dell'intera mentalità del gruppo Home e semplifica la condivisione di una cartella per persone non dotate di computer. Questo viene fatto tramite il menu di scelta rapida e condivide facilmente il tuo gruppo Home.
Se si desidera condividere con qualcuno che non fa parte del gruppo di appartenenza, è sempre possibile scegliere l'opzione "Persone specifiche ...". Il che aprirebbe un dialogo più "elaborato". Dove puoi specificare un utente o un gruppo specifico.
Ci sono solo due permessi come precedentemente menzionato, insieme offrono uno schema di protezione tutto o niente per le tue cartelle e file.
- Leggere il permesso è l'opzione "guarda, non toccare". I destinatari possono aprire, ma non modificare o eliminare un file.
- Leggere scrivere è l'opzione "fai qualcosa". I destinatari possono aprire, modificare o eliminare un file.
The Old School Way
La vecchia finestra di dialogo condivisa ha più opzioni e ci ha dato la possibilità di condividere la cartella con un alias diverso, ci ha permesso di limitare il numero di connessioni simultanee e di configurare la memorizzazione nella cache. Nessuna di queste funzionalità viene persa in Windows 7, ma è nascosta sotto un'opzione chiamata "Condivisione avanzata". Se fai clic destro su una cartella e vai alle sue proprietà puoi trovare queste impostazioni "Condivisione avanzata" nella scheda di condivisione.
Se fai clic sul pulsante "Condivisione avanzata", che richiede le credenziali dell'amministratore locale, puoi configurare tutte le impostazioni che avevi familiarità con le versioni precedenti di Windows.
Se fai clic sul pulsante delle autorizzazioni ti verranno presentate le 3 impostazioni che tutti conosciamo.
- Leggere autorizzazione consente di visualizzare e aprire file e sottodirectory nonché di eseguire applicazioni. Tuttavia non consente di apportare modifiche.
- Modificare il permesso ti permette di fare qualsiasi cosa Leggere permesso consente, aggiunge anche la possibilità di aggiungere file e sottodirectory, eliminare le sottocartelle e modificare i dati nei file.
- Pieno controllo è il "fai qualcosa" delle autorizzazioni classiche, in quanto ti consente di fare qualsiasi e tutte le autorizzazioni precedenti. Inoltre ti dà il permesso di modifica NTFS avanzato, questo si applica solo alle cartelle NTFS
Autorizzazioni NTFS
L'autorizzazione NTFS consente un controllo molto granulare su file e cartelle. Con ciò detto la quantità di granularità può essere scoraggiante per un nuovo arrivato. È inoltre possibile impostare l'autorizzazione NTFS in base al file e in base alla cartella. Per impostare l'autorizzazione NTFS su un file, è necessario fare clic con il pulsante destro del mouse e accedere alle proprietà dei file in cui è necessario accedere alla scheda di sicurezza.
Per modificare le autorizzazioni NTFS per un utente o un gruppo, fare clic sul pulsante Modifica.
Come puoi vedere ci sono un sacco di permessi NTFS, quindi lasciali abbattere. Per prima cosa daremo un'occhiata alle autorizzazioni NTFS che è possibile impostare su un file.
- Pieno controllo consente di leggere, scrivere, modificare, eseguire, modificare attributi, autorizzazioni e assumere la proprietà del file.
- Modificare ti permette di leggere, scrivere, modificare, eseguire e modificare gli attributi del file.
- Leggi ed esegui ti consentirà di visualizzare i dati del file, gli attributi, il proprietario e le autorizzazioni e di eseguire il file se è un programma.
- Leggere ti consentirà di aprire il file, visualizzarne gli attributi, il proprietario e le autorizzazioni.
- Scrivi ti consentirà di scrivere dati nel file, aggiungere il file e leggere o modificare i suoi attributi.
Le autorizzazioni NTFS per le cartelle hanno opzioni leggermente diverse, quindi diamo un'occhiata a queste.
- Pieno controllo consente di leggere, scrivere, modificare ed eseguire file nella cartella, modificare attributi, autorizzazioni e assumere la proprietà della cartella o dei file all'interno.
- Modificare consente di leggere, scrivere, modificare ed eseguire i file nella cartella e modificare gli attributi della cartella o dei file all'interno.
- Leggi ed esegui ti consentirà di visualizzare i contenuti della cartella e di visualizzare i dati, gli attributi, il proprietario e le autorizzazioni per i file all'interno della cartella e di eseguire i file all'interno della cartella.
- Elenca contenuto della cartella ti consentirà di visualizzare i contenuti della cartella e visualizzare i dati, gli attributi, il proprietario e le autorizzazioni per i file all'interno della cartella.
- Leggere ti consentirà di visualizzare i dati del file, gli attributi, il proprietario e le autorizzazioni.
- Scrivi ti consentirà di scrivere dati nel file, aggiungere il file e leggere o modificare i suoi attributi.
La documentazione di Microsoft afferma inoltre che "Elenco contenuto cartella" consente di eseguire i file all'interno della cartella, ma sarà comunque necessario abilitare "Read & Execute" per farlo. È un permesso documentato in modo molto confuso.
Sommario
In breve, i nomi utente e i gruppi sono rappresentazioni di una stringa alfanumerica denominata SID (Security Identifier), Share e le autorizzazioni NTFS sono legate a questi SID. Le autorizzazioni di condivisione vengono verificate da LSSAS solo quando si accede alla rete, mentre le autorizzazioni NTFS sono valide solo sulle macchine locali. Spero che tutti voi abbiate una buona conoscenza di come la sicurezza di file e cartelle in Windows 7 sia implementata. Se avete domande sentitevi liberi di suonare nei commenti.