Блог
Главная | Автоюрист | Запрет наследования разрешений

Назначение и изменение разрешений для файлов и папок в Windows 8.1


Разрешения файловой системы Для управления доступом пользователей к папкам и файлам используется детализированная и сложная система разрешений. Механизм управления доступом к объектам Windows — один из самых детализированных среди известных операционных систем. Для файлов и папок существует не менее 14 разрешений NTFS, которые могут быть включены или блокированы — и проверены.

Эти разрешения можно назначать файлам или папкам и пользователям или группам. Кроме того, можно назначать порядок наследования разрешений для файлов или папок и пользователей или групп. В лабиринте разрешений легко заблудиться.

Запрет наследования разрешений секунду остановился

В данной статье речь пойдет о том, как действуют разрешения для папок и файлов, и о наиболее эффективных способах их применения. Весь доступ к объектам осуществляется через программы например, Windows Explorer, Microsoft Office или процессы. Программа, которая обращается к ресурсам от лица пользователя, выполняет процедуру, которая называется имперсонализацией impersonation. Программа, которая обращается к удаленному ресурсу, выполняет процедуру, которая называется делегированием delegation.

В маркер безопасного доступа вводится и другая информация, в том числе о назначенных пользователю правах разрешениях , ID сеанса пользователя уникален для каждого сеанса , маске разрешений с детальным описанием типа запрошенного доступа. Затем монитор защиты анализирует маркер, чтобы определить эффективные разрешения пользователя, и разрешает или запрещает выполнение запрошенной пользователем операции. Эффективные разрешения более подробно описаны ниже. Разрешения Share Каждый защищенный объект Windows — в том числе файлы, папки, общие ресурсы, принтеры и разделы реестра — поддерживает разрешения безопасности.

Любую папку Windows можно сделать общедоступной, чтобы разрешить дистанционный доступ. Разрешения Share можно назначать любым объектам folder и printer в Windows, но разрешения применяются, только если обращение к объекту происходит через сетевой ресурс. Субъекты безопасности, которым присвоено право полного доступа Full Control к объекту, могут производить с объектом почти любые операции. Они могут удалить, переименовать, копировать, переместить и изменить объект. Пользователь с правом Full Control может изменить разрешения Share объекта и стать владельцем объекта если он уже не является владельцем и не имеет разрешения Take Ownership.

Таким образом, любой пользователь с разрешением Full Control может отменить разрешения других лиц, в том числе администратора хотя администратор может всегда вернуть себе владение и разрешения.

Удивительно, но факт! Если приоритет получает Full Control-Deny, то пользователь, как правило, не имеет доступа к объекту.

Возможность изменять разрешения — обязательное требование любой операционной системы с избирательным управлением доступом discretionary access control — DAC , такой как Windows. В большинстве случаев, основное разрешение доступа к ресурсу, необходимое обычным пользователям — Change. С помощью разрешения Change пользователь может добавлять, удалять, изменять и переименовывать любые ресурсы в соответствующей папке.

Разрешение Read обеспечивает просмотр, копирование, переименование и печать объекта. Пользователь с разрешением Read может копировать объект в другое место, в котором имеет право Full Control. Разрешения NTFS применяются как при локальном, так и при дистанционном доступе к объекту.

Для просмотра и изменения разрешений NTFS файла или папки достаточно щелкнуть правой кнопкой мыши на объекте, выбрать пункт Properties и перейти к вкладке Security. Суммарные разрешения представляют собой различные комбинации 14 более детализированных разрешений, показанных в Таблице 2. Просмотреть детализированные разрешения можно, открыв диалоговое окно Advanced Security Settings для объекта щелчком на кнопке Advanced во вкладке Security, а затем щелкнуть на кнопке Edit во вкладке Permissions.

Знакомиться с детализированными разрешениями объекта особенно требующего повышенной безопасности — полезная привычка, хотя для этого требуется больше усилий. Суммарные разрешения не всегда точно отражают состояние детализированных разрешений. Пользователи, не являющиеся администраторами, часто имеют разрешение Full Control в своем домашнем каталоге и других файлах и папках. Как уже отмечалось, обладатель прав такого уровня может изменять разрешения файла и назначить себя владельцем.

