Làm thế nào để hiểu những người khó hiểu Windows 7 File / Chia sẻ quyền

2024 Tác giả: Geoffrey Carr | [email protected]. Sửa đổi lần cuối: 2023-12-17 11:02

Mã định danh bảo mật

Hệ điều hành Windows sử dụng SID để thể hiện tất cả các nguyên tắc bảo mật. SID chỉ là chuỗi có độ dài thay đổi của các ký tự chữ và số đại diện cho máy, người dùng và nhóm. SID được thêm vào ACL (Danh sách điều khiển truy cập) mỗi khi bạn cấp quyền cho người dùng hoặc nhóm cho một tệp hoặc thư mục. Đằng sau SID được lưu trữ giống như tất cả các đối tượng dữ liệu khác, theo dạng nhị phân. Tuy nhiên khi bạn thấy một SID trong Windows, nó sẽ được hiển thị bằng cách sử dụng cú pháp dễ đọc hơn. Thường thì bạn sẽ thấy bất kỳ hình thức SID nào trong Windows, kịch bản phổ biến nhất là khi bạn cấp cho ai đó quyền tài nguyên, tài khoản người dùng của họ sẽ bị xóa, sau đó nó sẽ hiển thị dưới dạng SID trong ACL. Vì vậy, hãy xem xét định dạng điển hình, trong đó bạn sẽ thấy SID trong Windows.

1. Tiền tố ‘S’
2. Số sửa đổi cấu trúc
3. Giá trị thẩm quyền nhận dạng 48 bit
4. Số biến số của các giá trị số nhận dạng tương đối 32 bit hoặc giá trị nhận dạng tương đối (RID)

Sử dụng SID của tôi trong hình dưới đây, chúng tôi sẽ chia nhỏ các phần khác nhau để hiểu rõ hơn.

The SID Structure:

‘S’ – The first component of a SID is always an ‘S’. This is prefixed to all SIDs and is there to inform Windows that what follows is a SID. ‘1’ – The second component of a SID is the revision number of the SID specification, if the SID specification was to change it would provide backwards compatibility. As of Windows 7 and Server 2008 R2 the SID specification is still in the first revision. ‘5’ – The third section of a SID is called the Identifier Authority. This defines in what scope the SID was generated. Possible values for this sections of the SID can be:

1. 0 – Null Authority
2. 1 – World Authority
3. 2 – Local Authority
4. 3 – Creator Authority
5. 4 – Non-unique Authority
6. 5 – NT Authority

’21’ – The forth component is sub-authority 1, the value ’21’ is used in the forth field to specify that the sub-authorities that follow identify the Local Machine or the Domain. ‘1206375286-251249764-2214032401’ – These are called sub-authority 2,3 and 4 respectively. In our example this is used to identify the local machine, but could also be the the identifier for a Domain. ‘1000’ – Sub-authority 5 is the last component in our SID and is called the RID (Relative Identifier), the RID is relative to each security principle, please note that any user defined objects, the ones that are not shipped by Microsoft will have a RID of 1000 or greater.

Nguyên tắc bảo mật

Nguyên tắc bảo mật là bất kỳ thứ gì có SID gắn liền với nó, đây có thể là người dùng, máy tính và thậm chí cả nhóm. Nguyên tắc bảo mật có thể là cục bộ hoặc trong ngữ cảnh miền. Bạn quản lý các nguyên tắc bảo mật cục bộ thông qua phần đính kèm Người dùng cục bộ và Nhóm, trong quản lý máy tính. Để đến đó, nhấp chuột phải vào lối tắt máy tính trong menu bắt đầu và chọn quản lý.

Quyền chia sẻ và quyền NTFS

Trong Windows có hai loại quyền truy cập tập tin và thư mục, trước hết có quyền chia sẻ và thứ hai có quyền NTFS cũng được gọi là quyền bảo mật. Lưu ý rằng khi bạn chia sẻ thư mục theo mặc định, nhóm "Mọi người" sẽ được cấp quyền đọc. Bảo mật trên các thư mục thường được thực hiện với sự kết hợp của Quyền chia sẻ và NTFS nếu đây là trường hợp cần nhớ rằng hạn chế nhất luôn áp dụng, ví dụ nếu quyền chia sẻ được đặt thành Mọi người = Đọc (là mặc định), nhưng Quyền NTFS cho phép người dùng thực hiện thay đổi đối với tệp, Quyền Chia sẻ sẽ mất ưu tiên và người dùng sẽ không được phép thực hiện thay đổi. Khi bạn đặt quyền, LSASS (Local Security Authority) sẽ kiểm soát quyền truy cập vào tài nguyên. Khi bạn đăng nhập, bạn được cấp mã truy cập với SID của bạn, khi bạn truy cập vào tài nguyên, LSASS so sánh SID mà bạn đã thêm vào ACL (Danh sách điều khiển truy cập) và nếu SID ở trên ACL, nó sẽ xác định xem cho phép hoặc từ chối truy cập. Không có vấn đề gì bạn cho phép sử dụng có sự khác biệt vì vậy hãy xem xét để có được một sự hiểu biết tốt hơn về khi chúng ta nên sử dụng những gì.

