Hirdetés

Azóta NTFS fájlrendszer FAT-tól NTFS-ig ZFS-ig: Demisztifikált fájlrendszerekA különböző merevlemezek és operációs rendszerek eltérő fájlrendszereket használhatnak. Itt van, hogy ez mit jelent, és mit kell tudnia. Olvass tovább vezették be alapértelmezett formátumként a Windows fogyasztói kiadásaiban (a Windows XP-vel kezdve), az embereknek problémáik vannak az adatokhoz való hozzáféréssel mind a belső, mind a külső meghajtók. A továbbiakban nem csupán az egyszerű fájlattribútumok jelentik a fájlok megtalálása és használata során felmerülő problémákat. Most meg kell küzdenünk a fájlok és mappák engedélyével, ahogy az egyik olvasó felfedezte.

Olvasóink kérdése:

Nem látom a mappákat a belső merevlemezemen. Futtam a parancsot “Attrib -h -r -s / s / d” és azt mutatja, hogy a hozzáférés megtagadva van minden mappán. A Futtatás paranccsal el tudok menni a mappákba, de a merevlemezemen nem látom a mappákat. Hogyan tudom ezt megjavítani?

Bruce válasza:

Íme néhány biztonságos feltevés a kapott információ alapján: Az operációs rendszer Windows XP vagy újabb; a használt fájlrendszer NTFS; a felhasználónak nincs teljes ellenőrzési engedélye a fájlrendszer azon részén, amelyet manipulálni próbálnak; nincsenek az adminisztrátor környezetében; és a fájlrendszer alapértelmezett engedélyei megváltoztak.

instagram viewer

Minden a Windowsban egy objektum, függetlenül attól, hogy regisztrációs kulcsot, nyomtatót vagy fájlt tartalmaz. Annak ellenére, hogy ugyanazokat a mechanizmusokat használják a felhasználói hozzáférés meghatározására, a beszélgetést fájlrendszer-objektumokra korlátozzuk, hogy a lehető legegyszerűbben megőrizzük.

Hozzáférés-szabályozás

Biztonság Piros figyelmeztetés: 10 számítógépes biztonsági blog, melyeket ma követned kellA biztonság a számítástechnika kritikus része, ezért törekednie kell arra, hogy nevelje magát és naprakész maradjon. Nézze meg ezt a tíz biztonsági blogot és a biztonsági szakértőket, akik ezeket írják. Olvass tovább mindenféle ellenőrzésről szól aki tehet valamit a rögzítendő tárgyon. Kinek van a kulcskártyája a kapu feloldásához, hogy beléphessen a vegyületbe? Ki rendelkezik a vezérigazgató irodájának megnyitásához szükséges kulcsokkal? Ki tudja kombinálni a széf kinyitását irodájukban?

zöld-gate

Ugyanez a gondolkodásmód vonatkozik a fájlok és mappák biztonságára az NTFS fájlrendszereken. A rendszer minden felhasználójának nincs igazolható igénye a rendszer összes fájljának elérésére, és nem kell, hogy mindegyikük azonos típusú hozzáféréssel rendelkezzen ezekhez a fájlokhoz. Csakúgy, mint egy vállalat minden alkalmazottjának, nem kell hozzáférnie a vezérigazgató irodájában lévő széfhez, vagy módosítania kell a vállalati jelentéseket, bár lehet, hogy elolvashatják őket.

Engedélyek

A Windows ellenőrzi a fájlrendszer-objektumokhoz (fájlok és mappák) való hozzáférést a felhasználók vagy csoportok engedélyének megadásával. Ezek meghatározzák, hogy a felhasználó vagy csoport milyen hozzáféréssel rendelkezik az objektumhoz. Ezek az engedélyek bármelyikre állíthatók lehetővé teszi vagy tagadni egy meghatározott típusú hozzáférést, és akár kifejezetten beállíthatja az objektumon, vagy implicit módon a szülő mappából való öröklés útján.

A fájlok általános engedélyei: Teljes vezérlés, Módosítás, Olvasás és végrehajtás, Olvasás, Írás és Speciális. A mappáknak van egy másik különleges engedélyük, a Mappa tartalmak listája. Ezek a szabványos engedélyek előre meghatározott halmazai speciális engedélyek amelyek lehetővé teszik a részletesebb ellenőrzést, de általában nem szükségesek a standard engedélyekön kívül.

Például a Olvassa el és hajtsa végre A szabvány engedély a következő speciális engedélyeket tartalmazza:

  • Mappa áthelyezése / fájl végrehajtása
  • Mappák felsorolása / Adatok olvasása
  • Olvassa el az attribútumokat
  • Olvassa el a kibővített attribútumokat
  • Olvassa el az Engedélyeket

Hozzáférés-ellenőrzési listák

A fájlrendszer minden objektumához társított hozzáférés-vezérlési lista (ACL) tartozik. Az ACL azon biztonsági azonosítók (SID) listája, amelyek jogosultak az objektumra. A Helyi Biztonsági Hatóság alrendszere (LSASS) összehasonlítja a felhasználónak a bejelentkezéskor megadott hozzáférési jogkivonathoz csatolt SID-t az ACL azon objektumainak SID-éivel, amelyeket a felhasználó megkísérel elérni. Ha a felhasználó SID-je nem egyezik az ACL egyik SID-jével, akkor a hozzáférést megtagadják. Ha ez megegyezik, akkor a kért hozzáférést az adott SID engedélyei alapján engedélyezik vagy megtagadják.

