Annons

Ända sedan NTFS filsystem Från FAT till NTFS till ZFS: File Systems DemystifiedOlika hårddiskar och operativsystem kan använda olika filsystem. Här är vad det betyder och vad du behöver veta. Läs mer introducerades som standardformat i konsumentutgåvor av Windows (börjar med Windows XP), människor har haft problem med att få åtkomst till sina data på både interna och externa enheter. Enkla filattribut är inte längre den enda orsaken till problem när man hittar och använder sina filer. Nu måste vi kämpa med fil- och mappbehörigheter, som en av våra läsare upptäckte.

Vår läsares fråga:

Jag kan inte se mappar på min interna hårddisk. Jag körde kommandot “Attrib -h-r -s / s / d” och den visar åtkomst nekad i varje mapp. Jag kan gå till mappar med kommandot Kör men jag kan inte se mappar på min hårddisk. Hur fixar jag det här?

Bruces svar:

Här är några säkra antaganden baserade på den information vi har fått: Operativsystemet är Windows XP eller senare; filsystemet som används är NTFS; användaren har inte full kontrollbehörigheter på den del av filsystemet de försöker manipulera; de ingår inte i administratörsförhållandet; och standardbehörigheterna i filsystemet kan ha ändrats.

instagram viewer

Allt i Windows är ett objekt, oavsett om det är en registernyckel, en skrivare eller en fil. Även om de använder samma mekanismer för att definiera användaråtkomst begränsar vi vår diskussion till filsystemobjekt för att hålla det så enkelt som möjligt.

Åtkomstkontroll

säkerhet Röd varning: 10 datorsäkerhetsbloggar du bör följa idagSäkerhet är en avgörande del av datoranvändningen, och du bör sträva efter att utbilda dig själv och hålla dig uppdaterad. Du vill kolla in dessa tio säkerhetsbloggar och säkerhetsexperter som skriver dem. Läs mer av alla slag handlar om att kontrollera vem kan göra något på föremålet som säkras. Vem har nyckelkortet för att låsa upp porten för att komma in i föreningen? Vem har nycklarna för att öppna VD: s kontor? Vem har kombinationen för att öppna kassaskåpet på deras kontor?

grön-grind

Samma typ av tänkande gäller säkerheten för filer och mappar på NTFS-filsystem. Varje användare på systemet har inte ett motiverat behov av att få åtkomst till varje fil på systemet, och de behöver inte heller ha samma typ av åtkomst till dessa filer. Precis som varje anställd i ett företag inte behöver ha tillgång till kassaskåpet på VD: s kontor eller förmågan att ändra företagsrapporter, även om de kanske får läsa dem.

Behörigheter

Windows styr åtkomst till filsystemobjekt (filer och mappar) genom att ställa in behörigheter för användare eller grupper. Dessa anger vilken typ av åtkomst användaren eller gruppen har till objektet. Dessa behörigheter kan ställas in på endera tillåta eller förneka en specifik typ av åtkomst, och kan antingen anges uttryckligen på objektet eller implicit genom arv från dess överordnade mapp.

Standardbehörigheterna för filer är: Full kontroll, modifiera, läsa och köra, läsa, skriva och special. Mappar har en annan speciell behörighet, kallad Listmappinnehåll. Dessa standardbehörigheter är fördefinierade uppsättningar av avancerade behörigheter som tillåter mer granulär kontroll, men normalt inte behövs utanför standardbehörigheterna.

Till exempel Läs & kör standardtillstånd innehåller följande avancerade behörigheter:

  • Korsa mapp / kör fil
  • Lista mapp / läs data
  • Läs attribut
  • Läs Utökade attribut
  • Läs behörigheter

Listor över åtkomstkontroller

Varje objekt i filsystemet har en tillhörande åtkomstkontrollista (ACL). ACL är en lista över säkerhetsidentifierare (SID) som har behörigheter för objektet. Local Security Authority Subsystem (LSASS) kommer att jämföra SID som är kopplat till åtkomsttoken som ges till användaren vid inloggning till SID: er i ACL för objektet som användaren försöker få åtkomst till. Om användarens SID inte stämmer med någon av SID: er i ACL, nekas åtkomst. Om det stämmer kommer den begärda åtkomsten att beviljas eller nekas baserat på behörigheterna för den SID.

Det finns också en utvärderingsorder för behörigheter som måste beaktas. Explicit behörigheter har företräde framför implicita behörigheter, och neka behörigheter har företräde framför tillåtna behörigheter. För att det ser ut så här:

  1. Explicit Förneka
  2. Explicit Tillåt
  3. Implicit Förneka
  4. Implicit Tillåt

Standardtillstånd för rotkatalog

Behörigheterna som beviljas i rotkatalogen på en enhet varierar något beroende på om enheten är systemenheten eller inte. Som man ser på bilden nedan har en systemenhet två separata Tillåta poster för autentiserade användare. Det finns en som tillåter autentiserade användare att skapa mappar och lägga till data till befintliga filer, men inte att ändra existerande data i filen som enbart gäller rotkatalogen. Den andra tillåter autentiserade användare att ändra filer och mappar som finns i undermappar, om den undermappen arver behörigheter från roten.

Rottillstånd

Systemkatalogerna (Windows, Programdata, Programfiler, Programfiler (x86), Användare eller Dokument & Inställningar och eventuellt andra) ärver inte sina behörigheter från rotkatalogen. Eftersom det är systemkataloger är deras behörigheter uttryckligen inställda för att förhindra oavsiktlig eller skadlig förändring av operativsystem, program och konfigurationsfiler av skadlig kod eller en hacker.

