Většina zkušených správců je obeznámena s tím, že oprávnění NTFS (New Technology File System) jsou k dispozici pro každý soubor, složku, klíč registru, tiskárnu a objekt služby Active Directory. Souborový systém NTFS, který byl poprvé uveden se systémem Windows NT jako náhrada souborového systému FAT (File Allocation Table), prošel v průběhu let několika změnami. Systémy Windows 2000, Windows Server 2003 a Windows XP používají současnou inkarnaci, NTFS v5.
Pokud jde o starý NTFS (ze systému Windows NT) a současný NTFS, existuje mnoho podobností a několik rozdílů. Podívejme se na ně blíže.
Standardní vs. rozšířená oprávnění
Oprávnění NTFS můžete nastavit na Povolit nebo Odmítnout. Zde je pohled na standardní oprávnění ve starém systému NTFS:
- Plné řízení: Uživatelé mohou upravovat, přidávat, přesouvat a odstraňovat soubory, stejně jako jejich přidružené vlastnosti a adresáře. Kromě toho mohou uživatelé měnit nastavení oprávnění všech souborů a podadresářů.
- Upravit:
- Uživatelé mohou měnit nastavení oprávnění všech souborů a podadresářů:
- Číst & Provádět: Uživatelé mohou prohlížet a upravovat soubory a vlastnosti souborů, včetně mazání a přidávání souborů do adresáře nebo vlastností souboru:
- Číst: Uživatelé mohou spouštět spustitelné soubory, včetně skriptů:
- Zápis: Uživatelé mohou prohlížet soubory a jejich vlastnosti.
- Zápis: Uživatelé mohou prohlížet soubory a jejich vlastnosti:
Microsoft později rozšířil tato oprávnění o následující:
- Procházet složkou/Spustit soubor: Uživatelé mohou procházet složkami a dostat se k jiným souborům nebo složkám, i když k procházeným souborům nebo složkám nemají žádná oprávnění. Oprávnění Procházet složku se projeví pouze v případě, že skupina nebo uživatel nemá v modulu snap-in zásad skupiny právo Obcházet kontrolu procházení. (Ve výchozím nastavení má skupina Everyone uživatelské právo Bypass Traverse Checking.)
- List Folder/Read Data: Uživatelé mohou zobrazit seznam obsahu složky a datových souborů.
- Číst atributy: Uživatelé mohou zobrazit atributy souboru nebo složky, například jen pro čtení a skryté. (Tyto atributy definuje systém NTFS.)
- Čtení rozšířených atributů: Uživatelé mohou zobrazit rozšířené atributy souboru nebo složky. (Definují je programy, rozšířené atributy se mohou lišit.)
- Vytvářet soubory/zapisovat data: Oprávnění Vytvářet soubory umožňuje uživatelům vytvářet soubory ve složce. (Toto oprávnění se vztahuje pouze na složky.) Oprávnění Zápis dat umožňuje uživatelům provádět změny v souboru a přepisovat stávající obsah. (Toto oprávnění se vztahuje pouze na soubory.)
- Vytvářet složky/přidávat data: Toto oprávnění Vytvářet složky umožňuje uživatelům vytvářet složky ve složce. (Toto oprávnění se vztahuje pouze na složky.) Oprávnění Připojit data umožňuje uživatelům provádět změny na konci souboru, ale nemohou měnit, mazat ani přepisovat stávající data. (To se týká pouze souborů.)
- Atributy pro zápis: Uživatelé mohou měnit atributy souboru nebo složky, například jen pro čtení nebo skryté. (Tyto atributy definuje systém NTFS.)
- Zápis rozšířených atributů: Uživatelé mohou měnit rozšířené atributy souboru nebo složky.
- Odstranit: Uživatelé mohou soubor nebo složku odstranit. (Pokud uživatelé nemají oprávnění Odstranit soubor nebo složku, mohou je přesto odstranit, pokud mají oprávnění Odstranit podsložky a soubory v nadřazené složce.)
- Oprávnění ke čtení: Uživatelé mají oprávnění ke čtení souboru nebo složky, například Plné řízení, Čtení a Zápis.
- Oprávnění ke změně: Uživatelé mají oprávnění ke změně souboru nebo složky, například Plné řízení, Čtení a Zápis.
- Převzít vlastnictví: Uživatelé mohou převzít vlastnictví souboru nebo složky. Vlastník souboru nebo složky může vždy měnit oprávnění k souboru nebo složce bez ohledu na existující oprávnění, která soubor nebo složku chrání.
Jaký je velký rozdíl?
Velký rozdíl mezi starým a novým systémem NTFS spočívá v zavedení přednosti zděděných a explicitních oprávnění. Ačkoli byste mohli předpokládat, že oprávnění Deny má přednost před jakýmkoli jinýmoprávněním, není tomu tak vždy.
Tady je hierarchie oprávnění:
- Explicit Deny
- Explicit Allow
- Inherited Deny
- Inherited Allow
Při přístupu uživatele ke každému souboru, složce, klíči registru, tiskárně a objektu Active Directory kontroluje systém oprávnění shora dolů. Pokud splní jednu z těchto čtyřpodmínek, přístup buď povolí, nebo odepře. To umožňuje nastavit dědičnost oprávnění pro objekt a zachovat jemnou kontrolu nad výjimkami z obecné politiky oprávnění.
Závěrečné myšlenky
Oprávnění systému NTFS nabízejí velkou míru kontroly, pokud jde o prostředky v systémech. Pokud máte potíže s tím, že uživatelé nemohou přistupovat k požadovaným datům nebo objektům ve struktuře služby Active Directory, podívejte se na hierarchii těchto oprávnění a najdete problém.
Zmeškali jste některý sloupek?
Podívejte se do archivu bezpečnostních řešení a dožeňte nejnovější vydání sloupků Mika Mullinse.
Znepokojují vás problémy se zabezpečením? Koho ne? Automaticky se přihlaste k odběru našeho bezplatného zpravodaje Security Solutions, který je doručován každý pátek, a získejte praktické rady pro zabezpečení svých systémů.
Mike Mullins pracoval jako asistent správce sítě a správce zabezpečení sítě pro americkou tajnou službu a Agenturu pro obranné informační systémy. V současné době je ředitelem operací pro Southern Theater Network Operations and SecurityCenter.