Hoe u die verwarrende Windows 7-bestanden / gedeelde machtigingen kunt begrijpen
Heb je ooit geprobeerd om alle rechten in Windows te achterhalen? Er zijn sharemachtigingen, NTFS-machtigingen, toegangscontrolelijsten en meer. Dit is hoe ze allemaal samenwerken.
De beveiligingsidentificatie
De Windows-besturingssystemen gebruiken SID's om alle beveiligingsprincipes te vertegenwoordigen. SID's zijn gewoon variabele tekenreeksen van alfanumerieke tekens die machines, gebruikers en groepen vertegenwoordigen. SID's worden toegevoegd aan ACL's (Access Control Lists) elke keer dat u een gebruiker of groep toestemming geeft voor een bestand of map. Achter de schermen worden SID's op dezelfde manier opgeslagen als alle andere gegevensobjecten, in binair formaat. Wanneer u echter een SID in Windows ziet, wordt deze weergegeven met een beter leesbare syntaxis. Het komt niet vaak voor dat u een vorm van SID ziet in Windows, het meest voorkomende scenario is wanneer u iemand toestemming verleent aan een resource, waarna zijn gebruikersaccount wordt verwijderd, dan wordt dit weergegeven als een SID in de ACL. Laten we dus eens kijken naar het typische formaat waarin u SID's in Windows ziet.
De notatie die u ziet heeft een bepaalde syntaxis, hieronder staan de verschillende delen van een SID in deze notatie.
- Een voorvoegsel 'S'
- Structuur revisienummer
- Een 48-bits ID-machtigingswaarde
- Een variabel aantal 32-bit sub-authority of relative identifier (RID) -waarden
Met behulp van mijn SID in de afbeelding hieronder zullen we de verschillende secties opdelen om een beter begrip te krijgen.
De SID-structuur:
'S' - Het eerste onderdeel van een SID is altijd een 'S'. Dit is het voorvoegsel van alle SID's en dient om Windows te informeren dat wat volgt een SID is.
'1' - De tweede component van een SID is het revisienummer van de SID-specificatie, als de SID-specificatie zou veranderen, zou dit compatibiliteit met eerdere versies bieden. Vanaf Windows 7 en Server 2008 R2 bevindt de SID-specificatie zich nog in de eerste revisie.
'5' - Het derde deel van een SID wordt de Identifier Authority genoemd. Dit definieert in welk bereik de SID werd gegenereerd. Mogelijke waarden voor dit gedeelte van de SID kunnen zijn:
- 0 - Null Authority
- 1 - Wereldautoriteit
- 2 - Lokale autoriteit
- 3 - Makerautoriteit
- 4 - Niet-unieke autoriteit
- 5 - NT Autoriteit
'21' - De vierde component is sub-autoriteit 1, de waarde '21' wordt gebruikt in het vierde veld om aan te geven dat de sub-autoriteiten die volgen de lokale machine of het domein identificeren.
'1206375286-251249764-2214032401' - Deze worden respectievelijk sub-autoriteit 2,3 en 4 genoemd. In ons voorbeeld wordt dit gebruikt om de lokale machine te identificeren, maar het kan ook de identifier voor een domein zijn.
'1000' - Subautoriteit 5 is de laatste component in onze SID en wordt de RID (Relative Identifier) genoemd, de RID is relatief ten opzichte van elk beveiligingsprincipe, houd er rekening mee dat alle door de gebruiker gedefinieerde objecten, degenen die niet door Microsoft worden verzonden een RID zullen hebben van 1000 of hoger.
Beveiligingsprincipes
Een beveiligingsprincipe is alles waaraan een SID is gekoppeld, dit kunnen gebruikers, computers en zelfs groepen zijn. Beveiligingsprincipes kunnen lokaal zijn of in de domeincontext zijn. U beheert de lokale beveiligingsprincipes via de module Lokale gebruikers en groepen, onder computerbeheer. Om daar te komen, klik met de rechtermuisknop op de snelkoppeling van de computer in het startmenu en kies beheren.
Om een nieuw gebruikersbeveiligingsprincipe toe te voegen, gaat u naar de gebruikersmap en klikt u met de rechtermuisknop en kiest u een nieuwe gebruiker.
Als u dubbelklikt op een gebruiker, kunt u deze toevoegen aan een beveiligingsgroep op het tabblad Lid van.
Als u een nieuwe beveiligingsgroep wilt maken, gaat u naar de map Groepen aan de rechterkant. Klik met de rechtermuisknop op de witte ruimte en selecteer een nieuwe groep.
