Windows 7'nin Dosya / Paylaşım İzinlerini Karıştıranları Anlama

Windows'taki tüm izinleri anlamaya çalıştınız mı? Paylaşım izinleri, NTFS izinleri, erişim kontrol listeleri ve daha fazlası var. İşte hepsi nasıl birlikte çalışıyorlar?.

Güvenlik tanımlayıcısı

Windows İşletim sistemleri, tüm güvenlik ilkelerini göstermek için SID kullanır. SID'ler sadece makineleri, kullanıcıları ve grupları temsil eden değişken uzunluktaki alfanümerik karakter dizileridir. Bir dosya veya klasöre bir kullanıcı veya grup izni verdiğinizde, SID'ler ACL'lere (Erişim Kontrol Listeleri) eklenir. Sahnenin arkasında SID'ler, diğer tüm veri nesnelerinin ikili biçimde olduğu gibi saklanır. Ancak, Windows'ta bir SID gördüğünüzde daha okunaklı bir sözdizimi kullanılarak görüntülenecektir. Windows'ta herhangi bir SID formu görmemeniz pek yaygın değildir; en yaygın senaryo, bir kişiye bir kaynağa izin vermenizdir, ardından kullanıcı hesapları silinir, daha sonra ACL'de bir SID olarak görünür. Öyleyse, Windows’ta SID’leri göreceğiniz tipik biçime bir göz atalım..

Göreceğiniz notasyon belli bir sözdizimi alıyor, aşağıda bu notadaki bir SID'nin farklı kısımları var.

1. 'S' öneki
2. Yapı revizyon numarası
3. 48 bit tanımlayıcı yetki değeri
4. Değişken sayıda 32 bitlik alt yetki veya göreceli tanımlayıcı (RID) değerleri

Aşağıdaki resimde SID’mi kullanarak daha iyi bir anlayış elde etmek için farklı bölümleri kıracağız.

SID Yapısı:

'S' - Bir SID'nin ilk bileşeni daima bir 'S'dir. Bu, tüm SID'lere önceden eklenmiştir ve Windows'a izleyenlerin bir SID olduğunu bildirmek için vardır..
'1' - Bir SID'nin ikinci bileşeni, SID spesifikasyonunun değişmesi durumunda SID spesifikasyonunun revizyon numarasıdır ve geriye dönük uyumluluk sağlar. Windows 7 ve Server 2008 R2'den itibaren SID özelliği hala ilk revizyonda.
'5' - Bir SID'nin üçüncü bölümüne Kimlik Otoritesi denir. Bu, SID'nin hangi kapsamda üretildiğini tanımlar. SID'nin bu bölümleri için olası değerler şunlar olabilir:

1. 0 - Boş Makam
2. 1 - Dünya Otoritesi
3. 2 - Yerel Otorite
4. 3 - Yaratıcı Otorite
5. 4 - Eşsiz Olmayan Otorite
6. 5 - NT Kurumu

'21' - Dördüncü bileşen alt otorite 1'dir, takip eden alt otoritelerin Yerel Makineyi veya Etki Alanını tanımladığını belirtmek için dördüncü alanda '21' değeri kullanılır..
'1206375286-251249764-2214032401' - Bunlara sırasıyla alt otorite 2,3 ve 4 denir. Örneğimizde bu, yerel makineyi tanımlamak için kullanılır, ancak bir Etki Alanı için tanımlayıcı da olabilir.
'1000' - Alt otorite 5, SID’mizdeki son bileşendir ve RID (Göreceli Tanımlayıcı) olarak adlandırılır, RID her güvenlik ilkesine göredir, lütfen kullanıcı tanımlı nesnelerin, Microsoft tarafından gönderilmeyenlerin bir RID'ye sahip olacağını 1000 veya daha büyük.

Güvenlik ilkeleri

Güvenlik ilkesi, kendisine bağlı bir SID'si olan herhangi bir şeydir, bunlar kullanıcılar, bilgisayarlar ve hatta gruplar olabilir. Güvenlik ilkeleri yerel olabilir veya etki alanı bağlamında olabilir. Yerel güvenlik ilkelerini, bilgisayar yönetimi altındaki Yerel Kullanıcılar ve Gruplar ek bileşenini kullanarak yönetirsiniz. Oraya gitmek için başlat menüsünde bilgisayar kısayoluna sağ tıklayın ve yönet.

Yeni bir kullanıcı güvenliği ilkesi eklemek için kullanıcılar klasörüne gidip sağ tıklayıp yeni kullanıcı seçebilirsiniz.

Bir kullanıcıyı çift tıklarsanız, onları Üyenin sekmesindeki Güvenlik Grubuna ekleyebilirsiniz..

Yeni bir güvenlik grubu oluşturmak için sağ taraftaki Gruplar klasörüne gidin. Beyaz boşluğa sağ tıklayın ve yeni grup seçin.