Вместо того чтобы предоставлять пользователям разрешение Full Control, можно дать им лишь право Modify. Если пользователь — владелец файла, то при необходимости можно вручную запретить ему изменять разрешения. Большинство защищенных объектов NTFS располагают разрешениями обоих видов. Влияние доверительных отношений Windows По умолчанию все домены и леса Windows и более поздних версий имеют двусторонние доверительные отношения со всеми другими доменами леса.

Если домен доверяет другому домену, то все пользователи в доверенном домене имеют те же разрешения безопасности в доверяющем домене, что и группа Everyone и группа Authenticated Users доверяющего домена. В любом домене многие разрешения этим группам назначаются по умолчанию, и доверительные отношения неявно обеспечивают широкие права, которые не были бы предоставлены в ином случае. Следует помнить, что если доверительные отношения не носят выборочного характера, то любые разрешения, предоставляемые группам Everyone и Authenticated Users, назначаются и всем другим пользователям в лесу.

Проверка разрешений из командной строки Администраторы часто используют такие инструменты командной строки, как subinacl. С помощью Subinacl можно просматривать и изменять разрешения NTFS для файлов, папок, объектов, разделов реестра и служб. Самая важная возможность Subinacl — скопировать разрешения пользователя, группы или объекта и применить их к другому пользователю, группе или объекту в том же или другом домене. Например, при перемещении пользователя из одного домена в другой в Windows создается новая учетная запись user; все ранее существовавшие SID или разрешения, связанные с первоначальным пользователем, отменяются.

Скопировав разрешения в новую учетную запись user с помощью Subinacl, можно сделать их идентичными.

Удивительно, но факт! Второе, на что необходимо обращать внимание - это то, что отсутствие какого-либо разрешения флажок не стоит ни в столбце Разрешить ни в столбце Запретить не эквивалентно запрету этого разрешения флажок стоит в столбце Запретить.

Xcacls функционирует аналогично Subinacl и входит в состав комплекта ресурсов Windows Server Resource Kit. Это более старый инструмент, который появился в составе Windows со времени Windows NT. Cacls не столь полезна, как Subinacl или Xacls, но утилита всегда имеется в системе Windows. С помощью Cacls можно просматривать и изменять файлы и разрешения по пользователям и группам, но не создавать детализированные разрешения NTFS.

Наследование По умолчанию все файлы, папки и разделы реестра наследуют разрешения от родительского контейнера. Наследование можно активизировать или отключить для индивидуальных файлов, папок или разделов реестра и для отдельных пользователей или групп. Как мы видим на Экране 1, поле Apply To на вкладке Permissions диалогового окна Advanced Security Settings показывает, ограничено ли действие конкретного разрешения текущим контейнером, или оно распространяется на подпапки и файлы.

Администратор может назначить разрешение для отдельных пользователей , которые наследуются или нет. Если файл или папка наследует большинство своих разрешений, но имеет также и набор явно заданных разрешений, то последние всегда имеют приоритет перед унаследованными правами. Например, можно предоставить пользователю разрешение Full Control-Deny в корневом каталоге конкретного тома, и задать наследование этих разрешений всеми файлами и папками диска. Затем можно назначить любому файлу или папке на диске право доступа, которое отменяет унаследованный режим Full Control-Deny.

Эффективные разрешения Монитор защиты Windows определяет эффективные разрешения пользователей реальные разрешения, которыми они располагают на практике с учетом нескольких факторов. Как отмечалось выше, монитор защиты сначала собирает информацию об индивидуальной учетной записи пользователя и всех группах, к которым он принадлежит, и обобщает все разрешения, назначенные всем пользовательским и групповым SID.

его Запрет наследования разрешений словно

Если разрешения Deny и Allow существуют на одном уровне, то, как правило, приоритет имеет Deny. Если приоритет получает Full Control-Deny, то пользователь, как правило, не имеет доступа к объекту. В результате эффективные разрешения пользователя представляют собой набор разрешений, предоставленных как разрешениями Share, так и NTFS. Эффективные разрешения — самый ограниченный набор разрешений.

В данном случае разрешения почти идентичны. Многие администраторы ошибочно полагают, что эффективные разрешения — только Read, из-за плохих, чрезмерно упрощенных примеров или устаревшей документации. Не учитывается влияние разрешений Share, групп на базе действий, членства в которых пользователь не имеет, и других факторов, таких как файловая система с шифрованием Encrypting File System — EFS.

Если EFS активизирована для файла или папки, то пользователь с соответствующими разрешениями NTFS и Share может лишиться возможности доступа к объекту, если не имеет права доступа EFS к папке или файлу. Рекомендации В завершении статьи — несколько рекомендаций по работе с файлами и папками: Осмотрительно предоставлять разрешения Full Control обычным пользователям.

