Glavna stranica Pitajte stručnjake Problemi s datotečnim sustavom Windows Zašto mi se onemogućuje pristup?

Problemi s datotečnim sustavom Windows Zašto mi se onemogućuje pristup?

  • Peter Holmes
  • 0
  • 3104
  • 349
Oglas

Otkad je datotečni sustav NTFS: Od FAT do NTFS do ZFS: Datotečni sustavi demistificirani od FAT do NTFS do ZFS: Demistrirani datotečni sustavi Različiti tvrdi diskovi i operacijski sustavi mogu koristiti različite datotečne sustave. Evo što to znači i što trebate znati. uveden je kao zadani format u izdanja potrošača za Windows (počevši od Windows XP), ljudi su imali problema s pristupom njihovim podacima na unutarnjim i na vanjskim pogonima. Više nisu jednostavni atributi datoteka jedini razlog problema pri pronalaženju i korištenju njihovih datoteka. Sada se moramo boriti s dozvolama za datoteke i mape, kao što je otkrio jedan od naših čitatelja.

Pitanje našeg čitatelja:

Ne mogu vidjeti mape na svom unutarnjem tvrdom disku. Vodio sam zapovijed “attrib -h -r -s / s / d” i prikazuje onemogućen pristup u svakoj mapi. Mogu ići u mape pomoću naredbe Run, ali ne vidim mape na tvrdom disku. Kako da to popravim?

Bruceov odgovor:

Evo nekoliko sigurnih pretpostavki na temelju informacija koje smo dobili: Operativni sustav je Windows XP ili noviji; sistem datoteka koji se koristi je NTFS; korisnik nema dopuštenja za potpunu kontrolu na dijelu datotečnog sustava kojim pokušava manipulirati; nisu u kontekstu administratora; i zadana dopuštenja na datotečnom sustavu mogu biti izmijenjena.

Sve u sustavu Windows je objekt, bilo da se radi o registracijskom ključu, pisaču ili datoteci. Iako koriste iste mehanizme za definiranje pristupa korisnicima, našu raspravu ćemo ograničiti na datoteke datoteka sustava kako bi ih što jednostavnije održali..

Kontrola pristupa

Crveno upozorenje o sigurnosti: 10 blogova o sigurnosti računala koje biste trebali slijediti danas Crveno upozorenje: 10 blogova o sigurnosti računala koje biste trebali slijediti danas Sigurnost je presudan dio računarstva, a trebali biste se pokušati educirati i ostati u toku. Morat ćete provjeriti tih deset blogova o sigurnosti i sigurnosne stručnjake koji ih pišu. bilo koje vrste odnosi se na kontrolu tko može nešto učiniti na objektu koji se osigurava. Tko ima ključ kartice za otključavanje vrata za ulazak u spoj? Tko ima ključeve za otvaranje ureda izvršnog direktora? Tko ima kombinaciju za otvaranje sefa u njihovom uredu?

Ista vrsta razmišljanja odnosi se na sigurnost datoteka i mapa na NTFS datotečnim sustavima. Svaki korisnik u sustavu nema opravdanu potrebu za pristupom svim datotekama u sustavu niti trebaju svi imati istu vrstu pristupa tim datotekama. Baš kao i svaki zaposlenik u tvrtki, ne mora imati pristup sefu u uredu predsjednika uprave, niti mogućnost izmjene korporativnih izvještaja, mada im može biti omogućeno čitanje.

dozvole

Windows kontrolira pristup objektima datotečnog sustava (datotekama i mapama) postavljanjem dozvola za korisnike ili grupe. U njima se određuje kakav pristup ima korisnik ili grupa objektu. Ta dopuštenja mogu se postaviti bilo koja dopustiti ili poreći određenu vrstu pristupa i može se postaviti eksplicitno na objekt ili implicitno nasljeđivanjem iz nadređene mape.

Standardna dopuštenja za datoteke su: Potpuna kontrola, izmjena, čitanje i izvršavanje, čitanje, pisanje i posebna. Mape imaju još jedno posebno dopuštenje, pod nazivom Popis mapa popisa. Ova standardna dopuštenja su unaprijed definirani skupovi napredna dopuštenja koji omogućuju detaljniju kontrolu, ali obično nisu potrebni izvan standardnih dozvola.

