Διαφήμιση

Από τότε Σύστημα αρχείων NTFS Από το FAT στο NTFS στο ZFS: Τα συστήματα αρχείων απομυθοποιήθηκανΟι διαφορετικοί σκληροί δίσκοι και τα λειτουργικά συστήματα μπορούν να χρησιμοποιούν διαφορετικά συστήματα αρχείων. Εδώ τι σημαίνει αυτό και τι πρέπει να ξέρετε. Διαβάστε περισσότερα εισήχθη ως προεπιλεγμένη μορφή στις εκδόσεις καταναλωτών των Windows (ξεκινώντας από τα Windows XP), οι άνθρωποι είχαν προβλήματα πρόσβασης στα δεδομένα τους τόσο σε εσωτερικό όσο και σε εσωτερικό επίπεδο. Εξωτερικές μονάδες. Δεν είναι πλέον απλά χαρακτηριστικά αρχείων η μόνη αιτία προβλημάτων κατά την εύρεση και χρήση των αρχείων τους. Τώρα πρέπει να αντιμετωπίσουμε τα δικαιώματα αρχείων και φακέλων, όπως ανακάλυψε ένας από τους αναγνώστες μας.

Ερώτηση του Αναγνώστη μας:

Δεν μπορώ να δω φακέλους στον εσωτερικό σκληρό δίσκο μου. Έτρεξα την εντολή "Attrib -h -r -s / s / d" και δείχνει ότι η πρόσβαση απορρίφθηκε σε κάθε φάκελο. Μπορώ να πάω στους φακέλους χρησιμοποιώντας την εντολή Εκτέλεση, αλλά δεν μπορώ να δω φακέλους στον σκληρό δίσκο μου. Πώς μπορώ να διορθώσω αυτό;

instagram viewer

Απάντηση του Bruce:

Ακολουθούν μερικές ασφαλείς υποθέσεις με βάση τις πληροφορίες που μας δόθηκαν: Το λειτουργικό σύστημα είναι τα Windows XP ή μεταγενέστερα. το σύστημα αρχείων που χρησιμοποιείται είναι NTFS. ο χρήστης δεν διαθέτει δικαιώματα πλήρους ελέγχου στο τμήμα του συστήματος αρχείων που προσπαθούν να χειριστούν. δεν βρίσκονται στο πλαίσιο διαχειριστή. και τα προεπιλεγμένα δικαιώματα στο σύστημα αρχείων ενδέχεται να έχουν αλλάξει.

Τα παντα στα Windows είναι ένα αντικείμενο, είτε πρόκειται για κλειδί μητρώου, είτε για εκτυπωτή είτε για αρχείο. Παρόλο που χρησιμοποιούν τους ίδιους μηχανισμούς για να καθορίσουν την πρόσβαση των χρηστών, θα περιορίσουμε τη συζήτησή μας σε αντικείμενα του συστήματος αρχείων για να το διατηρήσουμε όσο το δυνατόν απλούστερα.

Έλεγχος πρόσβασης

Ασφάλεια Red Alert: 10 ιστολόγια ασφάλειας υπολογιστών που πρέπει να ακολουθήσετε σήμεραΗ ασφάλεια είναι ένα κρίσιμο κομμάτι της πληροφορικής και πρέπει να προσπαθήσετε να εκπαιδεύσετε τον εαυτό σας και να παραμείνετε παρόντες. Θα θελήσετε να ελέγξετε αυτά τα δέκα ιστολόγια ασφαλείας και τους ειδικούς ασφαλείας που τις γράφουν. Διαβάστε περισσότερα οποιουδήποτε είδους είναι θέμα ελέγχου ποιος μπορεί να κάνει κάτι στο αντικείμενο που είναι ασφαλισμένο. Ποιος έχει την κάρτα κλειδιού για να ξεκλειδώσει την πύλη για να εισέλθει στην ένωση; Ποιος έχει τα κλειδιά για να ανοίξει το γραφείο του CEO; Ποιος έχει το συνδυασμό για να ανοίξει το χρηματοκιβώτιο στο γραφείο τους;

