Путівник по дозволам файлової системи | Windows IT Pro / RE | Видавництво «Відкриті системи»

  1. Путівник по дозволам файлової системи Для управління доступом користувачів до папок і файлів використовується...
  2. Путівник по дозволам файлової системи

Путівник по дозволам файлової системи

Для управління доступом користувачів до папок і файлів використовується деталізована і складна система дозволів. Механізм управління доступом до об'єктів Windows - один з найбільш деталізованих серед відомих операційних систем. Для файлів і папок існує не менше 14 дозволів NTFS, які можуть бути включені або блоковані - і перевірені. Ці дозволи можна призначати файлів або папок і користувачам або групам. Крім того, можна призначати порядок спадкування дозволів для файлів або папок і користувачів або груп. У лабіринті дозволів легко заблукати. .

Основи доступу до об'єктів

Користувач ніколи не входить в безпосереднє "зіткнення" з будь-яким об'єктом Windows. Весь доступ до об'єктів здійснюється через програми (наприклад, Windows Explorer, Microsoft Office) або процеси. Програма, яка звертається до ресурсів від імені користувача, виконує процедуру, яка називається імперсоналізаціей (impersonation). Програма, яка звертається до віддаленого ресурсу, виконує процедуру, яка називається делегуванням (delegation).

Після реєстрації користувача його системний ідентифікатор (System Identifier - SID) і ідентифікатори SID групи обробляються процесом lsass.exe, який генерує маркер безпечного доступу користувача. В маркер безпечного доступу вводиться й інша інформація, в тому числі про призначених користувачеві правах (дозволів), ID сеансу користувача (унікальний для кожного сеансу), масці дозволів з детальним описом типу запитаного доступу. Права, призначені користувачеві, можна побачити за допомогою команди

WHOAMI / all

Якщо програма звертається від імені користувача до захищеного ресурсу, то монітор захисту (security reference monitor) Windows запитує у програми маркер безпечного доступу користувача. Потім монітор захисту аналізує маркер, щоб визначити ефективні дозволу користувача, і дозволяє або забороняє виконання запитаної користувачем операції. Ефективні дозволу більш детально описані нижче.

Дозволи Share

Кожен захищений об'єкт Windows - в тому числі файли, папки, загальні ресурси, принтери і розділи реєстру - підтримує дозволу безпеки. Будь-яку папку Windows можна зробити загальнодоступною, щоб дозволити дистанційний доступ. Дозволи Share можна призначати будь-яких об'єктів folder і printer в Windows, але дозволу застосовуються, тільки якщо звернення до об'єкту відбувається через мережевий ресурс. До дозволами Folder Share відносяться Full Control, Change і Read.

Суб'єкти безпеки, яким присвоєно право повного доступу (Full Control) до об'єкта, можуть виробляти з об'єктом майже будь-які операції. Вони можуть видалити, перейменувати, копіювати, перемістити і змінити об'єкт. Користувач з правом Full Control може змінити дозволу Share об'єкта і стати власником об'єкта (якщо він вже не є власником і не має дозволу Take Ownership). Таким чином, будь-який користувач з дозволом Full Control може скасувати дозволи інших осіб, в тому числі адміністратора (хоча адміністратор може завжди повернути собі володіння і дозволу). Можливість змінювати дозволу - обов'язкова вимога будь-якої операційної системи з виборчим управлінням доступом (discretionary access control - DAC), такий як Windows.

У більшості випадків, основне дозвіл доступу до ресурсу, необхідне звичайним користувачам - Change. За допомогою дозволу Change користувач може додавати, видаляти, змінювати і перейменовувати будь-які ресурси у відповідній папці. Дозвіл Read забезпечує перегляд, копіювання, перейменування і друк об'єкта. Користувач з дозволом Read може копіювати об'єкт в інше місце, в якому має право Full Control.

Дозволи NTFS

Якщо в Windows використовує файлову систему NTFS (а не FAT), то всі файли, папки, розділи реєстру і багато інших об'єктів мають дозволу NTFS. Дозволи NTFS застосовуються як при локальному, так і при дистанційному доступі до об'єкта. Для перегляду і зміни дозволів NTFS файлу або папки досить натиснути правою кнопкою миші на об'єкті, вибрати пункт Properties і перейти до вкладки Security.

В Таблиці 1 показані 7 сумарних дозволів NTFS. Сумарні дозволу являють собою різні комбінації 14 більш деталізованих дозволів, показаних в Таблиці 2. Переглянути деталізовані дозволу можна, відкривши діалогове вікно Advanced Security Settings для об'єкта клацанням на кнопці Advanced у вкладці Security, а потім клацніть на кнопці Edit у вкладці Permissions. Знайомитися з деталізованими дозволами об'єкта (особливо вимагає підвищеної безпеки) - корисна звичка, хоча для цього потрібно більше зусиль. Сумарні дозволу не завжди точно відображають стан деталізованих дозволів. Наприклад, мені доводилося бачити сумарне дозвіл Read, хоча в дійсності користувач мав дозвіл Read & Execute.

Аналогічно вирішенню Full Control Share, дозвіл Full Control NTFS надає власникам великі можливості. Користувачі, які не є адміністраторами, часто мають дозвіл Full Control в своєму домашньому каталозі та інших файлах і папках. Як уже зазначалося, володар прав такого рівня може змінювати дозволи файлу і призначити себе власником. Замість того щоб надавати користувачам дозвіл Full Control, можна дати їм лише право Modify. Якщо користувач - власник файлу, то при необхідності можна вручну заборонити йому змінювати дозволу.

Технічно, дозволу NTFS відомі як виборчі списки управління доступом (discretionary ACL - DACL). Дозволи аудиту відомі як системні ACL (SACL). Більшість захищених об'єктів NTFS розташовують дозволами обох видів.

Вплив довірчих відносин Windows

За замовчуванням всі домени і ліси Windows 2000 і пізніших версій мають двосторонні довірчі відносини з усіма іншими доменами лісу. Якщо домен довіряє іншому домену, то всі користувачі в довіреному домені мають ті ж дозволу безпеки в недовірливому домені, що і група Everyone і група Authenticated Users довіряє домену. У будь-якому домені багато дозволу цих груп призначаються за умовчанням, і довірчі відносини неявно забезпечують широкі права, які не були б надані в іншому випадку. Слід пам'ятати, що якщо довірчі відносини не носять вибіркового характеру, то будь-які дозволи, що надаються групам Everyone і Authenticated Users, призначаються і всім іншим користувачам в лісі.

