Useimmat kokeneet järjestelmänvalvojat tietävät, että NTFS-oikeudet (New Technology File System) ovat käytettävissä jokaisessa tiedostossa, kansiossa, rekisteriavaimessa, tulostimessa ja Active Directory -objektissa. NTFS otettiin ensimmäisen kerran käyttöön Windows NT:ssä korvaamaan FAT-tiedostojärjestelmä (File Allocation Table), ja se on kokenut useita muutoksia vuosien varrella. Windows 2000:ssa, Windows Server 2003:ssa ja Windows XP:ssä käytetään nykyistä inkarnaatiota, NTFS v5:tä.
Vanhalla (Windows NT:stä peräisin olevalla) NTFS:llä ja nykyisellä NTFS:llä on paljon yhtäläisyyksiä ja muutamia eroja. Katsotaanpa tarkemmin.
Standardi vs. laajennetut käyttöoikeudet
NTFS:n käyttöoikeudeksi voi asettaa Salli tai Kiellä. Seuraavassa tarkastellaan vanhan NTFS:n vakio-oikeuksia:
- Full Control: Käyttäjät voivat muokata, lisätä, siirtää ja poistaa tiedostoja sekä niihin liittyviä ominaisuuksia ja hakemistoja. Lisäksi käyttäjät voivat muuttaa kaikkien tiedostojen ja alihakemistojen käyttöoikeusasetuksia.
- Muokkaa: Käyttäjät voivat tarkastella ja muokata tiedostoja ja tiedostojen ominaisuuksia, mukaan lukien tiedostojen poistaminen ja lisääminen hakemistoon tai tiedoston ominaisuuksien lisääminen tiedostoon.
- Lue & Suorita: Käyttäjät voivat suorittaa suoritettavia tiedostoja, mukaan lukien skriptejä.
- Lue: Käyttäjät voivat tarkastella tiedostoja ja tiedoston ominaisuuksia.
- Kirjoita: Käyttäjät voivat kirjoittaa tiedostoon.
Microsoft on myöhemmin laajentanut näitä oikeuksia sisällyttämällä niihin seuraavat:
- Traverse Folder/Execute File (Kansioiden läpikäynti/tiedoston suorittaminen): Käyttäjät voivat navigoida kansioiden läpi saavuttaakseen muita tiedostoja tai kansioita, vaikka heillä ei olisikaan oikeuksia läpikäytäviin tiedostoihin tai kansioihin. Kansioiden läpikäyntioikeus tulee voimaan vain silloin, kun ryhmällä tai käyttäjällä ei ole Ryhmäkäytäntö-laajennuksen Bypass Traverse Checking -käyttäjäoikeutta. (Oletusarvoisesti Everyone-ryhmällä on Bypass Traverse Checking -käyttäjäoikeus.)
- List Folder/Read Data: Käyttäjät voivat tarkastella luetteloa kansion sisällöstä ja datatiedostoista.
- Read Attributes: Käyttäjät voivat tarkastella tiedoston tai kansion attribuutteja, kuten vain lukuoikeus ja piilotettu. (NTFS määrittelee nämä attribuutit.)
- Lue laajennetut attribuutit: Käyttäjät voivat tarkastella tiedoston tai kansion laajennettuja attribuutteja. (Ohjelmien määrittelemät laajennetut attribuutit voivat vaihdella.)
- Luo tiedostoja/kirjoita tietoja: Luo tiedostoja -oikeudella käyttäjät voivat luoda tiedostoja kansioon. (Tämä oikeus koskee vain kansioita.) Kirjoita tietoja -oikeudella käyttäjät voivat tehdä muutoksia tiedostoon ja korvata olemassa olevan sisällön. (Tämä oikeus koskee vain tiedostoja.)
- Create Folders/Append Data: Tämän Create Folders (Luo kansioita) -oikeuden avulla käyttäjät voivat luoda kansioita kansion sisällä. (Tämä koskee vain kansioita.) Append Data -oikeudella käyttäjät voivat tehdä muutoksia tiedoston loppuun, mutta he eivät voi muuttaa, poistaa tai korvata olemassa olevia tietoja. (Tämä koskee vain tiedostoja.)
- Kirjoitusominaisuudet: Käyttäjät voivat muuttaa tiedoston tai kansion attribuutteja, kuten vain lukuoikeus tai piilotettu. (NTFS määrittelee nämä attribuutit.)
- Kirjoita laajennetut attribuutit: Käyttäjät voivat muuttaa tiedoston tai kansion laajennettuja attribuutteja.
- Poista: Käyttäjät voivat poistaa tiedoston tai kansion. (Jos käyttäjillä ei ole Poista-oikeutta tiedostoon tai kansioon, he voivat silti poistaa sen, jos heillä on Poista alikansiot ja tiedostot -oikeus emokansioon.)
- Lukuoikeudet: Käyttäjillä on tiedoston tai kansion lukuoikeudet, kuten täysi hallinta, lukeminen ja kirjoittaminen.
- Muuta oikeuksia: Käyttäjillä on tiedoston tai kansion muutosoikeudet, kuten Täysi hallinta, Lue ja Kirjoita.
- Ota omistusoikeus: Käyttäjät voivat ottaa tiedoston tai kansion omistusoikeuden. Tiedoston tai kansion omistaja voi aina muuttaa tiedoston tai kansion käyttöoikeuksia riippumatta tiedostoa tai kansiota suojaavista olemassa olevista käyttöoikeuksista.
Mikä on suuri ero?
Suuri ero vanhan NTFS:n ja uuden NTFS:n välillä onperittyjen ja eksplisiittisten käyttöoikeuksien etusijajärjestyksen käyttöönotto. Vaikka voisit olettaa, että Deny-oikeus on etusijalla kaikkiin muihin oikeuksiin nähden, näin ei aina ole.
Tässä on käyttöoikeuksien hierarkia:
- Explicit Deny
- Explicit Allow
- Inherited Deny
- Inherited Allow
Käyttäjän käyttäessä jokaista tiedostoa, kansiota, rekisteriavainta, tulostinta ja Active Directory -objektia järjestelmä tarkistaa käyttöoikeudet ylhäältä alaspäin. Kun se täyttää jonkin näistä neljästä ehdosta, se joko myöntää tai evää käyttöoikeuden. Näin voit määrittää käyttöoikeuksien periytymisen kohteelle ja pitää yllä tarkkaa valvontaa poikkeusten osalta yleisestä käyttöoikeuskäytännöstäsi.
Loppuajatuksia
NTFS-käyttöoikeudet tarjoavat suuren määrän hallintaa järjestelmiesi resurssien suhteen. Jos sinulla on ongelmia sen kanssa, että käyttäjät eivät pääse käyttämään tarvittavia tietoja tai kohteita Active Directory -rakenteessasi,tarkastele näiden oikeuksien hierarkiaa, niin löydät ongelman.
Oletko unohtanut kolumnin?
Katsele Security Solutions Archive -arkistoa ja tutustu Mike Mullinsin kolumnin viimeisimpiin numeroihin.
Murehditko tietoturvaongelmia? Kukapa ei olisi? Tilaa automaattisesti ilmainen Security Solutions -uutiskirjeemme, joka toimitetaan joka perjantai, ja saat käytännön neuvoja järjestelmiesi suojaamiseen.
Mike Mullins on toiminut avustavana verkonvalvojana ja verkkoturvallisuuden ylläpitäjänä Yhdysvaltain salaisessa palvelussa ja puolustusministeriön tietojärjestelmävirastossa. Tällä hetkellä hän on eteläisen teatterin verkko-operaatio- ja turvallisuuskeskuksen toiminnanjohtaja.