Na primjer, the Čitanje i izvršavanje standardno dopuštenje uključuje sljedeća napredna dopuštenja:

  • Pomicanje mape / izvršavanje datoteke
  • Popis mapa / čitanje podataka
  • Pročitajte atribute
  • Pročitajte proširene atribute
  • Pročitajte dozvole

Popisi kontrole pristupa

Svaki objekt u datotečnom sustavu ima pridruženi popis kontrole pristupa (ACL). ACL je popis sigurnosnih identifikatora (SID) koji na objektu imaju dopuštenja. Podsistem lokalne sigurnosne uprave (LSASS) uspoređivat će SID priključen na pristupni token dat korisniku prilikom prijave s SID-ovima u ACL-u za objekt kojem korisnik pokušava pristupiti. Ako se korisnički ID ne podudara s bilo kojim od SID-ova u ACL-u, pristup će mu biti odbijen. Ako se podudara, traženi će pristup biti odobren ili odbijen na temelju dozvola za taj SID.

Postoji i nalog za evaluaciju dozvola koje je potrebno uzeti u obzir. Izričita dopuštenja imaju prednost nad implicitnim dozvolama, a odbijanja dopuštenja imaju prednost nad dozvolama dopuštenja. Kako bi izgledao ovako:

  1. Izričito zanijekati
  2. Izričito dopušta
  3. Implicitno zanijekati
  4. Implicitno dopušta

Zadana dopuštenja korijenskog kataloga

Dozvole date u korijenskom direktoriju pogona malo se razlikuju, ovisno o tome je li pogon sistemski pogon ili ne. Kao što se vidi na slici dolje, sistemski pogon ima dva odvojena dopustiti unosi za provjerene korisnike. Postoji jedan koji omogućuje provjerenim korisnicima da stvaraju mape i dodaju podatke postojećim datotekama, ali ne i da mijenjaju postojeće podatke u datoteci koji se odnose samo na korijenski direktorij. Drugi omogućuje provjerenim korisnicima da mijenjaju datoteke i mape sadržane u podmapama, ako ta podmapa nasljeđuje dopuštenja iz korijena.

Sistemske mape (Windows, programski podaci, programske datoteke, programske datoteke (x86), korisnici ili dokumenti i postavke i eventualno drugi) ne nasljeđuju svoja dopuštenja iz korijenske mape. Budući da su sistemske mape, njihova su dopuštenja izričito postavljena kako bi se spriječilo nenamjerno ili zlonamjerno mijenjanje datoteka operativnog sustava, programa i konfiguracijskih datoteka od strane zlonamjernog softvera ili hakera..

Ako to nije sistemski pogon, jedina je razlika što grupa Ovjereni korisnici ima jedan jedini dopušteni unos koji omogućuje izmjenu dozvola za korijensku mapu, podmape i datoteke. Sva dopuštenja dodijeljena za 3 grupe i SYSTEM račun nasljeđuju se tijekom pogona.

Analiza problema

Kad je naš poster objavio taj attrib naredba koja pokušava ukloniti bilo koji sustav, skrivene atribute samo za čitanje iz svih datoteka i mapa počevši od (neodređene) mape u kojoj su se nalazili, primili su poruke koje ukazuju da je radnja koju su htjeli izvršiti (Write attributes) odbijena. Ovisno o imeniku u kojem su bili kad su izvršavali naredbu, to je vrlo dobra stvar, posebno ako su bili u C: \.

Umjesto pokušaja izvršavanja ove naredbe, bilo bi bolje samo promijeniti postavke u programu Windows Explorer / File Explorer prikazati skrivene datoteke i mape. To se lako može postići odlaskom na Organizirajte> Mape i opcije pretraživanja u programu Windows Explorer ili Datoteka> Promjena mape i mogućnosti pretraživanja u File Exploreru. U dijaloškom okviru koji je rezultirao odaberite Kartica Prikaži> Prikaži skrivene datoteke, mape i pogone. Ako je ovo omogućeno, skrivene direktorije i datoteke prikazale bi se kao zatamnjene stavke na popisu.

Ako se datoteke i mape i dalje ne prikazuju, pojavljuje se problem s naprednim dopuštenjem List Folder / Read Data. Korisnik ili grupa kojoj pripadaju eksplicitno ili prešutno odbijeno da dopuštenje za predmetne mape ili korisnik ne pripada nijednoj od grupa koje imaju pristup tim mapama.

Možete pitati kako čitatelj može izravno prijeći na jednu od tih mapa ako korisnik nema dozvole popisa mapa / čitanja podataka. Sve dok znate put do mape, možete ići na nju pod uvjetom da imate napredna dopuštenja Traverse Folder / Execute File. To je i razlog da vjerojatno neće biti problema sa standardnim dopuštenjem Sadržaj mape popisa. Ima oba ovih naprednih dozvola.