Перевірка дозволів з командного рядка

Адміністратори часто використовують такі інструменти командного рядка, як subinacl.exe, xacls.exe і cacls.exe для перевірки дозволів NTFS. Subinacl входить в набір ресурсів Windows Server 2003 Resource Kit Tools, і програму можна завантажити окремо з адреси http://www.microsoft.com/downloads/details.aspx?familyid=e8ba3e56-d8fe-4a91-93cf-ed6985e3927b&displaylang=en . За допомогою Subinacl можна переглядати і змінювати дозволу NTFS для файлів, папок, об'єктів, розділів реєстру і служб. Найважливіша можливість Subinacl - скопіювати дозволу користувача, групи або об'єкта і застосувати їх до іншого користувача, групі або об'єкту в тому ж або іншому домені. Наприклад, при переміщенні користувача з одного домену в інший в Windows створюється новий обліковий запис user; всі колишні SID або дозволу, пов'язані з первісним користувачем, скасовуються. Скопіювавши дозволу в новий обліковий запис user за допомогою Subinacl, можна зробити їх ідентичними. Xcacls функціонує аналогічно Subinacl і входить до складу комплекту ресурсів Windows 2000 Server Resource Kit. Програму можна завантажити з веб- http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/xcacls-o.asp .

Програма Cacls описана в опублікованій компанією Microsoft статті "Undocumented CACLS: Group Permissions Capabilities" ( http://support.microsoft.com/?kbid=162786 ). Це більш старий інструмент, який з'явився в складі Windows з часу Windows NT. Cacls не настільки корисна, як Subinacl або Xacls, але утиліта завжди мається на системі Windows. За допомогою Cacls можна переглядати і змінювати файли і дозволу по користувачам і групам, але не створювати деталізовані дозволу NTFS. В даний час можливості Cacls обмежені роботою з дозволами No Access, Read, Change і Full Control, які відповідають дозволам NTFS, але не дозволом Share. Крім того, дозвіл Read програми Cacls відповідає дозволу Read & Execute системи NTFS.

спадкування

За замовчуванням всі файли, папки і розділи реєстру успадковують дозволи від батьківського контейнера. Спадкування можна активізувати або відключити для індивідуальних файлів, папок або розділів реєстру і для окремих користувачів або груп. Як ми бачимо на Екрані 1, поле Apply To на вкладці Permissions діалогового вікна Advanced Security Settings показує, обмежена дія конкретного дозволу поточним контейнером, або воно поширюється на підпапки та файли. Адміністратор може призначити дозвіл (для окремих користувачів), які успадковуються чи ні. В даному прикладі група Everyone має дозвіл Read & Execute в цій папці, і цей дозвіл не успадковується.

В даному прикладі група Everyone має дозвіл Read & Execute в цій папці, і цей дозвіл не успадковується

Екран 1. Детальні дозволу об'єкта

Якщо файл або папка успадковує більшість своїх дозволів, але має також і набір явно заданих дозволів, то останні завжди мають пріоритет перед успадкованими правами. Наприклад, можна надати користувачеві дозвіл Full Control-Deny в кореневому каталозі конкретного томи, і задати успадкування цих дозволів усіма файлами і папками диска. Потім можна призначити будь-якого файлу або папці на диску право доступу, яке скасовує успадкований режим Full Control-Deny.

ефективні дозволу

Монітор захисту Windows визначає ефективні дозволу користувачів (реальні дозволу, якими вона володіє на практиці) з урахуванням кількох факторів. Як зазначалося вище, монітор захисту спочатку збирає інформацію про індивідуальну облікового запису користувача і всіх групах, до яких він належить, і узагальнює всі дозволи, призначені всім призначеним для користувача і груповим SID. Якщо дозволу Deny і Allow існують на одному рівні, то, як правило, пріоритет має Deny. Якщо пріоритет отримує Full Control-Deny, то користувач, як правило, не має доступу до об'єкта.

За замовчуванням при обліку дозволів NTFS і Share (користувач підключається до ресурсу через мережу) монітор захисту повинен зібрати всі дозволи Share і NTFS. В результаті ефективні дозволу користувача є набором дозволів, наданих як дозволами Share, так і NTFS.

Наприклад, в кінцевому підсумку у користувача можуть виявитися Share-дозволу Read і Change, і NTFS-дозволи Read і Modify. Ефективні дозволу - самий обмежений набір дозволів. В даному випадку дозволу майже ідентичні. Ефективними дозволами будуть Read і Change / Modify. Багато адміністратори помилково вважають, що ефективні дозволу - тільки Read, через погані, надмірно спрощених прикладів або застарілої документації.

У діалоговому вікні Advanced Security Settings в Windows XP і більш нових версіях з'явилася вкладка Effective Permissions (див. Екран 2). На жаль, на вкладці Effective Permissions відображаються тільки дозволу NTFS. Не враховується вплив дозволів Share, груп на базі дій, членства в яких користувач не має, і інших чинників, таких як файлова система з шифруванням (Encrypting File System - EFS). Якщо EFS активізована для файлу або папки, то користувач з відповідними дозволами NTFS і Share може втратити можливість доступу до об'єкту, якщо не має права доступу EFS до папки або файлу.

Якщо EFS активізована для файлу або папки, то користувач з відповідними дозволами NTFS і Share може втратити можливість доступу до об'єкту, якщо не має права доступу EFS до папки або файлу

Екран 2. Ефективні дозволу об'єкта NTFS

рекомендації

На завершення статті - кілька рекомендацій по роботі з файлами і папками:

  • Обережно надавати дозволи Full Control звичайним користувачам. Корисно призначити їм замість цього дозвіл Modify. У більшості випадків такий підхід забезпечує користувачам всі необхідні дозволи, не дозволяючи змінювати права або привласнювати собі володіння.
  • Акуратно працюйте з групою Everyone; краще використовувати групу Authenticated Users (або Users), або спеціальну групу з обмеженими правами. Важливі упущення групи Authenticated Users - відсутність Guest і нерозпізнаних користувачів.
  • Нерідко мережевих адміністраторів просять ввести гостьові облікові записи для сторонніх користувачів (наприклад, консультантів, підрядників, позаштатних програмістів). Але права звичайного користувача часто надлишкові для гостя. Слід сформувати і використовувати групу, права якої за замовчуванням сильно урізані (наприклад, дозвіл Full Control-Deny для кореневих каталогів), а потім явно дозволити доступ тільки до файлів і папок, необхідним даної гостьовий облікового запису. Явно призначаються дозволу кращі, оскільки надають гостьовим користувачам саме ті дозволи, які необхідні для їх роботи, але не більше.
  • Слід проявляти обережність, накладаючи заборони на групи Everyone і Users, так як адміністратори входять і в ці групи.
  • У разі довірчих відносин з іншими доменами корисно застосовувати одностороннє і селективне довіру, щоб обмежити права користувачів довіреної домену.
  • Необхідно періодично здійснювати аудит дозволів NTFS і Share, щоб переконатися в тому, що вони максимально обмежені.

