Oglas

Otkad je NTFS datotečni sustav Od FAT-a do NTFS-a do ZFS-a: Demitificirani datotečni sustaviRazličiti tvrdi diskovi i operativni sustavi mogu koristiti različite datotečne sustave. Evo što to znači i što trebate znati. Čitaj više uvedena je kao zadani format u izdanjima potrošača za Windows (počevši od Windows XP), a ljudi su imali problema s pristupom njihovim podacima i na unutarnjem i na vanjski pogoni. Više nisu jednostavni atributi datoteka jedini uzrok problema pri pronalaženju i korištenju njihovih datoteka. Sada se moramo boriti s dozvolama za datoteke i mape, kao što je otkrio jedan od naših čitatelja.

Pitanje našeg čitatelja:

Ne mogu vidjeti mape na svom unutarnjem tvrdom disku. Vodio sam zapovijed "Attrib -h -r -s / s / d" i prikazuje onemogućen pristup u svakoj mapi. Mogu ići u mape pomoću naredbe Run, ali ne vidim mape na tvrdom disku. Kako to popraviti?

Bruceov odgovor:

Evo nekoliko sigurnih pretpostavki na temelju informacija koje smo dobili: Operativni sustav je Windows XP ili noviji; sistem datoteka koji se koristi je NTFS; korisnik nema dopuštenja za potpunu kontrolu na dijelu datotečnog sustava kojim pokušava manipulirati; nisu u kontekstu administratora; i zadana dopuštenja na datotečnom sustavu mogu biti izmijenjena.

instagram viewer

Sve u sustavu Windows je objekt, bilo da se radi o registracijskom ključu, pisaču ili datoteci. Iako se koriste istim mehanizmima za definiranje korisničkog pristupa, našu raspravu ćemo ograničiti na datoteke sustava kako bismo ih postavili što jednostavnijim.

Kontrola pristupa

sigurnosti Crveno upozorenje: 10 blogova računalne sigurnosti koje biste trebali slijediti danasSigurnost je ključni dio računanja, i trebali biste se truditi educirati se i ostati u toku. Morat ćete provjeriti tih deset blogova o sigurnosti i stručnjake za sigurnost koji ih pišu. Čitaj više bilo koje vrste odnosi se na kontrolu tko može nešto učiniti na objektu koji se osigurava. Tko ima ključ kartice za otključavanje vrata za ulazak u spoj? Tko ima ključeve za otvaranje ureda generalnog direktora? Tko ima kombinaciju za otvaranje sefa u njihovom uredu?

zeleno-vrata

Ista vrsta razmišljanja odnosi se na sigurnost datoteka i mapa na datotečnim sustavima NTFS. Svaki korisnik u sustavu nema opravdanu potrebu za pristupom svim datotekama u sustavu niti trebaju svi imati istu vrstu pristupa tim datotekama. Baš kao i svaki zaposlenik u tvrtki, ne mora imati pristup sefu u uredu predsjednika uprave, niti mogućnost izmjene korporativnih izvještaja, mada im može biti omogućeno čitanje.

dozvole

Windows kontrolira pristup objektima datotečnog sustava (datotekama i mapama) postavljanjem dozvola za korisnike ili grupe. U njima se određuje kakav pristup objektu korisnik ili grupa ima. Ta dopuštenja mogu se postaviti bilo koja dopustiti ili poreći određenu vrstu pristupa i može se postaviti eksplicitno na objekt ili implicitno nasljeđivanjem iz njegove nadređene mape.

Standardna dopuštenja za datoteke su: Potpuna kontrola, izmjena, čitanje i izvršavanje, čitanje, pisanje i posebna. Mape imaju još jedno posebno dopuštenje, pod nazivom Popis mapa popisa. Ova standardna dopuštenja su unaprijed definirani skupovi napredna dopuštenja koji omogućuju detaljniju kontrolu, ali obično nisu potrebni izvan standardnih dozvola.

