Sistemul de fișiere Windows Woes De ce primesc accesul refuzat?
Încă de la sistemul de fișiere NTFS Din FAT În NTFS În ZFS: Sisteme de fișiere Demistificate din FAT În NTFS În ZFS: Sisteme de fișiere Demistificate Diferite unități de hard disk și sisteme de operare pot utiliza sisteme de fișiere diferite. Iată ce înseamnă și ce trebuie să știți. Read More a fost introdus ca format implicit în edițiile de consum ale Windows (începând cu Windows XP), oamenii au avut probleme cu accesarea datelor lor atât pe unitățile interne, cât și pe cele externe. Nu mai există atribute simple de fișiere singura cauză a problemelor la găsirea și utilizarea fișierelor. Acum trebuie să ne confruntăm cu permisiuni de fișiere și foldere, așa cum a descoperit unul dintre cititorii noștri.
Întrebarea cititorului nostru:
Nu reușesc să văd foldere pe hard diskul meu intern. Am executat comanda “atribuire -h -r -s / s / d” și arată accesul refuzat în fiecare dosar. Pot să merg la foldere utilizând comanda Executare, dar nu văd dosare pe hard disk. Cum rezolv acest lucru?
Răspunsul lui Bruce:
Iată câteva ipoteze sigure pe baza informațiilor pe care ni le-am dat: Sistemul de operare este Windows XP sau o versiune ulterioară; sistemul de fișiere în uz este NTFS; utilizatorul nu are drepturi complete de control asupra porțiunii sistemului de fișiere pe care încearcă să o manipuleze; acestea nu se află în contextul administratorului; iar permisiunile implicite pentru sistemul de fișiere ar fi putut fi modificate.
Tot în Windows este un obiect, indiferent dacă este o cheie de registry, o imprimantă sau un fișier. Chiar dacă utilizează aceleași mecanisme pentru a defini accesul utilizatorilor, vom restrânge discuția noastră la obiectele sistemului de fișiere pentru a le păstra cât mai simplu posibil.
Controlul accesului
Security Red Alert: 10 bloguri de securitate pe care ar trebui să le urmați astăzi Red Alert: 10 bloguri pentru securitatea calculatoarelor pe care ar trebui să le urmați astăzi Securitatea este o componentă crucială a computerelor și ar trebui să vă străduiți să vă educați și să rămâneți la curent. Veți dori să verificați aceste zece bloguri de securitate și experții în securitate care le scriu. Citeste mai mult despre orice este vorba despre controlling care poate face ceva pe obiectul asigurat. Cine are cardul cheie pentru a debloca poarta pentru a intra în compus? Cine are cheile pentru a deschide biroul CEO-ului? Cine are combinația pentru a deschide biroul în siguranță?
Același tip de gândire se aplică și securității fișierelor și folderelor de pe sistemele de fișiere NTFS. Fiecare utilizator din sistem nu are o nevoie justificată de a accesa toate fișierele din sistem și nici nu au nevoie de același acces la aceste fișiere. La fel ca orice angajat dintr-o companie nu are nevoie să aibă acces la seiful din biroul CEO-ului sau abilitatea de a modifica rapoartele corporative, deși li se poate permite să le citească.
Permisiuni
Windows controlează accesul la obiectele sistemului de fișiere (fișiere și foldere) prin setarea permisiunilor pentru utilizatori sau grupuri. Acestea specifică ce fel de acces are utilizatorul sau grupul la obiect. Aceste permisiuni pot fi setate la oricare dintre ele permite sau nega un anumit tip de acces și poate fi setat în mod explicit pe obiect sau implicit prin moștenire din dosarul părinte.
Permisiunile standard pentru fișiere sunt: Control complet, Modificare, Citire & Execută, Citire, Scriere și Specială. Dosarele au o altă permisiune specială, denumită Cuprins. Aceste permisiuni standard sunt seturi predefinite de permisiuni avansate care permit un control mai granular, dar în mod normal nu sunt necesare în afara permisiunilor standard.