πράσινη πύλη

Ο ίδιος τύπος σκέψης ισχύει για την ασφάλεια των αρχείων και των φακέλων στα συστήματα αρχείων NTFS. Κάθε χρήστης στο σύστημα δεν έχει δικαιολογημένη ανάγκη πρόσβασης σε κάθε αρχείο του συστήματος, ούτε όλοι πρέπει να έχουν το ίδιο είδος πρόσβασης σε αυτά τα αρχεία. Όπως κάθε υπάλληλος μιας επιχείρησης δεν χρειάζεται να έχει πρόσβαση στο χρηματοκιβώτιο στο γραφείο του διευθύνοντος συμβούλου ή τη δυνατότητα να τροποποιεί εταιρικές αναφορές, μπορεί να τους επιτρέπεται να τις διαβάσουν.

Δικαιώματα

Τα Windows ελέγχουν την πρόσβαση σε αντικείμενα συστήματος αρχείων (αρχεία και φακέλους), θέτοντας δικαιώματα για χρήστες ή ομάδες. Αυτά καθορίζουν το είδος πρόσβασης του χρήστη ή της ομάδας στο αντικείμενο. Αυτά τα δικαιώματα μπορούν να ρυθμιστούν σε οποιαδήποτε από αυτά επιτρέπω ή αρνούμαι έναν συγκεκριμένο τύπο πρόσβασης και μπορεί είτε να οριστεί ρητά στο αντικείμενο είτε έμμεσα μέσω της κληρονομικότητας από τον γονικό φάκελο.

Τα τυπικά δικαιώματα για τα αρχεία είναι: Πλήρης έλεγχος, τροποποίηση, ανάγνωση & εκτέλεση, ανάγνωση, εγγραφή και ειδικές. Οι φάκελοι έχουν άλλη ειδική άδεια, που ονομάζεται Περιεχόμενα φακέλου λίστας. Αυτά τα τυπικά δικαιώματα είναι προκαθορισμένα σύνολα προηγμένα δικαιώματα οι οποίες επιτρέπουν πιο λεπτομερή έλεγχο, αλλά συνήθως δεν χρειάζονται εκτός των τυποποιημένων αδειών.

Για παράδειγμα, το Διαβάστε & Εκτέλεση η τυπική άδεια περιλαμβάνει τα ακόλουθα προχωρημένα δικαιώματα:

  • Μετακίνηση φακέλου / Εκτέλεση αρχείου
  • Λίστα φακέλων / Ανάγνωση δεδομένων
  • Διαβάστε τις ιδιότητες
  • Διαβάστε τις διευρυμένες ιδιότητες
  • Διαβάστε τις άδειες

Λίστα ελέγχου πρόσβασης

Κάθε αντικείμενο στο σύστημα αρχείων έχει μια σχετική λίστα ελέγχου πρόσβασης (ACL). Το ACL είναι μια λίστα αναγνωριστικών ασφαλείας (SID) που έχουν δικαιώματα στο αντικείμενο. Το Υποσύστημα Αρχής Τοπικής Ασφάλειας (LSASS) θα συγκρίνει το SID που είναι συνημμένο στο διακριτικό πρόσβασης που δίνεται στον χρήστη κατά την είσοδο στα SIDs στο ACL για το αντικείμενο που επιχειρεί να έχει πρόσβαση ο χρήστης. Εάν το SID του χρήστη δεν ταιριάζει με κανένα SID στο ACL, η πρόσβαση θα απορριφθεί. Εάν ταιριάζει, η ζητούμενη πρόσβαση θα χορηγηθεί ή θα απορριφθεί βάσει των αδειών για αυτό το SID.