Machtigingen delen en NTFS-toestemming
In Windows zijn er twee soorten bestands- en mapmachtigingen, ten eerste zijn er de Share-machtigingen en ten tweede zijn er NTFS-machtigingen, ook wel beveiligingsmachtigingen genoemd. Houd er rekening mee dat wanneer u een map standaard deelt, de groep "Iedereen" de leesrechten krijgt. Beveiliging van mappen wordt meestal gedaan met een combinatie van toestemming voor Delen en NTFS als dit het geval is, is het essentieel om te onthouden dat de meest beperkende altijd van toepassing is, bijvoorbeeld als de toestemming voor delen is ingesteld op Iedereen = Lezen (dit is de standaard), maar met de NTFS-machtiging kunnen gebruikers een wijziging in het bestand aanbrengen, krijgt de share-toestemming de voorkeur en mogen gebruikers geen wijzigingen aanbrengen. Wanneer u de machtigingen instelt, bepaalt de LSASS (Local Security Authority) de toegang tot de bron. Wanneer u zich aanmeldt, krijgt u een toegangstoken met uw SID erop. Wanneer u de resource opent, vergelijkt de LSASS de SID die u hebt toegevoegd aan de ACL (Access Control List) en als de SID zich op de ACL bevindt, bepaalt deze of toegang toestaan of weigeren. Het maakt niet uit welke toestemmingen je gebruikt, er zijn verschillen, dus laten we een kijkje nemen om een beter begrip te krijgen van wanneer we zouden moeten gebruiken.
Machtigingen delen:
- Alleen van toepassing op gebruikers die toegang hebben tot de bron via het netwerk. Ze zijn niet van toepassing als u zich lokaal aanmeldt, bijvoorbeeld via terminaldiensten.
- Het is van toepassing op alle bestanden en mappen in de gedeelde bron. Als u een gedetailleerder beperkingsschema wilt bieden, moet u NTFS-toestemming gebruiken naast gedeelde machtigingen
- Als u FAT- of FAT32-geformatteerde volumes hebt, is dit de enige vorm van beperking die voor u beschikbaar is, omdat NTFS-machtigingen niet beschikbaar zijn voor die bestandssystemen.
NTFS-machtigingen:
- De enige beperking op NTFS-machtigingen is dat ze alleen kunnen worden ingesteld op een volume dat is geformatteerd naar het NTFS-bestandssysteem
- Houd er rekening mee dat NTFS cumulatief is, wat betekent dat effectieve gebruikersmachtigingen het resultaat zijn van het combineren van de toegewezen machtigingen van de gebruiker en de rechten van alle groepen waartoe de gebruiker behoort.
De nieuwe share-machtigingen
Windows 7 kocht een nieuwe "gemakkelijke" deeltechniek. De opties zijn gewijzigd van Lezen, Wijzigen en Volledig beheer in. Lezen en lezen / schrijven. Het idee was onderdeel van de hele mentaliteit van de Home-groep en maakt het gemakkelijk om een map te delen voor niet-computervaardige mensen. Dit gebeurt via het contextmenu en deelt eenvoudig met uw thuisgroep.
Als je wilt delen met iemand die niet in de thuisgroep is, kun je altijd de optie "Specifieke mensen ..." kiezen. Dat zou een meer "uitgebreide" dialoog opleveren. Waar u een specifieke gebruiker of groep zou kunnen specificeren.
Er is slechts twee toestemming zoals eerder vermeld, samen bieden ze een alles of niets beveiligingsschema voor uw mappen en bestanden.
- Lezen toestemming is de optie "kijk, raak niet aan". Ontvangers kunnen een bestand openen, maar niet wijzigen of verwijderen.
- Lezen schrijven is de optie "alles doen". Ontvangers kunnen een bestand openen, wijzigen of verwijderen.
The Old School Way
Het oude deelvenster had meer opties en gaf ons de mogelijkheid om de map onder een andere alias te delen, het stelde ons in staat om het aantal gelijktijdige verbindingen te beperken en caching te configureren. Geen van deze functies gaat verloren in Windows 7, maar is eerder verborgen onder de optie 'Geavanceerd delen'. Als u met de rechtermuisknop op een map klikt en naar de eigenschappen gaat, vindt u deze instellingen voor "Geavanceerd delen" op het tabblad Delen.
Als u op de knop "Geavanceerd delen" klikt, waarvoor lokale beheerdersreferenties nodig zijn, kunt u alle instellingen configureren die u in eerdere versies van Windows kende..