Na primjer, the Čitanje i izvršavanje standardno dopuštenje uključuje sljedeća napredna dopuštenja:

  • Pomicanje mape / izvršavanje datoteke
  • Popis mapa / čitanje podataka
  • Pročitajte atribute
  • Pročitajte proširene atribute
  • Pročitajte dozvole

Liste za kontrolu pristupa

Svaki objekt u datotečnom sustavu ima pridruženi popis kontrole pristupa (ACL). ACL je popis sigurnosnih identifikatora (SID) koji na objektu imaju dopuštenja. Podsustav lokalne sigurnosti (LSASS) uspoređivat će SID priključen na pristupni token dat korisniku prilikom prijave s SID-ovima u ACL-u za objekt kojem korisnik pokušava pristupiti. Ako se SID korisnika ne podudara s bilo kojim od SID-ova u ACL-u, pristup će biti odbijen. Ako se podudara, traženi će pristup biti odobren ili odbijen na temelju dozvola za taj SID.

Postoji i nalog za evaluaciju dozvola koje je potrebno uzeti u obzir. Izričita dopuštenja imaju prednost nad implicitnim dozvolama, a zabrana dopuštenja imaju prednost nad dozvolama dopuštenja. Kako bi izgledao ovako:

  1. Izričito zanijekati
  2. Izričito dopušta
  3. Implicitno zanijekati
  4. Implicitno dopušta

Zadate dozvole korijenskog kataloga

Dozvole date u korijenskom direktoriju pogona malo se razlikuju, ovisno o tome je li pogon sistemski pogon ili ne. Kao što se vidi na slici dolje, sistemski pogon ima dva odvojena dopustiti unosi za provjerene korisnike. Postoji jedan koji omogućuje provjerenim korisnicima da stvaraju mape i dodaju podatke postojećim datotekama, ali ne i da mijenjaju postojeće podatke u datoteci koji se odnose samo na korijenski direktorij. Drugi omogućuje provjerenim korisnicima da mijenjaju datoteke i mape sadržane u podmapama, ako ta podmapa nasljeđuje dopuštenja iz korijena.

Dopuštenja korijena

Sistemske mape (Windows, programski podaci, programske datoteke, programske datoteke (x86), korisnici ili dokumenti i postavke i eventualno drugi) ne nasljeđuju svoja dopuštenja iz korijenske mape. Budući da su sistemske mape, njihova su dopuštenja izričito postavljena kako bi se spriječilo nenamjerna ili zlonamjerna promjena operativnog sustava, programa i konfiguracijskih datoteka zlonamjernim softverom ili hakera.

Ako to nije sistemski pogon, jedina je razlika što grupa Ovjereni korisnici ima jedan jedini dopušteni unos koji omogućuje izmjenu dozvola za korijensku mapu, podmape i datoteke. Sva dopuštenja dodijeljena za 3 grupe i SYSTEM račun nasljeđuju se tijekom pogona.

Analiza problema

Kad je naš poster objavio taj attrib naredba kojom se pokušava ukloniti bilo koji sistemski, skriveni i samo za čitanje atribute na svim datotekama i mapama koje počinju na (neodređeni) direktorij u kojem su se nalazili, primali su poruke koje ukazuju na radnju koju su htjeli izvršiti (Write attributes) bude odbijen. Ovisno o imeniku u kojem su bili kad su izvršavali naredbu, to je vrlo dobra stvar, posebno ako su bili u C: \.

Umjesto pokušaja pokretanja ove naredbe, bilo bi bolje samo promijeniti postavke u programu Windows Explorer / File Explorer prikazati skrivene datoteke i mape. To se lako može postići odlaskom na Organizirajte> Mape i opcije pretraživanja u programu Windows Explorer ili Datoteka> Promjena mape i mogućnosti pretraživanja u File Exploreru. U dijaloškom okviru koji je rezultirao odaberite Kartica Prikaz> Prikaži skrivene datoteke, mape i pogone. Ako je ovo omogućeno, skrivene direktorije i datoteke prikazale bi se kao zatamnjene stavke na popisu.

mapa opcijama

Ako se datoteke i mape i dalje ne prikazuju, pojavljuje se problem s naprednim dopuštenjem List Folder / Read Data. Korisnik ili grupa kojoj pripadaju eksplicitno ili prešutno odbijeno da dopuštenje za predmetne mape ili korisnik ne pripada nijednoj od grupa koje imaju pristup tim mapama.

Možete pitati kako čitatelj može izravno prijeći na jednu od tih mapa ako korisnik nema dopuštenja mape popisa / čitanja podataka. Sve dok znate put do mape, možete ići na nju pod uvjetom da imate napredna dopuštenja Traverse Folder / Execute File. To je i razlog da vjerojatno neće biti problema sa standardnim dopuštenjem Sadržaj mape popisa. Ima oba ovih naprednih dozvola.

