Informationen zu den verwirrenden Windows 7-Berechtigungen für Dateien und Freigaben

2023 Autor: Peter John Melton | [email protected]. Zuletzt bearbeitet: 2023-08-25 03:28

Die Sicherheitsidentifikation

Die Windows-Betriebssysteme verwenden SIDs, um alle Sicherheitsprinzipien darzustellen. SIDs sind lediglich Zeichenfolgen mit variabler Länge aus alphanumerischen Zeichen, die Maschinen, Benutzer und Gruppen darstellen. SIDs werden zu ACLs (Access Control Lists) hinzugefügt, wenn Sie einem Benutzer oder einer Gruppe die Berechtigung für eine Datei oder einen Ordner erteilen. Hinter der Szene werden SIDs genauso gespeichert wie alle anderen Datenobjekte, binär. Wenn Sie jedoch unter Windows eine SID sehen, wird diese mit einer besser lesbaren Syntax angezeigt. Es wird nicht oft vorkommen, dass Sie unter Windows irgendeine Form von SID sehen. Das häufigste Szenario ist, wenn Sie jemandem die Berechtigung für eine Ressource erteilen. Ihr Benutzerkonto wird dann gelöscht und in der ACL als SID angezeigt. Schauen wir uns das typische Format an, in dem Sie SIDs in Windows sehen.

1. Ein S-Präfix
2. Nummer der Strukturversion
3. Ein 48-Bit-Identifizierungsberechtigungswert
4. Eine variable Anzahl von 32-Bit-Werten für Subautorität oder relative Kennung (RID)

Mit meiner SID in der Abbildung unten werden wir die verschiedenen Abschnitte aufteilen, um ein besseres Verständnis zu erhalten.

The SID Structure:

‘S’ – The first component of a SID is always an ‘S’. This is prefixed to all SIDs and is there to inform Windows that what follows is a SID. ‘1’ – The second component of a SID is the revision number of the SID specification, if the SID specification was to change it would provide backwards compatibility. As of Windows 7 and Server 2008 R2 the SID specification is still in the first revision. ‘5’ – The third section of a SID is called the Identifier Authority. This defines in what scope the SID was generated. Possible values for this sections of the SID can be:

1. 0 – Null Authority
2. 1 – World Authority
3. 2 – Local Authority
4. 3 – Creator Authority
5. 4 – Non-unique Authority
6. 5 – NT Authority

’21’ – The forth component is sub-authority 1, the value ’21’ is used in the forth field to specify that the sub-authorities that follow identify the Local Machine or the Domain. ‘1206375286-251249764-2214032401’ – These are called sub-authority 2,3 and 4 respectively. In our example this is used to identify the local machine, but could also be the the identifier for a Domain. ‘1000’ – Sub-authority 5 is the last component in our SID and is called the RID (Relative Identifier), the RID is relative to each security principle, please note that any user defined objects, the ones that are not shipped by Microsoft will have a RID of 1000 or greater.

Sicherheitsgrundsätze

Ein Sicherheitsprinzip ist alles, was mit einer SID verbunden ist. Dies können Benutzer, Computer und sogar Gruppen sein. Sicherheitsprinzipien können lokal sein oder sich im Domänenkontext befinden. Sie verwalten lokale Sicherheitsprinzipien über das Snap-In Lokale Benutzer und Gruppen unter Computerverwaltung. Um dorthin zu gelangen, klicken Sie mit der rechten Maustaste auf die Computerverknüpfung im Startmenü und wählen Sie Verwalten.

Freigabeberechtigungen und NTFS-Berechtigungen

In Windows gibt es zwei Arten von Datei- und Ordnerberechtigungen: Erstens gibt es Freigabeberechtigungen, und zweitens gibt es NTFS-Berechtigungen, die auch Sicherheitsberechtigungen genannt werden. Beachten Sie, dass bei der gemeinsamen Nutzung eines Ordners der Gruppe "Jeder" die Leseberechtigung erteilt wird. Die Sicherheit von Ordnern erfolgt normalerweise mit einer Kombination aus Freigabe und NTFS-Berechtigung. Wenn dies der Fall ist, muss unbedingt beachtet werden, dass immer das restriktivste gilt, wenn beispielsweise die Freigabeberechtigung auf Everyone = Read (standardmäßig) gesetzt ist. Mit der NTFS-Berechtigung können Benutzer jedoch Änderungen an der Datei vornehmen. Die Freigabeberechtigung hat Vorrang, und die Benutzer dürfen keine Änderungen vornehmen. Wenn Sie die Berechtigungen festlegen, steuert die LSASS (Local Security Authority) den Zugriff auf die Ressource. Wenn Sie sich anmelden, erhalten Sie ein Zugriffstoken mit Ihrer SID. Wenn Sie auf die Ressource zugreifen, vergleicht der LSASS die SID, die Sie der ACL (Zugriffssteuerungsliste) hinzugefügt haben. Wenn sich die SID in der ACL befindet, bestimmt sie, ob dies möglich ist Zugriff erlauben oder verweigern Unabhängig davon, welche Berechtigungen Sie verwenden, gibt es Unterschiede, sodass wir einen Blick darauf werfen sollten, um zu verstehen, wann wir welche verwenden sollten.

