Sigurnosni identifikator
Operacijski sustavi Windows koriste SID-ove za zastupanje svih sigurnosnih načela. SID-ovi su samo duljine dužine promjenjive dužine alfanumeričkih znakova koji predstavljaju strojeve, korisnike i grupe. SID-ovi se dodaju u ACL-ove (Popis za kontrolu pristupa) svaki put kada dodijelite korisniku ili grupi dopuštenje za datoteku ili mapu. Iza prizora SID se pohranjuju na isti način kao i svi ostali podatkovni objekti, u binarnom. Međutim, kada vidite SID u sustavu Windows, bit će prikazana pomoću čitljivije sintakse. Često nećete vidjeti bilo koji oblik SID-a u sustavu Windows, najčešći scenarij je kada dopustite nekome dopuštenje za resurs, a zatim se njihov korisnički račun briše, a zatim će se pojaviti kao SID u ACL-u. Tako možete pogledati tipičan format u kojemu ćete vidjeti SID-ove u sustavu Windows.
- Prefiks "S"
- Broj revizija strukture
- 48-bitna vrijednost autoriteta identifikatora
- Varijabilni broj 32-bitnih pod-autoriteta ili relativnih identifikatora (RID)
Pomoću mog SID-a na donjoj slici razbit ćemo različite odjeljke kako bismo bolje razumjeli.
The SID Structure:
‘S’ – The first component of a SID is always an ‘S’. This is prefixed to all SIDs and is there to inform Windows that what follows is a SID. ‘1’ – The second component of a SID is the revision number of the SID specification, if the SID specification was to change it would provide backwards compatibility. As of Windows 7 and Server 2008 R2 the SID specification is still in the first revision. ‘5’ – The third section of a SID is called the Identifier Authority. This defines in what scope the SID was generated. Possible values for this sections of the SID can be:
- 0 – Null Authority
- 1 – World Authority
- 2 – Local Authority
- 3 – Creator Authority
- 4 – Non-unique Authority
- 5 – NT Authority
’21’ – The forth component is sub-authority 1, the value ’21’ is used in the forth field to specify that the sub-authorities that follow identify the Local Machine or the Domain. ‘1206375286-251249764-2214032401’ – These are called sub-authority 2,3 and 4 respectively. In our example this is used to identify the local machine, but could also be the the identifier for a Domain. ‘1000’ – Sub-authority 5 is the last component in our SID and is called the RID (Relative Identifier), the RID is relative to each security principle, please note that any user defined objects, the ones that are not shipped by Microsoft will have a RID of 1000 or greater.
Načela sigurnosti
Načelo sigurnosti je sve što je povezano sa SID-om, a to mogu biti korisnici, računala i čak skupine. Načela sigurnosti mogu biti lokalna ili biti u kontekstu domene. Upravljajte lokalnim sigurnosnim načelima putem dodatka lokalnih korisnika i grupa, pod upravljanjem računalom. Da biste tamo stigli, desnom tipkom miša kliknite prečac na računalu u izborniku Start i odaberite Upravljanje.
Dozvole za dijeljenje i dozvola NTFS-a
U sustavu Windows postoje dvije vrste dozvola za datoteke i mape, prvo postoje Dopuštenja za dijeljenje, a drugo postoje dozvole za NTFS koje se nazivaju i dozvole za sigurnost. Imajte na umu da kada dijelite mapu prema zadanim postavkama, grupa "Svatko" dobiva dopuštenje za čitanje. Sigurnost na mapama obično se obavlja kombinacijom Dozvola za dijeljenje i NTFS, ako je to slučaj, važno je zapamtiti da se najrestriktivnije uvijek primjenjuje, na primjer, ako je dopuštenje za dijeljenje postavljeno na Svatko = Čitanje (što je zadano) ali dozvola NTFS dopušta korisnicima da izvrše izmjenu datoteke, dozvola za dijeljenje će imati prednost i korisnicima neće biti dopušteno izvršiti promjene. Kada postavite dopuštenja, LSASS (Local Security Authority) kontrolira pristup resursu. Kada se prijavite, dobivate pristupni tok s vašim SID-om, kada pristupate resursu, LSASS uspoređuje SID koji ste dodali ACL-u (Popis kontrole pristupa) i ako je SID na ACL-u, određuje hoće li dopustiti ili odbiti pristup. Bez obzira na dozvole koje upotrebljavate postoje razlike pa omogućuje da pogledate kako bismo bolje razumjeli kada bismo trebali koristiti ono što.
Dijeli dozvole:
- Primijenite samo korisnike koji pristupaju resursima putem mreže. Oni se ne primjenjuju ako se prijavite lokalno, na primjer putem terminalskih usluga.