Полезно назначить им вместо этого разрешение Modify. В большинстве случаев такой подход обеспечивает пользователям все необходимые разрешения, не позволяя изменять права или присваивать себе владение. Аккуратно работайте с группой Everyone; лучше использовать группу Authenticated Users или Users , или специальную группу с ограниченными правами.

Важные упущения группы Authenticated Users — отсутствие Guest и неаутентифицированного пользователя. Нередко сетевых администраторов просят ввести гостевые учетные записи для сторонних пользователей например, консультантов, подрядчиков, внештатных программистов.

Наследование для объектов Active Directory

Но права обычного пользователя часто избыточны для гостя. Следует сформировать и использовать группу, права которой по умолчанию сильно урезаны например, разрешение Full Control-Deny для корневых каталогов , а затем явно разрешить доступ только к файлам и папкам, необходимым данной гостевой учетной записи. Явно назначаемые разрешения предпочтительны, поскольку предоставляют гостевым пользователям именно те разрешения, которые необходимы для их работы, но не больше.

Следует проявлять осторожность, налагая запреты на группы Everyone и Users, так как администраторы входят и в эти группы. В случае доверительных отношений с другими доменами полезно применять одностороннее и селективное доверие, чтобы ограничить права пользователей доверенного домена. Необходимо периодически осуществлять аудит разрешений NTFS и Share, чтобы убедиться в том, что они максимально ограничены. Используя эти рекомендации и справочные таблицы с кратким описанием всех разрешений, можно смело отправляться в лабиринт файловой системы.

Администратор сможет уверенно назначать разрешения для файлов, папок, пользователей и групп. Не позволяет запускать выполняемые программы, кроме файлов сценариев. Позволяет считывать разрешения объектов, атрибуты объектов и расширенные атрибуты например, бит Archive, EFS. Позволяет читать, удалять, изменять и перезаписывать файлы и папки Full Control Обеспечивает полное управление папками и файлами, в том числе позволяет назначать разрешения Special Permissions Позволяет составлять комбинации из 14 более детальных разрешений, которые не входят ни в одно из остальных 6 суммарных разрешений.

К этой группе относится разрешение Synchronize Таблица 2. Применяется только к папкам. Traverse Folder вступает в силу, только если субъект безопасности не имеет разрешения Bypass traverse checking user предоставляется группе Everyone по умолчанию. Execute File позволяет запускать программные файлы. List Folder воздействует только на содержимое папки — оно не влияет на то, будет ли внесена в список папка, для которой назначается разрешение.

Append Data позволяет вносить изменения в конец файла, но не изменять, удалять или перезаписывать существующие данные применяется только к файлам Write Attributes Определяет, может ли субъект безопасности записывать или изменять стандартные атрибуты например, Read-only, System, Hidden файлов и папок. Не влияет на содержимое файлов и папок, только на их атрибуты. Write Extended Attributes Определяет, может ли субъект безопасности записывать или изменять расширенные атрибуты например, EFS, Compression файлов и папок. Не влияет на содержимое файлов и папок, только на их атрибуты Delete Subfolders and Files Позволяет удалять подпапки и файлы, даже если разрешение Delete не предоставлено подпапке или файлу Delete Позволяет удалять папку или файл.

При отсутствии разрешения Delete для файла или папки ее можно удалить, если имеется разрешение Delete Subfolders and Files в родительской папке Read Permissions Позволяет читать разрешения например, Full Control, Read, Write файла или папки.

Наследование для всех объектов

Не позволяет изменять сам файл Take Ownership Определяет, кто может быть владельцем файла или папки. Владельцы всегда могут иметь Full Control, и их разрешения в файле или папке не могут быть постоянно отменены, если при этом не отменяется и право владения Synchronize Администраторы редко используют это разрешение. Применяется для синхронизации в многопотоковых, многопроцессных программах и определяет взаимодействие между несколькими потоками, которые обращаются к одному ресурсу Автор:

Читайте также

  • Как оформляется путевой лист легкового автомобиля
  • Как определить кбк для оплаты налогиа ип
  • Сколько пенсия в москве 2017 году
  • Дадут ли ипотеку одинокой матери
  • Гувм мвд уфмс фмс по московской области
  • Могут ли отказать в отпуске летом