Реклама

Од тада НТФС систем датотека Од ФАТ-а до НТФС-а до ЗФС-а: Системи датотека уништениРазличити чврсти дискови и оперативни системи могу користити различите датотечне системе. Ево шта то значи и шта треба да знате. Опширније уведен је као задани формат у издањима потрошача за Виндовс (почевши од Виндовс КСП), људи су имали проблема са приступом њиховим подацима и на унутрашњој и на спољни погони. Више нису једноставни атрибути датотека једини узрок проблема приликом проналажења и коришћења њихових датотека. Сада се морамо борити са дозволама за датотеке и мапе, као што је открио један од наших читалаца.

Питање нашег читача:

Не могу да видим мапе на свом унутрашњем чврстом диску. Водио сам команду „Аттриб -х -р -с / с / д“ и приказује приступ забрањен у свакој мапи. Могу да идем у фасцикле помоћу команде „Рун“, али не видим фасцикле на мом чврстом диску. Како да ово поправим?

Бруцеов одговор:

Ево неких сигурних претпоставки на основу информација које смо добили: Оперативни систем је Виндовс КСП или новији; систем датотека који се користи је НТФС; корисник нема дозволу потпуне контроле на делу датотечног система којим покушава да манипулише; нису у контексту администратора; и задата допуштења на датотечном систему су можда измењена.

instagram viewer

Свашта у Виндовс-у је објект, било да се ради о кључу регистра, штампачу или датотеци. Иако користе исте механизме за дефинирање корисничког приступа, нашу расправу ћемо ограничити на датотеке система датотека како би их одржали што једноставнијим.

Контрола приступа

Сигурност Црвено упозорење: 10 блогова рачунарске безбедности које бисте требали пратити данасСигурност је пресудни део рачунања и требало би да се потрудите да се едукујете и будете актуални. Желећете да проверите ових десет блогова о безбедности и стручњаке за безбедност који их пишу. Опширније било које врсте се односи на контролу ко нешто може да уради на објекту који се обезбеђује. Ко има кључ картице да откључа капију за улазак у спој? Ко има кључеве за отварање канцеларије генералног директора? Ко има комбинацију за отварање сефа у њиховој канцеларији?

зелена капија

Иста врста размишљања односи се на сигурност датотека и мапа на системима датотека НТФС. Сваки корисник у систему нема оправдану потребу за приступом свим датотекама у систему нити морају сви имати исту врсту приступа овим датотекама. Баш као и сваком запосленом у компанији, не мора имати приступ сефу у канцеларији генералног директора, нити могућност измене корпоративних извештаја, мада им може бити дозвољено да их читају.

Дозволе

Виндовс контролише приступ објектима датотечног система (датотекама и мапама) постављањем дозвола за кориснике или групе. Они одређују какав приступ објекту корисник или група има. Ова дозвола се могу поставити на било која допустити или негирати одређену врсту приступа, и може се поставити експлицитно на објект, или имплицитно путем насљеђивања из његове надређене мапе.

Стандардне дозволе за датотеке су: Потпуна контрола, измена, читање и извршавање, читање, писање и специјално. Мапе имају још једно посебно одобрење, које се назива Лист Фолдер Цонтентс. Ова стандардна одобрења су унапред дефинисани скупови напредне дозволе који омогућавају детаљнију контролу, али обично нису потребни изван стандардних дозвола.

На пример, тхе Читање и извршавање стандардна дозвола укључује следећа напредна одобрења:

  • Премести фасциклу / изврши датотеку
  • Листа мапа / читање података
  • Прочитајте атрибуте
  • Прочитајте проширене атрибуте
  • Прочитајте дозволе

Листе за контролу приступа

Сваки објект у датотечном систему има придружени попис контроле приступа (АЦЛ). АЦЛ је листа сигурносних идентификатора (СИД-ова) која имају дозволе на објекту. Подсистем локалне безбедносне службе (ЛСАСС) ће упоређивати СИД прикључен на приступни токен дат кориснику при пријави са СИД-ом у АЦЛ-у за објект којем корисник покушава приступити. Ако се СИД корисника не подудара ни са једним од СИД-ова у АЦЛ-у, приступ ће му бити одбијен. Ако се подудара, тражени ће приступ бити одобрен или одбијен на основу дозвола за тај СИД.

Такође постоји налог за процену дозвола које треба размотрити. Изричите дозволе имају предност над имплицитним дозволама, а ускраћене дозволе имају предност над дозволама. Да би то изгледало, изгледа овако:

  1. Изричито занијекати
  2. Изричито Допусти
  3. Имплицитно одбити
  4. Имплицит Аллов

Стандардне дозволе коријенског каталога

Дозволе одобрене у роот директоријуму погона мало се разликују, овисно о томе је ли диск системски погон или не. Као што се види на слици испод, системски погон има две одвојене Дозволи уноси за аутентичне кориснике. Постоји један који дозвољава Аутентификованим корисницима да стварају мапе и додају податке постојећим датотекама, али не и да мењају постојеће податке у датотеци који се односе само на роот директориј. Други омогућава Овјереним корисницима да мијењају датотеке и мапе садржане у подмапама, ако та подмапа насљеђује дозволе из коријена.

Роот Пермиссионс

Системски директорији (Виндовс, програмски подаци, програмске датотеке, програмске датотеке (к86), корисници или документи и подешавања и евентуално други) не наслеђују своја допуштења из матичног директорија. Пошто су системски директорији, њихова дозвола су изричито постављена да помогну у спречавању ненамјерно или злонамјерно мијењање оперативног система, програма и конфигурацијских датотека од стране злонамјерног софтвера или хакера.

