Informationen zu den verwirrenden Windows 7-Berechtigungen für Dateien und Freigaben
Haben Sie jemals versucht, alle Berechtigungen in Windows herauszufinden? Es gibt Freigabeberechtigungen, NTFS-Berechtigungen, Zugriffssteuerungslisten und mehr. So arbeiten sie alle zusammen.
Die Sicherheitsidentifikation
Die Windows-Betriebssysteme verwenden SIDs, um alle Sicherheitsprinzipien darzustellen. SIDs sind lediglich Zeichenfolgen mit variabler Länge aus alphanumerischen Zeichen, die Maschinen, Benutzer und Gruppen darstellen. SIDs werden zu ACLs (Access Control Lists) hinzugefügt, wenn Sie einem Benutzer oder einer Gruppe die Berechtigung für eine Datei oder einen Ordner erteilen. Hinter der Szene werden SIDs genauso gespeichert wie alle anderen Datenobjekte, und zwar binär. Wenn Sie jedoch unter Windows eine SID sehen, wird diese mit einer besser lesbaren Syntax angezeigt. Es wird nicht oft vorkommen, dass Sie unter Windows irgendeine Form von SID sehen. Das häufigste Szenario ist, wenn Sie jemandem die Berechtigung für eine Ressource erteilen. Ihr Benutzerkonto wird dann gelöscht und in der ACL als SID angezeigt. Schauen wir uns also das typische Format an, in dem Sie SIDs in Windows sehen.
Die Notation, die Sie sehen, erfordert eine bestimmte Syntax. Nachfolgend sind die verschiedenen Teile einer SID in dieser Notation aufgeführt.
- Ein 'S' Präfix
- Nummer der Strukturversion
- Ein 48-Bit-Identifizierungsberechtigungswert
- Eine variable Anzahl von 32-Bit-Werten für Sub-Authority oder relative ID (RID)
Mit meiner SID in der Abbildung unten werden wir die verschiedenen Abschnitte aufteilen, um ein besseres Verständnis zu erhalten.
Die SID-Struktur:
'S' - Die erste Komponente einer SID ist immer ein 'S'. Dies ist allen SIDs vorangestellt und soll Windows darüber informieren, dass es sich bei dem folgenden um eine SID handelt.
'1' - Die zweite Komponente einer SID ist die Revisionsnummer der SID-Spezifikation. Wenn sich die SID-Spezifikation ändern sollte, würde sie Abwärtskompatibilität bieten. Seit Windows 7 und Server 2008 R2 befindet sich die SID-Spezifikation noch in der ersten Version.
'5' - Der dritte Abschnitt einer SID wird Identifier Authority genannt. Dadurch wird festgelegt, in welchem Bereich die SID generiert wurde. Mögliche Werte für diese Abschnitte der SID können sein:
- 0 - Nullberechtigung
- 1 - Weltbehörde
- 2 - Gemeindeverwaltung
- 3 - Schöpferbehörde
- 4 - Nicht eindeutige Behörde
- 5 - NT-Behörde
'21' - Die vierte Komponente ist die Subautorität 1, der Wert '21' wird im vierten Feld verwendet, um anzugeben, dass die Subautorität, die folgt, den lokalen Computer oder die Domäne identifiziert.
'1206375286-251249764-2214032401' - Diese werden als Unterbehörde 2,3 bzw. 4 bezeichnet. In unserem Beispiel wird dies zur Identifizierung des lokalen Computers verwendet, er kann jedoch auch die Kennung für eine Domäne sein.
'1000' - Die untergeordnete Instanz 5 ist die letzte Komponente in unserer SID und wird als RID (Relative Identifier) bezeichnet. Die RID bezieht sich auf jedes Sicherheitsprinzip. Beachten Sie, dass alle benutzerdefinierten Objekte, die nicht von Microsoft ausgeliefert werden, eine RID besitzen von 1000 oder mehr.
Sicherheitsgrundsätze
Ein Sicherheitsprinzip ist alles, an das eine SID gebunden ist. Dies können Benutzer, Computer und sogar Gruppen sein. Sicherheitsprinzipien können lokal sein oder sich im Domänenkontext befinden. Sie verwalten lokale Sicherheitsprinzipien über das Snap-In Lokale Benutzer und Gruppen unter Computerverwaltung. Um dorthin zu gelangen, klicken Sie mit der rechten Maustaste auf die Computerkombination im Startmenü und wählen Sie Verwalten.
Um ein neues Benutzersicherheitsprinzip hinzuzufügen, klicken Sie mit der rechten Maustaste auf den Benutzerordner und wählen Sie einen neuen Benutzer aus.
Wenn Sie auf einen Benutzer doppelklicken, können Sie ihn auf der Registerkarte Mitglied von zu einer Sicherheitsgruppe hinzufügen.
Um eine neue Sicherheitsgruppe zu erstellen, navigieren Sie zum Ordner Gruppen auf der rechten Seite. Klicken Sie mit der rechten Maustaste auf das weiße Feld und wählen Sie eine neue Gruppe aus.