Paylaşım İzinleri ve NTFS İzni

Windows'ta iki tür dosya ve klasör izni vardır, öncelikle Paylaşım İzinleri vardır ve ikincisi de Güvenlik İzinleri olarak da adlandırılan NTFS İzinleri vardır. Bir klasörü paylaştığınızda varsayılan olarak “Everyone” grubuna okuma izni verilir. Klasörlerdeki güvenlik, genellikle, her zaman en kısıtlayıcı olduğunu, örneğin paylaşım izni Herkes olarak ayarlandıysa (varsayılan olan), en kısıtlayıcı uygulamanın geçerli olduğunu hatırlamak için gerekliyse, Share ve NTFS İzinlerinin bir kombinasyonu ile yapılır. ancak NTFS İzni, kullanıcıların dosyada değişiklik yapmasına izin verir, Paylaşım İzni tercih edilir ve kullanıcıların değişiklik yapmasına izin verilmez. İzinleri ayarladığınızda, LSASS (Yerel Güvenlik Yetkilisi) kaynağa erişimi kontrol eder. Oturum açtığınızda, size SID'inizle birlikte bir erişim belirteci verilir, kaynağa eriştiğinizde LSASS ACL'ye eklediğiniz SID'yi karşılaştırır (Erişim Kontrol Listesi) ve SID ACL'de ise, erişime izin ver veya reddet. Hangi izinleri kullanırsanız kullanın farklılıklar vardır, bu nedenle ne zaman kullanmamız gerektiğine dair daha iyi bir anlayışa bakalım..

Paylaşım İzinleri:

1. Yalnızca kaynağa ağ üzerinden erişen kullanıcılar için geçerlidir. Yerel olarak oturum açarsanız, örneğin terminal servisleri aracılığıyla başvurmazlar.
2. Paylaşılan kaynaktaki tüm dosya ve klasörler için geçerlidir. Daha ayrıntılı bir tür kısıtlama düzeni sağlamak istiyorsanız, paylaşılan izinlere ek olarak NTFS İznini kullanmalısınız.
3. FAT veya FAT32 olarak biçimlendirilmiş birimleriniz varsa, NTFS İzinleri bu dosya sistemlerinde bulunmadığından bu sizin için geçerli olan tek kısıtlama biçimi olacaktır..

NTFS İzinler:

1. NTFS İzinleri üzerindeki tek kısıtlama, yalnızca NTFS dosya sistemine biçimlendirilmiş bir birime ayarlanabilecek olmalarıdır.
2. NTFS'nin kümülatif olduğunu unutmayın; bu, kullanıcıların etkili izinlerinin, kullanıcının atanmış izinlerini ve kullanıcının ait olduğu grupların izinlerini birleştirmesinin bir sonucu olduğu anlamına gelir..

Yeni Paylaşım İzinleri

Windows 7, yeni bir "kolay" paylaşım tekniğini satın aldı. Seçenekler Okuma, Değiştirme ve Tam Kontrol olarak değiştirildi. Oku ve Oku / Yaz. Bu fikir tüm Ev grubu zihniyetinin bir parçasıydı ve bilgisayar okuryazar olmayan insanlar için bir klasörü paylaşmasını kolaylaştırıyor. Bu, içerik menüsü aracılığıyla yapılır ve ev grubunuzla kolayca paylaşır.

Ev grubunda olmayan biriyle paylaşmak istiyorsanız, her zaman “Belirli insanlar…” seçeneğini seçebilirsiniz. Bu da daha ayrıntılı bir diyalog ortaya çıkardı. Belirli bir kullanıcıyı veya grubu belirtebileceğiniz yer.

Daha önce de belirtildiği gibi sadece iki izin var, birlikte klasörleriniz ve dosyalarınız için bir ya hep ya hiç koruma düzeni sunarlar..

1. okumak izin “bak, dokunma” seçeneğidir. Alıcılar dosyayı açabilir, ancak değiştiremez veya silemez.
2. Okuma yazma “bir şey yap” seçeneğidir. Alıcılar dosyayı açabilir, değiştirebilir veya silebilir.

Eski Okul Yolu

Eski paylaşım iletişim kutusu daha fazla seçeneğe sahipti ve bize klasörü farklı bir takma adla paylaşma seçeneği sundu, eşzamanlı bağlantı sayısını sınırlamamıza ve önbelleğe almayı yapılandırmamıza izin verdi. Bu işlevselliklerin hiçbiri Windows 7'de kaybolmaz ancak “Gelişmiş Paylaşım” adı verilen bir seçenek altında gizlenir. Bir klasöre sağ tıklayıp özelliklerine giderseniz, bu “Gelişmiş Paylaşım” ayarlarını paylaşım sekmesi altında bulabilirsiniz..

Yerel yönetici kimlik bilgileri gerektiren “Gelişmiş Paylaşma” düğmesine tıklarsanız, aşina olduğunuz tüm ayarları önceki Windows sürümlerinde yapılandırabilirsiniz..