Freigabeberechtigungen:

1. Gilt nur für Benutzer, die über das Netzwerk auf die Ressource zugreifen. Sie gelten nicht, wenn Sie sich lokal anmelden, beispielsweise über Terminaldienste.
2. Es gilt für alle Dateien und Ordner in der freigegebenen Ressource. Wenn Sie ein differenzierteres Einschränkungsschema angeben möchten, sollten Sie zusätzlich zu den gemeinsam genutzten Berechtigungen die NTFS-Berechtigung verwenden
3. Wenn Sie über FAT- oder FAT32-formatierte Volumes verfügen, ist dies die einzige für Sie verfügbare Einschränkung, da NTFS-Berechtigungen auf diesen Dateisystemen nicht verfügbar sind.

NTFS-Berechtigungen:

1. Die einzige Einschränkung für NTFS-Berechtigungen besteht darin, dass sie nur für ein Volume festgelegt werden können, das mit dem NTFS-Dateisystem formatiert ist
2. Denken Sie daran, dass NTFS kumulativ ist. Dies bedeutet, dass die effektiven Berechtigungen eines Benutzers das Ergebnis der Kombination der zugewiesenen Berechtigungen des Benutzers und der Berechtigungen aller Gruppen sind, denen der Benutzer angehört.

Die neuen Freigabeberechtigungen

Windows 7 kaufte eine neue "einfache" Share-Technik. Die Optionen wurden von Lesen, Ändern und Vollzugriff in geändert. Lesen und Lesen / Schreiben. Die Idee war Teil der gesamten Mentalität der Home-Gruppe und macht es leicht, einen Ordner für Personen ohne Computerkenntnisse freizugeben. Dies erfolgt über das Kontextmenü und kann problemlos mit Ihrer Heimatgruppe geteilt werden.

1. Read permission is the “look, don’t touch” option. Recipients can open, but not modify or delete a file.
2. Read/Write is the “do anything” option. Recipients can open, modify, or delete a file.

Der alte Schulweg

Der alte Freigabedialog enthielt mehr Optionen und gab uns die Möglichkeit, den Ordner unter einem anderen Alias freizugeben. Dadurch konnten wir die Anzahl der gleichzeitigen Verbindungen begrenzen und das Zwischenspeichern konfigurieren. Unter Windows 7 geht keine dieser Funktionen verloren, sondern wird unter der Option "Erweiterte Freigabe" verborgen. Wenn Sie mit der rechten Maustaste auf einen Ordner klicken und dessen Eigenschaften aufrufen, finden Sie diese Einstellungen für die erweiterte Freigabe auf der Registerkarte Freigabe.

1. Read permission allows you to view and open files and subdirectories as well as execute applications. However it doesn’t allow any changes to be made.
2. Modify permission allows you to do anything that Read permission allows, it also add the ability to add files and subdirectories, delete subfolders and change data in the files.
3. Full Control is the “do anything” of the classic permissions, as it allows for you to do any and all of the previous permissions. In addition it gives you the advanced changing NTFS Permission, this only applies on NTFS Folders

NTFS-Berechtigungen

Die NTFS-Berechtigung ermöglicht eine sehr genaue Kontrolle Ihrer Dateien und Ordner. Mit dieser Aussage kann die Granularität für einen Neuankömmling entmutigend sein. Sie können die NTFS-Berechtigung auch pro Datei und pro Ordner festlegen. Um die NTFS-Berechtigung für eine Datei festzulegen, klicken Sie mit der rechten Maustaste und wechseln Sie zu den Dateieigenschaften, in denen Sie zur Registerkarte "Sicherheit" wechseln müssen.

1. Full Control allows you to read, write, modify, execute, change attributes, permissions, and take ownership of the file.
2. Modify allows you to read, write, modify, execute, and change the file’s attributes.
3. Read & Execute will allow you to display the file’s data, attributes, owner, and permissions, and run the file if its a program.
4. Read will allow you to open the file, view its attributes, owner, and permissions.
5. Write will allow you to write data to the file, append to the file, and read or change its attributes.

NTFS-Berechtigungen für Ordner haben etwas unterschiedliche Optionen, so dass wir sie uns ansehen können.

1. Full Control allows you to read, write, modify, and execute files in the folder, change attributes, permissions, and take ownership of the folder or files within.
2. Modify allows you to read, write, modify, and execute files in the folder, and change attributes of the folder or files within.
3. Read & Execute will allow you to display the folder’s contents and display the data, attributes, owner, and permissions for files within the folder, and run files within the folder.
4. List Folder Contents will allow you to display the folder’s contents and display the data, attributes, owner, and permissions for files within the folder.
5. Read will allow you to display the file’s data, attributes, owner, and permissions.
6. Write will allow you to write data to the file, append to the file, and read or change its attributes.

In der Dokumentation von Microsoft wird außerdem angegeben, dass Sie mit "List Folder Contents" Dateien innerhalb des Ordners ausführen können. Dazu müssen Sie jedoch "Read &Execute" aktivieren. Es ist eine sehr verwirrend dokumentierte Erlaubnis.

Zusammenfassung

Zusammenfassend sind Benutzernamen und Gruppen Repräsentationen einer alphanumerischen Zeichenfolge, die als SID (Security Identifier) bezeichnet wird. Share- und NTFS-Berechtigungen sind an diese SIDs gebunden. Freigabeberechtigungen werden vom LSSAS nur beim Zugriff über das Netzwerk geprüft, während NTFS-Berechtigungen nur auf den lokalen Computern gültig sind. Ich hoffe, dass Sie alle ein fundiertes Verständnis dafür haben, wie die Datei- und Ordnersicherheit in Windows 7 implementiert wird. Wenn Sie Fragen haben, können Sie sich in den Kommentaren melden.