Начиная с файловой системы NTFS был представлен как формат по умолчанию в потребительских выпусках Windows (начиная с Windows XP), у людей были проблемы с доступом к своим данным как на внутренних, так и на внешних дисках . Простые атрибуты файлов больше не являются единственной причиной проблем при поиске и использовании их файлов. Теперь мы должны бороться с правами доступа к файлам и папкам, как обнаружил один из наших читателей.
Вопрос нашего читателя:
Я не могу видеть папки на моем внутреннем жестком диске. Я запустил команду «attrib -h -r -s / s / d», и она показывает, что доступ запрещен для каждой папки. Я могу перейти к папкам с помощью команды «Выполнить», но не вижу папок на своем жестком диске. Как я могу это исправить?
Брюс ответ:
Вот некоторые безопасные предположения, основанные на информации, которую мы получили: операционная система Windows XP или более поздняя; используемая файловая система — NTFS; пользователь не имеет прав полного доступа к той части файловой системы, которой он пытается манипулировать; они не в контексте администратора; и разрешения по умолчанию для файловой системы, возможно, были изменены.
Все в Windows — это объект, будь то раздел реестра, принтер или файл. Несмотря на то, что они используют одни и те же механизмы для определения доступа пользователя, мы ограничимся обсуждением объектов файловой системы, чтобы сделать его максимально простым.
Контроль доступа
любого вида о контроле, кто может сделать что-то на объекте, который будет защищен. У кого есть ключ-карта, чтобы открыть ворота для входа в состав? У кого есть ключи, чтобы открыть офис генерального директора? У кого есть комбинация, чтобы открыть сейф в их офисе?
Тот же тип мышления относится к безопасности файлов и папок в файловых системах NTFS. У каждого пользователя в системе нет обоснованной необходимости доступа к каждому файлу в системе, и при этом им не нужен одинаковый доступ к этим файлам. Точно так же, как каждому сотруднику компании не нужен доступ к сейфу в офисе генерального директора или возможность изменять корпоративные отчеты, хотя им может быть разрешено их читать.
права доступа
Windows контролирует доступ к объектам файловой системы (файлам и папкам), устанавливая разрешения для пользователей или групп. Они указывают, какой доступ пользователь или группа имеет к объекту. Эти разрешения могут быть либо разрешены, либо запрещены для определенного типа доступа, либо могут быть заданы явно для объекта или неявно путем наследования из его родительской папки.
Стандартные разрешения для файлов: Полный доступ, Изменить, Чтение и выполнение, Чтение, Запись и Специальные. Папки имеют другое специальное разрешение, называемое списком содержимого папок. Эти стандартные разрешения являются предопределенными наборами расширенных разрешений, которые обеспечивают более детальный контроль, но обычно не требуются вне стандартных разрешений.
Например, стандартное разрешение « Чтение и выполнение» включает следующие дополнительные разрешения:
- Папка перемещения / Выполнить файл
- Список папок / чтение данных
- Читать атрибуты
- Читать расширенные атрибуты
- Разрешения на чтение
Списки контроля доступа
Каждый объект в файловой системе имеет связанный список контроля доступа (ACL). ACL — это список идентификаторов безопасности (SID), которые имеют разрешения для объекта. Подсистема локальных органов безопасности (LSASS) будет сравнивать SID, прикрепленный к токену доступа, предоставленному пользователю при входе в систему, с SID в ACL для объекта, к которому пользователь пытается получить доступ. Если SID пользователя не совпадает ни с одним из SID в ACL, доступ будет запрещен. Если он совпадает, запрошенный доступ будет предоставлен или отклонен на основании разрешений для этого SID.
Существует также порядок оценки разрешений, который необходимо учитывать. Явные разрешения имеют приоритет над неявными разрешениями, а запрещающие разрешения имеют приоритет над разрешениями. По порядку это выглядит так:
- Явный Запрет
- Явный Разрешить
- Неявное Запретить
- Неявное Разрешить
Разрешения корневого каталога по умолчанию
Разрешения, предоставляемые в корневом каталоге диска, незначительно отличаются, в зависимости от того, является ли диск системным диском или нет. Как показано на рисунке ниже, системный диск имеет две отдельные записи Разрешить для аутентифицированных пользователей. Есть такая, которая позволяет аутентифицированным пользователям создавать папки и добавлять данные в существующие файлы, но не изменять существующие данные в файле, которые применяются только к корневому каталогу. Другой позволяет аутентифицированным пользователям изменять файлы и папки, содержащиеся в подпапках, если эта подпапка наследует разрешения от корня.
Системные каталоги (Windows, Программные данные, Программные файлы, Программные файлы (x86), Пользователи или Документы и настройки и, возможно, другие) не наследуют свои разрешения от корневого каталога. Поскольку они являются системными каталогами, их разрешения явно установлены, чтобы помочь предотвратить непреднамеренное или злонамеренное изменение файлов операционной системы, программ и конфигурации вредоносным ПО или хакером.