Використовуючи ці рекомендації і довідкові таблиці з коротким описом всіх дозволів, можна сміливо відправлятися в лабіринт файлової системи. Адміністратор зможе впевнено призначати дозволу для файлів, папок, користувачів і груп.

Роджер Граймз ( [email protected] ) - консультант з проблем безпеки. Має сертифікати CPA, CISSP, CEH, CHFI, TICSA і MCSE: Security.

Таблиця 1. Зведення дозволів NTFS

Дозвіл

Дія

Read

Забезпечує перегляд, копіювання, друк і перейменування файлів, папок і об'єктів. Не дозволяє запускати виконувані програми, крім файлів сценаріїв. Дозволяє зчитувати дозволу об'єктів, атрибути об'єктів і розширені атрибути (наприклад, біт Archive, EFS). Дозволяє скласти список файлів і підпапок папки

Write

Дозволи читання, плюс створення і перезапис файлів і папок

List (Folders Only)

Дозволяє переглядати імена файлів і підпапок всередині папки

Read & Execute

Читання дозволів і запуск програмних файлів

Modify

Надає всі дозволи, крім можливості привласнити володіння і призначати дозволу. Дозволяє читати, видаляти, змінювати і перезаписувати файли і папки

Full Control

Забезпечує повне управління папками і файлами, в тому числі дозволяє призначати дозволу

Special Permissions

Дозволяє складати комбінації з 14 більш детальних дозволів, які не входять ні в один з інших 6 сумарних дозволів. До цієї групи належить вирішення Synchronize

Таблиця 2. Детальні дозволу NTFS

Дозвіл

Дія

Traverse Folder / Execute File

Traverse Folder дозволяє переміщатися по папках для доступу до інших файлів і папок, навіть якщо суб'єкт безпеки не має дозволів в транзитній папці. Застосовується тільки до папок. Traverse Folder вступає в силу, тільки якщо суб'єкт безпеки не має дозволу Bypass traverse checking user (надається групі Everyone за замовчуванням). Execute File дозволяє запускати програмні файли. Призначення дозволу Traverse Folder для папки не встановлює автоматично дозволу Execute File для всіх файлів у папці

List Folder / Read Data

Забезпечує перегляд імен файлів і підпапок в папці. List Folder впливає тільки на вміст папки - воно не впливає на те, чи буде внесена в список папка, для якої призначається дозвіл. Read Data дозволяє переглядати, копіювати і друкувати файли

Read Attributes

Суб'єкт безпеки бачить атрибути об'єкта (наприклад, Read-only, System, Hidden)

Read Extended Attributes

Суб'єкт безпеки бачить розширені атрибути об'єкта (наприклад, EFS, Compression)

Create Files / Write Data

Create Files дозволяє створювати файли всередині папки (застосовується лише до папок). Write Data дозволяє вносити зміни в файл і перезаписувати існуючий контент (застосовується тільки до файлів)

Create Folders / Append Data

Create Folders дозволяє створювати папки всередині папки (застосовується лише до папок). Append Data дозволяє вносити зміни в кінець файлу, але не змінювати, видаляти або перезаписувати існуючі дані (застосовується тільки до файлів)

Write Attributes

Визначає, чи може суб'єкт безпеки записувати або змінювати стандартні атрибути (наприклад, Read-only, System, Hidden) файлів і папок. Чи не впливає на вміст файлів і папок, тільки на їх атрибути.

Write Extended Attributes

Визначає, чи може суб'єкт безпеки записувати або змінювати розширені атрибути (наприклад, EFS, Compression) файлів і папок. Чи не впливає на вміст файлів і папок, тільки на їх атрибути

Delete Subfolders and Files

Дозволяє видаляти підпапки та файли, навіть якщо дозвіл Delete не надано підпапці або файлу

Delete

Дозволяє видаляти папку або файл. При відсутності дозволу Delete для файлу або папки її можна видалити, якщо є дозвіл Delete Subfolders and Files в батьківській папці

Read Permissions

Дозволяє читати дозволу (наприклад, Full Control, Read, Write) файлу або папки. Не дозволяє прочитати сам файл

Change Permissions

Дозволяє змінювати дозволу (наприклад, Full Control, Read, Write) файлу або папки. Не дозволяє змінювати сам файл

Take Ownership

Визначає, хто може бути власником файлу або папки. Власники завжди можуть мати Full Control, і їх дозволу в файлі або папці не можуть бути постійно скасовані, якщо при цьому не скасовується і право володіння

Synchronize

Адміністратори Рідко Використовують цею Дозвіл. Застосовується для синхронізації в багатопотокових, многопроцессность програмах і визначає взаємодію між декількома потоками, які звертаються до одного ресурсу

Путівник по дозволам файлової системи

Для управління доступом користувачів до папок і файлів використовується деталізована і складна система дозволів. Механізм управління доступом до об'єктів Windows - один з найбільш деталізованих серед відомих операційних систем. Для файлів і папок існує не менше 14 дозволів NTFS, які можуть бути включені або блоковані - і перевірені. Ці дозволи можна призначати файлів або папок і користувачам або групам. Крім того, можна призначати порядок спадкування дозволів для файлів або папок і користувачів або груп. У лабіринті дозволів легко заблукати. .

Основи доступу до об'єктів

Користувач ніколи не входить в безпосереднє "зіткнення" з будь-яким об'єктом Windows. Весь доступ до об'єктів здійснюється через програми (наприклад, Windows Explorer, Microsoft Office) або процеси. Програма, яка звертається до ресурсів від імені користувача, виконує процедуру, яка називається імперсоналізаціей (impersonation). Програма, яка звертається до віддаленого ресурсу, виконує процедуру, яка називається делегуванням (delegation).

Після реєстрації користувача його системний ідентифікатор (System Identifier - SID) і ідентифікатори SID групи обробляються процесом lsass.exe, який генерує маркер безпечного доступу користувача. В маркер безпечного доступу вводиться й інша інформація, в тому числі про призначених користувачеві правах (дозволів), ID сеансу користувача (унікальний для кожного сеансу), масці дозволів з детальним описом типу запитаного доступу. Права, призначені користувачеві, можна побачити за допомогою команди

WHOAMI / all

Якщо програма звертається від імені користувача до захищеного ресурсу, то монітор захисту (security reference monitor) Windows запитує у програми маркер безпечного доступу користувача. Потім монітор захисту аналізує маркер, щоб визначити ефективні дозволу користувача, і дозволяє або забороняє виконання запитаної користувачем операції. Ефективні дозволу більш детально описані нижче.

