פרסומת

מאז מערכת קבצים של NTFS מ- FAT ל- NTFS ל- ZFS: מערכות קבצים הושמטוכוננים קשיחים ומערכות הפעלה שונות עשויים להשתמש במערכות קבצים שונות. הנה מה זה אומר ומה שאתה צריך לדעת. קרא עוד הוצג כפורמט ברירת המחדל במהדורות הצרכנים של Windows (החל מ- Windows XP), לאנשים היו בעיות בגישה לנתונים שלהם הן פנימיות והן כוננים חיצוניים. כבר לא תכונות קבצים פשוטות הן הגורם היחיד לבעיות בעת מציאת הקבצים והשימוש בהן. כעת עלינו להתמודד עם הרשאות קבצים ותיקיות, כפי שגילה אחד הקוראים שלנו.

שאלת הקורא שלנו:

איני יכול לראות תיקיות בדיסק הקשיח הפנימי שלי. ניהלתי את הפקודה "Attrib -h-r -s / s / d" וזה מראה גישה שנמנעה בכל תיקיה. אני יכול לעבור לתיקיות באמצעות הפקודה הפעלה, אך אינני יכול לראות תיקיות בכונן הקשיח. כיצד אוכל לתקן זאת?

התשובה של ברוס:

להלן כמה הנחות בטוחות המבוססות על המידע שנמסר לנו: מערכת ההפעלה היא Windows XP ואילך; מערכת הקבצים בשימוש היא NTFS; למשתמש אין הרשאות שליטה מלאה בחלק של מערכת הקבצים שהוא מנסה לתפעל; הם לא נמצאים בהקשר של מנהל מערכת; וייתכן שהשינויים בהרשאות ברירת המחדל במערכת הקבצים.

הכל

instagram viewer
ב- Windows הוא אובייקט, בין אם זה מפתח רישום, מדפסת או קובץ. למרות שהם משתמשים באותם מנגנונים כדי להגדיר גישה למשתמשים, אנו נגביל את הדיון שלנו לאובייקטים של קבצים כדי לשמור על כך פשוט ככל האפשר.

בקרת גישה

אבטחה התראה אדומה: 10 בלוגים לאבטחת מחשבים שעליכם לעקוב בהם היוםאבטחה היא חלק מכריע במחשוב, ועליך לשאוף לחנך את עצמך ולהישאר מעודכן. תרצה לבדוק את עשרת הבלוגים האבטחיים האלה ואת מומחי האבטחה שכותבים אותם. קרא עוד מכל סוג שהוא קשור לשליטה מי יכול לעשות משהו על האובייקט המאובטח. למי יש את כרטיס המפתח לפתיחת השער בכניסה למתחם? למי יש את המפתחות לפתיחת משרד המנכ"ל? למי יש את השילוב לפתיחת הכספת במשרדם?

שער ירוק

אותו סוג חשיבה חל על אבטחת הקבצים והתיקיות במערכות הקבצים NTFS. לכל משתמש במערכת אין צורך מוצדק לגשת לכל קובץ במערכת, וגם לא כולם צריכים לקבל את אותו סוג גישה לקבצים אלה. בדיוק כמו שכל עובד בחברה אינו צריך גישה לכספת במשרדו של המנכ"ל, או יכולת לשנות דוחות ארגוניים, אם כי יתכן שהם יורשו לקרוא אותם.

הרשאות

Windows שולט בגישה לאובייקטים של מערכת קבצים (קבצים ותיקיות) על ידי הגדרת הרשאות למשתמשים או קבוצות. אלה מציינים איזה סוג גישה יש למשתמש או לקבוצה לאובייקט. ניתן להגדיר הרשאות אלה על אחת מהן להתיר או להכחיש סוג מסוים של גישה, וניתן להגדיר במפורש על האובייקט, או באופן מרומז באמצעות ירושה מתיקיית האב שלו.

ההרשאות הסטנדרטיות לקבצים הן: שליטה מלאה, שינוי, קריאה וביצוע, קריאה, כתיבה ומיוחד. לתיקיות הרשאה מיוחדת נוספת, הנקראת תוכן תיקיית רשימה. הרשאות סטנדרטיות אלה הן קבוצות מוגדרות מראש של הרשאות מתקדמות המאפשרים שליטה גרגרית רבה יותר, אך בדרך כלל אינם נחוצים מחוץ להרשאות הסטנדרטיות.

לדוגמה, קרא & בצע הרשאה רגילה כוללת את ההרשאות המתקדמות הבאות:

  • חציית תיקייה / ביצוע קובץ
  • רשימת תיקיות / קריאת נתונים
  • קרא תכונות
  • קרא מאפיינים מורחבים
  • קרא הרשאות

רשימות בקרת גישה

לכל אובייקט במערכת הקבצים יש רשימת בקרת גישה (ACL) משויכת. ה- ACL הוא רשימה של מזהי אבטחה (SID) עם הרשאות על האובייקט. תת מערכת רשות הביטחון המקומית (LSASS) תשווה את ה- SID המצורף לאספקת הגישה שניתנה למשתמש בעת הכניסה ל- SID ב- ACL עבור האובייקט שהמשתמש מנסה לגשת אליו. אם ה- SID של המשתמש אינו תואם לאף אחד ממסמכי ה- SID ב- ACL, הגישה תידחה. אם זה תואם, הגישה המבוקשת תוענק או תישלל על סמך ההרשאות עבור אותו SID.