Freigabeberechtigungen und NTFS-Berechtigungen
In Windows gibt es zwei Arten von Datei- und Ordnerberechtigungen: Erstens gibt es Freigabeberechtigungen und zweitens gibt es NTFS-Berechtigungen, die auch als Sicherheitsberechtigungen bezeichnet werden. Beachten Sie, dass bei der gemeinsamen Nutzung eines Ordners der Gruppe "Jeder" die Leseberechtigung erteilt wird. Die Sicherheit von Ordnern erfolgt normalerweise mit einer Kombination aus Freigabe und NTFS-Berechtigung. Wenn dies der Fall ist, muss unbedingt beachtet werden, dass immer das restriktivste gilt, wenn beispielsweise die Freigabeberechtigung auf Everyone = Read (standardmäßig) gesetzt ist. Mit der NTFS-Berechtigung können Benutzer jedoch Änderungen an der Datei vornehmen. Die Freigabeberechtigung hat Vorrang, und die Benutzer dürfen keine Änderungen vornehmen. Wenn Sie die Berechtigungen festlegen, steuert die LSASS (Local Security Authority) den Zugriff auf die Ressource. Wenn Sie sich anmelden, erhalten Sie ein Zugriffstoken mit Ihrer SID. Wenn Sie auf die Ressource zugreifen, vergleicht der LSASS die SID, die Sie der ACL (Zugriffssteuerungsliste) hinzugefügt haben. Wenn sich die SID in der ACL befindet, bestimmt sie, ob dies möglich ist Zugriff erlauben oder verweigern Unabhängig davon, welche Berechtigungen Sie verwenden, gibt es Unterschiede, sodass wir einen Blick darauf werfen sollten, um zu verstehen, wann wir welche verwenden sollten.
Freigabeberechtigungen:
- Gilt nur für Benutzer, die über das Netzwerk auf die Ressource zugreifen. Sie gelten nicht, wenn Sie sich lokal anmelden, z. B. über Terminaldienste.
- Es gilt für alle Dateien und Ordner in der freigegebenen Ressource. Wenn Sie ein differenzierteres Einschränkungsschema angeben möchten, sollten Sie zusätzlich zu den gemeinsam genutzten Berechtigungen die NTFS-Berechtigung verwenden
- Wenn Sie über FAT- oder FAT32-formatierte Volumes verfügen, ist dies die einzige für Sie verfügbare Einschränkung, da NTFS-Berechtigungen auf diesen Dateisystemen nicht verfügbar sind.
NTFS-Berechtigungen:
- Die einzige Einschränkung für NTFS-Berechtigungen besteht darin, dass sie nur für ein Volume festgelegt werden können, das mit dem NTFS-Dateisystem formatiert ist
- Denken Sie daran, dass NTFS kumulativ ist. Dies bedeutet, dass die effektiven Berechtigungen eines Benutzers das Ergebnis der Kombination der zugewiesenen Berechtigungen des Benutzers und der Berechtigungen aller Gruppen sind, denen der Benutzer angehört.
Die neuen Freigabeberechtigungen
Windows 7 kaufte eine neue "einfache" Share-Technik. Die Optionen wurden von Lesen, Ändern und Vollzugriff in geändert. Lesen und Lesen / Schreiben. Die Idee war Teil der gesamten Mentalität der Home-Gruppe und macht es leicht, einen Ordner für Personen ohne Computerkenntnisse freizugeben. Dies erfolgt über das Kontextmenü und kann problemlos mit Ihrer Heimatgruppe geteilt werden.
Wenn Sie mit jemandem teilen möchten, der sich nicht in der Stammgruppe befindet, können Sie immer die Option "Bestimmte Personen ..." wählen. Was zu einem "aufwendigeren" Dialog führen würde. Wo könnten Sie einen bestimmten Benutzer oder eine Gruppe angeben.
Wie bereits erwähnt, gibt es nur zwei Berechtigungen. Zusammen bieten sie ein Schutzsystem für Ihre Ordner und Dateien.
- Lesen Erlaubnis ist die Option "Look, Don't Touch". Empfänger können eine Datei öffnen, jedoch nicht ändern oder löschen.
- Lesen Schreiben ist die Option "Alles tun". Empfänger können eine Datei öffnen, ändern oder löschen.
Der alte Schulweg
Der alte Freigabedialog enthielt mehr Optionen und gab uns die Möglichkeit, den Ordner unter einem anderen Alias freizugeben. Dadurch konnten wir die Anzahl der gleichzeitigen Verbindungen begrenzen und das Caching konfigurieren. Unter Windows 7 geht keine dieser Funktionen verloren, sondern wird unter der Option "Erweiterte Freigabe" verborgen. Wenn Sie mit der rechten Maustaste auf einen Ordner klicken und dessen Eigenschaften aufrufen, finden Sie diese Einstellungen für die erweiterte Freigabe auf der Registerkarte Freigabe.
