Spør ekspertene

Windows File System Woes Hvorfor får jeg tilgang nektet?

Windows File System Woes Hvorfor får jeg tilgang nektet? / Spør ekspertene

Helt siden NTFS-filsystemet Fra FAT til NTFS til ZFS: Filsystemer Demystified fra FAT til NTFS til ZFS: Filsystemer Demystified Ulike harddisker og operativsystemer kan bruke forskjellige filsystemer. Her er hva det betyr og hva du trenger å vite. Read More ble introdusert som standardformat i forbrukerutgaver av Windows (startet med Windows XP), folk har hatt problemer med å få tilgang til dataene sine på både interne og eksterne stasjoner. Ikke lenger er enkle filattributter den eneste årsaken til problemer når man finner og bruker filene sine. Nå må vi kjempe mot fil- og mappegodkjenninger, som en av våre lesere oppdaget.

Leserens spørsmål:

Jeg kan ikke se mapper på min interne harddisk. Jeg sprang kommandoen “attrib -h -r-s / s / d” og det viser tilgang nektet på hver mappe. Jeg kan gå til mapper ved hjelp av Run-kommandoen, men jeg kan ikke se mapper på harddisken min. Hvordan løser jeg dette?

Bruces svar:

Her er noen sikre forutsetninger basert på informasjonen vi har fått: Operativsystemet er Windows XP eller nyere; filsystemet som brukes er NTFS; brukeren har ikke full kontrollrettigheter på den delen av filsystemet de prøver å manipulere; de er ikke i administratorkontekst og standardrettighetene på filsystemet kan ha blitt endret.

Alt i Windows er en gjenstand, enten det er en registernøkkel, en skriver eller en fil. Selv om de bruker de samme mekanismene for å definere brukertilgang, begrenser vi diskusjonen til filsystemobjekter for å holde det så enkelt som mulig.

Adgangskontroll

Sikkerhetsvarsel: 10 Sikkerhetsblogger du bør følge i dag Red Alert: 10 Datasikkerhetsblogger du bør følge i dag Sikkerhet er en avgjørende del av databehandling, og du bør streve for å utdanne deg selv og holde deg oppdatert. Du vil sjekke ut disse ti sikkerhetsbloggene og sikkerhetsekspertene som skriver dem. Les mer av noe slag handler om å kontrollere hvem kan gjøre noe på objektet som er sikret. Hvem har nøkkelkortet for å låse opp porten for å komme inn i forbindelsen? Hvem har nøklene til å åpne konsernsjefets kontor? Hvem har kombinasjonen til å åpne safeen på sitt kontor?

Den samme typen tenkning gjelder sikkerheten til filer og mapper på NTFS filsystemer. Hver bruker på systemet har ikke et forsvarlig behov for å få tilgang til alle filer på systemet, og de må heller ikke ha samme tilgang til disse filene. Akkurat som alle ansatte i et selskap ikke trenger å ha tilgang til safe på konsernsjefens kontor, eller evnen til å endre bedriftsrapporter, selv om de kan få lov til å lese dem.

tillatelser

Windows kontrollerer tilgang til filsystemobjekter (filer og mapper) ved å angi tillatelser for brukere eller grupper. Disse angir hvilken type tilgang brukeren eller gruppen har til objektet. Disse tillatelsene kan settes til enten tillate eller benekte en bestemt type tilgang, og kan enten settes eksplisitt på objektet, eller implisitt gjennom arv fra sin overordnede mappe.

Standardrettighetene for filer er: Full kontroll, Endre, Les og Utfør, Les, Skriv og Spesiell. Mapper har en annen spesiell tillatelse, kalt List Folder Contents. Disse standardtillatelsene er forhåndsdefinerte sett med avanserte tillatelser som tillater mer granulær kontroll, men er normalt ikke nødvendig utenom standardtillatelsene.

