La maggior parte degli amministratori esperti ha familiarità con il fatto che i permessi del New Technology File System (NTFS) sono disponibili su ogni file, cartella, chiave di registro, stampante e oggetto Active Directory. Introdotto con Windows NT per sostituire il file system File Allocation Table (FAT), NTFS ha subito diversi cambiamenti nel corso degli anni. Windows 2000, Windows Server 2003, e Windows XP usano l’attuale incarnazione, NTFS v5.
Quando si tratta del vecchio NTFS (da Windows NT) e l’attuale NTFS, ci sono molte similitudini e alcune differenze. Diamo un’occhiata più da vicino.
Permessi standard vs. avanzati
È possibile impostare i permessi NTFS su Allow o Deny. Ecco uno sguardo ai permessi standard nel vecchio NTFS:
- Controllo completo: Gli utenti possono modificare, aggiungere, spostare e cancellare i file, così come le loro proprietà e directory associate. Inoltre, gli utenti possono cambiare le impostazioni dei permessi per tutti i file e le sottodirectory.
- Modifica: Gli utenti possono visualizzare e modificare i file e le proprietà dei file, compresa l’eliminazione e l’aggiunta di file a una directory o le proprietà di un file.
- Leggi & Esegui: Gli utenti possono eseguire file eseguibili, compresi gli script.
- Leggi: Gli utenti possono visualizzare i file e le proprietà dei file.
- Scrivi: Gli utenti possono scrivere su un file.
Microsoft ha successivamente avanzato queste autorizzazioni per includere le seguenti:
- Traverse Folder/Execute File: Gli utenti possono navigare attraverso le cartelle per raggiungere altri file o cartelle, anche se non hanno autorizzazioni per i file o le cartelle attraversate. L’autorizzazione Traverse Folder ha effetto solo quando il gruppo o l’utente non ha il diritto dell’utente Bypass Traverse Checking nello snap-in Group Policy. (Per impostazione predefinita, il gruppo Everyone ha il diritto di utente di bypassare il controllo dell’attraversamento.)
- Elenco cartelle/lettura dati: Gli utenti possono visualizzare un elenco dei contenuti di una cartella e dei file di dati.
- Leggi attributi: Gli utenti possono visualizzare gli attributi di un file o di una cartella, come quelli di sola lettura e nascosti. (NTFS definisce questi attributi.)
- Leggi attributi estesi: Gli utenti possono visualizzare gli attributi estesi di un file o di una cartella. (Definiti dai programmi, gli attributi estesi possono variare.)
- Crea file/scrivi dati: L’autorizzazione a creare file permette agli utenti di creare file all’interno della cartella. (Questa autorizzazione si applica solo alle cartelle.) L’autorizzazione a scrivere dati permette agli utenti di apportare modifiche al file e sovrascrivere il contenuto esistente. (Questa autorizzazione si applica solo ai file.)
- Crea cartelle/aggiungi dati: Questa autorizzazione a creare cartelle permette agli utenti di creare cartelle all’interno di una cartella. (L’autorizzazione Append Data permette agli utenti di apportare modifiche alla fine del file, ma non può modificare, cancellare o sovrascrivere i dati esistenti. (Questo si applica solo ai file.)
- Scrivi attributi: Gli utenti possono cambiare gli attributi di un file o di una cartella, come quelli di sola lettura o nascosti. (NTFS definisce questi attributi.)
- Scrivi attributi estesi: Gli utenti possono cambiare gli attributi estesi di un file o di una cartella.
- Elimina: Gli utenti possono cancellare il file o la cartella. (Se gli utenti non hanno il permesso di cancellare un file o una cartella, possono comunque cancellarlo se hanno il permesso di cancellare le sottocartelle e i file sulla cartella madre.)
- Permessi di lettura: Gli utenti hanno i permessi di lettura del file o della cartella, come Controllo completo, lettura e scrittura.
- Permessi di modifica: Gli utenti hanno i permessi di modifica del file o della cartella, come Controllo completo, lettura e scrittura.
- Take Ownership: Gli utenti possono prendere la proprietà del file o della cartella. Il proprietario di un file o di una cartella può sempre cambiare i permessi su di esso, indipendentemente da qualsiasi permesso esistente che protegge il file o la cartella.
Qual è la grande differenza?
La grande differenza tra il vecchio NTFS e il nuovo NTFS è l’istituzione della precedenza di permesso ereditato ed esplicito. Mentre si potrebbe supporre che il permesso Deny abbia la precedenza su qualsiasi altro permesso, questo non è sempre il caso.
Ecco la gerarchia dei permessi:
- Nega esplicito
- Consenti esplicito
- Nega ereditato
- Consenti ereditato
Quando un utente accede ad ogni file, cartella, chiave di registro, stampante e oggetto Active Directory, il sistema controlla i permessi dall’alto verso il basso. Quando soddisfa una di queste quattro condizioni, concede o nega l’accesso. Questo vi permette di impostare l’eredità dei permessi per un oggetto e mantenere un controllo fine per le eccezioni alla vostra politica generale dei permessi.
Pensieri finali
I permessi NTFS offrono una grande quantità di controllo quando si tratta di risorse sui vostri sistemi. Se avete problemi con gli utenti che non sono in grado di accedere ai dati o agli oggetti richiesti nella vostra struttura Active Directory, guardate la gerarchia per quei permessi, e troverete il problema.
Mancato una colonna?
Guardate l’Archivio delle soluzioni di sicurezza, e recuperate le edizioni più recenti della colonna di Mike Mullins.
Preoccupato per i problemi di sicurezza? Chi non lo è? Iscriviti automaticamente alla nostra newsletter gratuita Security Solutions, consegnata ogni venerdì, e ricevi consigli pratici per bloccare i tuoi sistemi.
Mike Mullins ha lavorato come assistente amministratore di rete e amministratore della sicurezza di rete per il servizio segreto degli Stati Uniti e la Defense Information Systems Agency. Attualmente è il direttore delle operazioni per il Southern Theater Network Operations and SecurityCenter.