Wenn Sie auf die Schaltfläche "Erweiterte Freigabe" klicken, für die lokale Administratoranmeldeinformationen erforderlich sind, können Sie alle Einstellungen konfigurieren, mit denen Sie in früheren Windows-Versionen vertraut waren.
Wenn Sie auf die Schaltfläche "Berechtigungen" klicken, werden die 3 Einstellungen angezeigt, mit denen wir alle vertraut sind.
- Lesen Mit der Berechtigung können Sie Dateien und Unterverzeichnisse anzeigen und öffnen sowie Anwendungen ausführen. Es können jedoch keine Änderungen vorgenommen werden.
- Ändern Die Erlaubnis erlaubt es Ihnen, alles zu tun Lesen Wenn Sie die Berechtigung zulassen, können Sie auch Dateien und Unterverzeichnisse hinzufügen, Unterordner löschen und Daten in den Dateien ändern.
- Volle Kontrolle ist das "Alles tun" der klassischen Berechtigungen, da Sie alle vorherigen Berechtigungen ausführen können. Darüber hinaus erhalten Sie die erweiterte Änderung der NTFS-Berechtigung. Dies gilt nur für NTFS-Ordner
NTFS-Berechtigungen
Die NTFS-Berechtigung ermöglicht eine sehr genaue Kontrolle Ihrer Dateien und Ordner. Mit dieser Aussage kann die Menge an Granularität für einen Neuankömmling entmutigend sein. Sie können die NTFS-Berechtigung auch pro Datei und pro Ordner festlegen. Um die NTFS-Berechtigung für eine Datei festzulegen, klicken Sie mit der rechten Maustaste und wechseln Sie zu den Dateieigenschaften, in denen Sie zur Registerkarte "Sicherheit" wechseln müssen.
Um die NTFS-Berechtigungen für einen Benutzer oder eine Gruppe zu bearbeiten, klicken Sie auf die Schaltfläche Bearbeiten.
Wie Sie vielleicht sehen, gibt es eine ganze Reihe von NTFS-Berechtigungen. Zunächst werden die NTFS-Berechtigungen beschrieben, die Sie für eine Datei festlegen können.
- Volle Kontrolle Ermöglicht das Lesen, Schreiben, Ändern, Ausführen, Ändern von Attributen, Berechtigungen und den Besitz der Datei.
- Ändern ermöglicht das Lesen, Schreiben, Ändern, Ausführen und Ändern der Dateiattribute.
- Lesen und ausführen ermöglicht Ihnen, die Daten, Attribute, Eigentümer und Berechtigungen der Datei anzuzeigen und die Datei auszuführen, wenn es sich um ein Programm handelt.
- Lesen können Sie die Datei öffnen, ihre Attribute, Eigentümer und Berechtigungen anzeigen.
- Schreiben können Sie Daten in die Datei schreiben, an die Datei anhängen und deren Attribute lesen oder ändern.
NTFS-Berechtigungen für Ordner haben etwas unterschiedliche Optionen, so dass wir sie uns ansehen können.
- Volle Kontrolle Ermöglicht das Lesen, Schreiben, Ändern und Ausführen von Dateien im Ordner, das Ändern von Attributen und Berechtigungen sowie das Besitzrecht des Ordners bzw. der darin enthaltenen Dateien.
- Ändern ermöglicht das Lesen, Schreiben, Ändern und Ausführen von Dateien im Ordner sowie das Ändern der Attribute des Ordners oder der darin enthaltenen Dateien.
- Lesen und ausführen können Sie den Inhalt des Ordners und die Daten, Attribute, den Eigentümer und die Berechtigungen für Dateien innerhalb des Ordners anzeigen und Dateien innerhalb des Ordners ausführen.
- Ordnerinhalt auflisten können Sie den Inhalt des Ordners und die Daten, Attribute, den Eigentümer und die Berechtigungen für Dateien innerhalb des Ordners anzeigen.
- Lesen ermöglicht Ihnen die Anzeige der Daten, Attribute, Eigentümer und Berechtigungen der Datei.
- Schreiben können Sie Daten in die Datei schreiben, an die Datei anhängen und deren Attribute lesen oder ändern.
Die Dokumentation von Microsoft besagt auch, dass Sie mit "List Folder Contents" Dateien innerhalb des Ordners ausführen können. Sie müssen jedoch "Read & Execute" aktivieren, um dies zu tun. Es ist eine sehr verwirrend dokumentierte Erlaubnis.
Zusammenfassung
Zusammenfassend sind Benutzernamen und Gruppen Repräsentationen einer alphanumerischen Zeichenfolge, die als SID (Security Identifier) bezeichnet wird. Share und NTFS-Berechtigungen sind an diese SIDs gebunden. Freigabeberechtigungen werden vom LSSAS nur beim Zugriff über das Netzwerk geprüft, während NTFS-Berechtigungen nur auf den lokalen Computern gültig sind. Ich hoffe, dass Sie alle ein fundiertes Verständnis dafür haben, wie die Datei- und Ordnersicherheit in Windows 7 implementiert wird. Wenn Sie Fragen haben, können Sie sich in den Kommentaren melden.