Van egy engedélyértékelési sorrend is, amelyet figyelembe kell venni. Az explicit engedélyek elsőbbséget élveznek az implicit engedélyekkel szemben, és a tagadó engedélyek elsőbbséget élveznek az engedélyekkel szemben. Ez a következőképpen néz ki:

  1. Nyilvánvaló tagadás
  2. Kifejezett engedélyezése
  3. Implicit tagadás
  4. Implicit engedélyezése

Alapértelmezett gyökérkönyvtár engedélyek

A meghajtó gyökérkönyvtárában megadott engedélyek kissé eltérnek attól függően, hogy a meghajtó a rendszermeghajtó vagy sem. Amint az az alábbi képen látható, a rendszermeghajtónak két külön van Lehetővé teszi bejegyzések hitelesített felhasználók számára. Van, amely lehetővé teszi a hitelesített felhasználók számára, hogy mappákat hozzanak létre és adatokat csatoljanak a meglévő fájlokhoz, de nem változtathatnak meg a fájlban létező összes adatot, amely kizárólag a gyökérkönyvtárra vonatkozik. A másik lehetővé teszi a hitelesített felhasználók számára, hogy módosítsák az almappákban található fájlokat és mappákat, ha az almappa örökli a root engedélyét.

Root Engedélyek

A rendszerkönyvtárak (Windows, Program adatok, Program fájlok, Program fájlok (x86), Felhasználók vagy Dokumentumok és beállítások, és esetleg mások) nem öröklik engedélyüket a gyökérkönyvtárból. Mivel rendszerkönyvtárak, engedélyüket kifejezetten úgy állítják be, hogy segítsék a megelőzést az operációs rendszer, a program és a konfigurációs fájlok véletlen vagy rosszindulatú megváltoztatása rosszindulatú programok által vagy egy hacker.

Ha ez nem rendszermeghajtó, akkor az egyetlen különbség az, hogy a Hitelesített felhasználók csoport egyetlen engedélyezési bejegyzést tartalmaz, amely lehetővé teszi a gyökérmappa, az almappák és a fájlok módosításait. A 3 csoporthoz és a SYSTEM fiókhoz rendelt összes engedély az egész meghajtón örököl.

Problémaelemzés

Amikor a poszterünk futott a attrib parancs, amely megkísérel eltávolítani a rendszer által elrejtett és csak olvasható attribútumokat az összes fájlról és mappáról, kezdve a (meghatározatlan) könyvtárban, ahol tartózkodtak, üzeneteket kaptak, jelezve, hogy az elvégzendő művelet (attribútumok írása) volt megtagadják. Attól függően, hogy milyen könyvtárban voltak a parancs futtatásakor, ez valószínűleg nagyon jó dolog, különösen, ha a C: \ könyvtárban voltak.

Ahelyett, hogy megpróbálta volna futtatni ezt a parancsot, jobb lett volna, ha csak a Windows Intézőben / File Explorerben módosította a rejtett fájlok és könyvtárak beállításait. Ez könnyen elérhető, ha megy Szervezés> Mappa és keresési lehetőségek a Windows Intézőben vagy Fájl> Mappa és keresési beállítások módosítása a File Explorer alkalmazásban. Az a megjelenő párbeszédpanelen válassza a Nézet lap> Rejtett fájlok, mappák és meghajtók megjelenítése. Ha ez be van kapcsolva, a rejtett könyvtárak és fájlok halványan jelennek meg a listában.

mappa-opciók

Ezen a ponton, ha a fájlok és mappák továbbra sem jelennek meg, problémát jelent a List Folder / Read Data speciális engedély. Vagy a felhasználó, vagy egy csoport, amelyhez a felhasználó tartozik kifejezetten vagy hallgatólagosan megtagadta az engedélyt a szóban forgó mappákban, vagy a felhasználó nem tartozik azon csoportok egyikébe, amelyek hozzáférnek ezekhez a mappákhoz.

Megkérdezheti, hogy az olvasó hogyan juthat el közvetlenül ezen mappák egyikéhez, ha a felhasználónak nincs Listamappája / Olvasási adatok engedélyek. Mindaddig, amíg ismeri a mappa elérési útját, akkor továbbléphet hozzá, feltéve, hogy rendelkezik a Haladó mappa / Végrehajtó fájl speciális engedélyekkel. Ez az oka annak is, hogy nem valószínű, hogy ez a probléma a List Folder Contents szabványos engedélyével. Megvan mindkét e speciális engedélyekből.

