Os administradores mais experientes estão familiarizados com o fato de que as permissões do New Technology File System (NTFS) estão disponíveis em cada arquivo, pasta, chave de registro, impressora e objeto Active Directory. Primeiro introduzido com o Windows NT para substituir o sistema de arquivos File Allocation Table (FAT), o NTFS passou por várias mudanças ao longo dos anos. Windows 2000, Windows Server 2003 e Windows XP usam a versão atual, NTFS v5.
Quando se trata da antiga NTFS (do Windows NT) e da atual NTFS, há muitas semelhanças e algumas diferenças. Vamos ver mais de perto.
Permissões padrão vs. avançadas
Você pode definir a permissão do NTFS para Permitir ou Negar. Veja aqui as permissões padrão no antigo NTFS:
- Full Control: Os usuários podem modificar, adicionar, mover e excluir arquivos, assim como suas propriedades associadas e diretórios. Além disso, os usuários podem alterar as configurações de permissões para todos os arquivos e subdiretórios.
- Modificar: Os usuários podem visualizar e modificar arquivos e propriedades de arquivos, incluindo excluir e adicionar arquivos a um diretório ou propriedades de arquivos a um arquivo.
- Leia & Executar: Os utilizadores podem executar ficheiros executáveis, incluindo scripts.
- Ler: Os usuários podem ver arquivos e propriedades de arquivos.
- Escrever: Os usuários podem escrever em um arquivo.
Microsoft mais tarde avançou estas permissões para incluir o seguinte:
- Pasta Transversal/Executar Arquivo: Os usuários podem navegar através de pastas para chegar a outros arquivos ou pastas, mesmo que não tenham permissões para os arquivos ou pastas percorridos. A permissão de Pasta Transversal só tem efeito quando o grupo ou usuário não tem o usuário de Verificação de Pasta Transversal diretamente no snap-in da Política de Grupo. (Por padrão, o grupo Todos tem o usuário da Verificação de Travessia de Passagem de Bypass direito.)
- Listar Pasta/Leitura de Dados: Os usuários podem ver uma lista do conteúdo de uma pasta e arquivos de dados.
- Ler Atributos: Os usuários podem ver os atributos de um arquivo ou pasta, tais como somente leitura e oculto. (NTFS define estes atributos.)
- Read Extended Attributes: Os usuários podem ver os atributos estendidos de um arquivo ou pasta. (Definidos por programas, os atributos estendidos podem variar.)
- Criar arquivos/escrever dados: A permissão Criar Arquivos permite que os usuários criem arquivos dentro da pasta. (Esta permissão se aplica somente a pastas.) A permissão Write Data permite que os usuários façam alterações no arquivo e sobrescrevam o conteúdo existente. (Esta permissão se aplica somente a arquivos.)
- Criar pastas/apagar dados: Esta permissão de Criar Pastas permite aos usuários criar pastas dentro de uma pasta. (Isto aplica-se apenas a pastas.) A permissão Append Data permite que os usuários façam alterações no final do arquivo, mas eles não podem alterar, excluir ou sobrescrever dados existentes. (Isto aplica-se apenas a ficheiros.)
- Write Attributes: Os usuários podem alterar os atributos de um arquivo ou pasta, tais como somente leitura ou oculto. (NTFS define estes atributos.)
- Write Extended Attributes: Os usuários podem alterar os atributos estendidos de um arquivo ou pasta.
- Excluir: Os usuários podem excluir o arquivo ou pasta. (Se os usuários não tiverem a permissão Delete em um arquivo ou pasta, eles ainda podem excluí-lo se tiverem a permissão Delete Subfolders And Files na pasta pai.)
- Read Permissions: Os usuários têm permissões de leitura do arquivo ou pasta, como Controle Total, Leitura e Gravação.
- Alterar Permissões: Os usuários têm permissões de alteração do arquivo ou pasta, como Full Control, Read, and Write.
- Take Ownership: Os usuários podem se apropriar do arquivo ou pasta. O proprietário de um arquivo ou pasta pode sempre alterar as permissões nele, independentemente de quaisquer permissões existentes que protejam o arquivo ou pasta.
Qual é a grande diferença?
A grande diferença entre o antigo NTFS e o novo NTFS é o estabelecimento da precedência de permissão Herdada e Explicita. Embora você possa assumir que a Negar permissão tem precedência sobre qualquer outra permissão, nem sempre é esse o caso.
Aqui está a hierarquia para permissões:
- Explicit Deny
- Explicit Allow
- Inherited Deny
- Inherited Allow
Quando um usuário acessa cada arquivo, pasta, chave de registro, impressora e objeto Active Directory, o sistema verifica as permissões de cima para baixo. Quando ele satisfaz uma dessas condições de fonte, ele concede ou nega o acesso. Isto permite que você defina a herança de permissão para um objeto e mantenha um controle fino para exceções à sua política geral de permissões.
Perguntas finais
PermissõesNTFS oferecem um grande controle quando se trata de recursos em seus sistemas. Se você está tendo problemas com usuários que não podem acessar dados ou objetos necessários em sua estrutura do Active Directory, olhe na hierarquia para essas permissões e você encontrará o problema.
>
Miss a column?
>
Cheque o Arquivo de Soluções de Segurança e acompanhe as edições mais recentes da coluna de Mike Mullins.
Perguntas sobre questões de segurança? Quem não está? Assine automaticamente a nossa newsletter gratuita de Soluções de Segurança, entregue todas as sextas-feiras, e receba conselhos práticos para bloquear os seus sistemas.
Mike Mullins serviu como administrador de assistência de rede e administrador de segurança de rede para o U.S. SecretService e para a Defense Information Systems Agency. Ele é atualmente o diretor de operações para o Southern Theater Network Operations and SecurityCenter.