Quyền chia sẻ:

1. Chỉ áp dụng cho người dùng truy cập tài nguyên qua mạng. Chúng không áp dụng nếu bạn đăng nhập cục bộ, ví dụ như thông qua dịch vụ đầu cuối.
2. Nó áp dụng cho tất cả các tệp và thư mục trong tài nguyên được chia sẻ. Nếu bạn muốn cung cấp một loại lược đồ hạn chế chi tiết hơn, bạn nên sử dụng Quyền hạn NTFS ngoài các quyền được chia sẻ
3. Nếu bạn có bất kỳ khối lượng định dạng FAT hoặc FAT32 nào, đây sẽ là dạng hạn chế duy nhất có sẵn cho bạn, vì Quyền NTFS không có sẵn trên các hệ thống tệp đó.

Quyền NTFS:

1. Hạn chế duy nhất về quyền NTFS là chúng chỉ có thể được đặt trên ổ đĩa được định dạng cho hệ thống tệp NTFS
2. Hãy nhớ rằng NTFS được tích lũy có nghĩa là quyền người dùng có hiệu quả là kết quả của việc kết hợp các quyền được chỉ định của người dùng và quyền của bất kỳ nhóm người dùng nào thuộc về.

Quyền chia sẻ mới

Windows 7 đã mua cùng một kỹ thuật chia sẻ “dễ dàng” mới. Các tùy chọn đã thay đổi từ Đọc, Thay đổi và Kiểm soát Toàn bộ thành. Đọc và đọc / ghi. Ý tưởng này là một phần của toàn bộ tâm lý nhóm Trang chủ và giúp bạn dễ dàng chia sẻ một thư mục cho những người không biết đọc biết viết. Điều này được thực hiện thông qua menu ngữ cảnh và chia sẻ với nhóm nhà của bạn một cách dễ dàng.

1. Read permission is the “look, don’t touch” option. Recipients can open, but not modify or delete a file.
2. Read/Write is the “do anything” option. Recipients can open, modify, or delete a file.

The Old School Way

Hộp thoại chia sẻ cũ có nhiều tùy chọn hơn và cho chúng tôi tùy chọn chia sẻ thư mục theo bí danh khác, nó cho phép chúng tôi giới hạn số lượng kết nối đồng thời cũng như cấu hình bộ nhớ đệm. Không có chức năng này bị mất trong Windows 7 nhưng thay vào đó được ẩn dưới một tùy chọn gọi là "Chia sẻ nâng cao". Nếu bạn nhấp chuột phải vào một thư mục và đi đến các thuộc tính của nó, bạn có thể tìm thấy các cài đặt "Chia sẻ nâng cao" này trong tab chia sẻ.

1. Read permission allows you to view and open files and subdirectories as well as execute applications. However it doesn’t allow any changes to be made.
2. Modify permission allows you to do anything that Read permission allows, it also add the ability to add files and subdirectories, delete subfolders and change data in the files.
3. Full Control is the “do anything” of the classic permissions, as it allows for you to do any and all of the previous permissions. In addition it gives you the advanced changing NTFS Permission, this only applies on NTFS Folders

Quyền NTFS

Quyền NTFS cho phép kiểm soát rất chi tiết các tệp và thư mục của bạn. Với điều đó, số lượng chi tiết có thể gây khó khăn cho người mới đến. Bạn cũng có thể đặt quyền NTFS trên cơ sở mỗi tệp cũng như cơ sở cho mỗi thư mục. Để thiết lập quyền NTFS trên một tệp, bạn nên nhấp chuột phải và đi đến các thuộc tính tệp mà bạn sẽ cần đến tab bảo mật.

1. Full Control allows you to read, write, modify, execute, change attributes, permissions, and take ownership of the file.
2. Modify allows you to read, write, modify, execute, and change the file’s attributes.
3. Read & Execute will allow you to display the file’s data, attributes, owner, and permissions, and run the file if its a program.
4. Read will allow you to open the file, view its attributes, owner, and permissions.
5. Write will allow you to write data to the file, append to the file, and read or change its attributes.

Quyền NTFS cho các thư mục có các tùy chọn hơi khác nhau, vì vậy hãy xem chúng.

1. Full Control allows you to read, write, modify, and execute files in the folder, change attributes, permissions, and take ownership of the folder or files within.
2. Modify allows you to read, write, modify, and execute files in the folder, and change attributes of the folder or files within.
3. Read & Execute will allow you to display the folder’s contents and display the data, attributes, owner, and permissions for files within the folder, and run files within the folder.
4. List Folder Contents will allow you to display the folder’s contents and display the data, attributes, owner, and permissions for files within the folder.
5. Read will allow you to display the file’s data, attributes, owner, and permissions.
6. Write will allow you to write data to the file, append to the file, and read or change its attributes.

Tài liệu của Microsoft cũng cho biết rằng "Danh sách nội dung thư mục" sẽ cho phép bạn thực thi các tệp trong thư mục, nhưng bạn vẫn sẽ cần bật "Đọc và thực thi" để thực hiện việc này. Đó là một sự cho phép rất khó hiểu.

Tóm lược

Tóm lại, tên người dùng và nhóm là biểu diễn của một chuỗi ký tự chữ và số được gọi là SID (Mã định danh bảo mật), Quyền chia sẻ và NTFS được gắn với các SID này. Quyền chia sẻ chỉ được LSSAS kiểm tra khi được truy cập qua mạng, trong khi các Quyền NTFS chỉ hợp lệ trên các máy cục bộ. Tôi hy vọng rằng tất cả các bạn có một sự hiểu biết về cách bảo mật tập tin và thư mục trong Windows 7 được thực hiện. Nếu bạn có bất kỳ câu hỏi cảm thấy tự do để tắt trong các ý kiến.