Идентификатор безопасности
Операционные системы Windows используют SID для представления всех принципов безопасности. SID - это просто строки переменной длины буквенно-цифровых символов, которые представляют машины, пользователей и группы. SID добавляются в списки управления доступом (списки контроля доступа) каждый раз, когда вы предоставляете пользователю или группе права на файл или папку. За сценой SID хранятся так же, как и все другие объекты данных, в двоичном формате. Однако, когда вы видите SID в Windows, он будет отображаться с использованием более читаемого синтаксиса. Не часто вы увидите какую-либо форму SID в Windows, наиболее распространенным сценарием является предоставление кому-то разрешения на ресурс, после чего их учетная запись пользователя будет удалена, а затем будет отображаться как SID в ACL. Поэтому давайте рассмотрим типичный формат, в котором вы увидите SID в Windows.
- Префикс 'S'
- Номер пересмотра структуры
- Величина авторитета идентификатора 48 бит
- Переменное число значений 32-разрядных суб-полномочий или относительного идентификатора (RID)
Используя мой идентификатор SID на изображении ниже, мы разберем различные разделы, чтобы получить лучшее понимание.
The SID Structure:
‘S’ – The first component of a SID is always an ‘S’. This is prefixed to all SIDs and is there to inform Windows that what follows is a SID. ‘1’ – The second component of a SID is the revision number of the SID specification, if the SID specification was to change it would provide backwards compatibility. As of Windows 7 and Server 2008 R2 the SID specification is still in the first revision. ‘5’ – The third section of a SID is called the Identifier Authority. This defines in what scope the SID was generated. Possible values for this sections of the SID can be:
- 0 – Null Authority
- 1 – World Authority
- 2 – Local Authority
- 3 – Creator Authority
- 4 – Non-unique Authority
- 5 – NT Authority
’21’ – The forth component is sub-authority 1, the value ’21’ is used in the forth field to specify that the sub-authorities that follow identify the Local Machine or the Domain. ‘1206375286-251249764-2214032401’ – These are called sub-authority 2,3 and 4 respectively. In our example this is used to identify the local machine, but could also be the the identifier for a Domain. ‘1000’ – Sub-authority 5 is the last component in our SID and is called the RID (Relative Identifier), the RID is relative to each security principle, please note that any user defined objects, the ones that are not shipped by Microsoft will have a RID of 1000 or greater.
Принципы безопасности
Принцип безопасности - это все, что связано с SID, это могут быть пользователи, компьютеры и даже группы. Принципы безопасности могут быть локальными или находиться в контексте домена. Управление локальными принципами безопасности осуществляется с помощью оснастки «Локальные пользователи и группы» при управлении компьютером. Чтобы попасть туда, щелкните правой кнопкой мыши на ярлыке компьютера в меню «Пуск» и выберите «Управление».
Разрешения для общего доступа и разрешение NTFS
В Windows существует два типа разрешений файлов и папок, во-первых, есть разрешения на доступ к общим ресурсам, а во-вторых есть разрешения NTFS, также называемые разрешениями безопасности. Обратите внимание, что при совместном использовании папки по умолчанию группе «Все» предоставляется разрешение на чтение. Безопасность в папках обычно выполняется с комбинацией разрешения Share и NTFS, если это так, важно помнить, что самый ограничивающий всегда применяется, например, если для разрешения общего доступа установлено значение Everyone = Read (которое является значением по умолчанию) но разрешение NTFS позволяет пользователям вносить изменения в файл, разрешение на передачу будет предпочтительным, и пользователям не разрешат вносить изменения. Когда вы устанавливаете разрешения, LSASS (Local Security Authority) контролирует доступ к ресурсу. Когда вы входите в систему, вам предоставляется токен доступа с вашим SID, когда вы переходите на доступ к ресурсу, LSASS сравнивает SID, который вы добавили в ACL (список контроля доступа), и если SID находится в ACL, он определяет, следует ли разрешить или запретить доступ. Независимо от того, какие разрешения вы используете, есть различия, поэтому давайте взглянем, чтобы лучше понять, когда мы должны что-то использовать.
Разрешения для доступа:
- Используйте только те пользователи, которые обращаются к ресурсу по сети. Они не применяются, если вы входите в систему локально, например, через терминальные службы.