Дозволи Share

Кожен захищений об'єкт Windows - в тому числі файли, папки, загальні ресурси, принтери і розділи реєстру - підтримує дозволу безпеки. Будь-яку папку Windows можна зробити загальнодоступною, щоб дозволити дистанційний доступ. Дозволи Share можна призначати будь-яких об'єктів folder і printer в Windows, але дозволу застосовуються, тільки якщо звернення до об'єкту відбувається через мережевий ресурс. До дозволами Folder Share відносяться Full Control, Change і Read.

Суб'єкти безпеки, яким присвоєно право повного доступу (Full Control) до об'єкта, можуть виробляти з об'єктом майже будь-які операції. Вони можуть видалити, перейменувати, копіювати, перемістити і змінити об'єкт. Користувач з правом Full Control може змінити дозволу Share об'єкта і стати власником об'єкта (якщо він вже не є власником і не має дозволу Take Ownership). Таким чином, будь-який користувач з дозволом Full Control може скасувати дозволи інших осіб, в тому числі адміністратора (хоча адміністратор може завжди повернути собі володіння і дозволу). Можливість змінювати дозволу - обов'язкова вимога будь-якої операційної системи з виборчим управлінням доступом (discretionary access control - DAC), такий як Windows.

У більшості випадків, основне дозвіл доступу до ресурсу, необхідне звичайним користувачам - Change. За допомогою дозволу Change користувач може додавати, видаляти, змінювати і перейменовувати будь-які ресурси у відповідній папці. Дозвіл Read забезпечує перегляд, копіювання, перейменування і друк об'єкта. Користувач з дозволом Read може копіювати об'єкт в інше місце, в якому має право Full Control.

Дозволи NTFS

Якщо в Windows використовує файлову систему NTFS (а не FAT), то всі файли, папки, розділи реєстру і багато інших об'єктів мають дозволу NTFS. Дозволи NTFS застосовуються як при локальному, так і при дистанційному доступі до об'єкта. Для перегляду і зміни дозволів NTFS файлу або папки досить натиснути правою кнопкою миші на об'єкті, вибрати пункт Properties і перейти до вкладки Security.

В Таблиці 1 показані 7 сумарних дозволів NTFS. Сумарні дозволу являють собою різні комбінації 14 більш деталізованих дозволів, показаних в Таблиці 2. Переглянути деталізовані дозволу можна, відкривши діалогове вікно Advanced Security Settings для об'єкта клацанням на кнопці Advanced у вкладці Security, а потім клацніть на кнопці Edit у вкладці Permissions. Знайомитися з деталізованими дозволами об'єкта (особливо вимагає підвищеної безпеки) - корисна звичка, хоча для цього потрібно більше зусиль. Сумарні дозволу не завжди точно відображають стан деталізованих дозволів. Наприклад, мені доводилося бачити сумарне дозвіл Read, хоча в дійсності користувач мав дозвіл Read & Execute.

Аналогічно вирішенню Full Control Share, дозвіл Full Control NTFS надає власникам великі можливості. Користувачі, які не є адміністраторами, часто мають дозвіл Full Control в своєму домашньому каталозі та інших файлах і папках. Як уже зазначалося, володар прав такого рівня може змінювати дозволи файлу і призначити себе власником. Замість того щоб надавати користувачам дозвіл Full Control, можна дати їм лише право Modify. Якщо користувач - власник файлу, то при необхідності можна вручну заборонити йому змінювати дозволу.

Технічно, дозволу NTFS відомі як виборчі списки управління доступом (discretionary ACL - DACL). Дозволи аудиту відомі як системні ACL (SACL). Більшість захищених об'єктів NTFS розташовують дозволами обох видів.

Вплив довірчих відносин Windows

За замовчуванням всі домени і ліси Windows 2000 і пізніших версій мають двосторонні довірчі відносини з усіма іншими доменами лісу. Якщо домен довіряє іншому домену, то всі користувачі в довіреному домені мають ті ж дозволу безпеки в недовірливому домені, що і група Everyone і група Authenticated Users довіряє домену. У будь-якому домені багато дозволу цих груп призначаються за умовчанням, і довірчі відносини неявно забезпечують широкі права, які не були б надані в іншому випадку. Слід пам'ятати, що якщо довірчі відносини не носять вибіркового характеру, то будь-які дозволи, що надаються групам Everyone і Authenticated Users, призначаються і всім іншим користувачам в лісі.

Перевірка дозволів з командного рядка

Адміністратори часто використовують такі інструменти командного рядка, як subinacl.exe, xacls.exe і cacls.exe для перевірки дозволів NTFS. Subinacl входить в набір ресурсів Windows Server 2003 Resource Kit Tools, і програму можна завантажити окремо з адреси http://www.microsoft.com/downloads/details.aspx?familyid=e8ba3e56-d8fe-4a91-93cf-ed6985e3927b&displaylang=en . За допомогою Subinacl можна переглядати і змінювати дозволу NTFS для файлів, папок, об'єктів, розділів реєстру і служб. Найважливіша можливість Subinacl - скопіювати дозволу користувача, групи або об'єкта і застосувати їх до іншого користувача, групі або об'єкту в тому ж або іншому домені. Наприклад, при переміщенні користувача з одного домену в інший в Windows створюється новий обліковий запис user; всі колишні SID або дозволу, пов'язані з первісним користувачем, скасовуються. Скопіювавши дозволу в новий обліковий запис user за допомогою Subinacl, можна зробити їх ідентичними. Xcacls функціонує аналогічно Subinacl і входить до складу комплекту ресурсів Windows 2000 Server Resource Kit. Програму можна завантажити з веб- http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/xcacls-o.asp .

Програма Cacls описана в опублікованій компанією Microsoft статті "Undocumented CACLS: Group Permissions Capabilities" ( http://support.microsoft.com/?kbid=162786 ). Це більш старий інструмент, який з'явився в складі Windows з часу Windows NT. Cacls не настільки корисна, як Subinacl або Xacls, але утиліта завжди мається на системі Windows. За допомогою Cacls можна переглядати і змінювати файли і дозволу по користувачам і групам, але не створювати деталізовані дозволу NTFS. В даний час можливості Cacls обмежені роботою з дозволами No Access, Read, Change і Full Control, які відповідають дозволам NTFS, але не дозволом Share. Крім того, дозвіл Read програми Cacls відповідає дозволу Read & Execute системи NTFS.

спадкування

За замовчуванням всі файли, папки і розділи реєстру успадковують дозволи від батьківського контейнера. Спадкування можна активізувати або відключити для індивідуальних файлів, папок або розділів реєстру і для окремих користувачів або груп. Як ми бачимо на Екрані 1, поле Apply To на вкладці Permissions діалогового вікна Advanced Security Settings показує, обмежена дія конкретного дозволу поточним контейнером, або воно поширюється на підпапки та файли. Адміністратор може призначити дозвіл (для окремих користувачів), які успадковуються чи ні. В даному прикладі група Everyone має дозвіл Read & Execute в цій папці, і цей дозвіл не успадковується.