For eksempel, Les og utfør standard tillatelse inkluderer følgende avanserte tillatelser:

  • Traverse Folder / Execute File
  • Liste mappe / lese data
  • Les Egenskaper
  • Les Utvidede Attributter
  • Les Tillatelser

Tilgangskontrolllister

Hvert objekt i filsystemet har en tilhørende tilgangskontrollliste (ACL). ACL er en liste over sikkerhetsidentifikatorer (SID) som har tillatelser på objektet. Lokalsikkerhetsmyndighetens undersystem (LSASS) vil sammenligne SID-en som er knyttet til tilgangstoken gitt til brukeren ved innlogging til SIDene i ACL for objektet brukeren prøver å få tilgang til. Hvis brukerens SID ikke samsvarer med noen av SIDene i ACL, blir tilgang nektet. Hvis det samsvarer, vil den forespurte tilgangen bli gitt eller nektet basert på tillatelsene for det SID.

Det er også en evalueringsordre for tillatelser som må vurderes. Eksplisitte tillatelser har forrang over implisitte tillatelser, og nekte tillatelser har forrang over tillatelser. I rekkefølge ser det slik ut:

  1. Eksplisitt nekte
  2. Eksplisitt Tillat
  3. Implisitt benekt
  4. Implisitt Tillat

Standard Root Directory Tillatelser

Tillatelsene som er gitt i rotkatalogen til en stasjon, varierer noe, avhengig av om stasjonen er systemstasjonen eller ikke. Som vist i bildet nedenfor har en systemstasjon to separate Tillate oppføringer for autentiserte brukere. Det er en som tillater godkjente brukere å lage mapper og legge til data i eksisterende filer, men ikke å endre eksisterende data i filen som bare gjelder rotkatalogen. Den andre tillater godkjente brukere å endre filer og mapper som finnes i undermapper, hvis den undermappen erverver tillatelser fra roten.

Systemkatalogene (Windows, Programdata, Programfiler, Programfiler (x86), Brukere eller Dokumenter og Innstillinger, og muligens andre) arver ikke deres tillatelser fra rotkatalogen. Fordi de er systemkataloger, er deres tillatelser eksplisitt angitt for å forhindre utilsiktet eller ondsinnet endring av operativsystem, program og konfigurasjonsfiler av skadelig programvare eller en hacker.

Hvis det ikke er en systemstasjon, er den eneste forskjellen at gruppen Autentiserte brukere har en enkelt tillatelse som tillater Endre tillatelser for rotmappen, undermappene og filene. Alle tillatelser tildelt for de 3 gruppene og SYSTEM-kontoen er arvet i hele stasjonen.

Problemanalyse

Da vår plakat kjørte attrib kommando som forsøker å fjerne eventuelle system-, skjulte og skrivebeskyttede attributter på alle filer og mapper som starter ved den (uspesifiserte) katalogen de var i, mottok de meldinger som angir hvilken handling de ønsket å utføre (skriveattributter) ble nektet. Avhengig av katalogen de var inne da de kjørte kommandoen, er dette sannsynligvis en veldig god ting, spesielt hvis de var i C: \.

I stedet for å forsøke å kjøre den kommandoen, ville det vært bedre å bare endre innstillingene i Windows Utforsker / Filutforsker for å vise skjulte filer og kataloger. Dette kan lett oppnås ved å gå til Organiser> Mappe og søkealternativer i Windows Utforsker eller Fil> Endre mappe og søkealternativer i Filutforsker. I dialogboksen som resulterer, velger du Se kategorien> Vis skjulte filer, mapper og stasjoner. Med dette aktivert, ville skjulte kataloger og filer dukke opp som dimmede elementer i listen.

På dette tidspunktet, hvis filene og mappene fortsatt ikke vises, er det et problem med avanserte tillatelser for Listemappe / Les data. Enten brukeren eller en gruppe brukeren tilhører er eksplisitt eller implisitt nektet denne tillatelsen på de aktuelle mappene, eller brukeren tilhører ikke noen av gruppene som har tilgang til disse mappene.

Du kan spørre hvordan leseren kan gå direkte til en av disse mappene hvis brukeren ikke har listemappen / les data-tillatelsene. Så lenge du kjenner banen til mappen, kan du gå til den forutsatt at du har Traverse Folder / Execute File avanserte tillatelser på den. Dette er også grunnen til at det ikke er sannsynlig å være et problem med standardmagasinet for Listemappeinnhold. Det har både av disse avanserte tillatelsene.