- Он применяется ко всем файлам и папкам в общем ресурсе. Если вы хотите предоставить более узкую схему ограничения, вы должны использовать разрешение NTFS в дополнение к общим разрешениям
- Если у вас есть тома FAT или FAT32, это будет единственной формой ограничения, доступной вам, поскольку разрешения NTFS недоступны в этих файловых системах.
Разрешения NTFS:
- Единственным ограничением в разрешениях NTFS является то, что их можно установить только на том, который отформатирован в файловой системе NTFS
- Помните, что NTFS являются кумулятивными, что означает, что эффективные разрешения пользователей являются результатом объединения назначенных ему прав доступа и разрешений любых групп, к которым принадлежит пользователь.
Новые разрешения для доступа
Windows 7 купила новую технику «простой» акции. Параметры изменились с Read, Change и Full Control на. Чтение и чтение / запись. Идея была частью всего менталитета группы Home и позволяет легко обмениваться папкой для неграмотных грамотных людей. Это делается через контекстное меню и легко разделяет вашу домашнюю группу.
- Read permission is the “look, don’t touch” option. Recipients can open, but not modify or delete a file.
- Read/Write is the “do anything” option. Recipients can open, modify, or delete a file.
Путь старой школы
В старом диалоговом окне общих ресурсов было больше опций, и мы предоставили возможность совместно использовать папку под другим псевдонимом, что позволило нам ограничить количество одновременных подключений, а также настроить кеширование. Ни одна из этих функций не потеряна в Windows 7, а скорее скрыта под опцией «Расширенный доступ». Если вы щелкните правой кнопкой мыши по папке и перейдите к ее свойствам, вы можете найти эти настройки «Расширенный доступ» на вкладке совместного доступа.
- Read permission allows you to view and open files and subdirectories as well as execute applications. However it doesn’t allow any changes to be made.
- Modify permission allows you to do anything that Read permission allows, it also add the ability to add files and subdirectories, delete subfolders and change data in the files.
- Full Control is the “do anything” of the classic permissions, as it allows for you to do any and all of the previous permissions. In addition it gives you the advanced changing NTFS Permission, this only applies on NTFS Folders
Разрешения NTFS
Разрешение NTFS позволяет очень детально контролировать ваши файлы и папки. С учетом сказанного объем детализации может быть сложным для новичков. Вы также можете установить разрешение NTFS для каждого файла, а также для каждой папки. Чтобы установить разрешение NTFS для файла, вы должны щелкнуть правой кнопкой мыши и перейти к свойствам файлов, где вам нужно перейти на вкладку безопасности.
- Full Control allows you to read, write, modify, execute, change attributes, permissions, and take ownership of the file.
- Modify allows you to read, write, modify, execute, and change the file’s attributes.
- Read & Execute will allow you to display the file’s data, attributes, owner, and permissions, and run the file if its a program.
- Read will allow you to open the file, view its attributes, owner, and permissions.
- Write will allow you to write data to the file, append to the file, and read or change its attributes.
Разрешения NTFS для папок имеют несколько разные параметры, поэтому давайте взглянем на них.
- Full Control allows you to read, write, modify, and execute files in the folder, change attributes, permissions, and take ownership of the folder or files within.
- Modify allows you to read, write, modify, and execute files in the folder, and change attributes of the folder or files within.
- Read & Execute will allow you to display the folder’s contents and display the data, attributes, owner, and permissions for files within the folder, and run files within the folder.
- List Folder Contents will allow you to display the folder’s contents and display the data, attributes, owner, and permissions for files within the folder.
- Read will allow you to display the file’s data, attributes, owner, and permissions.
- Write will allow you to write data to the file, append to the file, and read or change its attributes.
В документации Microsoft также указано, что «Содержимое списка папок» позволит вам выполнять файлы в папке, но для этого вам все равно нужно включить «Чтение и выполнение». Это очень смутно документированное разрешение.
Резюме
Таким образом, имена пользователей и группы представляют собой представления буквенно-цифровой строки, называемой идентификатором SID (Security Identifier), Share и NTFS, привязаны к этим идентификаторам безопасности. Разрешения общего доступа проверяются LSSAS только при доступе по сети, а разрешения NTFS действительны только на локальных компьютерах. Я надеюсь, что вы все хорошо понимаете, как реализована безопасность файлов и папок в Windows 7. Если у вас есть какие-либо вопросы, не стесняйтесь звучать в комментариях.