Como entender as confusas permissões de arquivo / compartilhamento do Windows 7

Você já tentou descobrir todas as permissões no Windows? Há permissões de compartilhamento, permissões NTFS, listas de controle de acesso e muito mais. Veja como todos eles trabalham juntos.

O identificador de segurança

Os sistemas operacionais Windows usam SIDs para representar todos os princípios de segurança. Os SIDs são apenas cadeias de comprimento variável de caracteres alfanuméricos que representam máquinas, usuários e grupos. Os SIDs são adicionados às ACLs (Listas de Controle de Acesso) toda vez que você concede permissão a um usuário ou grupo a um arquivo ou pasta. Por trás da cena, os SIDs são armazenados da mesma forma que todos os outros objetos de dados são, em binário. No entanto, quando você vê um SID no Windows, ele será exibido usando uma sintaxe mais legível. Não é sempre que você verá qualquer forma de SID no Windows, o cenário mais comum é quando você concede permissão a alguém a um recurso e, em seguida, sua conta de usuário é excluída, ele será exibido como um SID na ACL. Então, vamos dar uma olhada no formato típico em que você verá SIDs no Windows.

A notação que você verá tem uma certa sintaxe, abaixo estão as diferentes partes de um SID nesta notação.

1. Um prefixo 'S'
2. Número de revisão da estrutura
3. Um valor de autoridade de identificador de 48 bits
4. Um número variável de sub-autoridade de 32 bits ou valores de identificador relativo (RID)

Usando meu SID na imagem abaixo, vamos dividir as diferentes seções para entender melhor.

A estrutura do SID:

'S' - O primeiro componente de um SID é sempre um 'S'. Isso é prefixado em todos os SIDs e está lá para informar ao Windows que o que segue é um SID.
'1' - O segundo componente de um SID é o número de revisão da especificação do SID, se a especificação do SID for alterada, fornecerá compatibilidade retroativa. A partir do Windows 7 e Server 2008 R2, a especificação SID ainda está na primeira revisão.
'5' - A terceira seção de um SID é chamada de Autoridade Identificadora. Isso define em qual escopo o SID foi gerado. Valores possíveis para estas seções do SID podem ser:

1. 0 - Autoridade nula
2. 1 - Autoridade Mundial
3. 2 - Autoridade Local
4. 3 - Autoridade Criadora
5. 4 - Autoridade Não Única
6. 5 - Autoridade do NT

'21' - O quarto componente é sub-autoridade 1, o valor '21' é usado no quarto campo para especificar que as sub-autoridades que seguem identificam a Máquina Local ou o Domínio.
'1206375286-251249764-2214032401' - Estes são chamados sub-autoridade 2,3 e 4, respectivamente. Em nosso exemplo, isso é usado para identificar a máquina local, mas também pode ser o identificador de um domínio.
'1000' - Sub-autoridade 5 é o último componente em nosso SID e é chamado de RID (Identificador Relativo), o RID é relativo a cada princípio de segurança, por favor note que quaisquer objetos definidos pelo usuário, aqueles que não são enviados pela Microsoft terão um RID de 1000 ou maior.

Princípios de segurança

Um princípio de segurança é qualquer coisa que tenha um SID anexado a ele, estes podem ser usuários, computadores e até mesmo grupos. Os princípios de segurança podem ser locais ou estar no contexto do domínio. Você gerencia os princípios de segurança locais por meio do snap-in Usuários e Grupos Locais, em gerenciamento de computadores. Para chegar lá, clique com o botão direito do mouse no atalho do computador no menu Iniciar e escolha gerenciar.

Para adicionar um novo princípio de segurança do usuário, você pode ir para a pasta de usuários e clicar com o botão direito do mouse e escolher o novo usuário.

Se você clicar duas vezes em um usuário, poderá adicioná-lo a um grupo de segurança na guia Membro de.

Para criar um novo grupo de segurança, navegue até a pasta Grupos no lado direito. Clique com o botão direito no espaço em branco e selecione um novo grupo.

