Windowsi failisüsteemi hädad: miks juurdepääsu keelatakse?

Reklaam

Alates NTFS-failisüsteem FAT-ist NTFS-st ZFS-i: failisüsteemid on demüstifitseeritudErinevad kõvakettad ja opsüsteemid võivad kasutada erinevaid failisüsteeme. Siit saate teada, mida see tähendab ja mida peate teadma. Loe rohkem võeti vaikevorminguna kasutusele Windowsi tarbijaväljaannetes (alustades Windows XP-st), on inimestel olnud probleeme oma andmetele sisemise ja sisemise juurdepääsuga välised draivid. Enam pole lihtsad failiatribuudid nende failide otsimisel ja kasutamisel probleemide ainus põhjus. Nüüd peame võitlema failide ja kaustade õigustega, nagu üks meie lugeja avastas.

Meie lugeja küsimus:

Ma ei näe oma sisemisel kõvakettal kaustu. Ma jooksin käsku “Attrib -h-r-s / s / d” ja see näitab juurdepääsu keelamist igas kaustas. Ma saan kaustadesse minna käsu Käivita abil, kuid ma ei näe kõvakettal kaustu. Kuidas seda parandada?

Bruce'i vastus:

Siin on mõned ohutud eeldused, mis põhinevad meile antud teabel: opsüsteem on Windows XP või uuem; kasutatav failisüsteem on NTFS; kasutajal puuduvad täieliku kontrolli õigused selles failisüsteemi osas, mida nad proovivad manipuleerida; nad pole administraatori kontekstis; ja failisüsteemi vaikelube võib olla muudetud.

Kõik Windowsis on objekt, olenemata sellest, kas tegemist on registrivõtme, printeri või failiga. Ehkki nad kasutavad kasutaja juurdepääsu määratlemiseks samu mehhanisme, piirdume oma aruteluga failisüsteemi objektidega, et hoida see võimalikult lihtsana.

Juurdepääsu kontroll

Turvalisus Punane teade: 10 arvutiturbe ajaveebi, mida peaksite täna jälgimaTurvalisus on andmetöötluse oluline osa ning peaksite püüdma end harida ja end kursis hoida. Tasub tutvuda nende kümne turvablogi ja neid kirjutavate turbeekspertidega. Loe rohkem igasugune asi on kontrollimises kes saab midagi ära teha kinnitatava objekti peal. Kellel on võtmekaart ühendi sisestamiseks värava avamiseks? Kellel on võtted tegevjuhi kabineti avamiseks? Kellel on kombinatsioon seifi avamiseks oma kontoris?

Sama tüüpi mõtlemine kehtib ka failide ja kaustade turvalisuse kohta NTFS-failisüsteemides. Igal süsteemi kasutajal puudub õigustatud vajadus pääseda juurde kõigile süsteemi failidele, samuti ei pea neil kõigil olema samalaadne juurdepääs neile failidele. Nii nagu igal ettevõtte töötajal ei pea olema juurdepääsu tegevjuhi kabinetis olevale seifile ega võimalust muuta ettevõtte aruandeid, ehkki neil võib olla lubatud neid lugeda.

Load

Windows kontrollib juurdepääsu failisüsteemi objektidele (failidele ja kaustadele), määrates kasutajate või rühmade õigused. Need määravad kasutaja või rühma juurdepääsu objektile. Need õigused saab seada mõlemale lubama või eitada konkreetset juurdepääsu tüüpi ja selle saab kas otse objektile seada või kaudselt pärides oma emakausta.

Failide standardsed õigused on järgmised: täielik kontroll, muutmine, lugemine ja käivitamine, lugemine, kirjutamine ja eriline. Kaustadel on veel üks eriluba, mida nimetatakse kaustade sisu loendiks. Need standardsed õigused on eelnevalt määratletud komplektid täpsemad õigused mis võimaldavad detailsemalt juhtida, kuid mida tavaliselt pole väljaspool tavalisi õigusi vaja.

