De flesta erfarna administratörer känner till att NTFS-behörigheter (New Technology File System) är tillgängliga för alla filer, mappar, registernycklar, skrivare och Active Directory-objekt. NTFS introducerades först med Windows NT för att ersätta filsystemet FAT (File Allocation Table) och har genomgått flera förändringar under årens lopp. Windows 2000, Windows Server 2003 och Windows XP använder den nuvarande versionen, NTFS v5.
När det gäller det gamla NTFS (från Windows NT) och det nuvarande NTFS finns det många likheter och några skillnader. Låt oss ta en närmare titt.
Standard- och avancerade behörigheter
Du kan ställa in NTFS-behörigheter till Allow eller Deny. Här är en titt på standardbehörigheterna i det gamla NTFS:
- Full kontroll: Användare kan ändra, lägga till, flytta och ta bort filer samt deras tillhörande egenskaper och kataloger. Dessutom kan användarna ändra behörighetsinställningar för alla filer och underkataloger.
- Ändra: Användare kan visa och ändra filer och filegenskaper, inklusive ta bort och lägga till filer i en katalog eller filegenskaper i en fil.
- Läsa & Utföra: Användare kan ändra filer och filegenskaper, inklusive ta bort och lägga till filer i en katalog eller filegenskaper i en fil: Användare kan köra körbara filer, inklusive skript.
- Läsa: Användare kan köra exekverbara filer, inklusive skript.
- Läsa: Användare kan visa filer och filegenskaper.
- Skriv: Microsoft har senare utökat dessa behörigheter till att omfatta följande:
- Traverse Folder/Execute File: Användare kan navigera genom mappar för att nå andra filer eller mappar, även om de inte har några behörigheter för de filer eller mappar som genomkorsas. Behörigheten Traversera mapp träder endast i kraft när gruppen eller användaren inte har användarrättigheten Bypass Traversera kontroll i snapin-modulen Grupprincip. (Som standard har gruppen Alla användarrätten Bypass Traverse Checking.)
- Lista mapp/läsa data:
- Läs attribut: Användare kan visa en lista över en mapps innehåll och datafiler: Användare kan visa attributen för en fil eller mapp, t.ex. skrivskyddad och dold. (NTFS definierar dessa attribut.)
- Läs utökade attribut: Användare kan visa de utökade attributen för en fil eller mapp. (Definieras av program, utökade attribut kan variera.)
- Skapa filer/skriva data: Med behörigheten Skapa filer kan användare skapa filer i mappen. (Den här behörigheten gäller endast mappar.) Med behörigheten Skriv data kan användare göra ändringar i filen och skriva över befintligt innehåll. (Den här behörigheten gäller endast filer.)
- Skapa mappar/tillfoga data: Med behörigheten Skapa mappar kan användare skapa mappar inom en mapp. (Detta gäller endast för mappar.) Med behörigheten Tillfoga data kan användare göra ändringar i slutet av filen, men de kan inte ändra, ta bort eller skriva över befintlig data. (Detta gäller endast filer.)
- Skrivattribut: Användare kan ändra attributen för en fil eller mapp, t.ex. skrivskyddad eller dold. (NTFS definierar dessa attribut.)
- Skriv utökade attribut: Användare kan ändra de utökade attributen för en fil eller mapp.
- Ta bort: Användare kan radera filen eller mappen. (Om användare inte har behörigheten Ta bort på en fil eller mapp kan de ändå ta bort den om de har behörigheten Ta bort undermappar och filer på den överordnade mappen.)
- Läsbehörigheter:
- : Användare har läsbehörighet för filen eller mappen, t.ex. full kontroll, läsning och skrivning.
- : Ändringsbehörighet: Användare har läsbehörighet för filen eller mappen: Användare har ändringsbehörighet för filen eller mappen, t.ex. full kontroll, läsning och skrivning.
- Överta äganderätt: Användare har behörighet att ändra filen eller mappen, t.ex. full kontroll, läsning och skrivning: Användare kan ta över äganderätten till filen eller mappen. Ägaren av en fil eller mapp kan alltid ändra behörigheter för den, oavsett befintliga behörigheter som skyddar filen eller mappen.
Vad är den stora skillnaden?
Den stora skillnaden mellan det gamla NTFS och det nya NTFS är att man fastställer företräde för nedärvda och explicita behörigheter. Även om man kan anta att behörigheten Deny har företräde framför alla andra behörigheter är det inte alltid så.
Här är hierarkin för behörigheter:
- Explicit Deny
- Explicit Allow
- Inherited Deny
- Inherited Allow
När en användare får tillgång till en fil, en mapp, en registernyckel, en skrivare och ett Active Directory-objekt, kontrollerar systemet behörigheterna från toppen till botten. När ett av dessa fyra villkor uppfylls beviljas eller nekas åtkomst. På så sätt kan du ställa in behörighetsföreträde för ett objekt och upprätthålla fin kontroll för undantag från din allmänna behörighetspolicy.
Sluttande tankar
NTFS-behörigheter erbjuder en hel del kontroll när det gäller resurser på dina system. Om du har problem med att användare inte kan få tillgång till nödvändiga data eller objekt i din Active Directory-struktur, titta på hierarkin för dessa behörigheter, så hittar du problemet.
Missade du en kolumn?
Kolla in Security Solutions Archive och ta del av de senaste utgåvorna av Mike Mullins kolumn.
Orolig över säkerhetsfrågor? Vem är inte det? Anmäl dig automatiskt till vårt kostnadsfria nyhetsbrev Security Solutions, som levereras varje fredag, och få praktiska råd om hur du låser dina system.
Mike Mullins har arbetat som biträdande nätverksadministratör och nätverkssäkerhetsadministratör för U.S. SecretService och Defense Information Systems Agency. Han är för närvarande verksamhetsledare för Southern Theater Network Operations and Security Center.