Come capire chi confonde le autorizzazioni di file / condivisione di Windows 7

0
78

Hai mai provato a capire tutte le autorizzazioni in Windows? Sono disponibili autorizzazioni di condivisione, autorizzazioni NTFS, elenchi di controllo degli accessi e altro ancora. Ecco come funzionano tutti insieme.

L'identificatore di sicurezza

I sistemi operativi Windows utilizzano i SID per rappresentare tutte le entità di sicurezza. I SID sono solo stringhe a lunghezza variabile di caratteri alfanumerici che rappresentano macchine, utenti e gruppi. I SID vengono aggiunti agli ACL (Elenchi controllo accessi) ogni volta che si concede a un utente o gruppo l'autorizzazione a un file o una cartella. Dietro le quinte, i SID sono memorizzati nello stesso modo in cui sono tutti gli altri oggetti dati, in binario. Tuttavia, quando vedi un SID in Windows, questo verrà visualizzato usando una sintassi più leggibile. Non capita spesso di vedere alcuna forma di SID in Windows, lo scenario più comune è quando concedi a qualcuno l'autorizzazione a una risorsa, quindi il suo account utente viene eliminato, quindi verrà visualizzato come SID nella LCA. Quindi diamo un'occhiata al formato tipico in cui vedrai i SID in Windows.

La notazione che vedrai prende una certa sintassi, di seguito sono le diverse parti di un SID in questa notazione.

  1. Un prefisso “S”
  2. Numero di revisione della struttura
  3. Un valore di autorizzazione dell'identificatore a 48 bit
  4. Un numero variabile di valori di sub-autorità a 32 bit o identificatore relativo (RID)

Usando il mio SID nell'immagine qui sotto, spezzeremo le diverse sezioni per capire meglio.

La struttura SID:

'S' – Il primo componente di un SID è sempre una “S”. Questo è preceduto da tutti i SID ed è lì per informare Windows che ciò che segue è un SID.
‘1’ – Il secondo componente di un SID è il numero di revisione della specifica SID, se la specifica SID dovesse cambiare, fornirebbe la retrocompatibilità. A partire da Windows 7 e Server 2008 R2 la specifica SID è ancora nella prima revisione.
‘5’ – La terza sezione di un SID è denominata Autorità identificatore. Ciò definisce in quale ambito è stato generato il SID. I valori possibili per questa sezione del SID possono essere:

  1. 0 – Autorità nulla
  2. 1 – Autorità mondiale
  3. 2 – Autorità locale
  4. 3 – Autorità creatore
  5. 4 – Autorità non unica
  6. 5 – Autorità NT

‘21’ – Il quarto componente è la sub-autorità 1, il valore “21” viene utilizzato nel quarto campo per specificare che le sub-autorità che seguono identificano la macchina locale o il dominio.
‘1206375286-251249764-2214032401’ – Questi sono chiamati rispettivamente sub-autorità 2,3 e 4. Nel nostro esempio questo è usato per identificare il computer locale, ma potrebbe anche essere l'identificatore di un dominio.
‘1000’ – La sub-autorità 5 è l'ultimo componente del nostro SID e si chiama RID (Relative Identifier), il RID è relativo a ciascun principio di sicurezza, si noti che tutti gli oggetti definiti dall'utente, quelli che non vengono spediti da Microsoft avranno un RID di 1000 o superiore.

Principi di sicurezza

Un'entità di sicurezza è tutto ciò a cui è collegato un SID, che può essere utenti, computer e persino gruppi. Le entità di sicurezza possono essere locali o nel contesto del dominio. Gestisci le entità di sicurezza locali tramite lo snap-in Utenti e gruppi locali, in Gestione computer. Per arrivarci, fai clic con il pulsante destro del mouse sul collegamento del computer nel menu Start e scegli gestisci.

Per aggiungere un nuovo principal di sicurezza utente è possibile accedere alla cartella utenti e fare clic con il tasto destro del mouse e selezionare nuovo utente.

Se si fa doppio clic su un utente, è possibile aggiungerlo a un gruppo di sicurezza nella scheda Membro di.

Per creare un nuovo gruppo di sicurezza, vai alla cartella Gruppi sul lato destro. Fare clic con il tasto destro del mouse sullo spazio bianco e selezionare un nuovo gruppo.