Υπάρχει επίσης μια σειρά αξιολόγησης για τα δικαιώματα που πρέπει να ληφθούν υπόψη. Τα ρητά δικαιώματα υπερισχύουν των σιωπηρών δικαιωμάτων και τα δικαιώματα άρνησης έχουν προτεραιότητα έναντι των δικαιωμάτων που επιτρέπουν. Με τη σειρά, μοιάζει με αυτό:

  1. Explicit Deny
  2. Explicit Allow
  3. Τυπική άρνηση
  4. Ενεργοποίηση επιτρέπεται

Προεπιλεγμένα δικαιώματα καταλόγου ρίζας

Τα δικαιώματα που χορηγούνται στον ριζικό κατάλογο μιας μονάδας ποικίλλουν ελαφρώς, ανάλογα με το αν η μονάδα είναι η μονάδα συστήματος ή όχι. Όπως φαίνεται στην παρακάτω εικόνα, ένας δίσκος συστήματος έχει δύο ξεχωριστά Επιτρέπω καταχωρήσεις για πιστοποιημένους χρήστες. Υπάρχει ένα που επιτρέπει στους πιστοποιημένους χρήστες να δημιουργούν φακέλους και να προσαρτούν τα δεδομένα σε υπάρχοντα αρχεία, αλλά όχι να αλλάζουν υπάρχοντα δεδομένα στο αρχείο που αφορούν αποκλειστικά τον ριζικό κατάλογο. Το άλλο επιτρέπει στους πιστοποιημένους χρήστες να τροποποιούν τα αρχεία και τους φακέλους που περιέχονται στους υποφακέλους, εάν αυτός ο υποφάκελος κληροδοτεί δικαιώματα από τη ρίζα.

Δικαιώματα ρίζας

Οι κατάλογοι συστήματος (Windows, Δεδομένα Προγράμματος, Αρχεία Προγράμματος, Αρχεία Προγράμματος (x86), Χρήστες ή Έγγραφα & Ρυθμίσεις και πιθανώς άλλοι) δεν κληρονομούν τα δικαιώματά τους από τον ριζικό κατάλογο. Επειδή είναι κατάλογοι συστήματος, οι άδειες τους καθορίζονται ρητά για να αποτρέψουν ακούσια ή κακόβουλη μετατροπή αρχείων λειτουργικού συστήματος, προγράμματος και διαμόρφωσης από κακόβουλο λογισμικό ή ένας χάκερ.

Εάν δεν είναι μονάδα δίσκου συστήματος, η μόνη διαφορά είναι ότι η ομάδα Authenticated Users έχει μία μόνο καταχώρηση επιτρέπουσα που επιτρέπει δικαιώματα τροποποίησης για τον ριζικό φάκελο, τους υποφακέλους και τα αρχεία. Όλες οι άδειες που έχουν εκχωρηθεί για τις 3 ομάδες και το λογαριασμό SYSTEM κληρονομούνται σε ολόκληρη τη μονάδα δίσκου.

Ανάλυση προβλημάτων

Όταν η αφίσα μας έτρεξε attrib εντολή που προσπαθεί να καταργήσει όλα τα χαρακτηριστικά του συστήματος, της κρυφής και της ανάγνωσης σε όλα τα αρχεία και τους φακέλους που ξεκινούν από το (απροσδιόριστο) κατάλογο που βρίσκονταν, έλαβαν μηνύματα που υποδεικνύουν την ενέργεια που ήθελαν να εκτελέσουν (Γράψτε τις ιδιότητες) ήταν απορριφθεί. Ανάλογα με τον κατάλογο στον οποίο βρίσκονταν όταν εκτελούσαν την εντολή, αυτό είναι πιθανώς ένα πολύ καλό πράγμα, ειδικά αν ήταν στο C: \.

Αντί να επιχειρήσετε να εκτελέσετε αυτήν την εντολή, θα ήταν καλύτερα να αλλάξετε τις ρυθμίσεις στην Εξερεύνηση των Windows / Εξερεύνηση αρχείων για να εμφανίσετε κρυφά αρχεία και καταλόγους. Αυτό μπορεί εύκολα να επιτευχθεί με τη μετάβαση Οργάνωση> Επιλογές φακέλου και αναζήτησης στην Εξερεύνηση των Windows ή Αρχείο> Αλλαγή φακέλου και επιλογών αναζήτησης στο File Explorer. Στο παράθυρο διαλόγου που προκύπτει, επιλέξτε το Καρτέλα Προβολή> Εμφάνιση κρυφών αρχείων, φακέλων και μονάδων δίσκου. Με αυτό το ενεργοποιημένο, οι κρυμμένοι κατάλογοι και αρχεία θα εμφανίζονταν ως λείπουν στοιχεία στη λίστα.

