Mainos

Siitä lähtien NTFS-tiedostojärjestelmä FAT: sta NTFS: stä ZFS: ään: Tiedostojärjestelmät poistettiinEri kiintolevyt ja käyttöjärjestelmät voivat käyttää erilaisia ​​tiedostojärjestelmiä. Tässä on mitä tämä tarkoittaa ja mitä sinun on tiedettävä. Lue lisää otettiin käyttöön oletusmuodona Windowsin kuluttajapainoksissa (alkaen Windows XP: stä), ihmisillä on ollut ongelmia käyttää tietojaan sisäisissä ja ulkoiset asemat. Ne eivät enää ole yksinkertaisia ​​tiedostoominaisuuksia, jotka ovat ainoa ongelma tiedostojen löytämisessä ja käyttämisessä. Nyt meidän on taisteltava tiedostojen ja kansioiden käyttöoikeuksilla, kuten yksi lukijamme havaitsi.

Lukijamme kysymys:

En näe kansioita sisäisessä kiintolevylläni. Suoritin komennon ”Attrib -h -r -s / s / d” ja se osoittaa, että pääsy estetty jokaisessa kansiossa. Voin siirtyä kansioihin Suorita-komennolla, mutta en näe kansioita kiintolevylläni. Kuinka korjaan tämän?

Brucen vastaus:

Tässä on joitain turvallisia oletuksia, jotka perustuvat meille annettuihin tietoihin: Käyttöjärjestelmä on Windows XP tai uudempi; käytössä oleva tiedostojärjestelmä on NTFS; käyttäjällä ei ole täydellisen hallinnan oikeuksia sen tiedostojärjestelmän osassa, jota he yrittävät manipuloida; he eivät ole järjestelmänvalvojan yhteydessä; ja tiedostojärjestelmän oletusoikeuksia on ehkä muutettu.

instagram viewer

Kaikki Windowsissa on objekti, onko kyse rekisteriavaimesta, tulostimesta tai tiedostosta. Vaikka he käyttävät samoja mekanismeja käyttäjien pääsyn määrittelemiseen, rajoitamme keskustelun tiedostojärjestelmäobjekteihin pitääksemme sen mahdollisimman yksinkertaisena.

Kulunvalvonta

turvallisuus Punainen hälytys: 10 tietoturvablogia, joita sinun pitäisi seurata tänäänTurvallisuus on tärkeä osa tietojenkäsittelyä, ja sinun tulisi pyrkiä kouluttautumaan ja pysymään ajan tasalla. Haluat tarkistaa nämä kymmenen tietoturvablogia ja niitä kirjoittavat tietoturva-asiantuntijat. Lue lisää kaikenlainen on kyse valvonnasta kuka voi tehdä jotain kiinnitettävässä esineessä. Kenellä on avainkortti oven avaamiseksi yhdisteen syöttämistä varten? Kenellä on avaimet toimitusjohtajan toimiston avaamiseen? Kenellä on yhdistelmä avataksesi kassakaapin toimistossaan?

vihreä-portti

Samanlainen ajattelu koskee NTFS-tiedostojärjestelmien tiedostojen ja kansioiden turvallisuutta. Jokaisella järjestelmän käyttäjällä ei ole perusteltua tarvetta käyttää kaikkia järjestelmän tiedostoja, eikä heidän kaikkien tarvitse olla samantyyppisiä käyttöoikeuksia näihin tiedostoihin. Aivan kuten jokaisella yrityksen työntekijällä ei tarvitse olla toimitusjohtajan toimistossa olevaa tallelokeroa tai mahdollisuutta muokata yritysraportteja, vaikka heidän voidaankin lukea niitä.

käyttöoikeudet

Windows hallitsee pääsyä tiedostojärjestelmäobjekteihin (tiedostot ja kansiot) asettamalla käyttöoikeudet käyttäjille tai ryhmille. Ne määrittävät, millaisella käyttöoikeudella käyttäjällä tai ryhmällä on objekti. Nämä käyttöoikeudet voidaan asettaa joko sallia tai kieltää tietyn tyyppinen käyttöoikeus, ja se voidaan asettaa joko nimenomaisesti objektiin tai implisiittisesti perimällä sen vanhemmasta kansiosta.

