A legtöbb tapasztalt rendszergazda tisztában van azzal, hogy az NTFS (New Technology File System) engedélyek minden fájl, mappa, beállításkulcs, nyomtató és Active Directory-objektum számára rendelkezésre állnak. Az NTFS, amelyet először a Windows NT-vel vezettek be a FAT (File Allocation Table) fájlrendszer felváltására, az évek során számos változáson ment keresztül. A Windows 2000, a Windows Server 2003 és a Windows XP a jelenlegi inkarnációt, az NTFS v5-öt használja.
A régi NTFS (a Windows NT-ből) és a jelenlegi NTFS között sok hasonlóság és néhány különbség van. Nézzük meg közelebbről.
Szokásos vs. speciális engedélyek
Az NTFS engedélyeket engedélyezésre vagy megtagadásra állíthatjuk. Íme egy pillantás a régi NTFS szabványos engedélyeire:
- Teljes ellenőrzés: A felhasználók módosíthatják, hozzáadhatják, áthelyezhetik és törölhetik a fájlokat, valamint a hozzájuk tartozó tulajdonságokat és könyvtárakat. Ezenkívül a felhasználók megváltoztathatják az összes fájl és alkönyvtár engedélyezési beállításait.
- Módosítás: A felhasználók megtekinthetik és módosíthatják a fájlokat és a fájlok tulajdonságait, beleértve a fájlok törlését és hozzáadását egy könyvtárhoz vagy a fájlok tulajdonságait egy fájlhoz.
- Olvasás & Végrehajtás: A felhasználók futtathatnak futtatható fájlokat, beleértve a szkripteket is.
- Olvasás: A felhasználók megtekinthetik a fájlokat és a fájlok tulajdonságait.
- Write:
A Microsoft később kibővítette ezeket a jogosultságokat a következőkkel:
- Fájl átjárása/mappa végrehajtása: A felhasználók navigálhatnak mappákon keresztül más fájlok vagy mappák elérése érdekében, még akkor is, ha nincsenek jogosultságaik az átjárható fájlokra vagy mappákra. A Mappa áthaladása engedély csak akkor lép érvénybe, ha a csoport vagy a felhasználó nem rendelkezik a Csoportházirend beépülő modulban a Mappa áthaladásának megkerülése felhasználói joggal. (Alapértelmezés szerint a Mindenki csoport rendelkezik a Keresztellenőrzés megkerülése felhasználói joggal.)
- Mappák listázása/adatok olvasása: A felhasználók megtekinthetik egy mappa tartalmának és adatfájljainak listáját.
- Attribútumok olvasása: A felhasználók megtekinthetik egy fájl vagy mappa attribútumait, mint például a csak olvasható és rejtett. (Az NTFS határozza meg ezeket az attribútumokat.)
- Kiterjesztett attribútumok olvasása: A felhasználók megtekinthetik egy fájl vagy mappa kiterjesztett attribútumait. (Programok által meghatározott, a kiterjesztett attribútumok változhatnak.)
- Fájlok létrehozása/adatok írása: A Fájlok létrehozása engedély lehetővé teszi a felhasználók számára, hogy a mappán belül fájlokat hozzanak létre. (Ez az engedély csak mappákra vonatkozik.) Az Adatok írása engedély lehetővé teszi a felhasználók számára a fájl módosítását és a meglévő tartalom felülírását. (Ez az engedély csak a fájlokra vonatkozik.)
- Mappák létrehozása/Adatok hozzáadása: Ez a Mappák létrehozása engedély lehetővé teszi a felhasználók számára, hogy mappákat hozzanak létre egy mappán belül. (Ez csak mappákra vonatkozik.) Az Append Data (Adatok hozzáadása) engedély lehetővé teszi a felhasználók számára, hogy a fájl végén módosításokat hajtsanak végre, de nem módosíthatják, törölhetik vagy írhatják felül a meglévő adatokat. (Ez csak a fájlokra vonatkozik.)
- Írási attribútumok: A felhasználók megváltoztathatják egy fájl vagy mappa attribútumait, például csak olvasható vagy rejtett. (Az NTFS határozza meg ezeket az attribútumokat.)
- Kiterjesztett attribútumok írása: A felhasználók megváltoztathatják egy fájl vagy mappa kiterjesztett attribútumait.
- Törlés: A felhasználók törölhetik a fájlt vagy mappát. (Ha a felhasználók nem rendelkeznek a Törlés jogosultsággal egy fájl vagy mappa esetében, akkor is törölhetik azt, ha rendelkeznek az Almappák és fájlok törlése jogosultsággal a szülőmappán.)
- Olvasási engedélyek: A felhasználóknak a fájl vagy mappa olvasási jogosultságai vannak, például Teljes hozzáférés, Olvasás és Írás.
- Módosítási jogosultságok: A felhasználók a fájl vagy mappa módosítási engedélyeivel rendelkeznek, például Teljes ellenőrzés, Olvasás és Írás.
- Tulajdonjog átvétele: A felhasználók átvehetik a fájl vagy mappa tulajdonjogát. A fájl vagy mappa tulajdonosa mindig megváltoztathatja a rajta lévő engedélyeket, függetlenül a fájlt vagy mappát védő meglévő engedélyektől.
Mi a nagy különbség?
A régi NTFS és az új NTFS közötti nagy különbség az Örökölt és explicit engedélyek elsőbbségének megállapítása. Bár feltételezhetjük, hogy a Deny engedély elsőbbséget élvez bármely más engedéllyel szemben, ez nem mindig van így.
Az engedélyek hierarchiája a következő:
- Explicit Deny
- Explicit Allow
- Inherited Deny
- Inherited Allow
Amint a felhasználó hozzáfér az egyes fájlokhoz, mappákhoz, beállításkulcsokhoz, nyomtatókhoz és Active Directory objektumokhoz, a rendszer felülről lefelé haladva ellenőrzi az engedélyeket. Ha a négy feltétel valamelyikének megfelel, akkor vagy engedélyezi, vagy megtagadja a hozzáférést. Ez lehetővé teszi a jogosultságok öröklődésének beállítását egy objektumhoz, és az általános jogosultsági politika alóli kivételek finom ellenőrzését.
Végső gondolatok
Az NTFS-engedélyek nagyfokú ellenőrzést biztosítanak a rendszerek erőforrásai tekintetében. Ha problémái vannak azzal, hogy a felhasználók nem tudnak hozzáférni a szükséges adatokhoz vagy objektumokhoz az Active Directory struktúrában, nézze meg az engedélyek hierarchiáját, és meg fogja találni a problémát.
Kihagyott egy rovatot?
Nézze meg a Biztonsági megoldások archívumát, és olvassa el Mike Mullins rovatának legújabb kiadásait.
Biztonsági problémák miatt aggódik? Ki nem? Automatikusan iratkozzon fel ingyenes Security Solutions hírlevelünkre, amelyet minden pénteken kézbesítünk, és kapjon gyakorlati tanácsokat a rendszerei védelméhez.
Mike Mullins asszisztens hálózati rendszergazdaként és hálózati biztonsági rendszergazdaként dolgozott az Egyesült Államok Titkosszolgálatánál és a Védelmi Információs Rendszerek Ügynökségénél. Jelenleg a Déli Színházi Hálózati Műveleti és Biztonsági Központ műveleti igazgatója.