De exemplu, Citiți și executați permisiunea standard include următoarele permisiuni avansate:
- Traverse Folder / Executare fișier
- Listează dosarul / citi datele
- Citiți atributele
- Citiți atributele extinsă
- Citiți Permisiunile
Lista de control al accesului
Fiecare obiect din sistemul de fișiere are o listă de control acces asociată (ACL). ACL este o listă de identificatori de securitate (SID) care au permisiuni asupra obiectului. Subsistemul Autorității Locale de Securitate (LSASS) va compara SID atașat la tokenul de acces furnizat utilizatorului la autentificarea către SID-urile din ACL pentru obiectul pe care utilizatorul încearcă să îl acceseze. Dacă SID-ul utilizatorului nu se potrivește cu nici unul dintre SID-urile din ACL, accesul va fi interzis. Dacă se potrivește, accesul solicitat va fi acordat sau refuzat pe baza permisiunilor pentru acel SID.
Există, de asemenea, un ordin de evaluare a permisiunilor care trebuie luate în considerare. Precizările explicite au prioritate față de permisiunile implicite, iar permisiunile de respingere au prioritate față de acordarea permisiunilor. În ordine, arată astfel:
- Deny explicite
- Explicit permite
- Implicit Neagră
- Implicit Permite
Permisiuni implicite pentru directorul rădăcină
Permisiunile acordate la directorul rădăcină al unei unități variază ușor, în funcție de cazul în care unitatea este unitatea de sistem sau nu. După cum se vede în imaginea de mai jos, o unitate de sistem are două separate Permite intrări pentru utilizatorii autentificați. Există unul care permite utilizatorilor autentificați să creeze dosare și să atașeze date la fișierele existente, dar să nu schimbe datele existente în fișierul care se aplică numai directorului rădăcină. Celălalt permite utilizatorilor autentificați să modifice fișierele și folderele conținute în subfoldere, dacă acest subfolder moștenește permisiunile de la root.
Directoarele de sistem (Windows, Program Data, Fișiere program, Fișiere program (x86), Utilizatori sau Documente și setări și, eventual, altele) nu își moștenesc permisiunile din directorul rădăcină. Deoarece sunt directoare de sistem, permisiunile lor sunt setate explicit pentru a preveni modificarea necorespunzătoare sau rău-intenționată a fișierelor de sistem de operare, de program și de configurare de către un program malware sau un hacker.
Dacă nu este o unitate de sistem, singura diferență este că grupul Utilizatori autentificați are o singură intrare permisă care permite modificarea permisiunilor pentru dosarul rădăcină, subfoldere și fișiere. Toate permisiunile atribuite pentru cele 3 grupuri și contul SYSTEM sunt moștenite pe întreaga unitate.
Analiza problemelor
Când posterul nostru a alergat attrib Încercarea de a elimina toate atributele sistemului, ascunse și read-only în toate fișierele și folderele care încep de la directorul (nespecificat) în care se aflau, au primit mesaje care indică acțiunea pe care doreau să o efectueze (Write attributes). În funcție de directorul în care se aflau când au pornit comanda, acest lucru este probabil un lucru foarte bun, mai ales dacă se aflau în C: \.
În loc să încercați să executați comanda respectivă, ar fi fost mai bine să modificați setările în Windows Explorer / File Explorer pentru a afișa fișiere și directoare ascunse. Acest lucru se poate realiza cu ușurință Organizați> Opțiuni folder și căutare în Windows Explorer sau Fișier> Modificați dosarul și opțiunile de căutare în File Explorer. În caseta de dialog rezultată, selectați Fila Vizualizare> Afișați fișiere, foldere și unități ascunse. Cu această funcție activată, directoarele și fișierele ascunse ar apărea ca listă în lista.
În acest moment, dacă fișierele și directoarele nu sunt încă afișate, există o problemă cu permisiunea avansată pentru Folder listă / citire date. Fie utilizatorul, fie grupul de care aparține este utilizatorul explicit sau implicit a negat această permisiune pentru folderele respective sau dacă utilizatorul nu aparține nici unui grup care are acces la acele dosare.
Puteți să întrebați cum poate cititorul să meargă direct la unul dintre aceste foldere, dacă utilizatorul nu are permisiunile listă listă / citire date. Atâta timp cât știți calea spre dosar, puteți merge la ea cu condiția să aveți permisiuni avansate pe folderul Traverse Folder / Execute File. Acesta este și motivul pentru care nu este probabil să existe o problemă cu permisiunea standard pentru conținutul listelor de listă. Are ambii din aceste permisiuni avansate.