επιλογές φακέλου

Σε αυτό το σημείο, εάν τα αρχεία και οι φάκελοι εξακολουθούν να μην εμφανίζονται, υπάρχει ένα ζήτημα με το προηγούμενο δικαίωμα του φακέλου "Λίστα λίστας" / "Ανάγνωση δεδομένων". Είτε ο χρήστης είτε μια ομάδα στην οποία ανήκει ο χρήστης είναι ρητά ή σιωπηρά αρνήθηκε αυτή την άδεια στους συγκεκριμένους φακέλους ή ο χρήστης δεν ανήκει σε καμία από τις ομάδες που έχουν πρόσβαση σε αυτούς τους φακέλους.

Μπορείτε να ρωτήσετε τον τρόπο με τον οποίο ο αναγνώστης θα μπορούσε να μεταβεί απευθείας σε έναν από αυτούς τους φακέλους, αν ο χρήστης δεν έχει τα δικαιώματα του φακέλου λίστας / ανάγνωσης δεδομένων. Εφόσον γνωρίζετε τη διαδρομή προς το φάκελο, μπορείτε να μεταβείτε σε αυτήν, υπό την προϋπόθεση ότι έχετε τα προηγμένα δικαιώματα του φάκελου Traverse Folder / Execute File. Αυτός είναι επίσης ο λόγος για τον οποίο δεν είναι πιθανό να υπάρξει πρόβλημα με το τυπικό δικαίωμα Περιεχόμενα φακέλου λίστας. Εχει και τα δυο από αυτά τα προχωρημένα δικαιώματα.

Η Απόφαση

Με την εξαίρεση των καταλόγων συστήματος, τα περισσότερα δικαιώματα κληρονομούνται από την αλυσίδα. Επομένως, το πρώτο βήμα είναι να εντοπίσετε τον κατάλογο που είναι πιο κοντά στη ρίζα της μονάδας, όπου εμφανίζονται τα συμπτώματα. Μόλις εντοπιστεί αυτός ο κατάλογος, κάντε δεξί κλικ και επιλέξτε Ιδιότητες> καρτέλα Ασφάλεια. Ελέγξτε τα δικαιώματα για κάθε μια από τις ομάδες / χρήστες που αναγράφονται, για να επαληθεύσετε ότι έχουν επιταγή στη στήλη "Να επιτρέπεται" για το περιεχόμενο του φακέλου "Λίστα" και όχι στη στήλη "Άρνηση".

Εάν δεν έχει επιλεγεί καμία στήλη, εξετάστε επίσης την καταχώριση Ειδικές άδειες. Εάν αυτό είναι επιλεγμένο (είτε επιτρέπεται είτε αρνείται), κάντε κλικ στο Προχωρημένος, τότε Αλλαγή δικαιωμάτων στο παράθυρο διαλόγου που προκύπτει, εάν εκτελείτε Vista ή μεταγενέστερα. Αυτό θα φέρει ένα σχεδόν πανομοιότυπο παράθυρο διαλόγου με μερικά επιπλέον κουμπιά. Επιλέξτε την κατάλληλη ομάδα, πατήστε Επεξεργασία και βεβαιωθείτε ότι επιτρέπεται η χρήση του φακέλου Λίστα / δικαιωμάτων ανάγνωσης δεδομένων.

προηγμένα δικαιώματα

Αν οι έλεγχοι είναι γκρι, αυτό σημαίνει ότι είναι ένα κληρονομούμενη άδεια, και η αλλαγή του πρέπει να γίνεται στον γονικό φάκελο, εκτός αν υπάρχει σοβαρός λόγος να μην το κάνετε, όπως είναι ο κατάλογος προφίλ χρήστη και ο γονέας θα είναι οι χρήστες ή τα έγγραφα και οι ρυθμίσεις ντοσιέ. Είναι επίσης άδικο να προσθέτετε δικαιώματα για έναν δεύτερο χρήστη να έχει πρόσβαση στον κατάλογο προφίλ άλλου χρήστη. Αντ 'αυτού, συνδεθείτε ως χρήστης για πρόσβαση σε αυτά τα αρχεία και τους φακέλους. Εάν είναι κάτι που πρέπει να μοιραστεί, μετακινήστε το στον κατάλογο δημόσιου προφίλ ή χρησιμοποιήστε την καρτέλα Sharing για να επιτρέψετε σε άλλους χρήστες να έχουν πρόσβαση στους πόρους.