Tiedostojen tavalliset käyttöoikeudet ovat: Täysi hallinta, Muokkaa, lue ja suorita, lue, kirjoita ja erikoinen. Kansioilla on toinen erityislupa, nimeltään Kansioiden sisällön luettelo. Nämä tavalliset käyttöoikeudet ovat ennalta määritettyjä joukkoja edistyneet oikeudet jotka mahdollistavat rakeisemman ohjauksen, mutta joita ei yleensä tarvita vakiolupien ulkopuolella.

Esimerkiksi Lue ja suorita vakiolupa sisältää seuraavat edistyneet oikeudet:

  • Siirrä kansio / suorita tiedosto
  • Luo kansio / lue tietoja
  • Lue ominaisuudet
  • Lue laajennetut ominaisuudet
  • Lue käyttöoikeudet

Kulunvalvontalistat

Jokaisella tiedostojärjestelmän objektilla on liittyvä käyttöoikeusluettelo (ACL). ACL on luettelo suojaustunnuksista (SID), joilla on objektin käyttöoikeudet. Paikallinen turvallisuusviranomaisen alajärjestelmä (LSASS) vertaa käyttäjän sisäänkirjautumisen yhteydessä annettuun käyttöoikeustunnisteeseen liitettyä SID: tä sen objektin ACL: iin, jota käyttäjä yrittää käyttää. Jos käyttäjän SID ei vastaa yhtäkään ACL: n SID: tä, käyttö evätään. Jos se vastaa, pyydetty käyttöoikeus myönnetään tai evätään kyseisen SID: n käyttöoikeuksien perusteella.

Lupia varten on myös arviointijärjestys, joka on harkittava. Täsmälliset luvat ovat etusijalla implisiittisiin oikeuksiin nähden, ja kieltävät luvat ovat etusijalla sallittujen oikeuksien suhteen. Järjestyksessä se näyttää tältä:

  1. Täsmällinen kielto
  2. Täsmällinen sallia
  3. Implisiittinen kielto
  4. Implisiittinen salli

Juurihakemiston oletusluvat

Aseman juurihakemistossa myönnetyt käyttöoikeudet vaihtelevat hieman sen mukaan, onko asema järjestelmäasema vai ei. Kuten alla olevasta kuvasta näkyy, järjestelmäasemassa on kaksi erillistä Sallia merkinnät todennetuille käyttäjille. Yksi sallii todennetut käyttäjät luoda kansioita ja liittää tietoja olemassa oleviin tiedostoihin, mutta ei muuttaa tiedoston olemassa olevia tietoja, jotka koskevat vain juurihakemistoa. Toinen sallii todennetut käyttäjät muokata alikansioiden tiedostoja ja kansioita, jos kyseinen alikansio perii käyttöoikeudet juurista.

Juuri käyttöoikeudet

Järjestelmähakemistot (Windows, Ohjelmatiedot, Ohjelmatiedostot, Ohjelmatiedostot (x86), Käyttäjät tai Dokumentit ja asetukset ja mahdollisesti muut) eivät peri käyttöoikeuksiaan juurihakemistosta. Koska ne ovat järjestelmähakemistoja, niiden käyttöoikeudet on määritetty nimenomaisesti estämään haittaohjelmien vahingossa tai haitallisesti muuttamat käyttöjärjestelmän, ohjelman ja kokoonpanotiedostot tai hakkeri.

