Hai mai provato a capire tutte le autorizzazioni in Windows? Sono disponibili autorizzazioni di condivisione, autorizzazioni NTFS, elenchi di controllo di accesso e altro. Ecco come funzionano tutti insieme.

Identificatore di sicurezza

I sistemi operativi Windows utilizzano i SID per rappresentare tutti i principi di sicurezza. I SID sono solo stringhe di lunghezza variabile di caratteri alfanumerici che rappresentano macchine, utenti e gruppi. I SID vengono aggiunti agli elenchi ACL (Access Control List) ogni volta che si concede l'autorizzazione di un utente o di un gruppo a un file o una cartella. Dietro la scena i SID sono memorizzati allo stesso modo di tutti gli altri oggetti dati, in formato binario. Tuttavia, quando vedi un SID in Windows, verrà visualizzato usando una sintassi più leggibile. Non capita spesso di vedere qualsiasi forma di SID in Windows, lo scenario più comune è quando concedi a qualcuno l'autorizzazione per una risorsa, quindi il loro account utente viene eliminato, quindi verrà visualizzato come SID nell'ACL. Quindi diamo un'occhiata al formato tipico in cui vedrai i SID in Windows.

La notazione che vedrai richiede una certa sintassi, sotto ci sono le diverse parti di un SID in questa notazione.

1. An 'S 'prefisso
2. Numero di revisione della struttura
3. Valore dell'autorità di identificazione a 48 bit
4. Un numero variabile di valori di sub-autorizzazione o identificatore relativo (RID) a 32 bit

Usando il mio SID nell'immagine seguente suddivisione delle diverse sezioni per una migliore comprensione.

Struttura SID:

'S' - Il primo componente di un SID è sempre una 'S'. Questo è il prefisso di tutti i SID ed è lì per informare Windows che quanto segue è un SID.
'1' - Il secondo componente di un SID è il numero di revisione della specifica SID, se la specifica SID fosse cambiare avrebbe fornito la retrocompatibilità. A partire da Windows 7 e Server 2008 R2 la specifica SID è ancora nella prima revisione.
'5' - La terza sezione di un SID è denominata autorità di identificazione. Questo definisce in quale ambito è stato generato il SID. I valori possibili per questa sezione del SID possono essere:

1. 0 - Autorità nulla
2. 1 - Autorità mondiale
3. 2 - Autorità locale
4. 3 - Autorità del creatore
5. 4 - Autorità non esclusiva
6. 5 - NT Authority

'21' - Il quarto componente è l'autorità secondaria 1, il valore '21' viene utilizzato nel campo avanti per specificare che le sottoregioni che seguono identificano la macchina locale o la Dominio.
'1206375286-251249764-2214032401' - Questi sono chiamati sub-authority 2,3 e 4 rispettivamente. Nel nostro esempio questo è usato per identificare la macchina locale, ma potrebbe anche essere l'identificatore per un dominio.
'1000' - L'autorità secondaria 5 è l'ultimo componente nel nostro SID ed è chiamato RID ( Relative Identifier), il RID è relativo a ciascun principio di sicurezza, si ricorda che qualsiasi oggetto definito dall'utente, quelli che non vengono spediti da Microsoft avrà un RID di 1000 o superiore.

Principi di sicurezza

Un principio di sicurezza è qualsiasi cosa abbia un SID collegato, questi possono essere utenti, computer e persino gruppi. I principi di sicurezza possono essere locali o essere nel contesto del dominio. Gestisci i principi di sicurezza locali attraverso lo snap-in Utenti e gruppi locali, sotto la gestione del computer. Per arrivarci fai clic con il pulsante destro del mouse sul collegamento del computer nel menu di avvio e scegli Gestisci.

Per aggiungere un nuovo principio di sicurezza utente puoi andare alla cartella utenti e fare clic con il pulsante destro del mouse e scegliere nuovo utente.

Se fai doppio clic su un utente è possibile aggiungerli a un gruppo di sicurezza nella scheda Membro di.

Per creare un nuovo gruppo di sicurezza, accedere alla cartella Gruppi sul lato destro. Fai clic destro sullo spazio bianco e seleziona il nuovo gruppo.