Rezolutia
Cu excepția directoarelor de sistem, cele mai multe permisiuni sunt moștenite în lanț. Deci, primul pas este de a identifica directorul cel mai apropiat de rădăcina unității, în cazul în care simptomele suprafață. Odată ce acest director este localizat, faceți clic dreapta pe el și selectați Proprietăți> fila Securitate. Verificați permisiunile pentru fiecare dintre grupurile / utilizatorii enumerați, pentru a verifica dacă au un control în permisiunea Coloana pentru permisiunea conținutului dosarului listei și nu în coloana Denegare.
Dacă nu este bifată nici o coloană, consultați și intrarea permisiunilor speciale. Dacă este bifată această opțiune (permiteți sau respingeți), faceți clic pe Avansat , apoi Schimbați permisiunile pe caseta de dialog rezultată dacă executați Vista sau o versiune ulterioară. Acest lucru va aduce o casetă de dialog aproape identică cu câteva butoane suplimentare. Selectați grupul corespunzător, faceți clic pe Editați | × și este permisă permisiunea listă / permisiunea de citire a datelor.
În cazul în care cecurile sunt în gri, înseamnă că este un permis moștenit, iar modificarea acestuia ar trebui făcută la dosarul părinte, cu excepția cazului în care există un motiv convingător ca acesta să nu fie făcut, cum ar fi directorul de profil al unui utilizator și părintele ar fi dosarul Utilizatori sau Documente și setări. De asemenea, este necorespunzător să adăugați permisiuni pentru un al doilea utilizator pentru a putea accesa directorul de profil al altui utilizator. În schimb, conectați-vă ca acel utilizator pentru a accesa acele fișiere și foldere. Dacă este ceva ce ar trebui să fie partajat, mutați-l în directorul de profil public sau utilizați fila Partajare pentru a permite altor utilizatori să acceseze resursele.
De asemenea, este posibil ca utilizatorul să nu aibă permisiunea de a edita permisiunile fișierelor sau directoarelor respective. În acest caz, Windows Vista sau o versiune ulterioară ar trebui să prezinte un cont de utilizator de control (UAC) Stop Annoying UAC Prompts - Cum de a crea un control al contului de utilizator Whitelist [Windows] Opriți enervant UAC Prompts - Cum de a crea un cont de utilizator Whitelist [Windows] din moment ce Vista, noi, utilizatorii de Windows, au fost plictisiți, deranjați, deranjați și obosiți de promptul de control al contului de utilizator (UAC), spunându-ne că începe un program pe care l-am lansat în mod intenționat. Sigur, sa îmbunătățit, ... Citește mai mult promptul pentru parola de administrator sau permisiunea de a ridica privilegiile utilizatorului pentru a permite acest acces. Sub Windows XP, utilizatorul ar trebui să deschidă Windows Explorer cu opțiunea Run as ... și să folosească contul Administrator Cont Administrator Windows: Tot ce trebuie să știți Cont Administrator Windows: Tot ce trebuie să știți Începând cu Windows Vista, administratorul Windows built-in contul este dezactivat în mod implicit. Puteți să o activați, dar faceți acest lucru pe propriul dvs. risc! Vă arătăm cum. Citiți mai multe pentru a vă asigura că modificările pot fi făcute dacă acestea nu se execută deja cu un cont administrativ.
Știu că mulți oameni v-ar spune să vă ocupați de directoarele și fișierele în cauză, dar există unul imens caveat la această soluție. Dacă ar afecta orice fișiere de sistem și / sau directoare, veți slăbi grav securitatea generală a sistemului dvs. Ar trebui nu fiți pe root, Windows, Utilizatori, Documente & Setări, Fișiere program, Fișiere program (x86), Date program sau directoare inetpub sau oricare dintre subfolderele acestora.
Concluzie
După cum se poate vedea, permisiunile pe unitățile NTFS nu sunt prea dificile, dar localizarea sursei de probleme de acces poate fi obositoare pe sisteme cu o mulțime de directoare. Înarmat cu o înțelegere de bază a modului în care permisiunile funcționează cu liste de control al accesului și un pic de tenacitate, găsirea și remedierea acestor probleme va deveni în curând jocul copilului.
Explorați mai multe despre: Gestionarea fișierelor, Sistem de fișiere, NTFS.