Permissões de compartilhamento e permissão NTFS

No Windows existem dois tipos de permissões de arquivos e pastas, em primeiro lugar, existem as permissões de compartilhamento e, em segundo lugar, há permissões de NTFS também chamadas de permissões de segurança. Observe que, quando você compartilha uma pasta por padrão, o grupo "Everyone" recebe permissão de leitura. A segurança nas pastas geralmente é feita com uma combinação de Compartilhamento e Permissão NTFS, se for o caso, é essencial lembrar que a mais restritiva sempre se aplica, por exemplo, se a permissão de compartilhamento estiver definida como Everyone = Read (que é o padrão) mas a Permissão NTFS permite que os usuários façam uma alteração no arquivo, a Permissão de Compartilhamento terá preferência e os usuários não poderão fazer alterações. Quando você define as permissões, o LSASS (Local Security Authority) controla o acesso ao recurso. Quando você faz logon, recebe um token de acesso com seu SID, quando acessa o recurso, o LSASS compara o SID que você adicionou à ACL (Lista de Controle de Acesso) e, se o SID estiver na ACL, ele determina se permitir ou negar acesso. Não importa quais permissões você usa, existem diferenças, então vamos dar uma olhada para entender melhor quando devemos usar o que.

Permissões de compartilhamento:

1. Aplique-se somente aos usuários que acessam o recurso pela rede. Eles não se aplicam se você fizer logon localmente, por exemplo, por meio de serviços de terminal.
2. Aplica-se a todos os arquivos e pastas no recurso compartilhado. Se você quiser fornecer um tipo de esquema de restrição mais granular, use a Permissão NTFS, além das permissões compartilhadas
3. Se você tiver volumes formatados em FAT ou FAT32, essa será a única forma de restrição disponível para você, pois as permissões de NTFS não estão disponíveis nesses sistemas de arquivos.

Permissões NTFS:

1. A única restrição em permissões de NTFS é que eles só podem ser definidos em um volume que é formatado para o sistema de arquivos NTFS
2. Lembre-se de que os NTFS são cumulativos, o que significa que as permissões efetivas dos usuários são o resultado da combinação das permissões atribuídas do usuário e as permissões de quaisquer grupos aos quais o usuário pertence..

As novas permissões de compartilhamento

O Windows 7 comprou uma nova técnica de compartilhamento "fácil". As opções mudaram de Read, Change e Full Control para. Leia e leia / escreva. A ideia fazia parte de toda a mentalidade do grupo Home e facilita o compartilhamento de uma pasta para pessoas não alfabetizadas em informática. Isso é feito através do menu de contexto e compartilha facilmente com o seu grupo de usuários.

Se você quisesse compartilhar com alguém que não está no grupo inicial, você poderia sempre escolher a opção "Pessoas específicas ...". O que traria um diálogo mais "elaborado". Onde você poderia especificar um usuário ou grupo específico.

Há apenas duas permissões, como mencionado anteriormente, juntas, elas oferecem um esquema de proteção de tudo ou nada para suas pastas e arquivos.

1. Ler permissão é a opção "veja, não toque". Destinatários podem abrir, mas não modificar ou excluir um arquivo.
2. Ler escrever é a opção "faça qualquer coisa". Destinatários podem abrir, modificar ou excluir um arquivo.

O caminho da velha escola

A caixa de diálogo de compartilhamento antiga tinha mais opções e nos deu a opção de compartilhar a pasta com um alias diferente, isso nos permitiu limitar o número de conexões simultâneas, bem como configurar o cache. Nenhuma dessas funcionalidades é perdida no Windows 7, mas está oculta em uma opção chamada "Compartilhamento avançado". Se você clicar com o botão direito do mouse em uma pasta e acessar suas propriedades, poderá encontrar essas configurações de "Compartilhamento avançado" na guia "Compartilhamento".

