İlan

O zamandan beri NTFS dosya sistemi FAT'den NTFS'ye ZFS'ye: Dosya Sistemleri DemystifiedFarklı sabit sürücüler ve işletim sistemleri farklı dosya sistemleri kullanabilir. İşte bunun anlamı ve bilmeniz gerekenler. Daha fazla oku Windows'un tüketici sürümlerinde (Windows XP'den başlayarak) varsayılan biçim olarak tanıtıldı, insanlar hem dahili hem de harici sürücüler. Artık dosyaları bulup kullanırken problemlerin tek nedeni basit dosya öznitelikleri değildir. Şimdi okuyucularımızdan birinin keşfettiği gibi dosya ve klasör izinleriyle uğraşmak zorundayız.

Reader'ımızın Sorusu:

Dahili sabit diskimdeki klasörleri göremiyorum. Komutu çalıştırdım “Öznitelik -h -r -s / s / d” ve her klasörde reddedilen erişimi gösterir. Çalıştır komutunu kullanarak klasörlere gidebilirim, ancak sabit diskimde klasörleri göremiyorum. Bunu nasıl düzeltirim?

Bruce’un Cevabı:

Aşağıda, bize verilen bilgilere dayanan bazı güvenli varsayımlar verilmiştir: İşletim sistemi Windows XP veya üstüdür; kullanılan dosya sistemi NTFS'dir; kullanıcı üzerinde işlem yapmaya çalıştıkları dosya sisteminde Tam Denetim izinleri yoktur; Yönetici bağlamında değillerdir; ve dosya sistemindeki varsayılan izinler değiştirilmiş olabilir.

instagram viewer

her şey Windows'da bir kayıt defteri anahtarı, yazıcı veya dosya olsun, bir nesnedir. Kullanıcı erişimini tanımlamak için aynı mekanizmaları kullansalar da, tartışmamızı mümkün olduğunca basit tutmak için dosya sistem nesneleriyle kısıtlayacağız.

Giriş kontrolu

Güvenlik Red Alert: Bugün Takip Etmeniz Gereken 10 Bilgisayar Güvenliği BloguGüvenlik, bilgi işlemin önemli bir parçasıdır ve kendinizi eğitmek ve güncel kalmak için çaba göstermelisiniz. Bu on güvenlik bloguna ve bunları yazan güvenlik uzmanlarına göz atmak isteyeceksiniz. Daha fazla oku her türlü kontrol ile ilgilidir kim bir şeyler yapabilir sabitlenen nesneye. Bileşiğe girmek için kapının kilidini açan anahtar kartında kim var? CEO'nun ofisini açmanın anahtarları kimde? Kasayı ofisinde açmak için kimin kombinasyonu var?

Yeşil-gate

Aynı düşünce türü NTFS dosya sistemlerindeki dosya ve klasörlerin güvenliği için de geçerlidir. Sistemdeki her kullanıcının sistemdeki her dosyaya erişmek için haklı bir ihtiyacı yoktur ve hepsinin de bu dosyalara aynı tür erişime sahip olması gerekmez. Tıpkı bir şirketteki her çalışanın CEO'nun ofisinde kasaya veya kurumsal raporları değiştirme yeteneğine erişmesine gerek yoktur, ancak bunları okumalarına izin verilebilir.

İzinler

Windows, kullanıcılar veya gruplar için izinleri ayarlayarak dosya sistemi nesnelerine (dosya ve klasörlere) erişimi denetler. Bunlar, kullanıcının veya grubun nesneye ne tür erişimi olduğunu belirtir. Bu izinler şunlardan birine ayarlanabilir: izin vermek veya reddetmek belirli bir erişim türü olabilir ve nesne üzerinde açıkça veya üst klasöründen miras yoluyla dolaylı olarak ayarlanabilir.

Dosyalar için standart izinler şunlardır: Tam Denetim, Değiştirme, Okuma ve Yürütme, Okuma, Yazma ve Özel. Klasörlerin Klasör İçeriğini Listele adlı başka bir özel izni vardır. Bu standart izinler, önceden tanımlanmış gelişmiş izinler bu da daha ayrıntılı bir denetime izin verir, ancak normalde standart izinlerin dışında gerekli değildir.

Örneğin, Oku ve Çalıştır standart izin aşağıdaki gelişmiş izinleri içerir:

  • Klasörü Gez / Dosya Yürüt
  • Klasörü Listele / Verileri Oku
  • Öznitelikleri Oku
  • Genişletilmiş Öznitelikleri Oku
  • Okuma İzinleri

Erişim Kontrol Listeleri

Dosya sistemindeki her nesnenin ilişkili bir Erişim Kontrol Listesi (ACL) vardır. EKL, nesne üzerinde izinleri olan güvenlik tanımlayıcılarının (SID) bir listesidir. Yerel Güvenlik Yetkilisi Alt Sistemi (LSASS), kullanıcının erişmeye çalıştığı nesne için ACL'deki SID'lerle oturum açarken kullanıcıya verilen erişim belirtecine eklenen SID'yi karşılaştıracaktır. Kullanıcının SID'si EKL'deki hiçbir SID ile eşleşmezse, erişim reddedilir. Eşleşirse, istenen erişim söz konusu SID'nin izinlerine göre verilir veya reddedilir.