В даному прикладі група Everyone має дозвіл Read & Execute в цій папці, і цей дозвіл не успадковується

Екран 1. Детальні дозволу об'єкта

Якщо файл або папка успадковує більшість своїх дозволів, але має також і набір явно заданих дозволів, то останні завжди мають пріоритет перед успадкованими правами. Наприклад, можна надати користувачеві дозвіл Full Control-Deny в кореневому каталозі конкретного томи, і задати успадкування цих дозволів усіма файлами і папками диска. Потім можна призначити будь-якого файлу або папці на диску право доступу, яке скасовує успадкований режим Full Control-Deny.

ефективні дозволу

Монітор захисту Windows визначає ефективні дозволу користувачів (реальні дозволу, якими вона володіє на практиці) з урахуванням кількох факторів. Як зазначалося вище, монітор захисту спочатку збирає інформацію про індивідуальну облікового запису користувача і всіх групах, до яких він належить, і узагальнює всі дозволи, призначені всім призначеним для користувача і груповим SID. Якщо дозволу Deny і Allow існують на одному рівні, то, як правило, пріоритет має Deny. Якщо пріоритет отримує Full Control-Deny, то користувач, як правило, не має доступу до об'єкта.

За замовчуванням при обліку дозволів NTFS і Share (користувач підключається до ресурсу через мережу) монітор захисту повинен зібрати всі дозволи Share і NTFS. В результаті ефективні дозволу користувача є набором дозволів, наданих як дозволами Share, так і NTFS.

Наприклад, в кінцевому підсумку у користувача можуть виявитися Share-дозволу Read і Change, і NTFS-дозволи Read і Modify. Ефективні дозволу - самий обмежений набір дозволів. В даному випадку дозволу майже ідентичні. Ефективними дозволами будуть Read і Change / Modify. Багато адміністратори помилково вважають, що ефективні дозволу - тільки Read, через погані, надмірно спрощених прикладів або застарілої документації.

У діалоговому вікні Advanced Security Settings в Windows XP і більш нових версіях з'явилася вкладка Effective Permissions (див. Екран 2). На жаль, на вкладці Effective Permissions відображаються тільки дозволу NTFS. Не враховується вплив дозволів Share, груп на базі дій, членства в яких користувач не має, і інших чинників, таких як файлова система з шифруванням (Encrypting File System - EFS). Якщо EFS активізована для файлу або папки, то користувач з відповідними дозволами NTFS і Share може втратити можливість доступу до об'єкту, якщо не має права доступу EFS до папки або файлу.

Якщо EFS активізована для файлу або папки, то користувач з відповідними дозволами NTFS і Share може втратити можливість доступу до об'єкту, якщо не має права доступу EFS до папки або файлу

Екран 2. Ефективні дозволу об'єкта NTFS

рекомендації

На завершення статті - кілька рекомендацій по роботі з файлами і папками:

  • Обережно надавати дозволи Full Control звичайним користувачам. Корисно призначити їм замість цього дозвіл Modify. У більшості випадків такий підхід забезпечує користувачам всі необхідні дозволи, не дозволяючи змінювати права або привласнювати собі володіння.
  • Акуратно працюйте з групою Everyone; краще використовувати групу Authenticated Users (або Users), або спеціальну групу з обмеженими правами. Важливі упущення групи Authenticated Users - відсутність Guest і нерозпізнаних користувачів.
  • Нерідко мережевих адміністраторів просять ввести гостьові облікові записи для сторонніх користувачів (наприклад, консультантів, підрядників, позаштатних програмістів). Але права звичайного користувача часто надлишкові для гостя. Слід сформувати і використовувати групу, права якої за замовчуванням сильно урізані (наприклад, дозвіл Full Control-Deny для кореневих каталогів), а потім явно дозволити доступ тільки до файлів і папок, необхідним даної гостьовий облікового запису. Явно призначаються дозволу кращі, оскільки надають гостьовим користувачам саме ті дозволи, які необхідні для їх роботи, але не більше.
  • Слід проявляти обережність, накладаючи заборони на групи Everyone і Users, так як адміністратори входять і в ці групи.
  • У разі довірчих відносин з іншими доменами корисно застосовувати одностороннє і селективне довіру, щоб обмежити права користувачів довіреної домену.
  • Необхідно періодично здійснювати аудит дозволів NTFS і Share, щоб переконатися в тому, що вони максимально обмежені.

Використовуючи ці рекомендації і довідкові таблиці з коротким описом всіх дозволів, можна сміливо відправлятися в лабіринт файлової системи. Адміністратор зможе впевнено призначати дозволу для файлів, папок, користувачів і груп.

Роджер Граймз ( [email protected] ) - консультант з проблем безпеки. Має сертифікати CPA, CISSP, CEH, CHFI, TICSA і MCSE: Security.

Таблиця 1. Зведення дозволів NTFS

Дозвіл

Дія

Read

Забезпечує перегляд, копіювання, друк і перейменування файлів, папок і об'єктів. Не дозволяє запускати виконувані програми, крім файлів сценаріїв. Дозволяє зчитувати дозволу об'єктів, атрибути об'єктів і розширені атрибути (наприклад, біт Archive, EFS). Дозволяє скласти список файлів і підпапок папки

Write

Дозволи читання, плюс створення і перезапис файлів і папок

List (Folders Only)

Дозволяє переглядати імена файлів і підпапок всередині папки

Read & Execute

Читання дозволів і запуск програмних файлів

Modify

Надає всі дозволи, крім можливості привласнити володіння і призначати дозволу. Дозволяє читати, видаляти, змінювати і перезаписувати файли і папки

Full Control

Забезпечує повне управління папками і файлами, в тому числі дозволяє призначати дозволу

Special Permissions

Дозволяє складати комбінації з 14 більш детальних дозволів, які не входять ні в один з інших 6 сумарних дозволів. До цієї групи належить вирішення Synchronize

Таблиця 2. Детальні дозволу NTFS

Дозвіл

Дія

Traverse Folder / Execute File

Traverse Folder дозволяє переміщатися по папках для доступу до інших файлів і папок, навіть якщо суб'єкт безпеки не має дозволів в транзитній папці. Застосовується тільки до папок. Traverse Folder вступає в силу, тільки якщо суб'єкт безпеки не має дозволу Bypass traverse checking user (надається групі Everyone за замовчуванням). Execute File дозволяє запускати програмні файли. Призначення дозволу Traverse Folder для папки не встановлює автоматично дозволу Execute File для всіх файлів у папці

List Folder / Read Data

Забезпечує перегляд імен файлів і підпапок в папці. List Folder впливає тільки на вміст папки - воно не впливає на те, чи буде внесена в список папка, для якої призначається дозвіл. Read Data дозволяє переглядати, копіювати і друкувати файли

Read Attributes

Суб'єкт безпеки бачить атрибути об'єкта (наприклад, Read-only, System, Hidden)

Read Extended Attributes

Суб'єкт безпеки бачить розширені атрибути об'єкта (наприклад, EFS, Compression)

Create Files / Write Data

Create Files дозволяє створювати файли всередині папки (застосовується лише до папок). Write Data дозволяє вносити зміни в файл і перезаписувати існуючий контент (застосовується тільки до файлів)

Create Folders / Append Data

Create Folders дозволяє створювати папки всередині папки (застосовується лише до папок). Append Data дозволяє вносити зміни в кінець файлу, але не змінювати, видаляти або перезаписувати існуючі дані (застосовується тільки до файлів)

Write Attributes

Визначає, чи може суб'єкт безпеки записувати або змінювати стандартні атрибути (наприклад, Read-only, System, Hidden) файлів і папок. Чи не впливає на вміст файлів і папок, тільки на їх атрибути.