Näiteks Loe ja teosta standardne luba sisaldab järgmisi täpsemaid õigusi:

• Kausta siirdamine / faili täitmine
• Loendi kaust / andmete lugemine
• Loe atribuute
• Loe laiendatud atribuute
• Loe õigusi

Juurdepääsu kontrollnimekirjad

Igal failisüsteemi objektil on seotud juurdepääsu kontrollnimekiri (ACL). ACL on turbeidentifikaatorite (SID) loend, millel on objektil õigused. Kohaliku julgeoleku volitajate alamsüsteem (LSASS) võrdleb SID-sid, mis on kasutajale sisselogimisel antud juurdepääsulubale lisatud, ACL-is selle objekti SID-iga, millele kasutaja üritab juurde pääseda. Kui kasutaja SID ei ühti ühegi ACL-is oleva SID-ga, keelatakse juurdepääs. Kui see vastab, siis antakse või keelatakse taotletud juurdepääs vastavalt selle SID õigustele.

Samuti on olemas lubade hindamise järjekord, mida tuleb arvestada. Kaudsed õigused on ülimuslikud kaudsete õiguste suhtes ja eitavad õigused on ülimuslikud lubade suhtes. Järjestuses näeb see välja järgmine:

1. Selgesõnaline eitamine
2. Selgesõnaline luba
3. Kaudne eitamine
4. Kaudne luba

Juurkataloogi vaikeõigused

Draivi juurkataloogis antud õigused erinevad pisut, sõltuvalt sellest, kas draiv on süsteemiajam või mitte. Nagu allolevalt pildilt näha, on süsteemiajal kaks eraldi Lubama sisestused autentitud kasutajatele. On üks, mis lubab autentitud kasutajatel luua kaustu ja lisada andmeid olemasolevatele failidele, kuid mitte muuta faili olemasolevaid andmeid, mis kehtivad ainult juurkataloogi kohta. Teine võimaldab autentitud kasutajatel muuta alamkaustades sisalduvaid faile ja kaustu, kui see alamkaust pärib juurest pärinevaid õigusi.

Süsteemikataloogid (Windows, programmiandmed, programmifailid, programmifailid (x86), kasutajad või dokumendid ja sätted ja võimalik, et ka teised) ei päri oma õigusi juurkataloogist. Kuna need on süsteemikataloogid, on nende õigused selgesõnaliselt seatud takistama tahtmatu või pahatahtlik operatsioonisüsteemi, programmi ja konfiguratsioonifailide muutmine pahavara poolt või häkker.

Kui see pole süsteemiajam, on erinevus ainult selles, et autentitud kasutajate rühmas on üks luba, mis lubab muuta juurkausta, alamkaustade ja failide õigusi. Kõik 3 rühmale ja SYSTEM-i kontole määratud õigused päritakse kogu draivi jooksul.

Probleemi analüüs

Kui meie plakat jooksis atribuut käsk, mis üritab eemaldada süsteemist, peidetud ja kirjutuskaitstud atribuudid kõigist failidest ja kaustadest, mis algavad aadressilt (määratlemata) kataloogis, kus nad viibisid, nad said teateid, mis näitasid, et toimingut, mida nad soovisid teha (kirjutada atribuute) keeldutakse. Sõltuvalt kataloogist, kus nad käsu käitamisel olid, on see tõenäoliselt väga hea asi, eriti kui nad asuvad kataloogis C: \.

Selle käsu käivitamise asemel oleks parem olnud varjatud failide ja kataloogide kuvamiseks Windows Exploreris / File Exploreris sätteid lihtsalt muuta. Seda saab hõlpsalt täita minnes Korrastage> kaust ja otsinguvõimalused Windows Exploreris või Fail> Muuda kausta ja otsingusuvandid failihalduris. Valige kuvatavas dialoogiboksis Vahekaart Vaade> Kuva peidetud failid, kaustad ja draivid. Selle lubamise korral kuvatakse peidetud kataloogid ja failid loendis tuhmina.

Kui faile ja kaustu endiselt ei kuvata, on probleem loendi kausta loend / andmete lugemise edasilükkamise õigusega. Kas kasutaja või grupp, kuhu kasutaja kuulub otsesõnu või kaudselt keelas kõnealustel kaustadel vastava loa või kasutaja ei kuulu ühtegi nendesse kaustadesse pääsenud rühma.