Ayrıca dikkate alınması gereken izinler için bir değerlendirme emri vardır. Açık izinler, örtük izinlere göre önceliklidir ve izinleri reddet izinlere göre önceliklidir. Sırayla, şöyle görünür:

  1. Açık Deny
  2. Açık İzin Ver
  3. Örtülü Reddet
  4. Örtük İzin Ver

Varsayılan Kök Dizin İzinleri

Bir sürücünün kök dizininde verilen izinler, sürücünün sistem sürücüsü olup olmamasına bağlı olarak biraz değişir. Aşağıdaki resimde görüldüğü gibi, bir sistem sürücüsünde iki ayrı İzin vermek kimliği doğrulanmış kullanıcılar için girişler. Kimliği Doğrulanmış Kullanıcıların klasör oluşturmasına ve varolan dosyalara veri eklemesine izin veren ancak dosyada yalnızca kök dizine uygulanan varolan verileri değiştirmemesine izin veren bir dosya vardır. Diğeri, Kimliği Doğrulanmış Kullanıcıların izinleri kökten devralıyorsa, alt klasörlerde bulunan dosya ve klasörleri değiştirmesine izin verir.

Kök İzinleri

Sistem dizinleri (Windows, Program Verileri, Program Dosyaları, Program Dosyaları (x86), Kullanıcılar veya Belgeler ve Ayarlar ve muhtemelen diğerleri) izinlerini kök dizinden devralmaz. Sistem dizinleri oldukları için izinleri açıkça engellenecek şekilde ayarlanmıştır. işletim sisteminin, programın ve yapılandırma dosyalarının kötü amaçlı yazılımlara göre yanlışlıkla veya kötü amaçlı değiştirilmesi veya bir hacker.

Bir sistem sürücüsü değilse, tek fark, Authenticated Users grubunun kök klasör, alt klasörler ve dosyalar için izinleri değiştirmeye izin veren tek bir izin girdisine sahip olmasıdır. 3 grup ve SYSTEM hesabı için atanan tüm izinler sürücü boyunca devralınır.

Problem analizi

Posterimiz kaçtığında attrib tüm dosya ve klasörlerdeki herhangi bir sistem, gizli ve salt okunur özniteliği (belirtilmemiş) dizin içinde, gerçekleştirmek istedikleri eylemi belirten mesajlar aldılar (Öznitelikleri yaz) reddedildi. Komutu çalıştırdıkları sırada bulundukları dizine bağlı olarak, özellikle C: \ 'de olmaları durumunda bu çok iyi bir şeydir.

Bu komutu çalıştırmayı denemek yerine, sadece gizli dosyaları ve dizinleri göstermek için Windows Gezgini / Dosya Gezgini'ndeki ayarları değiştirmek daha iyi olurdu. Bu, Düzenle> Klasör ve arama seçenekleri Windows Gezgini'nde veya Dosya> Klasör ve arama seçeneklerini değiştir Dosya Gezgini'nde. Ortaya çıkan iletişim kutusunda, Görünüm sekmesi> Gizli dosyaları, klasörleri ve sürücüleri göster. Bu etkinleştirildiğinde, gizli dizinler ve dosyalar listede soluk öğeler olarak görünür.

dosya seçenekleri

Bu noktada, dosyalar ve klasörler hala görünmüyorsa, Klasörü Listele / Verileri Oku gelişmiş izniyle ilgili bir sorun vardır. Kullanıcı veya kullanıcının ait olduğu grup açıkça veya dolaylı olarak söz konusu klasörlere ilişkin iznin reddedildiğini veya kullanıcının bu klasörlere erişimi olan grupların hiçbirine ait olmadığını reddetti.

Kullanıcının Klasör Listeleme / Veri Okuma izinleri yoksa, okuyucunun doğrudan bu klasörlerden birine nasıl gidebileceğini sorabilirsiniz. Klasörün yolunu bildiğiniz sürece, üzerinde Klasörü Gez / Dosya Yürüt gelişmiş izinlerine sahipseniz, klasöre gidebilirsiniz. Bu, Klasör İçeriğini Listele standart izniyle ilgili bir sorun olmamasının da nedenidir. Vardır her ikisi de bu gelişmiş izinlerden.