Condividi autorizzazioni e autorizzazione NTFS

In Windows ci sono due tipi di permessi per file e cartelle, in primo luogo ci sono i Permessi di condivisione e in secondo luogo ci sono Permessi NTFS chiamati anche Permessi di Sicurezza . Prendi nota del fatto che quando si condivide una cartella per impostazione predefinita il gruppo "Tutti" riceve l'autorizzazione di lettura. La sicurezza delle cartelle viene solitamente effettuata con una combinazione di autorizzazione Condividi e NTFS se è necessario ricordare che il più restrittivo si applica sempre, ad esempio se l'autorizzazione di condivisione è impostata su Everyone = Read (che è l'impostazione predefinita), ma l'autorizzazione NTFS consente agli utenti di apportare una modifica al file, l'autorizzazione di condivisione avrà la priorità e gli utenti non potranno apportare modifiche. Quando si impostano le autorizzazioni, LSASS (Local Security Authority) controlla l'accesso alla risorsa. Quando si accede a un token di accesso con il SID su di esso, quando si accede alla risorsa, LSASS confronta il SID aggiunto all'ACL (Access Control List) e se il SID si trova nell'ACL determina se consentire o negare l'accesso. Non importa quali permessi usi ci sono differenze, quindi diamo un'occhiata per capire meglio quando dovremmo usare cosa.

Autorizzazioni di condivisione:

1. Si applicano solo agli utenti che accedono alla risorsa attraverso la rete. Non si applicano se si accede localmente, ad esempio tramite servizi terminal.
2. Si applica a tutti i file e le cartelle nella risorsa condivisa. Se si desidera fornire un tipo di schema di restrizione più granulare, è necessario utilizzare l'autorizzazione NTFS oltre alle autorizzazioni condivise
3. Se si dispone di volumi formattati FAT o FAT32, questa sarà l'unica forma di restrizione disponibile come autorizzazioni NTFS. non sono disponibili su quei file system.

Autorizzazioni NTFS:

1. L'unica restrizione sulle autorizzazioni NTFS è che possono essere impostate solo su un volume formattato nel file system NTFS
2. Ricordare che NTFS è cumulativo significa che le autorizzazioni effettive di un utente sono il risultato della combinazione delle autorizzazioni assegnate dall'utente e delle autorizzazioni di tutti i gruppi a cui appartiene l'utente.

I nuovi permessi di condivisione

Windows 7 comprati con una nuova tecnica di condivisione "facile". Le opzioni sono cambiate da Leggi, Cambia e Controllo completo a. Leggi e leggi / scrivi. L'idea faceva parte dell'intera mentalità del gruppo Home e semplifica la condivisione di una cartella per le persone non alfabetizzate al computer. Ciò avviene tramite il menu di scelta rapida e condivide facilmente il gruppo di appartenenza.

Se si desidera condividere con qualcuno che non fa parte del gruppo di appartenenza, è sempre possibile scegliere l'opzione "Persone specifiche ...". Il che aprirebbe un dialogo più "elaborato". Dove è possibile specificare un utente o un gruppo specifico.

Esistono solo due autorizzazioni come accennato in precedenza, insieme offrono uno schema di protezione tutto o niente per le tue cartelle e file.

1. Lettura permesso è il "look, non toccare "opzione. I destinatari possono aprire, ma non modificare o eliminare un file.
2. Lettura / Scrittura è l'opzione "fai qualcosa". I destinatari possono aprire, modificare o eliminare un file.

The Old School Way

La vecchia finestra di dialogo condivisa aveva più opzioni e ci ha dato la possibilità di condividere la cartella con un alias diverso, ci permetteva di limitare il numero di connessioni simultanee e configurare la memorizzazione nella cache. Nessuna di queste funzionalità viene persa in Windows 7, ma è nascosta sotto un'opzione chiamata "Condivisione avanzata". Se fai clic destro su una cartella e vai alle sue proprietà puoi trovare queste impostazioni "Condivisione avanzata" nella scheda di condivisione.

Se fai clic sul pulsante "Condivisione avanzata", che richiede le credenziali di amministratore locale, puoi configurare tutto le impostazioni che avevi familiarità con le versioni precedenti di Windows.