Se você clicar no botão “Compartilhamento Avançado”, que requer credenciais de administrador local, poderá definir todas as configurações com as quais estava familiarizado nas versões anteriores do Windows..

Se você clicar no botão de permissões, você será presenteado com as 3 configurações com as quais estamos familiarizados.

1. Ler A permissão permite visualizar e abrir arquivos e subdiretórios, bem como executar aplicativos. No entanto, não permite que quaisquer alterações sejam feitas.
2. Modificar permissão permite que você faça qualquer coisa que Ler permissão permite, também adiciona a capacidade de adicionar arquivos e subdiretórios, excluir subpastas e alterar dados nos arquivos.
3. Controlo total é o "fazer qualquer coisa" das permissões clássicas, pois permite que você faça todas e quaisquer permissões anteriores. Além disso, ele fornece a Permissão de NTFS em mudança avançada, isso só se aplica em Pastas NTFS

Permissões NTFS

A permissão NTFS permite um controle muito granular sobre seus arquivos e pastas. Com isso, a quantidade de granularidade pode ser assustadora para um recém-chegado. Você também pode definir a permissão NTFS em uma base por arquivo, bem como uma base por pasta. Para definir a Permissão NTFS em um arquivo, você deve clicar com o botão direito do mouse e ir para as propriedades dos arquivos, onde você precisa ir para a guia de segurança.

Para editar as permissões do NTFS para um usuário ou grupo, clique no botão de edição.

Como você pode ver, existem muitas permissões NTFS, então vamos dividi-las. Primeiro, vamos dar uma olhada nas permissões NTFS que você pode definir em um arquivo.

1. Controlo total permite ler, escrever, modificar, executar, alterar atributos, permissões e apropriar-se do arquivo.
2. Modificar permite ler, gravar, modificar, executar e alterar os atributos do arquivo.
3. Ler e executar permitirá que você exiba os dados, os atributos, o proprietário e as permissões do arquivo e execute o arquivo se for um programa.
4. Ler permitirá que você abra o arquivo, visualize seus atributos, proprietário e permissões.
5. Escrever permitirá gravar dados no arquivo, anexar ao arquivo e ler ou alterar seus atributos.

Permissões NTFS para pastas têm opções ligeiramente diferentes, então vamos dar uma olhada neles.

1. Controlo total permite ler, gravar, modificar e executar arquivos na pasta, alterar atributos, permissões e apropriar-se da pasta ou arquivos dentro.
2. Modificar permite ler, gravar, modificar e executar arquivos na pasta e alterar os atributos da pasta ou arquivos dentro da pasta.
3. Ler e executar permitirá que você exiba o conteúdo da pasta e exiba os dados, atributos, proprietário e permissões para arquivos dentro da pasta e execute arquivos dentro da pasta.
4. Listar conteúdo da pasta permitirá que você exiba o conteúdo da pasta e exiba os dados, atributos, proprietário e permissões para arquivos dentro da pasta.
5. Ler permitirá que você exiba os dados, os atributos, o proprietário e as permissões do arquivo.
6. Escrever permitirá gravar dados no arquivo, anexar ao arquivo e ler ou alterar seus atributos.

A documentação da Microsoft também afirma que “List Folder Contents” permitirá que você execute arquivos dentro da pasta, mas você ainda precisará habilitar “Read & Execute” para fazer isso. É uma permissão muito confusa e documentada.

Resumo

Em resumo, os nomes e grupos de usuários são representações de uma cadeia alfanumérica denominada SID (identificador de segurança), as permissões Compartilhar e NTFS estão vinculadas a esses SIDs. As Permissões de Compartilhamento são verificadas pelo LSSAS somente quando estão sendo acessadas pela rede, enquanto as Permissões do NTFS são válidas somente nas máquinas locais. Espero que todos tenham uma boa compreensão de como a segurança de arquivos e pastas no Windows 7 é implementada. Se você tiver alguma dúvida, sinta-se livre para soar nos comentários.