A felbontás

A rendszerkönyvtárak kivételével a legtöbb engedélyt a láncban öröklik. Tehát az első lépés a meghajtó gyökeréhez legközelebbi könyvtár azonosítása, ahol a tünetek felszínre kerülnek. Miután megtalálta ezt a könyvtárat, kattintson a jobb gombbal és válassza a lehetőséget Tulajdonságok> Biztonság fül. Ellenőrizze a felsorolt ​​csoportok / felhasználók engedélyét, hogy megbizonyosodjon arról, hogy az Engedélyezés oszlopban ellenőrzi-e a Lista mappa tartalma engedélyt, és nem a Megtagadás oszlopban.

Ha egyik oszlop nincs bejelölve, akkor olvassa el a Különleges engedélyek bejegyzést is. Ha ez be van jelölve (engedélyezi vagy elutasítja), kattintson a Fejlett gombra, majd Engedélyek módosítása a megjelenő párbeszédpanelen, ha Vista vagy újabb verziót futtat. Ez majdnem azonos párbeszédpanelt jelenít meg néhány további gombbal. Válassza ki a megfelelő csoportot, kattintson a gombra szerkesztése és győződjön meg arról, hogy a Lista mappa / olvasási adatok engedélyezve van.

fejlett jogosultságokat

Ha az ellenőrzések szürkén jelennek meg, ez azt jelenti örökölt engedély, és a megváltoztatást a szülő mappában kell elvégezni, kivéve, ha erre kényszerítő ok van, hogy ne tegye ezt meg, például egy felhasználói profilkönyvtár, a szülő pedig a Felhasználók vagy a Dokumentumok és beállítások mappába. Nem bölcs dolog engedélyezni egy második felhasználót, hogy hozzáférjen egy másik felhasználó profilkönyvtárához. Ehelyett jelentkezzen be felhasználóként a fájlok és mappák eléréséhez. Ha valamit meg kell osztani, helyezze át őket a Nyilvános profil könyvtárba, vagy használja a Megosztás lapot, hogy más felhasználók hozzáférjenek az erőforrásokhoz.

Az is lehetséges, hogy a felhasználónak nincs engedélye a kérdéses fájlok vagy könyvtárak engedélyének szerkesztésére. Ebben az esetben a Windows Vista vagy újabb verziójának a Felhasználói fiókok ellenőrzése (UAC) Hagyja abba a bosszantó UAC-utasításokat - Hogyan hozzunk létre felhasználói fiókok vezérlőlistáját [Windows]A Vista óta, mi, Windows felhasználók, csalódtak, hibákat szenvedtek, bosszantottak és fáradtak voltak a felhasználói fiókok ellenőrzése (UAC) azonnali figyelmeztetésére, hogy egy program indul, amelyet szándékosan indítunk. Persze, hogy javult, ... Olvass tovább kérje meg a rendszergazdai jelszót vagy engedélyt a felhasználó jogosultságainak emelésére, hogy engedélyezze ezt a hozzáférést. Windows XP alatt a felhasználónak megnyitnia kell a Windows Intézőt a Run as… opcióval, és használnia kell a Rendszergazdai fiók Windows rendszergazdai fiók: Minden, amit tudnia kellA Windows Vistától kezdve a beépített Windows rendszergazdai fiók alapértelmezés szerint le van tiltva. Engedélyezheti, de ezt saját felelősségére teheti meg! Megmutatjuk, hogyan. Olvass tovább annak biztosítása érdekében, hogy a módosítások elvégezhetők legyenek, ha azok még nem futnak adminisztratív fiókkal.

Tudom, hogy sok ember csak azt mondaná, hogy vegye át a kérdéses könyvtárakat és fájlokat, de van egy hatalmas figyelmeztetni kell arra a megoldásra. Ha ez bármilyen rendszerfájlt és / vagy könyvtárat érint, akkor súlyosan gyengíti a rendszer általános biztonságát. Kellene soha meg kell tenni a gyökér, a Windows, a Felhasználók, a Dokumentumok és beállítások, a programfájlok, a programfájlok (x86), a programadatok vagy az inetpub könyvtárak, vagy bármelyik almappájukban.

Következtetés

Mint láthatja, az NTFS-meghajtók engedélyezése nem túl nehéz, de a hozzáférési problémák forrásainak megkeresése fárasztó lehet a sok könyvtárakat tartalmazó rendszereknél. Arra felkészítve, hogy alapvetően megértsék, hogyan működnek az engedélyek a hozzáférés-vezérlő listákkal, és egy kicsit kitartással, ezeknek a kérdéseknek a felkutatása és kijavítása hamarosan gyermekkori játék lesz.

Bruce a 70-es évek óta játszik az elektronikával, a 80-as évek eleje óta a számítógépekkel, és pontosan megválaszolja a technológiával kapcsolatos kérdéseket, amelyeket egész idő alatt nem használt, sem látott. Azt is bosszantja, hogy megpróbálja gitározni.