De meeste ervaren beheerders weten dat NTFS-machtigingen (New Technology File System) beschikbaar zijn voor elk bestand, elke map, elke registersleutel, elke printer en elk Active Directory-object. NTFS werd voor het eerst geïntroduceerd met Windows NT ter vervanging van het bestandssysteem File Allocation Table (FAT) en heeft in de loop der jaren een aantal wijzigingen ondergaan. Windows 2000, Windows Server 2003, en Windows XP gebruiken de huidige versie, NTFS v5.
Als het gaat om het oude NTFS (van Windows NT) en het huidige NTFS, zijn er een hoop overeenkomsten en een paar verschillen. Laten we eens wat beter kijken.
Standaard vs. geavanceerde toestemmingen
Je kunt NTFS toestemmingen instellen op Toestaan of Weigeren. Hier is een blik op de standaard permissies in de oude NTFS:
- Volledige controle: Gebruikers kunnen bestanden wijzigen, toevoegen, verplaatsen en verwijderen, evenals de bijbehorende eigenschappen en mappen. Bovendien kunnen gebruikers de machtigingsinstellingen voor alle bestanden en submappen wijzigen.
- Wijzigen: Gebruikers kunnen bestanden en bestandseigenschappen bekijken en wijzigen, inclusief het verwijderen en toevoegen van bestanden aan een directory of bestandseigenschappen aan een bestand.
- Lezen & Uitvoeren: Gebruikers kunnen uitvoerbare bestanden uitvoeren, inclusief scripts.
- Lezen: Gebruikers kunnen bestanden en bestandseigenschappen bekijken.
- Schrijven: Gebruikers kunnen schrijven naar een bestand.
Microsoft heeft deze machtigingen later uitgebreid met de volgende:
- Doorkruis map/uitvoer bestand: Gebruikers kunnen door mappen navigeren om andere bestanden of mappen te bereiken, zelfs als ze geen machtigingen hebben voor de doorkruiste bestanden of mappen. De toestemming om mappen te doorkruisen treedt alleen in werking als de groep of gebruiker niet beschikt over het gebruikersrecht Traversecontrole omzeilen in de Group Policy snap-in. (Standaard heeft de groep Iedereen het gebruikersrecht Traversecontrole omzeilen.)
- Map weergeven/gegevens lezen: Gebruikers kunnen een lijst met de inhoud van een map en gegevensbestanden bekijken.
- Attributen lezen: Gebruikers kunnen de attributen van een bestand of map bekijken, zoals alleen-lezen en verborgen. (NTFS definieert deze attributen.)
- Uitgebreide attributen lezen: Gebruikers kunnen de uitgebreide attributen van een bestand of map bekijken. (Gedefinieerd door programma’s, uitgebreide attributen kunnen variëren.)
- Bestanden maken/gegevens schrijven: Met de toestemming Bestanden maken kunnen gebruikers bestanden binnen de map maken. (Deze toestemming geldt alleen voor mappen.) De toestemming Gegevens schrijven stelt gebruikers in staat wijzigingen in het bestand aan te brengen en bestaande inhoud te overschrijven. (Deze toestemming geldt alleen voor bestanden.)
- Mappen maken/gegevens toevoegen: Deze Create Folders permissie staat gebruikers toe om mappen te maken binnen een map. (Dit geldt alleen voor mappen.) Met de permissie Gegevens toevoegen kunnen gebruikers wijzigingen aanbrengen aan het eind van het bestand, maar ze kunnen geen bestaande gegevens wijzigen, verwijderen of overschrijven. (Dit geldt alleen voor bestanden.)
- Attributen schrijven: Gebruikers kunnen de attributen van een bestand of map wijzigen, zoals alleen-lezen of verborgen. (NTFS definieert deze attributen.)
- Write Extended Attributes: Gebruikers kunnen de uitgebreide attributen van een bestand of map wijzigen.
- Verwijderen: Gebruikers kunnen het bestand of de map verwijderen. (Als gebruikers geen Delete permissie hebben op een bestand of map, kunnen ze het nog steeds verwijderen als ze de Delete Subfolders And Files permissie hebben op de bovenliggende map.)
- Read Permissions: Gebruikers hebben leesrechten van het bestand of de map, zoals Volledige controle, Lezen en Schrijven.
- Wijzigingsrechten: Gebruikers hebben wijzigingsrechten voor het bestand of de map, zoals Volledige controle, Lezen en Schrijven.
- Eigendom nemen: Gebruikers kunnen eigenaar worden van het bestand of de map. De eigenaar van een bestand of map kan altijd de machtigingen wijzigen, ongeacht de bestaande machtigingen die het bestand of de map beschermen.
Wat is het grote verschil?
Het grote verschil tussen de oude NTFS en de nieuwe NTFS is de instelling van Inherited en Explicit permission precedence. Hoewel je zou kunnen aannemen dat de Deny permissie voorrang heeft op elke andere permissie, is dat niet altijd het geval.
Dit is de hiërarchie voor toestemmingen:
- Expliciete Deny
- Expliciete Allow
- Inherited Deny
- Inherited Allow
Als een gebruiker toegang krijgt tot elk bestand, map, registersleutel, printer, en Active Directory object, controleert het systeem de toestemmingen van boven naar beneden. Als aan een van deze vier voorwaarden wordt voldaan, wordt toegang verleend of geweigerd. Dit maakt het mogelijk om de overerving van rechten voor een object in te stellen en de uitzonderingen op het algemene machtigingsbeleid nauwkeurig te controleren.
Eindgedachten
NTFS machtigingen bieden een grote mate van controle als het gaat om bronnen op uw systemen. Als u problemen hebt met gebruikers die geen toegang hebben tot vereiste gegevens of objecten in uw Active Directory-structuur, kijk dan naar de hiërarchie voor die machtigingen en u zult het probleem vinden.
Verliest u een column?
Kijk in het Security Solutions Archive naar de meest recente edities van de columns van Mike Mullins.
Wordt u bezorgd over beveiligingsproblemen? Wie is dat niet? Meld u automatisch aan voor onze gratis nieuwsbrief Security Solutions, die elke vrijdag wordt bezorgd, en ontvang praktische adviezen om uw systemen te beveiligen.
Mike Mullins heeft gediend als assistent-netwerkbeheerder en als netwerkbeveiligingsbeheerder voor de Amerikaanse Geheime Dienst en het Defense Information Systems Agency. Momenteel is hij operationeel directeur van het Southern Theater Network Operations and Security Center.