Rezolucija

Uz iznimku sistemskih imenika, većina dopuštenja nasljeđuje se u lancu. Dakle, prvi korak je prepoznati direktorij koji je najbliži korijenu pogona, gdje se simptomi pojavljuju. Nakon što se ovaj direktorij nalazi, kliknite ga desnom tipkom miša i odaberite Kartica Svojstva> Sigurnost. Provjerite dopuštenja za svaku od navedenih grupa / korisnika kako biste provjerili da li imaju potvrdu u stupcu Dopusti za dozvolu za sadržaj mape Popis, a ne u stupcu Zabrani.

Ako nije potvrđen nijedan stupac, pogledajte i unos Posebna dopuštenja. Ako je to potvrđeno (dopustite ili odbijeni), kliknite na Napredna gumb, dakle Promjena dozvola na rezultirajućem dijaloškom okviru ako pokrećete Vistu ili noviju verziju. Tako će se pojaviti gotovo identičan dijaloški okvir s nekoliko dodatnih gumba. Odaberite odgovarajuću grupu i kliknite Uredi i osigurajte da je dopuštena mapa Popis / dopuštenje za čitanje podataka.

Ako su čekovi isključeni, znači da je naslijeđeno dopuštenje, a promjena bi se trebala izvesti u nadređenoj mapi, osim ako nema uvjerljivog razloga da se to ne učini, poput direktorija korisničkog profila, a roditelj bi bio mapa Korisnici ili Dokumenti i postavke. Također je nerazumno dodavati dopuštenja da drugi korisnik može pristupiti direktoriju profila drugog korisnika. Umjesto toga, prijavite se kao taj korisnik da biste pristupili tim datotekama i mapama. Ako je nešto što biste trebali podijeliti, premjestite ih u direktorij javnih profila ili koristite karticu Dijeljenje kako biste ostalim korisnicima omogućili pristup resursima.

Također je moguće da korisnik nema dozvolu za uređivanje dopuštenja za dotične datoteke ili mape. U tom slučaju bi sustav Windows Vista ili noviji trebao predstavljati kontrolu korisničkih računa (UAC) Stop dosadnim UAC-ovim promptima - Kako stvoriti popis za kontrolu korisničkih računa. od Viste, mi korisnici Windows-a dosadili smo, gnjavili, dosadili i umorni od brzog nadzora korisničkih računa (UAC) koji nam govori da se pokreće program koji smo namjerno pokrenuli. Svakako, poboljšao se,… upit za lozinku administratora ili dozvolu za podizanje korisničkih privilegija kako bi omogućio taj pristup. U sustavu Windows XP korisnik bi trebao otvoriti Windows Explorer opcijom Run as… i upotrijebiti administratorski račun Windows Administrator Account: Sve što trebate znati Windows Administrator Account: Sve što trebate znati Počevši od Windows Vista, ugrađenog Windows administratora. račun je prema defaultu onemogućen. Možete to omogućiti, ali to napravite na vlastiti rizik! Mi vam pokazujemo kako. kako bi se osiguralo da se promjene mogu izvršiti ako se već ne pokreću s administrativnim računom.

Znam da bi vam mnogi ljudi rekli samo da preuzmete vlasništvo nad predmetnim mapama i datotekama, ali postoji jedan ogroman upozorenje na to rješenje. Ako bi to utjecalo na bilo kakve sistemske datoteke i / ili direktorije, ozbiljno ćete oslabiti ukupnu sigurnost vašeg sustava. Trebalo bi nikada biti u korijenu, sustavu Windows, korisnicima, dokumentima i postavkama, programskim datotekama, programskim datotekama (x86), programskim podacima ili direktorijima inetpub ili bilo kojem od njihovih podmapa.

Zaključak

Kao što vidite, dopuštenja za NTFS pogone nisu pretjerano teška, ali lociranje izvora problema s pristupom može biti zamorno na sustavima s puno direktorija. Naoružani osnovnim razumijevanjem kako dozvole rade s popisima kontrole pristupa i malo upornosti, lociranje i ispravljanje tih problema uskoro će postati dječja igra.




Još ne komentari

Pretvaranje vašeg Facebook profila u stranicu Što se događa?
Društveni mediji
10 najboljih LinkedIn utjecaja koje treba slijediti za traženje posla i savjete za intervjue
Društveni mediji
10 jezivih Instagram računa zajamčeno će vam pružiti noćne more
Društveni mediji
O modernoj tehnologiji, jednostavnoj i pristupačnoj.
Vaš vodič u svijetu moderne tehnologije. Naučite kako koristiti tehnologije i uređaje koji nas okružuju svaki dan i naučite kako otkriti zanimljivosti na Internetu.