- Primjenjuje se na sve datoteke i mape u zajedničkom resursu. Ako želite pružiti više granularne vrste ograničenja sheme, trebate koristiti NTFS Dopuštenje uz dijeljene dozvole
- Ako imate bilo koji formatirani volumen FAT ili FAT32, to će biti jedini oblik ograničenja koji vam je dostupan jer NTFS Dozvole nisu dostupne na tim datotekama.
NTFS dopuštenja:
- Jedino ograničenje dozvola NTFS je da se mogu postaviti samo na volumen koji je formatiran u NTFS datotečni sustav
- Imajte na umu da su NTFS kumulativni, što znači da su učinkovite dozvole korisnika rezultat kombiniranja korisničkih dozvoljenih dozvola i dozvola bilo koje grupe korisnika kojoj pripada.
Novi dozvole za dijeljenje
Windows 7 kupio je novu "jednostavnu" tehniku dijeljenja. Opcije su izmijenjene iz čitanja, izmjene i potpune kontrole u. Čitanje i čitanje / pisanje. Ideja je bila dio cijelog mentaliteta Home grupe i olakšava dijeljenje mape za osobe koje nisu pismene. To se vrši putem kontekstnog izbornika i jednostavno dijeli sa svojom kućnom grupom.
- Read permission is the “look, don’t touch” option. Recipients can open, but not modify or delete a file.
- Read/Write is the “do anything” option. Recipients can open, modify, or delete a file.
Stari školski način
Stari dijaloški okvir za dijeljenje imao je više mogućnosti i omogućio nam dijeljenje mape pod drugim pseudonimom, što nam je omogućilo ograničavanje broja istovremenih veza i konfiguriranje predmemoriranja. Nijedna od tih funkcija nije izgubljena u sustavu Windows 7, već je skrivena pod opcijom pod nazivom "Napredno dijeljenje". Ako desnom tipkom miša kliknete mapu i prijeđete na njezina svojstva, možete pronaći ove postavke "Napredno dijeljenje" pod karticom za dijeljenje.
Ako kliknete gumb "Napredno dijeljenje", koji zahtijeva vjerodajnice lokalnih administratora, možete konfigurirati sve postavke koje ste upoznali u prethodnim verzijama sustava Windows.
- Read permission allows you to view and open files and subdirectories as well as execute applications. However it doesn’t allow any changes to be made.
- Modify permission allows you to do anything that Read permission allows, it also add the ability to add files and subdirectories, delete subfolders and change data in the files.
- Full Control is the “do anything” of the classic permissions, as it allows for you to do any and all of the previous permissions. In addition it gives you the advanced changing NTFS Permission, this only applies on NTFS Folders
NTFS dopuštenja
Dozvola NTFS dopušta vrlo granularnu kontrolu nad vašim datotekama i mapama. Uz to, rekao je da se količina granularnosti može obeshrabriti novom korisniku. Također možete postaviti dozvolu NTFS po bazama podataka, kao i po mapi osnovi. Da biste postavili NTFS Dozvolu na datoteku, trebali biste kliknuti desnom tipkom miša i otići do svojstava datoteka na kojima ćete morati prijeći na sigurnosnu karticu.
- Full Control allows you to read, write, modify, execute, change attributes, permissions, and take ownership of the file.
- Modify allows you to read, write, modify, execute, and change the file’s attributes.
- Read & Execute will allow you to display the file’s data, attributes, owner, and permissions, and run the file if its a program.
- Read will allow you to open the file, view its attributes, owner, and permissions.
- Write will allow you to write data to the file, append to the file, and read or change its attributes.
NTFS Dozvole za mape imaju blago različite opcije pa ih možete pogledati.
- Full Control allows you to read, write, modify, and execute files in the folder, change attributes, permissions, and take ownership of the folder or files within.
- Modify allows you to read, write, modify, and execute files in the folder, and change attributes of the folder or files within.
- Read & Execute will allow you to display the folder’s contents and display the data, attributes, owner, and permissions for files within the folder, and run files within the folder.
- List Folder Contents will allow you to display the folder’s contents and display the data, attributes, owner, and permissions for files within the folder.
- Read will allow you to display the file’s data, attributes, owner, and permissions.
- Write will allow you to write data to the file, append to the file, and read or change its attributes.
Microsoftova dokumentacija također navodi da će "Sadržaj mape popisa" omogućiti izvršavanje datoteka unutar mape, ali ćete morati omogućiti "Čitanje i izvršavanje" kako biste to učinili. To je vrlo konfuzno dokumentirano dopuštenje.
Sažetak
U sažetku, korisnička imena i skupine predstavljaju alfanumerički niz nazvan SID (Security Identifier), Dijele i NTFS Datoteke su vezane za te SID-ove. Dozvole za dijeljenje provjerava LSSAS samo kada se pristupa mreži, a dozvole za NTFS vrijede samo na lokalnim računalima. Nadam se da svi dobro razumijete kako se implementira sigurnosna zaštita datoteka i mapa u sustavu Windows 7. Ako imate bilo kakvih pitanja slobodno zvučite u komentarima.