Oppløsningen

Med unntak av systemkataloger er de fleste tillatelser arvet ned i kjeden. Så det første trinnet er å identifisere katalogen nærmest roten til stasjonen, der symptomene er overflate. Når denne katalogen er plassert, høyreklikker du den og velger Egenskaper> Sikkerhet-fanen. Kontroller tillatelsene for hver av gruppene / brukerne som er oppført, for å bekrefte at de har en sjekk i Tillat-kolonnen for innholdsmappenes innholdsmappe og ikke i Deny-kolonnen.

Hvis ingen av kolonnene er merket, se også på Spesialtillatelser-oppføringen. Hvis dette er merket (enten tillat eller nekt), klikk på Avansert knappen, da Endre tillatelser på den resulterende dialogboksen hvis du kjører Vista eller senere. Dette vil gi opp en nesten identisk dialogboks med noen få ekstra knapper. Velg riktig gruppe, klikk Redigere og sørg for at List-mappen / les data-tillatelsen er tillatt.

Hvis kontrollene er gråte, betyr det at det er en arvet tillatelse, og endre den skal gjøres i overordnet mappe, med mindre det er en overbevisende grunn til ikke å gjøre det, for eksempel det er en brukers profilkatalog og foreldrene ville være mappen Brukere eller Dokumenter og innstillinger. Det er også uklokt å legge til tillatelser for en annen bruker for å kunne få tilgang til en annen brukers profilkatalog. I stedet logger du på som brukeren for å få tilgang til disse filene og mappene. Hvis det er noe som skal deles, flytt dem til profilen Offentlig profil eller bruk kategorien Deling for å tillate andre brukere å få tilgang til ressursene.

Det er også mulig at brukeren ikke har tillatelse til å redigere tillatelsene til de aktuelle filene eller katalogene. I så fall bør Windows Vista eller senere presentere en brukerkontokontroll (UAC). Stopp irriterende UAC-spørsmål - Slik oppretter du en hviteliste for brukerkontokontroll [Windows] Stopp irriterende UAC-spørsmål - Slik oppretter du en brukerkontrollkontrolleliste [Windows] Siden Vista har vi Windows-brukere blitt skadet, bugged, irritert og trøtt av UAC-brukerkontoen for å fortelle oss at et program starter opp som vi med vilje har lansert. Visst, det har blitt bedre, ... Les mer om administratorpassordet eller tillatelsen til å heve brukerens privilegier for å tillate denne tilgangen. Under Windows XP skal brukeren åpne Windows Explorer med alternativet Kjør som ... og bruke Administrator-kontoen Windows Administrator-konto: Alt du trenger å vite Windows Administrator-konto: Alt du trenger å vite Starter med Windows Vista, den innebygde Windows-administratoren Kontoen er deaktivert som standard. Du kan aktivere det, men gjør det på egen risiko! Vi viser deg hvordan. Les mer for å sikre at endringene kan gjøres, hvis de ikke allerede kjører med en administrativ konto.

Jeg vet at mange mennesker bare vil fortelle deg å ta eierskap av de aktuelle katalogene og filene, men det er en enorm glemme den løsningen. Hvis det skulle påvirke noen systemfiler og / eller kataloger, vil du være sterkt svekkende den generelle sikkerheten til systemet ditt. Det burde aldri gjøres på roten, Windows, Brukere, Dokumenter og Innstillinger, Programfiler, Programfiler (x86), Programdata eller Inetpub-kataloger eller noen av deres undermapper.

Konklusjon

Som du kan se, er tillatelser på NTFS-stasjoner ikke altfor vanskelig, men å finne kilde til tilgangsproblemer kan være kjedelig på systemer med mange kataloger. Bevæpnet med en grunnleggende forståelse av hvordan tillatelser fungerer med tilgangskontrolllister og litt fasthet, lokalisering og løsning av disse problemene vil snart bli barns lek.

Utforsk mer om: Filbehandling, Filsystem, NTFS.