Write Extended Attributes

Визначає, чи може суб'єкт безпеки записувати або змінювати розширені атрибути (наприклад, EFS, Compression) файлів і папок. Чи не впливає на вміст файлів і папок, тільки на їх атрибути

Delete Subfolders and Files

Дозволяє видаляти підпапки та файли, навіть якщо дозвіл Delete не надано підпапці або файлу

Delete

Дозволяє видаляти папку або файл. При відсутності дозволу Delete для файлу або папки її можна видалити, якщо є дозвіл Delete Subfolders and Files в батьківській папці

Read Permissions

Дозволяє читати дозволу (наприклад, Full Control, Read, Write) файлу або папки. Не дозволяє прочитати сам файл

Change Permissions

Дозволяє змінювати дозволу (наприклад, Full Control, Read, Write) файлу або папки. Не дозволяє змінювати сам файл

Take Ownership

Визначає, хто може бути власником файлу або папки. Власники завжди можуть мати Full Control, і їх дозволу в файлі або папці не можуть бути постійно скасовані, якщо при цьому не скасовується і право володіння

Synchronize

Адміністратори Рідко Використовують цею Дозвіл. Застосовується для синхронізації в багатопотокових, многопроцессность програмах і визначає взаємодію між декількома потоками, які звертаються до одного ресурсу

Путівник по дозволам файлової системи

Для управління доступом користувачів до папок і файлів використовується деталізована і складна система дозволів. Механізм управління доступом до об'єктів Windows - один з найбільш деталізованих серед відомих операційних систем. Для файлів і папок існує не менше 14 дозволів NTFS, які можуть бути включені або блоковані - і перевірені. Ці дозволи можна призначати файлів або папок і користувачам або групам. Крім того, можна призначати порядок спадкування дозволів для файлів або папок і користувачів або груп. У лабіринті дозволів легко заблукати. .

Основи доступу до об'єктів

Користувач ніколи не входить в безпосереднє "зіткнення" з будь-яким об'єктом Windows. Весь доступ до об'єктів здійснюється через програми (наприклад, Windows Explorer, Microsoft Office) або процеси. Програма, яка звертається до ресурсів від імені користувача, виконує процедуру, яка називається імперсоналізаціей (impersonation). Програма, яка звертається до віддаленого ресурсу, виконує процедуру, яка називається делегуванням (delegation).

Після реєстрації користувача його системний ідентифікатор (System Identifier - SID) і ідентифікатори SID групи обробляються процесом lsass.exe, який генерує маркер безпечного доступу користувача. В маркер безпечного доступу вводиться й інша інформація, в тому числі про призначених користувачеві правах (дозволів), ID сеансу користувача (унікальний для кожного сеансу), масці дозволів з детальним описом типу запитаного доступу. Права, призначені користувачеві, можна побачити за допомогою команди

WHOAMI / all

Якщо програма звертається від імені користувача до захищеного ресурсу, то монітор захисту (security reference monitor) Windows запитує у програми маркер безпечного доступу користувача. Потім монітор захисту аналізує маркер, щоб визначити ефективні дозволу користувача, і дозволяє або забороняє виконання запитаної користувачем операції. Ефективні дозволу більш детально описані нижче.

Дозволи Share

Кожен захищений об'єкт Windows - в тому числі файли, папки, загальні ресурси, принтери і розділи реєстру - підтримує дозволу безпеки. Будь-яку папку Windows можна зробити загальнодоступною, щоб дозволити дистанційний доступ. Дозволи Share можна призначати будь-яких об'єктів folder і printer в Windows, але дозволу застосовуються, тільки якщо звернення до об'єкту відбувається через мережевий ресурс. До дозволами Folder Share відносяться Full Control, Change і Read.

Суб'єкти безпеки, яким присвоєно право повного доступу (Full Control) до об'єкта, можуть виробляти з об'єктом майже будь-які операції. Вони можуть видалити, перейменувати, копіювати, перемістити і змінити об'єкт. Користувач з правом Full Control може змінити дозволу Share об'єкта і стати власником об'єкта (якщо він вже не є власником і не має дозволу Take Ownership). Таким чином, будь-який користувач з дозволом Full Control може скасувати дозволи інших осіб, в тому числі адміністратора (хоча адміністратор може завжди повернути собі володіння і дозволу). Можливість змінювати дозволу - обов'язкова вимога будь-якої операційної системи з виборчим управлінням доступом (discretionary access control - DAC), такий як Windows.

У більшості випадків, основне дозвіл доступу до ресурсу, необхідне звичайним користувачам - Change. За допомогою дозволу Change користувач може додавати, видаляти, змінювати і перейменовувати будь-які ресурси у відповідній папці. Дозвіл Read забезпечує перегляд, копіювання, перейменування і друк об'єкта. Користувач з дозволом Read може копіювати об'єкт в інше місце, в якому має право Full Control.

Дозволи NTFS

Якщо в Windows використовує файлову систему NTFS (а не FAT), то всі файли, папки, розділи реєстру і багато інших об'єктів мають дозволу NTFS. Дозволи NTFS застосовуються як при локальному, так і при дистанційному доступі до об'єкта. Для перегляду і зміни дозволів NTFS файлу або папки досить натиснути правою кнопкою миші на об'єкті, вибрати пункт Properties і перейти до вкладки Security.

В Таблиці 1 показані 7 сумарних дозволів NTFS. Сумарні дозволу являють собою різні комбінації 14 більш деталізованих дозволів, показаних в Таблиці 2. Переглянути деталізовані дозволу можна, відкривши діалогове вікно Advanced Security Settings для об'єкта клацанням на кнопці Advanced у вкладці Security, а потім клацніть на кнопці Edit у вкладці Permissions. Знайомитися з деталізованими дозволами об'єкта (особливо вимагає підвищеної безпеки) - корисна звичка, хоча для цього потрібно більше зусиль. Сумарні дозволу не завжди точно відображають стан деталізованих дозволів. Наприклад, мені доводилося бачити сумарне дозвіл Read, хоча в дійсності користувач мав дозвіл Read & Execute.

