Oglas

Vse od leta Datotečni sistem NTFS Od FAT do NTFS do ZFS: Demisticirani datotečni sistemiRazlični trdi diski in operacijski sistemi lahko uporabljajo različne datotečne sisteme. Tukaj je to, kaj to pomeni in kaj morate vedeti. Preberi več je bil predstavljen kot privzeta oblika v potrošniških izdajah sistema Windows (začenši z operacijskim sistemom Windows XP), ljudje pa so imeli težave pri dostopu do svojih podatkov na notranjih in notranjih zunanji pogoni. Preprosti atributi datotek niso več edini vzrok težav pri iskanju in uporabi njihovih datotek. Zdaj se moramo spoprijeti z dovoljenji datotek in map, kot je odkril eden od naših bralcev.

Vprašanje našega bralca:

Ne morem videti map na svojem notranjem trdem disku. Vodil sem ukaz "Attrib -h -r -s / s / d" in v vsaki mapi je onemogočen dostop. Lahko grem v mape s pomočjo ukaza Run, vendar na trdem disku ne vidim map. Kako to popravim?

Bruceov odgovor:

Tu je nekaj varnih predpostavk, ki temeljijo na podatkih, ki smo jih dobili: Operacijski sistem je Windows XP ali novejši; datotečni sistem v uporabi je NTFS; uporabnik nima dovoljenja za popoln nadzor na delu datotečnega sistema, s katerim poskuša manipulirati; niso v kontekstu skrbnika; in privzeta dovoljenja v datotečnem sistemu so morda spremenjena.

instagram viewer

Vse v sistemu Windows je predmet, naj bo to registrski ključ, tiskalnik ali datoteka. Čeprav uporabljajo iste mehanizme za določanje uporabniškega dostopa, bomo razpravo omejili na predmete sistemskih datotek, da bo čim bolj preprost.

Nadzor dostopa

Varnost Rdeča opozorila: 10 blogov o računalniški varnosti, ki bi jim morali slediti danesVarnost je ključni del računanja, zato si morate prizadevati, da se izobražujete in ostajate na tekočem. Pregledati boste morali teh deset blogov o varnosti in strokovnjake za varnost, ki jih pišejo. Preberi več kakršne koli vrste, gre samo za nadzor kdo lahko kaj naredi na objektu, ki se zavaruje. Kdo ima ključnico za odklepanje vrat za vstop v skupino? Kdo ima ključe za odpiranje pisarne generalnega direktorja? Kdo ima kombinacijo za odpiranje sefa v njihovi pisarni?

zelena vrata

Ista vrsta razmišljanja velja za varnost datotek in map v datotečnih sistemih NTFS. Vsak uporabnik v sistemu nima opravičljive potrebe po dostopu do vseh datotek v sistemu, prav tako pa ne potrebujejo enakega dostopa do teh datotek. Tako kot vsakemu zaposlenemu v podjetju ni treba imeti dostopa do sefa v pisarni generalnega direktorja ali zmožnosti spreminjanja poročil podjetij, čeprav jih bo morda lahko brala.

Dovoljenja

Windows nadzoruje dostop do predmetov datotečnega sistema (datotek in map) z nastavitvijo dovoljenj za uporabnike ali skupine. Te določajo, kakšen dostop ima uporabnik ali skupina do predmeta. Ta dovoljenja lahko nastavite na katero koli dovoli ali zanikati določeno vrsto dostopa in je lahko predmet izrecno nastavljen na objekt ali implicitno z dedovanjem iz nadrejene mape.

Standardna dovoljenja za datoteke so: Popoln nadzor, spreminjanje, branje in izvrševanje, branje, pisanje in posebno. Mape imajo še eno posebno dovoljenje, imenovano Seznam map. Ta standardna dovoljenja so vnaprej določeni nabori napredna dovoljenja ki omogočajo bolj natančen nadzor, vendar običajno niso potrebni zunaj standardnih dovoljenj.

Na primer Preberite in izvedite standardno dovoljenje vključuje naslednja napredna dovoljenja:

  • Prekrivanje mape / izvrševanje datoteke
  • Seznam map / branje podatkov
  • Preberite atribute
  • Preberite razširjene atribute
  • Preberite dovoljenja

Seznami nadzora dostopa

Vsak predmet v datotečnem sistemu ima povezan seznam nadzora dostopa (ACL). ACL je seznam varnostnih identifikatorjev (SID), ki imajo dovoljenja za objekt. Podsistem lokalnega varnostnega organa (LSASS) bo primerjal SID, pritrjen na dostopni žeton, dodeljen uporabniku ob prijavi, s SID-ji v ACL za objekt, do katerega uporabnik poskuša dostopati. Če se SID uporabnika ne ujema z nobenim od SID-jev v ACL, bo dostop zavrnjen. Če se ujema, bo zahtevani dostop odobren ali zavrnjen na podlagi dovoljenj za ta SID.