Autorizzazioni di condivisione e autorizzazione NTFS

In Windows esistono due tipi di permessi per file e cartelle, in primo luogo ci sono i permessi di condivisione e in secondo luogo ci sono permessi NTFS chiamati anche permessi di sicurezza. Si noti che quando si condivide una cartella per impostazione predefinita, al gruppo “Everyone” viene concessa l'autorizzazione di lettura. La sicurezza delle cartelle viene di solito eseguita con una combinazione di Autorizzazioni condivisione e NTFS, in questo caso è essenziale ricordare che il più restrittivo si applica sempre, ad esempio se l'autorizzazione di condivisione è impostata su Everyone = Leggi (che è l'impostazione predefinita), ma l'autorizzazione NTFS consente agli utenti di apportare una modifica al file, l'autorizzazione alla condivisione avrà la preferenza e agli utenti non sarà consentito apportare modifiche. Quando si impostano le autorizzazioni, LSASS (Local Security Authority) controlla l'accesso alla risorsa. Quando si accede, viene assegnato un token di accesso con il proprio SID, quando si accede alla risorsa, LSASS confronta il SID aggiunto all'ACL (Elenco controllo accessi) e se il SID si trova sull'ACL, determina se consentire o negare l'accesso. Indipendentemente dalle autorizzazioni utilizzate, esistono differenze, quindi diamo un'occhiata per capire meglio quando dovremmo usare cosa.

Autorizzazioni di condivisione:

  1. Si applicano solo agli utenti che accedono alla risorsa sulla rete. Non si applicano se si accede localmente, ad esempio tramite servizi terminal.
  2. Si applica a tutti i file e le cartelle nella risorsa condivisa. Se si desidera fornire un tipo più dettagliato di schema di restrizione, è necessario utilizzare l'autorizzazione NTFS oltre alle autorizzazioni condivise
  3. Se si dispone di volumi formattati FAT o FAT32, questa sarà l'unica forma di restrizione disponibile, poiché le autorizzazioni NTFS non sono disponibili su tali file system.

Autorizzazioni NTFS:

  1. L'unica limitazione alle autorizzazioni NTFS è che possono essere impostate solo su un volume formattato nel file system NTFS
  2. Ricorda che le NTFS sono cumulative, il che significa che le autorizzazioni effettive di un utente sono il risultato della combinazione delle autorizzazioni assegnate all'utente e delle autorizzazioni di tutti i gruppi a cui appartiene l'utente.

Le nuove autorizzazioni di condivisione

Windows 7 ha acquistato una nuova tecnica di condivisione “facile”. Le opzioni sono state modificate da Leggi, Cambia e Controllo completo in. Leggi e leggi / scrivi. L'idea faceva parte di tutta la mentalità del gruppo Home e semplifica la condivisione di una cartella per persone non informate. Questo viene fatto tramite il menu contestuale e condivide facilmente con il tuo gruppo di casa.

Se desideri condividere con qualcuno che non fa parte del gruppo di origine, puoi sempre scegliere l'opzione “Persone specifiche …”. Ciò porterebbe a un dialogo più “elaborato”. Dove è possibile specificare un utente o un gruppo specifico.

Esistono solo due autorizzazioni, come menzionato in precedenza, insieme offrono uno schema di protezione tutto o niente per le tue cartelle e file.

  1. Leggere l'autorizzazione è l'opzione “guarda, non toccare”. I destinatari possono aprire, ma non modificare o eliminare un file.
  2. Leggere scrivere è l'opzione “fai qualsiasi cosa”. I destinatari possono aprire, modificare o eliminare un file.

The Old School Way

La vecchia finestra di dialogo di condivisione aveva più opzioni e ci ha dato la possibilità di condividere la cartella con un diverso alias, ci ha permesso di limitare il numero di connessioni simultanee e configurare la memorizzazione nella cache. Nessuna di queste funzionalità si perde in Windows 7, ma è nascosta sotto un'opzione chiamata “Condivisione avanzata”. Se fai clic con il pulsante destro del mouse su una cartella e vai alle sue proprietà, puoi trovare queste impostazioni di “Condivisione avanzata” nella scheda di condivisione.

Se fai clic sul pulsante “Condivisione avanzata”, che richiede le credenziali dell'amministratore locale, puoi configurare tutte le impostazioni che avevi familiarità con le versioni precedenti di Windows.

