Рекламное объявление

С тех пор как Файловая система NTFS От FAT к NTFS к ZFS: демистифицированы файловые системыРазличные жесткие диски и операционные системы могут использовать разные файловые системы. Вот что это значит и что вам нужно знать. Подробнее был введен в качестве формата по умолчанию в потребительских выпусках Windows (начиная с Windows XP), у людей были проблемы с доступом к своим данным как на внутреннем, так и на внутреннем внешние диски. Простые атрибуты файлов больше не являются единственной причиной проблем при поиске и использовании их файлов. Теперь мы должны бороться с правами доступа к файлам и папкам, как обнаружил один из наших читателей.

Вопрос нашего читателя:

Я не могу видеть папки на моем внутреннем жестком диске. Я управлял командой «Attrib -h -r -s / s / d» и он показывает, что доступ запрещен для каждой папки. Я могу перейти к папкам с помощью команды «Выполнить», но не вижу папок на своем жестком диске. Как это исправить?

Брюс ответ:

Вот некоторые безопасные предположения, основанные на информации, которую мы получили: операционная система Windows XP или более поздняя; используемая файловая система - NTFS; пользователь не имеет прав полного доступа к той части файловой системы, которой он пытается манипулировать; они не в контексте администратора; и разрешения по умолчанию для файловой системы, возможно, были изменены.

instagram viewer

Все в Windows это объект, будь то раздел реестра, принтер или файл. Несмотря на то, что они используют одни и те же механизмы для определения доступа пользователя, мы ограничимся нашим обсуждением объектами файловой системы, чтобы сделать его максимально простым.

Контроль доступа

Безопасность Red Alert: 10 блогов по компьютерной безопасности, которым вы должны следовать сегодняБезопасность - это важная часть вычислений, и вы должны стремиться к самообразованию и быть в курсе событий. Вы захотите проверить эти десять блогов по безопасности и экспертов по безопасности, которые их пишут. Подробнее любого рода все об управлении кто может что-то сделать на объекте охраны. У кого есть ключ-карта, чтобы открыть ворота для входа в состав? У кого есть ключи, чтобы открыть офис генерального директора? У кого есть комбинация, чтобы открыть сейф в их офисе?

зеленые ворота

Тот же тип мышления относится к безопасности файлов и папок в файловых системах NTFS. У каждого пользователя в системе нет обоснованной необходимости доступа к каждому файлу в системе, и при этом им не нужен одинаковый доступ к этим файлам. Точно так же, как каждому сотруднику компании не нужен доступ к сейфу в офисе генерального директора или возможность изменять корпоративные отчеты, хотя им может быть разрешено их читать.

права доступа

Windows контролирует доступ к объектам файловой системы (файлам и папкам), устанавливая разрешения для пользователей или групп. Они указывают, какой тип доступа имеет пользователь или группа к объекту. Эти разрешения могут быть установлены либо позволять или же Отрицать конкретный тип доступа, и может быть задан явно для объекта или неявно через наследование от его родительской папки.

Стандартные разрешения для файлов: полный доступ, изменение, чтение и выполнение, чтение, запись и специальные. Папки имеют другое специальное разрешение, называемое списком содержимого папок. Эти стандартные разрешения являются предопределенными наборами расширенные разрешения которые позволяют более детальный контроль, но обычно не требуются вне стандартных разрешений.

Например, Читать и выполнить Стандартное разрешение включает в себя следующие дополнительные разрешения:

  • Папка перемещения / Выполнить файл
  • Список папок / чтение данных
  • Читать атрибуты
  • Читать расширенные атрибуты
  • Разрешения на чтение

Списки контроля доступа

Каждый объект в файловой системе имеет связанный список контроля доступа (ACL). ACL - это список идентификаторов безопасности (SID), которые имеют разрешения для объекта. Подсистема локальных органов безопасности (LSASS) будет сравнивать SID, прикрепленный к токену доступа, предоставленному пользователю при входе в систему, с SID в ACL для объекта, к которому пользователь пытается получить доступ. Если SID пользователя не совпадает ни с одним из SID в ACL, доступ будет запрещен. Если он совпадает, запрошенный доступ будет предоставлен или отклонен на основании разрешений для этого SID.

Существует также порядок оценки разрешений, который необходимо учитывать. Явные разрешения имеют приоритет над неявными разрешениями, а запрещающие разрешения имеют приоритет над разрешениями. По порядку это выглядит так:

  1. Явный Запрет
  2. Явный Разрешить
  3. Неявное Запретить
  4. Неявное Разрешить

Разрешения корневого каталога по умолчанию

Разрешения, предоставляемые в корневом каталоге диска, немного различаются, в зависимости от того, является ли диск системным или нет. Как видно на рисунке ниже, системный диск имеет два отдельных Позволять записи для аутентифицированных пользователей. Есть такая, которая позволяет аутентифицированным пользователям создавать папки и добавлять данные в существующие файлы, но не изменять существующие данные в файле, которые применяются только к корневому каталогу. Другой позволяет аутентифицированным пользователям изменять файлы и папки, содержащиеся в подпапках, если эта подпапка наследует разрешения от корня.

Root Permissions

Системные каталоги (Windows, Программные данные, Программные файлы, Программные файлы (x86), Пользователи или Документы и настройки и, возможно, другие) не наследуют свои разрешения от корневого каталога. Поскольку они являются системными каталогами, их разрешения явно установлены для предотвращения непреднамеренное или злонамеренное изменение операционной системы, программы и файлов конфигурации вредоносными программами или хакер

Если это не системный диск, единственное отличие состоит в том, что в группе «Прошедшие проверку» имеется одна запись разрешения, которая позволяет изменять разрешения для корневой папки, подпапок и файлов. Все разрешения, назначенные для 3 групп и учетной записи SYSTEM, наследуются по всему диску.