Võite küsida, kuidas saaks lugeja minna otse ühte neist kaustadest, kui kasutajal puuduvad loendi kausta loendi ja andmete lugemise õigused. Kuni teate kausta asukohta, võite selle juurde minna, kui teil on selle sirvimise kausta / faili täitmise õigused. See on ka põhjus, et loendi kaustade sisu standardloaga pole tõenäoliselt probleeme. Sellel on mõlemad nendest täpsematest õigustest.

Resolutsioon

Enamik õigusi, välja arvatud süsteemikataloogid, päritakse ahelas. Niisiis, esimene samm on tuvastada draivi juurile lähim kataloog, kus sümptomid asuvad. Kui see kataloog asub, paremklõpsake sellel ja valige Atribuudid> vahekaart Turvalisus. Kontrollige kõigi loetletud rühmade / kasutajate õigusi, et veenduda, kas neil on veerus Luba kaustaloendi sisu lubamine ja mitte veerus Keeldu.

Kui kumbki veerg pole märgitud, vaadake ka kannet Eriluba. Kui see on märgitud (kas lubada või keelata), klõpsake nuppu Täpsemad nuppu siis Muuda õigusi tulemuseks olevas dialoogiboksis, kui teil on Vista või uuem versioon. See avab peaaegu identse dialoogiboksi, millel on mõned lisanupud. Valige sobiv rühm, klõpsake nuppu Redigeeri ja veenduge, et kausta Loend / andmete lugemine luba on lubatud.

Kui tšekid on hallid, tähendab see, et tšekid on päritud luba, ja selle muutmine peaks toimuma põhikaustas, välja arvatud juhul, kui selleks on mõjuv põhjus, nagu see on kasutaja profiilikataloog ja vanem oleks kasutajad või dokumendid ja seaded kausta. Samuti pole mõistlik lisada teisele kasutajale õigusi, et pääseda juurde teise kasutaja profiilikataloogile. Selle asemel logige failide ja kaustade juurde pääsemiseks sisse selle kasutajana. Kui see on midagi, mida tuleks jagada, teisaldage nad avalike profiilide kataloogi või kasutage vahekaarti Jagamine, et võimaldada teistel kasutajatel ressurssidele juurde pääseda.

Samuti on võimalik, et kasutajal puudub luba muuta kõnealuste failide või kataloogide õigusi. Sel juhul peaks Windows Vista või uuem versioon esitama a Kasutajakonto kontroll (UAC) Lõpetage UAC-i tüütute tüüpide esitamine - kuidas luua kasutajakonto kontrolli valgete nimekirjade loend [Windows]Alates Vistast on meie Windowsi kasutajad pettunud, viga saanud, pahane ja väsinud kasutajakontokontrolli (UAC) kiirest käsust, mis ütleb meile, et käivitub programm, mille me tahtlikult käivitasime. Muidugi, see on paranenud ... Loe rohkem selle juurdepääsu lubamiseks küsitakse administraatori parooli või luba kasutaja privileegide tõstmiseks. Windows XP puhul peaks kasutaja avama Windows Exploreri valikuga Run as… ja kasutama nuppu Administraatori konto Windowsi administraatori konto: kõik, mida peate teadmaAlustades Windows Vistaga, on sisseehitatud Windowsi administraatori konto vaikimisi keelatud. Saate selle lubada, kuid tehke seda omal vastutusel! Näitame teile kuidas. Loe rohkem muudatuste tegemise tagamiseks, kui need juba halduskontoga ei tööta.

Ma tean, et paljud inimesed ütleksid teile, et peate vaidlusaluste kataloogide ja failide omandiõiguse endale võtma, kuid üks on olemas tohutu hoiatus selle lahenduse suhtes. Kui see mõjutab mis tahes süsteemifaile ja / või katalooge, nõrgestate teie süsteemi üldist turvalisust tõsiselt. See peaks mitte kunagi seda tuleb teha juurkataloogi, Windowsi, kasutajate, dokumentide ja sätete, programmifailide, programmifailide (x86), programmide andmete või inetpubi kataloogides või nende alamkaustades.

Järeldus

Nagu näete, pole NTFS-draivide õigused eriti keerulised, kuid rohke kataloogidega süsteemides võib pääsuprobleemide allika leidmine olla tüütu. Relvastatud põhiteadmistega, kuidas õigused juurdepääsu kontrollloenditega toimivad ja natuke visadusega, muutub nende probleemide leidmine ja lahendamine varsti laste mänguks.