Se fai clic sul pulsante delle autorizzazioni ti verranno presentate le 3 impostazioni che tutti conosciamo. L'autorizzazione

1. Lettura ti consente di visualizzare e aprire file e sottodirectory oltre che eseguire applicazioni. Tuttavia non consente modifiche. L'autorizzazione
2. Modifica ti consente di fare tutto ciò che consente l'autorizzazione Lettura , aggiunge anche la possibilità di aggiungere file e sottodirectory, eliminare le sottocartelle e cambia i dati nei file.
3. Controllo completo è il "fai qualcosa" delle autorizzazioni classiche, in quanto ti consente di fare qualsiasi e tutte le autorizzazioni precedenti. Inoltre ti dà il permesso di modifica NTFS avanzato, questo si applica solo alle cartelle NTFS

Autorizzazioni NTFS

L'autorizzazione NTFS consente un controllo molto granulare su file e cartelle. Detto ciò, la quantità di granularità può essere scoraggiante per un nuovo arrivato. È inoltre possibile impostare l'autorizzazione NTFS in base al file e in base alla cartella. Per impostare l'autorizzazione NTFS su un file, fare clic con il pulsante destro del mouse e accedere alle proprietà dei file in cui è necessario accedere alla scheda di sicurezza.

Per modificare le autorizzazioni NTFS per un utente o un gruppo, fare clic sul pulsante di modifica.

Come puoi vedere, ci sono un sacco di permessi NTFS, quindi lasciali abbattere. Per prima cosa daremo un'occhiata alle autorizzazioni NTFS che è possibile impostare su un file.

1. Controllo completo consente di leggere, scrivere, modificare, eseguire, modificare attributi, autorizzazioni e assumere la proprietà del file.
2. Modifica consente di leggere, scrivere, modificare, eseguire e modificare gli attributi del file.
3. Leggi & Esegui ti consentirà di visualizzare i dati del file, gli attributi, il proprietario e le autorizzazioni ed eseguirà il file se è un programma.
4. Leggi ti permetterà di aprire il file, visualizzarne gli attributi, proprietario e autorizzazioni.
5. Scrivi ti consentirà di scrivere dati nel file, aggiungere al file e leggere o modificare i suoi attributi.

Le autorizzazioni NTFS per le cartelle hanno opzioni leggermente diverse, quindi diamo un'occhiata a loro.

1. Controllo completo consente di leggere, scrivere, modificare ed eseguire file nella cartella, modificare attributi, autorizzazioni e assumere la proprietà della cartella o dei file all'interno.
2. Modifica consente di leggere, scrivere, modificare ed eseguire i file nella cartella e modificare gli attributi della cartella o dei file all'interno.
3. Lettura ed esecuzione consente di visualizzare i contenuti della cartella e visualizzare i dati, gli attributi, il proprietario e autorizzazioni per i file all'interno della cartella ed eseguire i file all'interno della cartella.
4. Elenca contenuto cartella ti permetterà di visualizzare il contenuto della cartella ts e visualizza i dati, gli attributi, il proprietario e le autorizzazioni per i file all'interno della cartella.
5. Leggi ti consentirà di visualizzare i dati, gli attributi, il proprietario e le autorizzazioni del file.
6. Scrivi consentirà per scrivere i dati nel file, accodare il file e leggere o modificare i suoi attributi.

La documentazione di Microsoft afferma anche che "Elenco contenuto cartella" consente di eseguire i file all'interno della cartella, ma sarà comunque necessario abilitare "Leggi ed esegui" per farlo. È un permesso documentato in modo molto confuso.

Riepilogo

In sintesi, i nomi utente e i gruppi sono rappresentazioni di una stringa alfanumerica denominata SID (Identificatore di sicurezza), Condivisione e Autorizzazioni NTFS sono legate a questi SID. Le autorizzazioni di condivisione vengono verificate da LSSAS solo quando si accede alla rete, mentre le autorizzazioni NTFS sono valide solo sulle macchine locali. Spero che tutti voi abbiate una buona conoscenza di come la sicurezza di file e cartelle in Windows 7 sia implementata. Se avete domande, sentitevi liberi di suonare nei commenti.

Passa a Linux solo se vuoi scaricare un sacco di programmi

Da tempo ci dibattiamo sull'orribile ecosistema software Windows. Anziché installare applicazioni da Download.com e da qualsiasi altro sito freeware, dovresti semplicemente passare a Linux se vuoi scaricare il freeware in sicurezza. Sì, abbiamo provato a raccomandare alcuni suggerimenti, ma l'unico veramente buono che possiamo è "usa solo Ninite".

(how-to)

Perché è così difficile parlare di salute mentale

Condividiamo i dettagli delle nostre vite fisiche così volentieri: la nostra ultima dieta, il bisogno del nostro bambino di parentesi graffe, forse un membro della famiglia alle prese con malattie cardiache . Ma quando si tratta di malattie mentali, tutto è a posto. La vergogna e lo stigma che circondano problemi di salute mentale, come il disturbo bipolare e l'ansia, sono i maggiori ostacoli quando si tratta di ottenere aiuto.

(how-to)