Анализ проблем

Когда наш плакат Attrib команда пытается удалить все системные, скрытые и доступные только для чтения атрибуты всех файлов и папок, начиная с (не указано) каталог, в котором они находились, они получали сообщения с указанием действия, которое они хотели выполнить (запись атрибутов) была быть отказано В зависимости от каталога, в котором они находились, когда запускали команду, это, вероятно, очень хорошая вещь, особенно если они были в C: \.

Вместо того, чтобы пытаться выполнить эту команду, было бы лучше просто изменить настройки в проводнике / проводнике Windows, чтобы показать скрытые файлы и каталоги. Это может быть легко достигнуто путем перехода к Организация> Папка и параметры поиска в проводнике Windows или Файл> Изменить папку и параметры поиска в проводнике. В появившемся диалоговом окне выберите Вкладка «Просмотр»> «Показать скрытые файлы, папки и диски». Если этот параметр включен, скрытые каталоги и файлы будут отображаться в списке как недоступные элементы.

свойства папки

На этом этапе, если файлы и папки все еще не отображаются, возникает проблема с расширенным разрешением «Список папок / Чтение данных». Пользователь или группа, к которой он принадлежит, эксплицитно или же косвенным образом отказано в этом разрешении для рассматриваемых папок, или пользователь не принадлежит ни к одной из групп, имеющих доступ к этим папкам.

Вы можете спросить, как читатель может перейти непосредственно в одну из этих папок, если у пользователя нет разрешений «Список папок / Чтение данных». Если вы знаете путь к папке, вы можете перейти к ней при условии, что у вас есть расширенные разрешения для папки / выполнения файла. Это также является причиной того, что проблема не будет связана со стандартным разрешением «Содержимое папки списка». Оно имеет и то и другое из этих расширенных разрешений.

Разрешение

За исключением системных каталогов, большинство разрешений наследуется по цепочке. Итак, первый шаг - определить каталог, ближайший к корню диска, где появляются симптомы. Как только этот каталог найден, щелкните его правой кнопкой мыши и выберите Свойства> вкладка «Безопасность». Проверьте разрешения для каждой из перечисленных групп / пользователей, чтобы убедиться, что у них есть отметка в столбце «Разрешить» для разрешения «Содержимое папки списка», а не в столбце «Запретить».

Если ни один столбец не отмечен, посмотрите также на запись «Специальные разрешения». Если это отмечено (разрешить или запретить), нажмите продвинутый кнопка, затем Изменить разрешения в появившемся диалоговом окне, если вы работаете в Vista или более поздней версии. Это вызовет почти идентичное диалоговое окно с несколькими дополнительными кнопками. Выберите соответствующую группу, нажмите редактировать и убедитесь, что список папок / разрешение на чтение данных разрешено.

Продвинутая разрешения

Если чеки затенены, это означает, что это унаследованное разрешение, и изменение этого должно быть сделано в родительской папке, если нет веской причины не делать этого, например, это каталог профиля пользователя, а родительским будет «Пользователи» или «Документы и настройки». папки. Также неразумно добавлять разрешения второму пользователю для доступа к каталогу профиля другого пользователя. Вместо этого, войдите в систему как этот пользователь, чтобы получить доступ к этим файлам и папкам. Если это то, что должно быть общим, переместите их в каталог общего профиля или используйте вкладку «Общий доступ», чтобы другие пользователи могли получить доступ к ресурсам.

Также возможно, что у пользователя нет прав на редактирование прав доступа к рассматриваемым файлам или каталогам. В этом случае Windows Vista или более поздняя версия должна Контроль учетных записей (UAC) Остановить раздражающие запросы UAC - Как создать белый список управления учетными записями пользователей [Windows]Начиная с Vista мы, пользователи Windows, были приставаны, прослушивались, раздражались и устали от запроса контроля учетных записей (UAC), сообщающего нам, что запускается программа, которую мы намеренно запустили. Конечно, это улучшилось, ... Подробнее запросить пароль администратора или разрешение на повышение привилегий пользователя, чтобы разрешить этот доступ. В Windows XP пользователь должен открыть проводник Windows с параметром Запуск от имени… и использовать Учетная запись администратора Учетная запись администратора Windows: все, что вам нужно знатьНачиная с Windows Vista, встроенная учетная запись администратора Windows по умолчанию отключена. Вы можете включить его, но сделайте это на свой страх и риск! Мы покажем вам, как. Подробнее обеспечить внесение изменений, если они еще не запущены с учетной записью администратора.

Я знаю, что многие люди просто скажут вам взять на себя ответственность за каталоги и файлы, но есть один огромный будьте осторожны с этим решением. Если это повлияет на какие-либо системные файлы и / или каталоги, вы сильно ослабите общую безопасность вашей системы. Должно никогда сделать это в корневом каталоге, Windows, Пользователи, Документы и настройки, Программные файлы, Программные файлы (x86), Программные данные или каталоги inetpub или любые их подпапки.

Вывод

Как видите, разрешения на дисках NTFS не слишком сложны, но поиск источников проблем с доступом может быть утомительным в системах с большим количеством каталогов. Вооружившись базовым пониманием того, как разрешения работают со списками контроля доступа, и немного упорством, обнаружение и устранение этих проблем скоро станет детской игрой.

Брюс играет с электроникой с 70-х годов, с компьютерами с начала 80-х и точно отвечает на вопросы о технологиях, которые он не использовал и не видел все время. Он также раздражает себя, пытаясь играть на гитаре.