Аналогічно вирішенню Full Control Share, дозвіл Full Control NTFS надає власникам великі можливості. Користувачі, які не є адміністраторами, часто мають дозвіл Full Control в своєму домашньому каталозі та інших файлах і папках. Як уже зазначалося, володар прав такого рівня може змінювати дозволи файлу і призначити себе власником. Замість того щоб надавати користувачам дозвіл Full Control, можна дати їм лише право Modify. Якщо користувач - власник файлу, то при необхідності можна вручну заборонити йому змінювати дозволу.

Технічно, дозволу NTFS відомі як виборчі списки управління доступом (discretionary ACL - DACL). Дозволи аудиту відомі як системні ACL (SACL). Більшість захищених об'єктів NTFS розташовують дозволами обох видів.

Вплив довірчих відносин Windows

За замовчуванням всі домени і ліси Windows 2000 і пізніших версій мають двосторонні довірчі відносини з усіма іншими доменами лісу. Якщо домен довіряє іншому домену, то всі користувачі в довіреному домені мають ті ж дозволу безпеки в недовірливому домені, що і група Everyone і група Authenticated Users довіряє домену. У будь-якому домені багато дозволу цих груп призначаються за умовчанням, і довірчі відносини неявно забезпечують широкі права, які не були б надані в іншому випадку. Слід пам'ятати, що якщо довірчі відносини не носять вибіркового характеру, то будь-які дозволи, що надаються групам Everyone і Authenticated Users, призначаються і всім іншим користувачам в лісі.

Перевірка дозволів з командного рядка

Адміністратори часто використовують такі інструменти командного рядка, як subinacl.exe, xacls.exe і cacls.exe для перевірки дозволів NTFS. Subinacl входить в набір ресурсів Windows Server 2003 Resource Kit Tools, і програму можна завантажити окремо з адреси http://www.microsoft.com/downloads/details.aspx?familyid=e8ba3e56-d8fe-4a91-93cf-ed6985e3927b&displaylang=en . За допомогою Subinacl можна переглядати і змінювати дозволу NTFS для файлів, папок, об'єктів, розділів реєстру і служб. Найважливіша можливість Subinacl - скопіювати дозволу користувача, групи або об'єкта і застосувати їх до іншого користувача, групі або об'єкту в тому ж або іншому домені. Наприклад, при переміщенні користувача з одного домену в інший в Windows створюється новий обліковий запис user; всі колишні SID або дозволу, пов'язані з первісним користувачем, скасовуються. Скопіювавши дозволу в новий обліковий запис user за допомогою Subinacl, можна зробити їх ідентичними. Xcacls функціонує аналогічно Subinacl і входить до складу комплекту ресурсів Windows 2000 Server Resource Kit. Програму можна завантажити з веб- http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/xcacls-o.asp .

Програма Cacls описана в опублікованій компанією Microsoft статті "Undocumented CACLS: Group Permissions Capabilities" ( http://support.microsoft.com/?kbid=162786 ). Це більш старий інструмент, який з'явився в складі Windows з часу Windows NT. Cacls не настільки корисна, як Subinacl або Xacls, але утиліта завжди мається на системі Windows. За допомогою Cacls можна переглядати і змінювати файли і дозволу по користувачам і групам, але не створювати деталізовані дозволу NTFS. В даний час можливості Cacls обмежені роботою з дозволами No Access, Read, Change і Full Control, які відповідають дозволам NTFS, але не дозволом Share. Крім того, дозвіл Read програми Cacls відповідає дозволу Read & Execute системи NTFS.

спадкування

За замовчуванням всі файли, папки і розділи реєстру успадковують дозволи від батьківського контейнера. Спадкування можна активізувати або відключити для індивідуальних файлів, папок або розділів реєстру і для окремих користувачів або груп. Як ми бачимо на Екрані 1, поле Apply To на вкладці Permissions діалогового вікна Advanced Security Settings показує, обмежена дія конкретного дозволу поточним контейнером, або воно поширюється на підпапки та файли. Адміністратор може призначити дозвіл (для окремих користувачів), які успадковуються чи ні. В даному прикладі група Everyone має дозвіл Read & Execute в цій папці, і цей дозвіл не успадковується.

В даному прикладі група Everyone має дозвіл Read & Execute в цій папці, і цей дозвіл не успадковується

Екран 1. Детальні дозволу об'єкта

Якщо файл або папка успадковує більшість своїх дозволів, але має також і набір явно заданих дозволів, то останні завжди мають пріоритет перед успадкованими правами. Наприклад, можна надати користувачеві дозвіл Full Control-Deny в кореневому каталозі конкретного томи, і задати успадкування цих дозволів усіма файлами і папками диска. Потім можна призначити будь-якого файлу або папці на диску право доступу, яке скасовує успадкований режим Full Control-Deny.

ефективні дозволу

Монітор захисту Windows визначає ефективні дозволу користувачів (реальні дозволу, якими вона володіє на практиці) з урахуванням кількох факторів. Як зазначалося вище, монітор захисту спочатку збирає інформацію про індивідуальну облікового запису користувача і всіх групах, до яких він належить, і узагальнює всі дозволи, призначені всім призначеним для користувача і груповим SID. Якщо дозволу Deny і Allow існують на одному рівні, то, як правило, пріоритет має Deny. Якщо пріоритет отримує Full Control-Deny, то користувач, як правило, не має доступу до об'єкта.

За замовчуванням при обліку дозволів NTFS і Share (користувач підключається до ресурсу через мережу) монітор захисту повинен зібрати всі дозволи Share і NTFS. В результаті ефективні дозволу користувача є набором дозволів, наданих як дозволами Share, так і NTFS.

Наприклад, в кінцевому підсумку у користувача можуть виявитися Share-дозволу Read і Change, і NTFS-дозволи Read і Modify. Ефективні дозволу - самий обмежений набір дозволів. В даному випадку дозволу майже ідентичні. Ефективними дозволами будуть Read і Change / Modify. Багато адміністратори помилково вважають, що ефективні дозволу - тільки Read, через погані, надмірно спрощених прикладів або застарілої документації.

У діалоговому вікні Advanced Security Settings в Windows XP і більш нових версіях з'явилася вкладка Effective Permissions (див. Екран 2). На жаль, на вкладці Effective Permissions відображаються тільки дозволу NTFS. Не враховується вплив дозволів Share, груп на базі дій, членства в яких користувач не має, і інших чинників, таких як файлова система з шифруванням (Encrypting File System - EFS). Якщо EFS активізована для файлу або папки, то користувач з відповідними дозволами NTFS і Share може втратити можливість доступу до об'єкту, якщо не має права доступу EFS до папки або файлу.