Ако то није системски погон, једина разлика је у томе што група Аутентификовани корисници има јединствен унос дозволе који омогућава измену дозвола за коријенску фасциклу, подмапе и датотеке. Сва дозвола додељена за 3 групе и СИСТЕМ рачун наслеђују се током диска.

Анализа проблема

Кад је наш постер објавио аттриб наредба која покушава уклонити све системске, скривене атрибуте само за читање из свих датотека и мапа почевши од (неодређени) директориј у којем су се налазили, примали су поруке које указују на радњу коју желе да изврше (Врите аттрибутес) бити одбијен Зависно од директорија у којем су се налазили када су извршавали команду, ово је вјероватно врло добра ствар, посебно ако су били у Ц: \.

Уместо да покушате да покренете ову наредбу, било би боље само променити подешавања у програму Виндовс Екплорер / Филе Екплорер да бисте приказали скривене датотеке и директоријуме. Ово се лако може постићи одласком на Организујте> Фолдер и опције претраге у програму Виндовс Екплорер или Датотека> Промените фасциклу и опције претраге у Филе Екплорер-у. У резултирајућем дијалошком оквиру изаберите Картица Прикажи> Прикажи скривене датотеке, мапе и погоне. Када је ово омогућено, скривени директоријуми и датотеке приказаће се као затамњене ставке на листи.

опције фолдера

У овом тренутку, ако се датотеке и фасцикле и даље не појављују, постоји проблем са напредном дозволом Лист Фолдер / Реад Дата. Или корисник или група којој припада експлицитно или имплицитно ускратио је дозволу за предметне мапе или корисник не припада ниједној од група које имају приступ тим мапама.

Можете питати како читалац може директно да пређе на једну од ових мапа ако корисник нема дозволе листа мапа / читање података. Све док знате пут до мапе, можете ићи на њу под условом да имате напредне дозволе за кретање по фасцикли / извршавање датотеке. То је и разлог што вјероватно неће бити проблема са стандардном дозволом Лист Фолдер Цонтентс. Има и једно и друго ових напредних дозвола.

Резолуција

Уз изузетак системских именика, већина дозвола се наслеђује по ланцу. Дакле, први корак је идентификација директорија најближег корена погона, где се симптоми појављују. Једном када се овај директориј налази, кликните га десним тастером миша и изаберите Својства> картица безбедности. Проверите дозволе за сваку од наведених група / корисника да бисте проверили да ли имају потврду у колони Дозволи за дозволу за садржај листе мапе, а не у колони забране.

Ако није потврђен ниједан ступац, погледајте и унос Посебна дозвола. Ако је ово потврђено (или дозволи или одбаци), кликните на Напредно дугме, онда Промените дозволе на резултирајућем дијалошком оквиру ако користите Висту или новију верзију. Ово ће приказати готово идентичан дијалошки оквир са неколико додатних тастера. Изаберите одговарајућу групу и кликните Уредити и осигурајте да је дозвољена фасцикла Листа / дозвола за читање података.

напредне дозволе

Ако су чекови искључени, значи да је то наслеђена дозвола, и промена би требало да се врши у надређеној мапи, осим ако нема ваљаног разлога да се то не учини, као што је кориснички профил корисника, а родитељ би били корисници или документи и подешавања фолдер. Такође је неразумно додавати дозволе другом кориснику да може приступити директоријуму другог корисника. Уместо тога, пријавите се као тај корисник да бисте приступили тим датотекама и мапама. Ако је нешто што би требало да се дели, преместите их у директориј јавног профила или користите картицу Дељење како бисте осталим корисницима омогућили приступ ресурсима.

Такође је могуће да корисник нема дозволу за уређивање дозвола за дотичне датотеке или директоријуме. У том случају би Виндовс Виста или новији требало да представе а Контрола корисничких налога (УАЦ) Зауставите досадне УАЦ захтеве - Како креирати списак контролних листа корисничких рачуна [Виндовс]Још од Висте, ми Виндовс корисници смо гњавили, грешили, изнервирали и уморни од брзог надзора корисничких налога (УАЦ) који нам говори да се покреће програм који смо намерно покренули. Наравно, побољшало се, ... Опширније промпт за лозинку администратора или дозволу за повећање корисничких привилегија да дозволи тај приступ. У оперативном систему Виндовс КСП, корисник би требао отворити Виндовс Екплорер опцијом Рун ас… и користити Администраторски налог Виндовс администраторски налог: све што треба да знатеПочевши од система Виндовс Виста, уграђени Виндовс Виндовс Администратор налог је онемогућен. Можете то омогућити, али то учините на свој ризик! Показаћемо вам како. Опширније како би се осигурало да се промене могу извршити, ако се већ не раде са административним рачуном.

Знам да би вам многи људи рекли само да преузмете власништво над предметним директоријима и датотекама, али постоји један огроман упозорење на то решење. Ако би то утицало на било које системске датотеке и / или директорије, озбиљно ћете ослабити укупну сигурност вашег система. Требало би никад се врши у коријену, Виндовс-у, корисницима, документима и поставкама, програмским датотекама, програмским датотекама (к86), програмским подацима или директоријумима инетпуб или било којој од њихових подмапа.

Закључак

Као што видите, дозволе на НТФС драјвовима нису претјерано тешке, али лоцирање извора проблема приступа може бити заморно на системима са пуно директоријума. Наоружани основним разумевањем како дозволе раде са списковима контроле приступа и мало упорности, лоцирање и поправљање ових проблема ускоро ће постати игра детета.

Бруце се играо с електроником од 70-их, рачунаром од раних 80-их, и тачно је одговарао на питања о технологији које није користио нити видио цијело вријеме. Такође се нервира покушајем свирања гитаре.