Jos se ei ole järjestelmäasema, ainoa ero on, että todennetut käyttäjät -ryhmässä on yksi sallittu merkintä, joka sallii Muokkaa kantaa, alikansioita ja tiedostoja koskevat käyttöoikeudet. Kaikki kolmelle ryhmälle ja SYSTEM-tilille osoitetut käyttöoikeudet ovat perinneet koko aseman.

Ongelman analyysi

Kun julistemme juoksi attrib komento, joka yrittää poistaa kaikki järjestelmässä olevat, piilotetut ja vain luku -ominaisuudet kaikista tiedostoista ja kansioista alkaen (määrittelemätöntä) hakemistoa, jossa he olivat, he saivat viestejä, jotka osoittivat toiminnan, jonka he halusivat suorittaa (Kirjoita määritteet) evätään. Riippuen hakemistosta, jossa he olivat komennon suorittaessa, tämä on todennäköisesti erittäin hyvä asia, varsinkin jos ne olivat C: \.

Sen sijaan, että yritisit suorittaa tätä komentoa, olisi ollut parempi muuttaa vain Windowsin Resurssienhallinnan / Tiedostonhallinnan asetuksia piilotettujen tiedostojen ja hakemistojen näyttämiseksi. Tämä voidaan helposti suorittaa menemällä Järjestä> Kansio- ja hakuasetukset Windowsin Resurssienhallinnassa tai Tiedosto> Vaihda kansio ja hakuasetukset Tiedostojen Resurssienhallinnassa. Valitse tuloksena olevassa valintaikkunassa Näytä-välilehti> Näytä piilotetut tiedostot, kansiot ja asemat. Kun tämä on käytössä, piilotetut hakemistot ja tiedostot näkyvät himmennettyinä kohteina luettelossa.

kansioasetukset

Jos tiedostoja ja kansioita ei vieläkään näytetä, tässä vaiheessa on ongelma Listakansio / Lukutiedot -sovelluksen lisäoikeuden kanssa. Joko käyttäjä tai ryhmä, johon käyttäjä kuuluu, on nimenomaisesti tai epäsuorasti evätnyt luvan kyseisissä kansioissa, tai käyttäjä ei kuulu mihinkään ryhmään, jolla on pääsy kyseisiin kansioihin.

Voit kysyä, kuinka lukija voisi siirtyä suoraan johonkin näistä kansioista, jos käyttäjällä ei ole Listakansio / Lukutiedot -oikeuksia. Niin kauan kuin tiedät kansion polun, voit siirtyä siihen edellyttäen, että sinulla on Siirrä-kansio / Suorita tiedosto -asetuksen lisäoikeudet. Tämä on myös syy siihen, että luettelokansioiden sisällön vakio-luvalla ei todennäköisesti ole ongelmia. Sillä on molemmat näistä lisäoikeuksista.

Päätöslauselma

Järjestelmähakemistoja lukuun ottamatta suurin osa oikeuksista peritään ketjussa. Joten, ensimmäinen askel on tunnistaa hakemisto, joka on lähinnä aseman juuria, missä oireet esiintyvät. Kun tämä hakemisto on löytynyt, napsauta sitä hiiren kakkospainikkeella ja valitse Ominaisuudet> Suojaus-välilehti. Tarkista kunkin luetellun ryhmän / käyttäjän oikeudet varmistaaksesi, että heillä on valinta Salli-sarakkeessa Lista-kansion sisällön oikeudet, ei Estä-sarakkeessa.

Jos kumpikaan sarake ei ole valittuna, katso myös Erityisoikeudet -kohtaa. Jos tämä on valittu (joko sallittava tai kielletty), napsauta Pitkälle kehittynyt -painiketta, sitten Muuta käyttöoikeuksia tuloksena olevaan valintaikkunaan, jos sinulla on Vista tai uudempi. Tämä tuo esiin lähes samanlaisen valintaikkunan, jossa on muutama lisäpainike. Valitse sopiva ryhmä, napsauta Muokata ja varmista, että Lista-kansio / luetiedot -lupa on sallittu.