Якщо EFS активізована для файлу або папки, то користувач з відповідними дозволами NTFS і Share може втратити можливість доступу до об'єкту, якщо не має права доступу EFS до папки або файлу

Екран 2. Ефективні дозволу об'єкта NTFS

рекомендації

На завершення статті - кілька рекомендацій по роботі з файлами і папками:

  • Обережно надавати дозволи Full Control звичайним користувачам. Корисно призначити їм замість цього дозвіл Modify. У більшості випадків такий підхід забезпечує користувачам всі необхідні дозволи, не дозволяючи змінювати права або привласнювати собі володіння.
  • Акуратно працюйте з групою Everyone; краще використовувати групу Authenticated Users (або Users), або спеціальну групу з обмеженими правами. Важливі упущення групи Authenticated Users - відсутність Guest і нерозпізнаних користувачів.
  • Нерідко мережевих адміністраторів просять ввести гостьові облікові записи для сторонніх користувачів (наприклад, консультантів, підрядників, позаштатних програмістів). Але права звичайного користувача часто надлишкові для гостя. Слід сформувати і використовувати групу, права якої за замовчуванням сильно урізані (наприклад, дозвіл Full Control-Deny для кореневих каталогів), а потім явно дозволити доступ тільки до файлів і папок, необхідним даної гостьовий облікового запису. Явно призначаються дозволу кращі, оскільки надають гостьовим користувачам саме ті дозволи, які необхідні для їх роботи, але не більше.
  • Слід проявляти обережність, накладаючи заборони на групи Everyone і Users, так як адміністратори входять і в ці групи.
  • У разі довірчих відносин з іншими доменами корисно застосовувати одностороннє і селективне довіру, щоб обмежити права користувачів довіреної домену.
  • Необхідно періодично здійснювати аудит дозволів NTFS і Share, щоб переконатися в тому, що вони максимально обмежені.

Використовуючи ці рекомендації і довідкові таблиці з коротким описом всіх дозволів, можна сміливо відправлятися в лабіринт файлової системи. Адміністратор зможе впевнено призначати дозволу для файлів, папок, користувачів і груп.

Роджер Граймз ( [email protected] ) - консультант з проблем безпеки. Має сертифікати CPA, CISSP, CEH, CHFI, TICSA і MCSE: Security.

Таблиця 1. Зведення дозволів NTFS

Дозвіл

Дія

Read

Забезпечує перегляд, копіювання, друк і перейменування файлів, папок і об'єктів. Не дозволяє запускати виконувані програми, крім файлів сценаріїв. Дозволяє зчитувати дозволу об'єктів, атрибути об'єктів і розширені атрибути (наприклад, біт Archive, EFS). Дозволяє скласти список файлів і підпапок папки

Write

Дозволи читання, плюс створення і перезапис файлів і папок

List (Folders Only)

Дозволяє переглядати імена файлів і підпапок всередині папки

Read & Execute

Читання дозволів і запуск програмних файлів

Modify

Надає всі дозволи, крім можливості привласнити володіння і призначати дозволу. Дозволяє читати, видаляти, змінювати і перезаписувати файли і папки

Full Control

Забезпечує повне управління папками і файлами, в тому числі дозволяє призначати дозволу

Special Permissions

Дозволяє складати комбінації з 14 більш детальних дозволів, які не входять ні в один з інших 6 сумарних дозволів. До цієї групи належить вирішення Synchronize

Таблиця 2. Детальні дозволу NTFS

Дозвіл

Дія

Traverse Folder / Execute File

Traverse Folder дозволяє переміщатися по папках для доступу до інших файлів і папок, навіть якщо суб'єкт безпеки не має дозволів в транзитній папці. Застосовується тільки до папок. Traverse Folder вступає в силу, тільки якщо суб'єкт безпеки не має дозволу Bypass traverse checking user (надається групі Everyone за замовчуванням). Execute File дозволяє запускати програмні файли. Призначення дозволу Traverse Folder для папки не встановлює автоматично дозволу Execute File для всіх файлів у папці

List Folder / Read Data

Забезпечує перегляд імен файлів і підпапок в папці. List Folder впливає тільки на вміст папки - воно не впливає на те, чи буде внесена в список папка, для якої призначається дозвіл. Read Data дозволяє переглядати, копіювати і друкувати файли

Read Attributes

Суб'єкт безпеки бачить атрибути об'єкта (наприклад, Read-only, System, Hidden)

Read Extended Attributes

Суб'єкт безпеки бачить розширені атрибути об'єкта (наприклад, EFS, Compression)

Create Files / Write Data

Create Files дозволяє створювати файли всередині папки (застосовується лише до папок). Write Data дозволяє вносити зміни в файл і перезаписувати існуючий контент (застосовується тільки до файлів)

Create Folders / Append Data

Create Folders дозволяє створювати папки всередині папки (застосовується лише до папок). Append Data дозволяє вносити зміни в кінець файлу, але не змінювати, видаляти або перезаписувати існуючі дані (застосовується тільки до файлів)

Write Attributes

Визначає, чи може суб'єкт безпеки записувати або змінювати стандартні атрибути (наприклад, Read-only, System, Hidden) файлів і папок. Чи не впливає на вміст файлів і папок, тільки на їх атрибути.

Write Extended Attributes

Визначає, чи може суб'єкт безпеки записувати або змінювати розширені атрибути (наприклад, EFS, Compression) файлів і папок. Чи не впливає на вміст файлів і папок, тільки на їх атрибути

Delete Subfolders and Files

Дозволяє видаляти підпапки та файли, навіть якщо дозвіл Delete не надано підпапці або файлу

Delete

Дозволяє видаляти папку або файл. При відсутності дозволу Delete для файлу або папки її можна видалити, якщо є дозвіл Delete Subfolders and Files в батьківській папці

Read Permissions

Дозволяє читати дозволу (наприклад, Full Control, Read, Write) файлу або папки. Не дозволяє прочитати сам файл

Change Permissions

Дозволяє змінювати дозволу (наприклад, Full Control, Read, Write) файлу або папки. Не дозволяє змінювати сам файл

Take Ownership

Визначає, хто може бути власником файлу або папки. Власники завжди можуть мати Full Control, і їх дозволу в файлі або папці не можуть бути постійно скасовані, якщо при цьому не скасовується і право володіння

Synchronize

Адміністратори рідко використовують цей дозвіл. Застосовується для синхронізації в багатопотокових, многопроцессность програмах і визначає взаємодію між декількома потоками, які звертаються до одного ресурсу

Aspx?
Com/?
Aspx?
Com/?
Aspx?
Com/?
IRC (Internet Relay Chat)