Większość doświadczonych administratorów jest zaznajomiona z faktem, że uprawnienia systemu plików nowej technologii (NTFS) są dostępne na każdym pliku, folderze, kluczu rejestru, drukarce i obiekcie Active Directory. Wprowadzony po raz pierwszy w systemie Windows NT w celu zastąpienia systemu plików File Allocation Table (FAT), NTFS przeszedł kilka zmian na przestrzeni lat. Windows 2000, Windows Server 2003 i Windows XP używają obecnej inkarnacji, NTFS v5.
Jeśli chodzi o stary NTFS (z Windows NT) i obecny NTFS, jest wiele podobieństw i kilka różnic. Przyjrzyjmy się im bliżej.
Standardowe vs. zaawansowane uprawnienia
Możesz ustawić uprawnienia NTFS na Zezwalaj lub Odmawiaj. Oto spojrzenie na standardowe uprawnienia w starym NTFS:
- Pełna kontrola: Użytkownicy mogą modyfikować, dodawać, przenosić i usuwać pliki, jak również ich powiązane właściwości i katalogi. Ponadto, użytkownicy mogą zmieniać ustawienia uprawnień dla wszystkich plików i podkatalogów.
- Modyfikacja: Użytkownicy mogą przeglądać i modyfikować pliki oraz właściwości plików, w tym usuwać i dodawać pliki do katalogu lub właściwości pliku do pliku.
- Read & Execute: Użytkownicy mogą uruchamiać pliki wykonywalne, w tym skrypty.
- Read: Użytkownicy mogą przeglądać pliki i właściwości plików.
- Write: Użytkownicy mogą pisać do pliku.
Microsoft później rozszerzył te uprawnienia o następujące elementy:
- Trawersuj folder/wykonaj plik: Użytkownicy mogą poruszać się po folderach, aby dotrzeć do innych plików lub folderów, nawet jeśli nie mają uprawnień do trawersowanych plików lub folderów. Uprawnienie Trawersuj folder działa tylko wtedy, gdy grupa lub użytkownik nie ma prawa użytkownika Pomiń sprawdzanie trawersu w narzędziu Group Policy. (Domyślnie grupa Everyone ma prawo użytkownika Bypass Traverse Checking.)
- List Folder/Read Data: Użytkownicy mogą wyświetlić listę zawartości folderu i plików danych.
- Odczytaj atrybuty: Użytkownicy mogą przeglądać atrybuty pliku lub folderu, takie jak tylko do odczytu i ukryte. (NTFS definiuje te atrybuty.)
- Odczytaj atrybuty rozszerzone: Użytkownicy mogą przeglądać rozszerzone atrybuty pliku lub folderu. (Definiowane przez programy, atrybuty rozszerzone mogą się różnić.)
- Tworzenie plików/zapisywanie danych: Uprawnienie Create Files pozwala użytkownikom tworzyć pliki w obrębie folderu. (To uprawnienie dotyczy tylko folderów.) Uprawnienie Write Data pozwala użytkownikom na wprowadzanie zmian w pliku i nadpisywanie istniejącej zawartości. (To uprawnienie dotyczy tylko plików.)
- Create Folders/Append Data: To uprawnienie Create Folders pozwala użytkownikom na tworzenie folderów w obrębie folderu. (Dotyczy tylko folderów.) Uprawnienie Append Data pozwala użytkownikom na wprowadzanie zmian na końcu pliku, ale nie mogą oni zmieniać, usuwać ani nadpisywać istniejących danych. (Dotyczy to tylko plików.)
- Write Attributes: Użytkownicy mogą zmienić atrybuty pliku lub folderu, takie jak tylko do odczytu lub ukryte. (NTFS definiuje te atrybuty.)
- Write Extended Attributes: Użytkownicy mogą zmieniać rozszerzone atrybuty pliku lub folderu.
- Usuń: Użytkownicy mogą usunąć plik lub folder. (Jeśli użytkownicy nie mają uprawnienia Delete na pliku lub folderze, nadal mogą go usunąć, jeśli mają uprawnienie Delete Subfolders And Files na folderze nadrzędnym.)
- Uprawnienia odczytu: Użytkownicy mają uprawnienia odczytu pliku lub folderu, takie jak Pełna kontrola, Odczyt i Zapis.
- Uprawnienia zmiany: Użytkownicy mają uprawnienia do zmiany pliku lub folderu, takie jak Pełna kontrola, Odczyt i Zapis.
- Przejmij własność: Użytkownicy mogą przejąć na własność plik lub folder. Właściciel pliku lub folderu może zawsze zmienić uprawnienia do niego, niezależnie od istniejących uprawnień chroniących plik lub folder.
Co za różnica?
Dużą różnicą między starym NTFS a nowym NTFS jest ustanowienie dziedziczenia i jawnego pierwszeństwa uprawnień. Chociaż możesz założyć, że uprawnienie Deny ma pierwszeństwo przed każdym innym uprawnieniem, to nie zawsze tak jest.
Oto hierarchia uprawnień:
- Wyraźne Odmów
- Wyraźne Zezwól
- Odziedziczone Odmów
- Odziedziczone Zezwól
Jak użytkownik uzyskuje dostęp do każdego pliku, folderu, klucza rejestru, drukarki i obiektu Active Directory, system sprawdza uprawnienia od góry do dołu. Gdy spełniony jest jeden z tych czterech warunków, system przyznaje lub odmawia dostępu. Dzięki temu możesz ustawić dziedziczenie uprawnień dla obiektu i zachować precyzyjną kontrolę dla wyjątków od ogólnej polityki uprawnień.
Podsumowanie
Uprawnienia NTFS oferują dużą kontrolę nad zasobami w twoim systemie. Jeśli masz problem z użytkownikami, którzy nie mogą uzyskać dostępu do wymaganych danych lub obiektów w strukturze Active Directory, spójrz na hierarchię tych uprawnień, a znajdziesz problem.
Przegapiłeś kolumnę?
Zapoznaj się z archiwum rozwiązań bezpieczeństwa i przeczytaj najnowsze wydania kolumny Mike’a Mullinsa.
Zaniepokojony kwestiami bezpieczeństwa? A kto nie jest? Zapisz się automatycznie do naszego bezpłatnego biuletynu Security Solutions, dostarczanego w każdy piątek, i uzyskaj praktyczne porady dotyczące zabezpieczania systemów.
Mike Mullins pełnił funkcję asystenta administratora sieci oraz administratora bezpieczeństwa sieci w U.S. SecretService oraz Defense Information Systems Agency. Obecnie jest dyrektorem operacyjnym w Centrum Bezpieczeństwa i Operacji Sieciowych Teatru Południowego.
.