syventäviä käyttöoikeudet

Jos sekit ovat harmaita, se tarkoittaa, että se on peritty lupa, ja sen muuttaminen tulisi tehdä yläkansiossa, jollei ole pakottavaa syytä olla tekemättä sitä, kuten se on käyttäjän profiilihakemisto ja vanhempi olisi Käyttäjät tai Asiakirjat ja asetukset kansio. Ei ole myöskään järkevää lisätä toisen käyttäjän käyttöoikeuksia toisen käyttäjän profiilikansioon pääsyyn. Sen sijaan kirjaudu sisään sisään käyttäjänä käyttääksesi näitä tiedostoja ja kansioita. Jos se on jotain, joka pitäisi jakaa, siirrä ne Julkisen profiilin hakemistoon tai käytä Jakaminen-välilehteä, jotta muut käyttäjät voivat käyttää resursseja.

On myös mahdollista, että käyttäjällä ei ole lupaa muokata kyseisten tiedostojen tai hakemistojen käyttöoikeuksia. Tällöin Windows Vistan tai uudemman tulee esittää Käyttäjätilien hallinta (UAC) Lopeta UAC-kehotusten häiritseminen - Kuinka luoda käyttäjätilien valvonnan sallittujen luettelo [Windows]Vistan jälkeen Windows-käyttäjät ovat olleet pettyneitä, virheellisiä, ärsyttäviä ja kyllästyneitä User Account Control (UAC) -kehotteeseen, joka kertoo meille, että käynnistyy ohjelma, jonka tarkoituksellisesti käynnistämme. Toki, se on parantunut, ... Lue lisää pyydä järjestelmänvalvojan salasana tai lupa nostaa käyttäjän oikeuksia tämän käyttöoikeuden sallimiseksi. Windows XP: ssä käyttäjän tulisi avata Windowsin Resurssienhallinta Suorita nimellä… -vaihtoehdolla ja käyttää Järjestelmänvalvojan tili Windows-järjestelmänvalvojan tili: kaikki mitä sinun tarvitsee tietääWindows Vistasta lähtien sisäänrakennettu Windows Administrator -tili on oletuksena poistettu käytöstä. Voit ottaa sen käyttöön, mutta tee se omalla vastuulla! Näytämme sinulle kuinka. Lue lisää varmistaaksesi, että muutokset voidaan tehdä, jos niitä ei vielä käytetä järjestelmänvalvojan tilillä.

Tiedän, että monet ihmiset vain sanoisivat sinun ottavasi kyseessä olevat hakemistot ja tiedostot, mutta sellainen on valtava varoitus siitä ratkaisusta. Jos se vaikuttaa järjestelmätiedostoihin ja / tai hakemistoihin, heikentät vakavasti järjestelmän yleistä turvallisuutta. Sen pitäisi ei milloinkaan Suoritetaan juuri-, Windows-, Käyttäjät-, Asiakirjat ja asetukset-, Ohjelmatiedostot, Ohjelmatiedostot (x86), Ohjelmatiedot tai inetpub-hakemistoissa tai missä tahansa niiden alikansioissa.

johtopäätös

Kuten näette, NTFS-asemien käyttöoikeudet eivät ole liian vaikeita, mutta käyttöongelmien lähteen löytäminen voi olla työlästä järjestelmissä, joissa on paljon hakemistoja. Aseellisena ymmärryksenä siitä, kuinka luvat toimivat pääsynhallintaluetteloiden kanssa ja hieman lujuudella, näiden ongelmien löytämisestä ja korjaamisesta tulee pian lasten leikkiä.

Bruce on pelannut elektroniikalla 70-luvulta lähtien, tietokoneilla 80-luvun alusta, ja vastannut tarkasti tekniikkakysymyksiin, joita hän ei ole käyttänyt eikä nähnyt koko ajan. Hän ärsyttää itseään myös yrittämällä soittaa kitaraa.