יש גם צו הערכה להרשאות שצריך לקחת בחשבון. הרשאות מפורשות מקבלות עדיפות על פני הרשאות מרומזות, ולשלילת הרשאות יש עדיפות על פני הרשאות מתירות. לפי הסדר, זה נראה כך:

  1. מכחיש מפורש
  2. אפשר באופן מפורש
  3. דחה במפורש
  4. אפשר במשתמע

הרשאות ברירת מחדל לספריות שורש

ההרשאות שניתנות בספריית השורש של הכונן משתנות מעט, תלוי אם הכונן הוא כונן המערכת או לא. כפי שניתן לראות בתמונה למטה, לכונן מערכת יש שני נפרדים להתיר רשומות למשתמשים מאומתים. יש כזה שמאפשר למשתמשים מאומתים ליצור תיקיות ולהוסיף נתונים לקבצים קיימים, אך לא לשנות נתונים קיימים בקובץ החלים אך ורק על ספריית השורש. השנייה מאפשרת למשתמשים מאומתים לשנות קבצים ותיקיות הכלולים בתיקיות משנה, אם תיקיית משנה זו עוברת בירושה של הרשאות מהשורש.

הרשאות שורש

ספריות המערכת (חלונות, נתוני תוכנית, קבצי תוכניות, קבצי תוכנה (x86), משתמשים או מסמכים והגדרות ואולי אחרים) אינם יורשים את הרשאותיהם מתיקיית השורש. מכיוון שמדובר בספריות מערכת, ההרשאות שלהם מוגדרות במפורש כדי לעזור במניעה שינוי לא מכוון או זדוני של קבצי מערכת הפעלה, תוכנית ותצורה על ידי תוכנה זדונית או האקר.

אם זה לא כונן מערכת, ההבדל היחיד הוא שקבוצת המשתמשים המאומתים כוללת ערך הרשאה יחיד המאפשר לשנות הרשאות לתיקיית השורש, תיקיות המשנה והקבצים. כל ההרשאות שהוקצו לשלוש הקבוצות ולחשבון SYSTEM עוברות בירושה לאורך הכונן.

ניתוח הבעיה

כאשר פוסטר שלנו ניהל את attrib הפקודה המנסה להסיר כל תכונה מערכתית, מוסתרת וקריאה בלבד בכל הקבצים והתיקיות המתחילים ב- (לא מוגדר) ספרייה בה היו, הם קיבלו הודעות המציינות את הפעולה שרצו לבצע (כתוב תכונות) הייתה נשלל. תלוי בספרייה שהייתה בה כאשר ניהלו את הפקודה, סביר להניח שזה דבר טוב מאוד, במיוחד אם הם היו ב- C: \.

במקום לנסות להפעיל פקודה זו, עדיף היה פשוט לשנות את ההגדרות בסייר Windows / סייר הקבצים כדי להציג קבצים וספריות מוסתרים. ניתן להשיג זאת בקלות על ידי מעבר אל ארגן> אפשרויות תיקיה וחיפוש ב- Windows Explorer או קובץ> שנה תיקייה ואפשרויות חיפוש בסייר הקבצים. בתיבת הדו-שיח שהתקבלה, בחרו ב- כרטיסיית תצוגה> הצגת קבצים, תיקיות וכוננים מוסתרים. עם אפשרות זו, ספריות וקבצים נסתרים יופיעו כפריטים מעומעמים ברשימה.

אפשרויות תיקייה

בשלב זה, אם הקבצים והתיקיות עדיין לא מופיעים, יש בעיה בהרשאה המתקדמת של תיקיית רשימת / קריאת נתונים. המשתמש או הקבוצה שהמשתמש שייך אליו הם במפורש או במשתמע שלל כי הרשאה בתיקיות המדוברות, או שהמשתמש אינו שייך לאף אחת מהקבוצות שיש להן גישה לתיקיות הללו.

אתה יכול לשאול כיצד הקורא יכול לעבור ישירות לאחת מהתיקיות האלה אם למשתמש אין הרשאות תיקיית רשימת / נתוני קריאה. כל עוד אתה יודע את הנתיב לתיקיה, אתה יכול ללכת אליה בתנאי שיש לך הרשאות מתקדמות לתיקייה / ביצוע קובץ. זו גם הסיבה לכך שסביר להניח שלא מדובר בבעיה בהיתר הרגיל של תוכן תיקיית הרשימות. יש לזה שניהם מההרשאות מתקדמות אלה.