Если это не системный диск, единственное отличие состоит в том, что в группе «Прошедшие проверку» есть одна запись разрешения, которая позволяет изменять разрешения для корневой папки, подпапок и файлов. Все разрешения, назначенные для 3 групп и учетной записи SYSTEM, наследуются по всему диску.
Анализ проблем
Когда наш автор выполнил команду attrib, пытаясь удалить все системные, скрытые и доступные только для чтения атрибуты для всех файлов и папок, начиная с (неуказанного) каталога, в котором они находились, они получили сообщения, указывающие действие, которое они хотели выполнить (Запись атрибутов) было отказано. В зависимости от каталога, в котором они находились, когда запускали команду, это, вероятно, очень хорошая вещь, особенно если они были в C: \.
Вместо того, чтобы пытаться выполнить эту команду, было бы лучше просто изменить настройки в проводнике / проводнике Windows, чтобы показать скрытые файлы и каталоги. Это может быть легко достигнуто, перейдя в Упорядочить> Папка и параметры поиска в проводнике Windows или Файл> Изменить папку и параметры поиска в проводнике. В появившемся диалоговом окне выберите вкладку «Вид»> «Показать скрытые файлы, папки и диски» . Если этот параметр включен, скрытые каталоги и файлы будут отображаться в списке как недоступные элементы.
На этом этапе, если файлы и папки по-прежнему не отображаются, возникает проблема с расширенным разрешением «Список папок / Чтение данных». Пользователю или группе, к которой принадлежит пользователь, явно или неявно отказано в разрешении на указанные папки, либо пользователь не принадлежит ни к одной из групп, имеющих доступ к этим папкам.
Вы можете спросить, как читатель может перейти непосредственно в одну из этих папок, если у пользователя нет разрешений «Список папок / Чтение данных». Если вы знаете путь к папке, вы можете перейти к ней при условии, что у вас есть расширенные разрешения для папки / выполнения файла. Это также является причиной того, что проблема не будет связана со стандартным разрешением «Содержимое папки списка». У него есть оба эти дополнительные разрешения.
Разрешение
За исключением системных каталогов, большинство разрешений наследуется по цепочке. Итак, первый шаг — определить каталог, ближайший к корню диска, где появляются симптомы. Найдя этот каталог, щелкните его правой кнопкой мыши и выберите « Свойства»> вкладка «Безопасность» . Проверьте разрешения для каждой из перечисленных групп / пользователей, чтобы убедиться, что у них есть отметка в столбце «Разрешить» для разрешения «Содержимое папки списка», а не в столбце «Запретить».
Если ни один столбец не отмечен, посмотрите также на запись «Специальные разрешения». Если этот флажок установлен (разрешен или запрещен), нажмите кнопку « Дополнительно» , затем « Изменить разрешения» в появившемся диалоговом окне, если вы используете Vista или более позднюю версию. Это вызовет почти идентичное диалоговое окно с несколькими дополнительными кнопками. Выберите подходящую группу, нажмите « Изменить» и убедитесь, что разрешение «Список папок / чтение данных» разрешено.
Если проверки выделены серым цветом, это означает, что это унаследованное разрешение, и его изменение следует выполнять в родительской папке, если нет веских причин не делать этого, например, это каталог профиля пользователя, а родительский папку «Пользователи» или «Документы и настройки». Также неразумно добавлять разрешения второму пользователю для доступа к каталогу профиля другого пользователя. Вместо этого войдите в систему как этот пользователь, чтобы получить доступ к этим файлам и папкам. Если это то, что должно быть общим, переместите их в каталог общего профиля или используйте вкладку «Общий доступ», чтобы другие пользователи могли получить доступ к ресурсам.
Также возможно, что у пользователя нет прав на редактирование прав доступа к рассматриваемым файлам или каталогам. В этом случае в Windows Vista или более поздней версии должен отображаться «Контроль учетных записей пользователя» (UAC) « список управления запрос пароля администратора или разрешений на повышение привилегий пользователя , чтобы разрешить этот доступ. В Windows XP пользователь должен открыть проводник Windows с параметром «Запуск от имени…» и использовать учетную запись администратора чтобы убедиться, что изменения могут быть внесены, если они еще не запущены с учетной записью администратора.
Я знаю, что многие люди просто скажут вам взять на себя ответственность за каталоги и файлы, о которых идет речь, но есть одно огромное предупреждение для этого решения. Если это повлияет на какие-либо системные файлы и / или каталоги, вы сильно ослабите общую безопасность вашей системы. Это никогда не должно выполняться для корневого каталога, Windows, пользователей, документов и настроек, программных файлов, программных файлов (x86), программных данных или каталогов inetpub или любых их подпапок.
Вывод
Как видите, разрешения на дисках NTFS не слишком сложны, но поиск источников проблем с доступом может быть утомительным в системах с большим количеством каталогов. Вооружившись базовым пониманием того, как разрешения работают со списками контроля доступа, и немного упорством, обнаружение и устранение этих проблем скоро станет детской игрой.