Om det inte är en systemenhet är den enda skillnaden att gruppen Autentiserade användare har en enda tilläggspost som gör det möjligt att ändra behörigheter för rotmappen, undermappar och filer. Alla behörigheter tilldelade för de tre grupperna och SYSTEM-kontot ärvs över hela enheten.

Problemanalys

När vår affisch körde attrib kommando som försöker ta bort alla system, dolda och skrivskyddsattribut på alla filer och mappar som börjar vid (ospecificerad) katalog de befann sig i, de fick meddelanden som indikerade vilken åtgärd de ville utföra (Skriv attribut) var nekas. Beroende på katalogen de var i när de körde kommandot är det troligtvis en mycket bra sak, särskilt om de var i C: \.

I stället för att försöka köra det kommandot, hade det varit bättre att bara ändra inställningarna i Windows Explorer / File Explorer för att visa dolda filer och kataloger. Detta kan lätt åstadkommas genom att gå till Organisera> Mapp- och sökalternativ i Windows Explorer eller Arkiv> Ändra mapp och sökalternativ i File Explorer. I den resulterande dialogrutan väljer du Visa flik> Visa dolda filer, mappar och enheter. Med detta aktiverat skulle dolda kataloger och filer dyka upp som nedtonade objekt i listan.

mapp-options

Om filerna och mapparna fortfarande inte dyker upp finns det ett problem med den avancerade behörigheten Listmapp / Läs data. Antingen är användaren eller en grupp som användaren tillhör uttryckligen eller implicit nekade tillstånd för de aktuella mapparna, eller användaren tillhör inte någon av de grupper som har tillgång till dessa mappar.

Du kan fråga hur läsaren kan gå direkt till en av dessa mappar om användaren inte har listmapp / läsdata behörigheter. Så länge du känner till sökvägen till mappen kan du gå till den under förutsättning att du har avancerade behörigheter för Traverse Folder / Exekute File. Detta är också anledningen till att det inte troligt kommer att vara ett problem med standardtillståndet Listmappinnehåll. Det har både av dessa avancerade behörigheter.

Upplösningen

Med undantag för systemkataloger ärvs de flesta behörigheter i kedjan. Så, det första steget är att identifiera katalogen närmast roten till enheten, där symtomen uppträder. När den här katalogen finns, högerklicka på den och välj Egenskaper> fliken Säkerhet. Kontrollera behörigheterna för var och en av de grupper / användare som listas, för att verifiera att de har en kontroll i kolumnen Tillåt för listans mappinnehåll och inte i kolumnen Neka.

Om ingen av kolumnerna är markerade, titta också på posten Specialbehörigheter. Om detta är markerat (antingen tillåta eller avvisa), klicka på Avancerad knappen, sedan Ändra behörigheter i den resulterande dialogrutan om du kör Vista eller senare. Detta skapar en nästan identisk dialogruta med några extra knappar. Välj rätt grupp, klicka på Redigera och se till att listmapp / läsdatatillstånd är tillåtet.

avancerade-permissions

Om kontrollerna är nedtonade, betyder det att det är en ärvt tillstånd, och att ändra den bör göras i överordnade mapp, såvida det inte finns en tvingande anledning att inte göra det, till exempel att det är en användares profilkatalog och överordnade är användarna eller dokument och inställningar mapp. Det är också oklokt att lägga till behörigheter för en andra användare för att kunna komma åt en annan användares profilkatalog. Logga istället in som den användaren för att komma åt dessa filer och mappar. Om det är något som bör delas, flytta dem till katalogen Public profile eller använd fliken Dela för att låta andra användare få åtkomst till resurserna.

Det är också möjligt att användaren inte har behörighet att redigera behörigheterna för de aktuella filerna eller katalogerna. I så fall bör Windows Vista eller senare presentera en Användarkontokontroll (UAC) Sluta irritera UAC-förfrågningar - Hur man skapar en vitlista för kontroll av användarkonto [Windows]Ända sedan Vista har vi Windows-användare blivit skadade, bugade, irriterade och trötta på UAC-prompten (User Account Control) som berättar för oss att ett program startar som vi avsiktligt startade. Visst har det förbättrats, ... Läs mer be om administratörslösenord eller tillåtelse att höja användarens behörigheter för att tillåta denna åtkomst. Under Windows XP ska användaren öppna Windows Explorer med alternativet Kör som... och använda Administratörskonto Windows-administratörskonto: Allt du behöver vetaFrån och med Windows Vista inaktiveras det inbyggda Windows-administratörskontot som standard. Du kan aktivera det, men gör det på din egen risk! Vi visar dig hur. Läs mer för att se till att ändringarna kan göras om de inte redan körs med ett administratörskonto.

Jag vet att många bara skulle säga att du ska äga äganderätt till katalogerna och filerna i fråga, men det finns en enorm varning till den lösningen. Om det påverkar några systemfiler och / eller kataloger kommer du att försvaga ditt systems totala säkerhet allvarligt. Det borde aldrig görs på root, Windows, användare, dokument och inställningar, programfiler, programfiler (x86), programdata eller inetpub-kataloger eller någon av deras undermappar.

Slutsats

Som ni kan se är behörigheter på NTFS-enheter inte alltför svåra, men att hitta källan till åtkomstproblem kan vara tråkigt på system med många kataloger. Beväpnad med en grundläggande förståelse för hur behörigheter fungerar med åtkomstkontrolllistor och lite hållfasthet, kommer att hitta och fixa dessa problem snart bli barnens lek.

Bruce har spelat med elektronik sedan 70-talet, datorer sedan början av 80-talet och svarat korrekt på frågor om teknik som han inte har använt eller sett hela tiden. Han irriterar sig också genom att försöka spela gitarr.