Obstaja tudi nalog za oceno dovoljenj, ki jih je treba upoštevati. Izrecna dovoljenja imajo prednost pred implicitnimi dovoljenji, zanikanja pa imajo prednost pred dovoljenji. Po vrstnem redu je videti tako:

  1. Izrecno zanikanje
  2. Izrecno dovoli
  3. Implicitno zanikati
  4. Implicitno dovoli

Privzeta dovoljenja za korenski imenik

Dovoljenja, dodeljena v korenskem imeniku pogona, se nekoliko razlikujejo, odvisno od tega, ali je pogon sistemski pogon ali ne. Kot je prikazano na spodnji sliki, ima sistemski pogon dva ločena Dovoli vnosi za overjene uporabnike. Obstaja ena, ki pooblaščenim uporabnikom omogoča ustvarjanje map in dodajanje podatkov k obstoječim datotekam, ne pa spreminjanje obstoječih podatkov v datoteki, ki veljajo samo za korenski imenik. Drugi omogoča pooblaščenim uporabnikom, da spremenijo datoteke in mape, ki jih vsebujejo podmape, če ta podmapa podeduje dovoljenja od korenske različice.

Korenska dovoljenja

Sistemski imeniki (Windows, programski podatki, programske datoteke, programske datoteke (x86), uporabniki ali dokumenti in nastavitve in morda drugi) ne dovolijo podedovanja svojih dovoljenj iz korenskega imenika. Ker gre za sistemske imenike, so njihova dovoljenja izrecno nastavljena kot pomoč pri preprečevanju nenamerna ali zlonamerna sprememba operacijskega sistema, programa in konfiguracijskih datotek z zlonamerno programsko opremo ali heker.

Če ne gre za sistemski pogon, je edina razlika v tem, da ima skupina Potrjenih uporabnikov en sam dovoljen vnos, ki omogoča spreminjanje dovoljenj za korensko mapo, podmape in datoteke. Vsa dovoljenja, dodeljena za 3 skupine in račun SYSTEM, so podedovana v celotnem pogonu.

Analiza problemov

Ko je naš plakat vodil pripisati ukaz, ki poskuša odstraniti vse sistemske, skrite in samo za branje atribute vseh datotek in map, ki se začnejo pri (nedoločen) imenik, v katerem so bili, so prejeli sporočila, ki kažejo, da je dejanje, ki ga želijo izvesti (Write attributes) ker je zavrnjen. Glede na imenik, v katerem so bili, ko so izvajali ukaz, je to verjetno zelo dobra stvar, še posebej, če so bili v C: \.

Namesto da bi poskusili zagnati ukaz, bi bilo bolje, da samo spremenite nastavitve v programu Windows Explorer / File Explorer in prikažete skrite datoteke in mape. To je mogoče enostavno doseči, če greš Uredi> Možnosti map in iskanja v Windows Explorerju ali Datoteka> Spremeni mapo in možnosti iskanja v File Explorerju. V dobljenem pogovornem oknu izberite Zavihek Pogled> Prikaži skrite datoteke, mape in pogone. Če je to omogočeno, bi se skriti imeniki in datoteke prikazali kot zatemnjeni elementi na seznamu.

mape-možnosti

Če se datoteke in mape še vedno ne prikažejo, obstaja težava z naprednim dovoljenjem List Folder / Read Data. Uporabnik ali skupina, ki ji pripada, je bodisi uporabnik bodisi skupina izrecno ali implicitno zavrnil je, da dovoljenje zadevnih map ali uporabnik ne pripada nobeni od skupin, ki imajo dostop do teh map.

Lahko vprašate, kako lahko bralec preide neposredno do ene od teh map, če uporabnik nima dovoljenj seznama / branja podatkov. Dokler poznate pot do mape, lahko greste do nje pod pogojem, da imate na njej napredna dovoljenja za prekrivanje mape / izvrševanje datoteke. To je tudi razlog, da s standardnim dovoljenjem List Folder Contents verjetno ne bo šlo za težave. Ima oboje teh naprednih dovoljenj.