Eğer izinler düğmesine tıklarsanız, hepimizin bildiği 3 ayar size sunulur..

1. okumak izin, uygulamaları ve uygulamaların yanı sıra dosyaları ve alt dizinleri görüntülemenizi ve açmanızı sağlar. Ancak, herhangi bir değişiklik yapılmasına izin vermez.
2. değiştirmek izin size bir şey yapmanıza olanak sağlar okumak izin verir, ayrıca dosya ve alt dizin ekleme, alt klasörleri silme ve dosyalardaki verileri değiştirme özelliği sağlar.
3. Tam kontrol önceki izinlerin herhangi birini ve tümünü yapmanıza izin verdiği için klasik izinlerin “her şeyi yapın”. Buna ek olarak, size değişen NTFS İznini verir, bu yalnızca NTFS Klasörlerinde geçerlidir.

NTFS izinleri

NTFS İzni, dosyalarınız ve klasörleriniz üzerinde çok ayrıntılı bir denetime izin verir. Bununla birlikte, ayrıntı düzeyi, yeni gelenlere göz korkutucu gelebilir. NTFS iznini, dosya bazında ve klasör bazında da ayarlayabilirsiniz. Bir dosyada NTFS İzni ayarlamak için sağ tıklayıp güvenlik sekmesine gitmeniz gereken dosya özelliklerine gitmelisiniz.

Bir Kullanıcı veya Grup için NTFS İzinlerini düzenlemek için düzenle düğmesine tıklayın..

Gördüğünüz gibi epeyce NTFS İzinleri var, bu yüzden onları parçalayalım. Öncelikle bir dosya üzerinde ayarlayabileceğiniz NTFS İzinlerine bakacağız.

1. Tam kontrol dosyayı okumanıza, yazmanıza, değiştirmenize, yürütmenize, niteliklerinizi, izinlerinizi değiştirmenize ve sahipliğini almanıza olanak tanır.
2. değiştirmek Dosyanın özelliklerini okumanıza, yazmanıza, değiştirmenize, yürütmenize ve değiştirmenize olanak sağlar..
3. Oku ve Çalıştır dosyanın verilerini, özelliklerini, sahibini ve izinlerini görüntülemenize ve bir programsa dosyayı çalıştırmanıza izin verir..
4. okumak dosyayı açmanıza, özelliklerini, sahibini ve izinlerini görüntülemenize izin verir..
5. Yazmak dosyaya veri yazmanıza, dosyaya eklemenize ve özniteliklerini okumanıza veya değiştirmenize olanak sağlar.

Klasörler için NTFS İzinleri biraz farklı seçeneklere sahiptir;.

1. Tam kontrol Klasördeki dosyaları okumanıza, yazmanıza, değiştirmenize ve yürütmenize, nitelikleri, izinleri değiştirmenize ve içindeki klasör veya dosyaların sahipliğini almanıza olanak tanır..
2. değiştirmek Klasördeki dosyaları okumanıza, yazmanıza, değiştirmenize ve yürütmenize ve klasörün veya içindeki dosyaların özniteliklerini değiştirmenize olanak sağlar..
3. Oku ve Çalıştır klasörün içeriğini ve klasör içindeki dosyalar için verileri, nitelikleri, sahibi ve izinleri görüntülemenizi ve klasördeki dosyaları çalıştırmanızı sağlar.
4. Klasör içeriğini listele klasörün içeriğini ve klasördeki dosyalar için verileri, nitelikleri, sahibi ve izinleri görüntülemenizi sağlar.
5. okumak Dosyanın verilerini, özelliklerini, sahibini ve izinlerini görüntülemenizi sağlar.
6. Yazmak dosyaya veri yazmanıza, dosyaya eklemenize ve özniteliklerini okumanıza veya değiştirmenize olanak sağlar.

Microsoft'un belgeleri ayrıca, “Klasör İçeriğini Listele” nin klasör içindeki dosyaları yürütmenize izin vereceğini ancak bunun için “Okuma ve Yürütme” yi etkinleştirmeniz gerekeceğini de belirtir. Çok kafa karıştırıcı bir şekilde belgelenmiş bir izin.

özet

Özetle, kullanıcı adları ve gruplar, SID (Güvenlik Tanımlayıcı) adı verilen alfanümerik bir dizgenin temsilidir, Paylaşım ve NTFS İzinleri bu SID'lere bağlanır. Paylaşım İzinleri LSSAS tarafından yalnızca ağ üzerinden erişilirken denetlenirken, NTFS İzinleri yalnızca yerel makinelerde geçerlidir. Umarım hepiniz Windows 7'de dosya ve klasör güvenliğinin nasıl uygulandığına dair sağlam bir anlayışınız vardır. Herhangi bir sorunuz varsa yorumlarda sesini kesmekten çekinmeyin.