Çözünürlük

Sistem dizinleri hariç olmak üzere, izinlerin çoğu zincirden devralınır. Bu nedenle, ilk adım, semptomların ortaya çıktığı sürücünün köküne en yakın dizini tanımlamaktır. Bu dizin bulunduğunda, sağ tıklayın ve Özellikler> Güvenlik sekmesi. Reddet sütununda Liste klasörü içeriği izni için İzin Ver sütununda bir onay işareti bulunduğunu doğrulamak için listelenen grupların / kullanıcıların izinlerini denetleyin.

Her iki sütun da işaretlenmezse, Özel izinler girişine de bakın. Bu işaretliyse (izin ver veya reddet), ileri düğmesine, ardından İzinleri Değiştir Vista veya sonraki bir sürümünü çalıştırıyorsanız ilgili iletişim kutusunda Bu, birkaç ek düğmeyle neredeyse özdeş bir iletişim kutusu getirecektir. Uygun grubu seçin, tıklayın Düzenle ve Liste klasörü / veri okuma iznine izin verildiğinden emin olun.

gelişmiş-izinler

Çekler grileşirse, bu bir devralınan izin, ve bunu yapmak için zorlayıcı bir neden olmadıkça, üst klasörde değiştirilmesi gerekir, kullanıcının profil dizini olduğu ve üst öğe Kullanıcılar veya Belgeler ve Ayarlar olacağı gibi Klasör. İkinci bir kullanıcının başka bir kullanıcının profil dizinine erişebilmesi için izinler eklemek de akılsızdır. Bunun yerine, bu dosyalara ve klasörlere erişmek için o kullanıcı olarak oturum açın. Paylaşılması gereken bir şeyse, bunları Genel profil dizinine taşıyın veya diğer kullanıcıların kaynaklara erişmesine izin vermek için Paylaşım sekmesini kullanın.

Kullanıcının söz konusu dosya veya dizinlerin izinlerini düzenleme iznine sahip olmaması da mümkündür. Bu durumda, Windows Vista veya üzeri bir Kullanıcı Hesabı Denetimi (UAC) Rahatsız Edici UAC İstemlerini Durdurma - Kullanıcı Hesabı Denetimi Beyaz Listesi Nasıl Oluşturulur [Windows]Vista'dan bu yana, biz Windows kullanıcıları, kasıtlı olarak başlattığımız bir programın başlatıldığını bize bildiren Kullanıcı Hesabı Denetimi (UAC) isteminden rahatsız olduk, rahatsız olduk, rahatsız olduk ve yorulduk. Tabii, gelişti, ... Daha fazla oku yönetici şifresi istemi veya kullanıcının bu erişime izin verme ayrıcalıklarını yükseltme izni. Windows XP altında, kullanıcı Windows Gezgini'ni Farklı çalıştır... seçeneğiyle açmalı ve Yönetici hesabı Windows Yönetici Hesabı: Bilmeniz Gereken Her ŞeyWindows Vista'dan başlayarak, yerleşik Windows Yönetici hesabı varsayılan olarak devre dışıdır. Bunu etkinleştirebilirsiniz, ancak bunu yapmak kendi sorumluluğunuzdadır! Size nasıl olduğunu gösteriyoruz. Daha fazla oku zaten bir yönetici hesabıyla çalışmıyorsa değişikliklerin yapılabilmesini sağlamak için.

Birçok kişinin sadece söz konusu dizinlerin ve dosyaların sahipliğini almanızı söyleyeceğini biliyorum, ama bir tane var Kocaman bu çözeltiye dikkat edin. Herhangi bir sistem dosyasını ve / veya dizini etkilerse, sisteminizin genel güvenliğini ciddi şekilde zayıflatacaksınız. Olması gerekiyor asla kök, Windows, Kullanıcılar, Belgeler ve Ayarlar, Program Dosyaları, Program Dosyaları (x86), Program Verileri veya inetpub dizinleri veya alt klasörlerinden herhangi birinde yapılabilir.

Sonuç

Gördüğünüz gibi, NTFS sürücülerindeki izinler çok zor değil, ancak erişim sorunlarının kaynağını bulmak çok fazla dizine sahip sistemlerde sıkıcı olabilir. İzinlerin erişim kontrol listeleriyle nasıl çalıştığı ve biraz azim konusunda temel bir anlayışla donanmış, bu sorunları bulmak ve düzeltmek yakında çocuk oyuncağı haline gelecektir.

Bruce 70'lerden beri elektronikle, 80'lerin başından beri bilgisayarlarla oynuyor ve tüm zaman boyunca kullanmadığı veya görmediği teknoloji hakkındaki soruları doğru bir şekilde cevaplıyor. Ayrıca gitar çalmaya çalışarak da canını sıkıyor.