Cei mai mulți administratori experimentați sunt familiarizați cu faptul că permisiunile NTFS (New Technology File System) sunt disponibile pentru fiecare fișier, folder, cheie de registru, imprimantă și obiect Active Directory. Introdus pentru prima dată odată cu Windows NT pentru a înlocui sistemul de fișiere File Allocation Table (FAT), NTFS a trecut prin mai multe modificări de-a lungul anilor. Windows 2000, Windows Server 2003 și Windows XP folosesc actuala încarnare, NTFS v5.
Când vine vorba de vechiul NTFS (de la Windows NT) și de actualul NTFS, există o mulțime de asemănări și câteva diferențe. Să aruncăm o privire mai atentă.
Autorizații standard vs. avansate
Puteți seta permisiunile NTFS la Allow sau Deny. Iată o privire asupra permisiunilor standard din vechiul NTFS:
- Control total: Utilizatorii pot modifica, adăuga, muta și șterge fișiere, precum și proprietățile și directoarele asociate acestora. În plus, utilizatorii pot modifica setările de permisiuni pentru toate fișierele și subdirectoarele.
- Modificare: Utilizatorii pot vizualiza și modifica fișierele și proprietățile fișierelor, inclusiv ștergerea și adăugarea de fișiere la un director sau de proprietăți ale unui fișier la un fișier.
- Read & Execute: Utilizatorii pot executa fișiere executabile, inclusiv scripturi.
- Read: Utilizatorii pot vizualiza fișierele și proprietățile fișierelor.
- Scriere: Utilizatorii pot scrie într-un fișier.
Microsoft a avansat ulterior aceste permisiuni pentru a include următoarele:
- Traverse Folder/Execute File: Utilizatorii pot naviga prin dosare pentru a ajunge la alte fișiere sau dosare, chiar dacă nu au permisiuni pentru fișierele sau dosarele traversate. Permisiunea Traverse Folder intră în vigoare numai atunci când grupul sau utilizatorul nu dispune de dreptul de utilizator Bypass Traverse Checking (Depășirea verificării traversării) în snap-in-ul Group Policy. (În mod implicit, grupul Everyone are dreptul de utilizator Bypass Traverse Checking.)
- List Folder/Read Data: Utilizatorii pot vizualiza o listă a conținutului unui dosar și a fișierelor de date.
- Read Attributes (Citire atribute): Utilizatorii pot vizualiza atributele unui fișier sau dosar, cum ar fi read-only și hidden. (NTFS definește aceste atribute.)
- Read Extended Attributes (Citire atribute extinse): Utilizatorii pot vizualiza atributele extinse ale unui fișier sau dosar. (Definite de programe, atributele extinse pot varia.)
- Create Files/Write Data: Permisiunea Create Files (Creare fișiere) permite utilizatorilor să creeze fișiere în cadrul dosarului. (Această permisiune se aplică numai la dosare.) Permisiunea Write Data (Scriere date) permite utilizatorilor să facă modificări în fișier și să suprascrie conținutul existent. (Această permisiune se aplică numai fișierelor.)
- Create Folders/Append Data: Această permisiune Create Folders (Creare de dosare) permite utilizatorilor să creeze dosare în cadrul unui dosar. (Se aplică numai la dosare.) Permisiunea Append Data permite utilizatorilor să facă modificări la sfârșitul fișierului, dar nu pot modifica, șterge sau suprascrie datele existente. (Aceasta se aplică numai fișierelor.)
- Atribute de scriere: Utilizatorii pot modifica atributele unui fișier sau dosar, cum ar fi read-only (numai pentru citire) sau hidden (ascuns). (NTFS definește aceste atribute.)
- Write Extended Attributes (Scriere atribute extinse): Utilizatorii pot modifica atributele extinse ale unui fișier sau dosar.
- Delete (Ștergere): Utilizatorii pot șterge fișierul sau folderul. (Dacă utilizatorii nu au permisiunea Delete (Ștergere) pe un fișier sau dosar, îl pot totuși șterge dacă au permisiunea Delete Subfolders And Files (Ștergere subfoldere și fișiere) pe dosarul părinte.)
- Read Permissions (Permisiuni de citire): Utilizatorii au permisiuni de citire a fișierului sau a dosarului, cum ar fi Full Control, Read și Write.
- Change Permissions (Permisiuni de modificare): Utilizatorii au permisiuni de modificare a fișierului sau a dosarului, cum ar fi Full Control, Read și Write.
- Take Ownership: Utilizatorii pot prelua proprietatea asupra fișierului sau dosarului. Proprietarul unui fișier sau dosar poate schimba întotdeauna permisiunile asupra acestuia, indiferent de orice permisiune existentă care protejează fișierul sau dosarul.
Care este marea diferență?
Marea diferență dintre vechiul NTFS și noul NTFS este stabilirea precedenței permisiunilor moștenite și explicite. Deși ați putea presupune că permisiunea Deny are prioritate față de orice altă permisiune, nu este întotdeauna așa.
Iată ierarhia permisiunilor:
- Explicit Deny
- Explicit Allow
- Inherited Deny
- Inherited Allow
În timp ce un utilizator accesează fiecare fișier, dosar, cheie de registru, imprimantă și obiect Active Directory, sistemul verifică permisiunile de sus în jos. Atunci când îndeplinește una dintre aceste patrucondiții, acesta acordă sau refuză accesul. Acest lucru vă permite să stabiliți moștenirea permisiunilor pentru un obiect și să mențineți un control fin pentru excepțiile la politica generală de permisiuni.
Gânduri finale
Permisiunile TNFS oferă un control foarte mare atunci când este vorba de resursele de pe sistemele dumneavoastră. Dacă aveți probleme cu utilizatorii care nu pot avea acces la datele sau obiectele necesare din structura Active Directory, uitați-vă la ierarhia pentru aceste permisiuni și veți găsi problema.
Ați ratat o rubrică?
Verificați Arhiva de soluții de securitate și puneți-vă la curent cu cele mai recente ediții ale rubricii lui Mike Mullins.
Îngrijorat de problemele de securitate? Cine nu este? Înscrieți-vă automat la buletinul nostru informativ gratuit Security Solutions, livrat în fiecare vineri,și primiți sfaturi practice pentru a vă bloca sistemele.
Mike Mullins a lucrat ca administrator de rețea asistent și administrator de securitate de rețea pentru U.S. SecretService și Defense Information Systems Agency. El este în prezent director de operațiuni pentru Southern Theater Network Operations and SecurityCenter.
.