De fleste erfarne administratorer er bekendt med, at NTFS-tilladelser (New Technology File System) er tilgængelige for alle filer, mapper, registreringsdatabasenøgler, printere og Active Directory-objekter. NTFS, der først blev introduceret med Windows NT som erstatning for FAT-filsystemet (File Allocation Table), har gennemgået flere ændringer i årenes løb. Windows 2000, Windows Server 2003 og Windows XP anvender den nuværende udgave, NTFS v5.
Når det drejer sig om det gamle NTFS (fra Windows NT) og det nuværende NTFS, er der mange ligheder og få forskelle. Lad os se nærmere på dem.
Standard- vs. avancerede tilladelser
Du kan indstille NTFS-tilladelser til Tillad eller Afvis. Her er et kig på standardtilladelserne i det gamle NTFS:
- Fuld kontrol: Brugere kan ændre, tilføje, flytte og slette filer samt deres tilknyttede egenskaber og mapper. Desuden kan brugerne ændre indstillingerne for tilladelser for alle filer og undermapper.
- Ændre: Brugere kan se og ændre filer og filegenskaber, herunder slette og tilføje filer til en mappe eller filegenskaber til en fil.
- Læs & Udfør: Brugere kan se og ændre filer og filegenskaber, herunder slette og tilføje filer til en mappe eller filegenskaber til en fil: Brugere kan køre eksekverbare filer, herunder scripts.
- Læs: Brugere kan køre eksekverbare filer, herunder scripts.
- Læs: Brugere kan få vist filer og filegenskaber.
- Skriv: Microsoft har senere udvidet disse tilladelser til at omfatte følgende:
- Gennemse mappe/udføre fil: Brugere kan navigere gennem mapper for at nå andre filer eller mapper, selv om de ikke har tilladelser til de gennemsejlede filer eller mapper. Tilladelsen Traverse mappe træder kun i kraft, når gruppen eller brugeren ikke har brugerretten Bypass Traverse Kontrol af brugerrettigheder i snap-in’en Gruppepolitik. (Som standard har gruppen Alle brugerretten Bypass Traverse Kontrol af gennemkørsel omgås.)
- Liste mappe/læse data: Brugere kan få vist en liste over en mappes indhold og datafiler.
- Læs attributter: Brugere kan få vist en liste over en mappes indhold og datafiler: Brugere kan få vist attributterne for en fil eller mappe, f.eks. skrivebeskyttet og skjult. (NTFS definerer disse attributter.)
- Læs udvidede attributter: Brugere kan få vist de udvidede attributter for en fil eller mappe. (Defineres af programmer, udvidede attributter kan variere.)
- Opret filer/skriv data: Tilladelsen Opret filer giver brugerne mulighed for at oprette filer i mappen. (Denne tilladelse gælder kun for mapper.) Tilladelsen Skriv data giver brugerne mulighed for at foretage ændringer i filen og overskrive eksisterende indhold. (Denne tilladelse gælder kun for filer.)
- Opret mapper/tilføj data: Denne tilladelse Opret mapper giver brugerne mulighed for at oprette mapper i en mappe. (Dette gælder kun for mapper.) Tilladelsen Tilføj data giver brugerne mulighed for at foretage ændringer i slutningen af filen, men de kan ikke ændre, slette eller overskrive eksisterende data. (Dette gælder kun for filer.)
- Skriveattributter: Brugere kan ændre attributterne for en fil eller mappe, f.eks. skrivebeskyttet eller skjult. (NTFS definerer disse attributter.)
- Skriv udvidede attributter: Brugere kan ændre de udvidede attributter for en fil eller mappe.
- Slet: Brugere kan slette filen eller mappen. (Hvis brugere ikke har tilladelsen Slet på en fil eller mappe, kan de stadig slette den, hvis de har tilladelsen Slet undermapper og filer på den overordnede mappe.)
- Læsetilladelser: Brugere kan slette en fil eller mappe, hvis de har tilladelsen Slet undermapper og filer på den overordnede mappe: Brugere har læsetilladelser til filen eller mappen, f.eks. fuld kontrol, læsning og skrivning.
- Ændringstilladelser: Brugere har læsetilladelser til filen eller mappen, f.eks: Brugere har ændringstilladelser til filen eller mappen, f.eks. fuld kontrol, læsning og skrivning.
- Overtage ejerskab: Brugere har ændringstilladelser til filen eller mappen, f.eks. fuld kontrol, læsning og skrivning: Brugere kan overtage ejerskabet af filen eller mappen. Ejeren af en fil eller mappe kan altid ændre tilladelser på den, uanset eventuelle eksisterende tilladelser, der beskytter filen eller mappen.
Hvad er den store forskel?
Den store forskel mellem den gamle NTFS og den nye NTFS er etableringen af arvet og eksplicit tilladelsesprioritet. Selv om du måske antager, at tilladelsen Deny har forrang for alle andre tilladelser, er det ikke altid tilfældet.
Her er hierarkiet for tilladelser:
- Explicit Deny
- Explicit Allow
- Inherited Deny
- Inherited Allow
Når en bruger får adgang til hver enkelt fil, mappe, registreringsdatabasenøgle, printer og Active Directory-objekt, kontrollerer systemet tilladelserne fra top til bund. Når en af disse firebetingelser er opfyldt, gives eller nægtes adgangen enten. Dette giver dig mulighed for at indstille tilladelsesarv for et objekt og opretholde fin kontrol med undtagelser fra din generelle tilladelsespolitik.
Sluttanker
NTFS-tilladelser giver en stor kontrol, når det drejer sig om ressourcer på dine systemer. Hvis du har problemer med, at brugere ikke kan få adgang til nødvendige data eller objekter i din Active Directory-struktur, skal du se på hierarkiet for disse tilladelser, og du vil finde problemet.
Misst du en klumme?
Kig i Security Solutions Archive, og få fat i de seneste udgaver af Mike Mullins’ klumme.
Er du bekymret for sikkerhedsproblemer? Hvem er ikke det? Tilmeld dig automatisk vores gratis nyhedsbrev om sikkerhedsløsninger, der leveres hver fredag, og få praktiske råd til at låse dine systemer.
Mike Mullins har været assisterende netværksadministrator og netværkssikkerhedsadministrator for U.S. SecretService og Defense Information Systems Agency. Han er i øjeblikket leder af operationer for Southern Theater Network Operations and SecurityCenter.