התוצאה

למעט ספריות מערכת, מרבית ההרשאות עוברות בירושה לאורך הרשת. אז, השלב הראשון הוא לזהות את הספרייה הקרובה ביותר לשורש הכונן, שם מתגלים הסימפטומים. ברגע שמדריך זה נמצא, לחץ עליו באמצעות לחצן העכבר הימני ובחר מאפיינים> כרטיסיית אבטחה. בדוק את ההרשאות לכל אחת מהקבוצות / משתמשים הרשומים, על מנת לוודא שיש להם סימון בעמודה אפשר עבור הרשאת תוכן תיקיית הרשימה ולא בעמודה דחה.

אם אף אחת מהעמודות אינה מסומנת, עיין גם בערך ההרשאות המיוחדות. אם זה מסומן (אפשר או דחה), לחץ על מתקדם כפתור, אם כן שנה הרשאות בתיבת הדו-שיח שהתקבלה אם אתה מפעיל את ויסטה או מאוחר יותר. זה יביא תיבת דו-שיח כמעט זהה עם כמה כפתורים נוספים. בחר בקבוצה המתאימה, לחץ על ערוך וודא שתיקיית הרשימה / נתוני קריאה מותרת.

הרשאות מתקדמות

אם ההמחאות אפורות, פירוש הדבר שמדובר בסמל הרשאה בירושה, ושינוי זה צריך להיעשות בתיקיית האב, אלא אם כן יש סיבה משכנעת שלא לעשות זאת, כמו שמדובר בספריית הפרופילים של המשתמש וההורה הוא המשתמשים או המסמכים וההגדרות תיקיה. זה גם לא חכם להוסיף הרשאות למשתמש שני כדי לגשת לספריית הפרופילים של משתמש אחר. במקום זאת, התחבר כאותו משתמש כדי לגשת לקבצים ותיקיות אלה. אם זה משהו שצריך לשתף, העבר אותם לספריית הפרופיל הציבורי או השתמש בכרטיסייה שיתוף כדי לאפשר למשתמשים אחרים לגשת למשאבים.

ייתכן גם כי אין למשתמש הרשאה לערוך את הרשאות הקבצים או הספריות המדוברים. במקרה כזה, Windows Vista ואילך אמור להציג א בקרת חשבון משתמש (UAC) הפסק להרגיז את UAC-הנחיות - כיצד ליצור רשימת רשימות לבקרת חשבון משתמש [Windows]מאז ויסטה, אנו משתמשי מערכת Windows שלנו עברו סלידה, הטרדה, עייפות ונמאס לנוכח הפקודה של בקרת חשבון משתמש (UAC) שאומרת לנו שתוכנית מתחילה שהפעלנו בכוונה. בטח, זה השתפר, ... קרא עוד בקש להזין סיסמת מנהל או הרשאה להגדיל את הרשאות המשתמש כדי לאפשר גישה זו. תחת Windows XP, המשתמש צריך לפתוח את סייר Windows עם האפשרות Run as... ולהשתמש באפשרות חשבון מנהל חשבון מנהל מערכת של Windows: כל מה שאתה צריך לדעתהחל מ- Windows Vista, חשבון מנהל המערכת המובנה של Windows מושבת כברירת מחדל. אתה יכול לאפשר זאת, אך עשה זאת על אחריותך בלבד! אנו מראים לך איך. קרא עוד כדי להבטיח שניתן לבצע את השינויים, אם הם לא פועלים כבר עם חשבון ניהול.

אני יודע שהרבה אנשים פשוט היו אומרים לך לקחת בעלות על הספריות והתיקים המדוברים, אבל יש אחד כזה ענק אזהרה לפתרון זה. אם זה ישפיע על קבצי מערכת ו / או ספריות כלשהם, תחליש באופן קשה את האבטחה הכללית של המערכת שלך. זה אמור לעולם לא להיעשות בשורש, Windows, משתמשים, מסמכים והגדרות, קבצי תוכניות, קבצי תוכנה (x86), נתוני תוכנית או ספריות inppub או כל אחד מתיקיות המשנה שלהם.

סיכום

כפי שאתה יכול לראות, הרשאות בכונני NTFS אינן קשות יתר על המידה, אולם איתור מקור בעיות הגישה עלול להיות מייגע במערכות עם הרבה ספריות. חמושים בהבנה בסיסית של איך הרשאות עובדות עם רשימות של בקרת גישה וקצת עקשנות, איתור ותיקון של בעיות אלה יהפוך במהרה למשחק של ילדים.

ברוס שיחק באלקטרוניקה מאז שנות ה -70, מחשבים מאז שנות ה -80 המוקדמות, ועונה במדויק על שאלות על טכנולוגיה שלא השתמש בהן ולא ראה כל הזמן. הוא גם מרגיז את עצמו בכך שהוא מנסה לנגן בגיטרה.