Se fai clic sul pulsante delle autorizzazioni, ti verranno presentate le 3 impostazioni che conosciamo tutti.

  1. Leggere l'autorizzazione consente di visualizzare e aprire file e sottodirectory nonché eseguire applicazioni. Tuttavia, non consente di apportare modifiche.
  2. Modificare l'autorizzazione ti consente di fare qualsiasi cosa Leggere l'autorizzazione lo consente, inoltre aggiunge la possibilità di aggiungere file e sottodirectory, eliminare le sottocartelle e modificare i dati nei file.
  3. Pieno controllo è il “fai qualsiasi cosa” delle autorizzazioni classiche, in quanto ti consente di fare tutte le autorizzazioni precedenti. Inoltre ti dà il permesso di modifica NTFS avanzato, questo vale solo per le cartelle NTFS

Autorizzazioni NTFS

L'autorizzazione NTFS consente un controllo molto granulare su file e cartelle. Detto questo, la quantità di granularità può essere scoraggiante per un nuovo arrivato. È inoltre possibile impostare l'autorizzazione NTFS in base al file e alla cartella. Per impostare l'autorizzazione NTFS su un file, è necessario fare clic con il pulsante destro del mouse e accedere alle proprietà dei file in cui è necessario accedere alla scheda Sicurezza.

Per modificare le autorizzazioni NTFS per un utente o un gruppo, fare clic sul pulsante Modifica.

Come puoi vedere ci sono un sacco di autorizzazioni NTFS, quindi lasciamole scomporre. Per prima cosa daremo un'occhiata alle autorizzazioni NTFS che puoi impostare su un file.

  1. Pieno controllo consente di leggere, scrivere, modificare, eseguire, modificare attributi, autorizzazioni e assumere la proprietà del file.
  2. Modificare ti permette di leggere, scrivere, modificare, eseguire e cambiare gli attributi del file.
  3. Leggi ed esegui ti consentirà di visualizzare i dati, gli attributi, il proprietario e le autorizzazioni del file ed eseguirà il file se è un programma.
  4. Leggere ti permetterà di aprire il file, visualizzarne gli attributi, il proprietario e le autorizzazioni.
  5. Scrivi ti consentirà di scrivere i dati nel file, aggiungerli al file e leggere o modificarne gli attributi.

Le autorizzazioni NTFS per le cartelle hanno opzioni leggermente diverse, quindi diamo un'occhiata a queste.

  1. Pieno controllo consente di leggere, scrivere, modificare ed eseguire i file nella cartella, cambiare gli attributi, le autorizzazioni e assumere la proprietà della cartella o dei file all'interno.
  2. Modificare consente di leggere, scrivere, modificare ed eseguire i file nella cartella e cambiare gli attributi della cartella o dei file all'interno.
  3. Leggi ed esegui ti consentirà di visualizzare il contenuto della cartella e di visualizzare i dati, gli attributi, il proprietario e le autorizzazioni per i file all'interno della cartella e di eseguire i file all'interno della cartella.
  4. Elenco contenuti della cartella ti consentirà di visualizzare il contenuto della cartella e di visualizzare i dati, gli attributi, il proprietario e le autorizzazioni per i file all'interno della cartella.
  5. Leggere ti consentirà di visualizzare i dati, gli attributi, il proprietario e le autorizzazioni del file.
  6. Scrivi ti consentirà di scrivere i dati nel file, aggiungerli al file e leggere o modificarne gli attributi.

La documentazione di Microsoft afferma inoltre che “Elenca contenuto della cartella” ti consentirà di eseguire i file all'interno della cartella, ma dovrai comunque abilitare “Leggi ed esegui” per farlo. È un'autorizzazione documentata in modo molto confuso.

Sommario

In sintesi, i nomi utente e i gruppi sono rappresentazioni di una stringa alfanumerica chiamata SID (Security Identifier), le autorizzazioni Share e NTFS sono legate a questi SID. Le autorizzazioni di condivisione sono controllate da LSSAS solo quando si accede alla rete, mentre le autorizzazioni NTFS sono valide solo sui computer locali. Spero che abbiate una buona conoscenza di come viene implementata la sicurezza di file e cartelle in Windows 7. Se avete domande, sentitevi liberi di apparire nei commenti.

LEAVE A REPLY

Please enter your comment!
Please enter your name here