Als u op de knop met toestemmingen klikt, krijgt u de 3 instellingen te zien die we allemaal kennen.
- Lezen Met toestemming kunt u bestanden en submappen bekijken en openen en toepassingen uitvoeren. Het laat echter geen wijzigingen toe.
- Wijzigen toestemming geeft je de mogelijkheid om dat te doen Lezen toestemming geeft het, het voegt ook de mogelijkheid toe om bestanden en submappen toe te voegen, submappen te verwijderen en gegevens in de bestanden te wijzigen.
- Volledige controle is het "alles doen" van de klassieke rechten, omdat het u toestaat om alle voorgaande permissies te doen. Bovendien geeft het u de geavanceerde veranderende NTFS-toestemming, dit is alleen van toepassing op NTFS-mappen
NTFS-machtigingen
NTFS-toestemming staat toe dat u zeer gedetailleerde controle over uw bestanden en mappen hebt. Met dat gezegd dat de hoeveelheid granularity kan ontmoedigend zijn voor een nieuwkomer. U kunt ook NTFS-rechten per bestand en per map instellen. Als u NTFS-machtiging voor een bestand wilt instellen, klikt u met de rechtermuisknop en gaat u naar de bestandseigenschappen waar u naar het tabblad Beveiliging moet gaan.
Om de NTFS-machtigingen voor een gebruiker of groep te bewerken, klikt u op de knop Bewerken.
Zoals je misschien ziet, zijn er nogal wat NTFS-machtigingen, dus laten we ze opsplitsen. Eerst zullen we de NTFS-machtigingen bekijken die u in een bestand kunt instellen.
- Volledige controle stelt u in staat om te lezen, te schrijven, te wijzigen, uit te voeren, attributen te wijzigen, rechten toe te kennen en het bestand in eigendom te nemen.
- Wijzigen kunt u de attributen van het bestand lezen, schrijven, wijzigen, uitvoeren en wijzigen.
- Lezen en uitvoeren kunt u de gegevens, kenmerken, eigenaar en machtigingen van het bestand weergeven en het bestand uitvoeren als het een programma is.
- Lezen zal je toestaan om het bestand te openen, de attributen, eigenaar en permissies ervan te bekijken.
- Schrijven kunt u gegevens naar het bestand schrijven, toevoegen aan het bestand en de kenmerken ervan lezen of wijzigen.
NTFS-machtigingen voor mappen hebben enigszins verschillende opties, dus laten we ze eens bekijken.
- Volledige controle stelt u in staat om bestanden in de map te lezen, te schrijven, aan te passen en uit te voeren, attributen te wijzigen, rechten toe te wijzen en eigenaar te worden van de map of bestanden binnen.
- Wijzigen kunt u bestanden in de map lezen, schrijven, wijzigen en uitvoeren en de kenmerken van de map of bestanden in die map wijzigen.
- Lezen en uitvoeren kunt u de inhoud van de map weergeven en de gegevens, kenmerken, eigenaar en machtigingen voor bestanden in de map weergeven en bestanden in de map uitvoeren.
- Lijst mapinhoud geeft u de mogelijkheid om de inhoud van de map weer te geven en de gegevens, attributen, eigenaar en machtigingen voor bestanden in de map weer te geven.
- Lezen kunt u de gegevens, kenmerken, eigenaar en machtigingen van het bestand weergeven.
- Schrijven kunt u gegevens naar het bestand schrijven, toevoegen aan het bestand en de kenmerken ervan lezen of wijzigen.
In de documentatie van Microsoft staat ook dat "List Folder Contents" je in staat stelt om bestanden binnen de map uit te voeren, maar je moet nog steeds "Read & Execute" inschakelen om dit te doen. Het is een zeer verwarrend gedocumenteerde toestemming.
Samenvatting
Samenvattend zijn gebruikersnamen en groepen representaties van een alfanumerieke reeks genaamd SID (Security Identifier), Share en NTFS Permissies zijn gekoppeld aan deze SID's. Machtigingen voor delen worden alleen gecontroleerd door LSSAS wanneer ze via het netwerk worden gebruikt, terwijl NTFS-machtigingen alleen geldig zijn op de lokale computers. Ik hoop dat jullie allemaal een goed begrip hebben van hoe bestands- en mapbeveiliging in Windows 7 geïmplementeerd is. Als je vragen hebt, voel je dan vrij om te klinken in de comments.