Είναι επίσης πιθανό ότι ο χρήστης δεν έχει άδεια να επεξεργαστεί τα δικαιώματα των εν λόγω αρχείων ή καταλόγων. Σε αυτή την περίπτωση, τα Windows Vista ή αργότερα θα πρέπει να παρουσιάσουν ένα Έλεγχος λογαριασμού χρήστη (UAC) Σταματήστε Ενοχλητικές Ερωτήσεις UAC - Πώς να δημιουργήσετε μια λίστα ελέγχου λευκών λογαριασμών χρήστη [Windows]Από την εποχή του Vista, οι χρήστες των Windows έχουν παραβιαστεί, κουρασμένοι, ενοχλημένοι και κουρασμένοι από την ερώτηση του User Account Control (UAC) που μας λέει ότι ξεκινάει ένα πρόγραμμα που προωθήσαμε σκόπιμα. Σίγουρα, έχει βελτιωθεί, ... Διαβάστε περισσότερα ζητά τον κωδικό πρόσβασης διαχειριστή ή την άδεια να αυξήσει τα δικαιώματα του χρήστη για να επιτρέψει αυτήν την πρόσβαση. Στα Windows XP, ο χρήστης θα πρέπει να ανοίξει τον Windows Explorer με την επιλογή Run as... και να χρησιμοποιήσει το Λογαριασμός διαχειριστή Λογαριασμός διαχειριστή των Windows: Όλα όσα πρέπει να ξέρετεΞεκινώντας με τα Windows Vista, ο ενσωματωμένος λογαριασμός διαχειριστή των Windows είναι απενεργοποιημένος από προεπιλογή. Μπορείτε να το ενεργοποιήσετε, αλλά το κάνετε με δική σας ευθύνη! Σας δείχνουμε πώς. Διαβάστε περισσότερα για να διασφαλιστεί ότι οι αλλαγές μπορούν να γίνουν, εάν δεν εκτελούνται ήδη με ένα λογαριασμό διαχειριστή.

Γνωρίζω ότι πολλοί άνθρωποι θα σας πω μόνο για να πάρουν την κυριότητα των εν λόγω καταλόγων και αρχείων, αλλά υπάρχει ένα τεράστιος προειδοποίηση για τη λύση αυτή. Αν θα επηρεάσει τυχόν αρχεία συστήματος ή / και καταλόγους, θα εξασθενίσετε σοβαρά τη συνολική ασφάλεια του συστήματός σας. Θα έπρεπε ποτέ να γίνεται στις ρίζες, στα Windows, στους χρήστες, σε έγγραφα και ρυθμίσεις, αρχεία προγράμματος, αρχεία προγραμμάτων (x86), δεδομένα προγράμματος ή σε κατάλογους inetpub ή σε οποιονδήποτε από τους υποφακέλους τους.

συμπέρασμα

Όπως μπορείτε να δείτε, οι άδειες σε δίσκους NTFS δεν είναι υπερβολικά δύσκολες, αλλά η εύρεση της πηγής των προβλημάτων πρόσβασης μπορεί να είναι κουραστική σε συστήματα με πολλούς καταλόγους. Οπλισμένοι με μια βασική κατανόηση του τρόπου με τον οποίο οι άδειες λειτουργούν με λίστες ελέγχου πρόσβασης και με λίγη αντοχή, ο εντοπισμός και η επίλυση αυτών των ζητημάτων θα γίνουν σύντομα παιγνιώδη.

Ο Μπρους παίζει με τηλεκοντρόλ από τη δεκαετία του '70, υπολογιστές από τις αρχές της δεκαετίας του '80 και απαντά με ακρίβεια σε ερωτήσεις σχετικά με την τεχνολογία που δεν έχει χρησιμοποιήσει ούτε δει όλη την ώρα. Επίσης ενοχλείται προσπαθώντας να παίξει κιθάρα.