Rezolucija

Uz iznimku sistemskih imenika, većina dopuštenja nasljeđuje se u lancu. Dakle, prvi korak je prepoznati direktorij koji je najbliži korijenu pogona, gdje se simptomi pojavljuju. Nakon što se ovaj direktorij nalazi, kliknite ga desnom tipkom miša i odaberite Kartica Svojstva> Sigurnost. Provjerite dopuštenja za svaku od navedenih grupa / korisnika kako biste provjerili da li imaju potvrdu u stupcu Dopusti za dopuštenje za sadržaj mape Popis, a ne u stupcu Zabrani.

Ako nije potvrđen nijedan stupac, pogledajte i unos Posebna dopuštenja. Ako je to potvrđeno (dopustite ili odbijen), kliknite na Napredna gumb, dakle Promjena dozvola na rezultirajućem dijaloškom okviru ako pokrećete Vistu ili noviju verziju. Tako će se pojaviti gotovo identičan dijaloški okvir s nekoliko dodatnih gumba. Odaberite odgovarajuću grupu i kliknite Uredi i osigurajte da je dopuštena mapa Popis / dopuštenje za čitanje podataka.

visokoo- dozvole

Ako su čekovi isključeni, znači da je naslijeđeno dopuštenje, i mijenjati to treba izvesti u nadređenoj mapi, osim ako nije uvjerljiv razlog da to ne učinite, kao što je korisnički profil direktorija, a roditelj bi bili korisnici ili dokumenti i postavke mapu. Također je nerazumno dodavati dopuštenja da drugi korisnik može pristupiti direktoriju profila drugog korisnika. Umjesto toga, prijavite se kao taj korisnik da biste pristupili tim datotekama i mapama. Ako je nešto što biste trebali podijeliti, premjestite ih u direktorij javnih profila ili koristite karticu Dijeljenje kako biste ostalim korisnicima omogućili pristup resursima.

Također je moguće da korisnik nema dozvolu za uređivanje dopuštenja za dotične datoteke ili mape. U tom bi slučaju Windows Vista ili noviji trebao predstavljati a Kontrola korisničkih računa (UAC) Zaustavite dosadne UAC zahtjeve - Kako stvoriti popis za nadzor korisničkih računa [Windows]Još od Viste, mi Windows korisnici dosadili smo, gnjavili, dosadili i umorni od brzog nadzora kontrole korisničkih računa (UAC) koji nam govori da se pokreće program koji smo namjerno pokrenuli. Svakako, poboljšala se, ... Čitaj više prompt za lozinku administratora ili dozvolu za povećanje korisničkih privilegija za omogućavanje ovog pristupa. U sustavu Windows XP, korisnik bi trebao otvoriti Windows Explorer opcijom Run as… i koristiti Račun administratora Windows administratorski račun: sve što trebate znatiPočevši od sustava Windows Vista, ugrađeni račun Windows administratora onemogućen je prema zadanim postavkama. Možete to omogućiti, ali to napravite na vlastiti rizik! Mi vam pokazujemo kako. Čitaj više kako bi se osiguralo da se promjene mogu izvršiti ako se već ne pokreću s administrativnim računom.

Znam da bi vam mnogi ljudi rekli samo da preuzmete vlasništvo nad predmetnim mapama i datotekama, ali postoji jedan ogroman upozorenje na to rješenje. Ako bi to utjecalo na bilo koje sistemske datoteke i / ili direktorije, ozbiljno ćete oslabiti ukupnu sigurnost vašeg sustava. Trebalo bi nikada biti u korijenu, Windows, Korisnici, dokumenti i postavke, programske datoteke, programske datoteke (x86), programski podaci ili direktorij inetpub ili bilo koji od njihovih podmapa.

Zaključak

Kao što vidite, dopuštenja za NTFS pogone nisu pretjerano teška, ali lociranje izvora problema s pristupom može biti zamorno na sustavima s puno direktorija. Naoružani osnovnim razumijevanjem kako dozvole rade s popisima kontrole pristupa i malo upornosti, lociranje i ispravljanje tih problema uskoro će postati igra djece.

Bruce se igrao s elektronikom od 70-ih, računalima od ranih 80-ih i točno je odgovarao na pitanja o tehnologiji koje nije koristio niti vidio cijelo vrijeme. Također se nervira pokušajem sviranja gitare.