Resolucija

Z izjemo sistemskih imenikov se večina dovoljenj podeduje po verigi. Torej, prvi korak je prepoznavanje imenika, ki je najbližje korenu pogona, kjer simptomi izzvenijo. Ko se ta imenik nahaja, z desno miškino tipko kliknite in izberite Lastnosti> zavihek Varnost. Preverite dovoljenja za vsako od naštetih skupin / uporabnikov, da preverite, ali imajo v stolpcu Dovoli dovoljenje za vsebino mape Seznam in ne v stolpcu Zavrni.

Če noben stolpec ni izbran, si oglejte tudi vnos Posebna dovoljenja. Če je to potrjeno (dovoli ali zavrni), kliknite na Napredno gumb Spremeni dovoljenja v dobljenem pogovornem oknu, če imate nameščen sistem Vista ali novejši. Prišlo bo do skoraj enakega pogovornega okna z nekaj dodatnimi gumbi. Izberite ustrezno skupino in kliknite Uredi in zagotovite, da je dovoljena mapa »Seznam« / dovoljenje za branje podatkov.

napredna dovoljenja

Če so čeki neprimerni, to pomeni, da je to podedovano dovoljenje, in spreminjanje je treba opraviti v nadrejeni mapi, razen če obstaja utemeljen razlog, da tega ne storite, na primer uporabnikov imenik profilov, nadrejeni pa bi bili uporabniki ali dokumenti in nastavitve mapo. Prav tako ni smiselno dodajati dovoljenj, da bi drugi uporabnik lahko imel dostop do imenika profilov drugega uporabnika. Namesto tega se prijavite kot ta uporabnik za dostop do teh datotek in map. Če je nekaj v skupni rabi, jih premaknite v imenik javnih profilov ali uporabite zavihek Skupna raba, da drugim uporabnikom omogočite dostop do virov.

Mogoče je tudi, da uporabnik nima dovoljenja za urejanje dovoljenj zadevnih datotek ali imenikov. V tem primeru bi moral Windows Vista ali novejši predstaviti a Nadzor uporabniških računov (UAC) Ustavi moteče pozive UAC - Kako ustvariti seznam dovoljenj za nadzor uporabniškega računa [Windows]Uporabniki operacijskega sistema Windows smo že od leta Vista nadlegovali, hroščali, motili in utrujeni od poziva za nadzor uporabniških računov (UAC), ki nam sporoča, da se začenja program, ki smo ga namerno zagnali. Seveda se je izboljšalo, ... Preberi več poziv za skrbniško geslo ali dovoljenje za povečanje uporabnikovih privilegijev, da omogoči ta dostop. V operacijskem sistemu Windows XP bi moral uporabnik odpreti program Windows Explorer z možnostjo Run as… in uporabiti Skrbniški račun Windows Administrator Account: Vse, kar morate vedetiZ Windows Vista je vgrajeni skrbniški račun Windows privzeto onemogočen. Lahko ga omogočite, vendar to storite na lastno odgovornost! Pokažemo vam, kako. Preberi več za zagotovitev sprememb, če se te še ne izvajajo s skrbniškim računom.

Vem, da bi marsikdo samo rekel, da prevzamete lastništvo nad zadevnimi imeniki in datotekami, vendar obstaja eno ogromno opozorilo na to rešitev. Če bi to vplivalo na katere koli sistemske datoteke in / ali imenike, boste močno oslabili splošno varnost vašega sistema. Moralo bi nikoli se izvaja v korenskem sistemu Windows, uporabniki, dokumenti in nastavitve, programske datoteke, programske datoteke (x86), programski podatki ali imeniki inetpub ali katero koli od njihovih podmap.

Zaključek

Kot vidite, dovoljenja na diskih NTFS niso pretirano težka, vendar je iskanje sistemov z dostopom lahko dolgočasno v sistemih z veliko imenikov. Oborožen z osnovnim razumevanjem, kako dovoljenja delujejo s seznami nadzora dostopa, in malo trma, lociranje in odpravljanje teh težav bo kmalu postalo otroška igra.

Bruce se z elektroniko igra od 70. let naprej, z računalniki od zgodnjih 80-ih let in natančno odgovarja na vprašanja o tehnologiji, ki jih ves čas ni uporabljal niti videl. Prav tako se moti, ker poskuša igrati kitaro.