Chiedi agli esperti

Windows File System Woes Perché ottengo l'accesso negato?

Windows File System Woes Perché ottengo l'accesso negato? / Chiedi agli esperti

Fin dal file system NTFS Da FAT a NTFS a ZFS: File system smascherati da FAT a NTFS a ZFS: File system smitizzati Diversi dischi rigidi e sistemi operativi possono utilizzare diversi file system. Ecco cosa significa e cosa devi sapere. Read More è stato introdotto come formato predefinito nelle edizioni consumer di Windows (a partire da Windows XP), le persone hanno avuto problemi con l'accesso ai propri dati su entrambe le unità interne ed esterne. Non sono più semplici attributi di file l'unica causa di problemi nel trovare e utilizzare i loro file. Ora dobbiamo fare i conti con le autorizzazioni per file e cartelle, come ha scoperto uno dei nostri lettori.

La nostra domanda dei lettori:

Non riesco a vedere le cartelle sul mio disco rigido interno. Ho eseguito il comando “attrib -h -r -s / s / d” e mostra l'accesso negato su ogni cartella. Posso andare alle cartelle usando il comando Esegui, ma non riesco a vedere le cartelle sul mio disco rigido. Come posso risolvere questo problema?

La risposta di Bruce:

Ecco alcune ipotesi sicure basate sulle informazioni che ci sono state fornite: Il sistema operativo è Windows XP o successivo; il file system in uso è NTFS; l'utente non dispone delle autorizzazioni di controllo completo sulla porzione del file system che sta tentando di manipolare; non sono nel contesto dell'amministratore; e le autorizzazioni predefinite sul file system potrebbero essere state alterate.

Qualunque cosa in Windows è un oggetto, che si tratti di una chiave di registro, di una stampante o di un file. Anche se usano gli stessi meccanismi per definire l'accesso degli utenti, limiteremo la nostra discussione agli oggetti del file system per mantenerla il più semplice possibile.

Controllo di accesso

Security Red Alert: 10 Blog sulla sicurezza informatica che dovresti seguire oggi Red Alert: 10 Blog sulla sicurezza informatica che dovresti seguire oggi La sicurezza è una parte cruciale dell'informatica e dovresti sforzarti di educare te stesso e rimanere aggiornato. Dovrai controllare questi dieci blog sulla sicurezza e gli esperti di sicurezza che li scrivono. Per saperne di più di qualsiasi tipo si tratta di controllare chi può fare qualcosa sull'oggetto da proteggere. Chi ha la chiave magnetica per sbloccare il cancello per entrare nel complesso? Chi ha le chiavi per aprire l'ufficio del CEO? Chi ha la combinazione per aprire la cassaforte nel loro ufficio?

Lo stesso tipo di pensiero si applica alla sicurezza di file e cartelle su file system NTFS. Ogni utente del sistema non ha una giustificata necessità di accedere a tutti i file del sistema, né tutti hanno bisogno di avere lo stesso tipo di accesso a questi file. Proprio come ogni dipendente di un'azienda non ha bisogno di avere accesso alla cassaforte nell'ufficio dell'amministratore delegato o la possibilità di modificare i report aziendali, anche se potrebbe essere consentito leggerli.

permessi

Windows controlla l'accesso agli oggetti del file system (file e cartelle) impostando le autorizzazioni per utenti o gruppi. Questi specificano che tipo di accesso l'utente o il gruppo ha per l'oggetto. Queste autorizzazioni possono essere impostate su entrambi permettere o negare un tipo specifico di accesso e può essere impostato in modo esplicito sull'oggetto o implicitamente tramite l'ereditarietà dalla cartella principale.

Le autorizzazioni standard per i file sono: Controllo completo, Modifica, Lettura ed esecuzione, Lettura, Scrittura e Speciale. Le cartelle dispongono di un'altra autorizzazione speciale, denominata Contenuto cartella elenco. Queste autorizzazioni standard sono serie predefinite di permessi avanzati che consentono un controllo più granulare, ma normalmente non sono necessari al di fuori delle autorizzazioni standard.

Ad esempio, il Leggi ed esegui l'autorizzazione standard include le seguenti autorizzazioni avanzate:

  • Cartella per attraversamento / Esegui file
  • Elenca cartella / Leggi dati
  • Leggi attributi
  • Leggi attributi estesi
  • Leggi permessi

Elenchi di controllo di accesso

Ogni oggetto nel file system ha un elenco di controllo di accesso (ACL) associato. L'ACL è un elenco di identificatori di sicurezza (SID) con autorizzazioni sull'oggetto. Il sottosistema dell'autorità di sicurezza locale (LSASS) confronterà il SID collegato al token di accesso fornito all'utente all'accesso ai SID nell'ACL per l'oggetto a cui l'utente sta tentando di accedere. Se il SID dell'utente non corrisponde a nessuno dei SID nell'ACL, l'accesso verrà negato. Se corrisponde, l'accesso richiesto verrà concesso o negato in base alle autorizzazioni per tale SID.

Esiste anche un ordine di valutazione per le autorizzazioni che devono essere considerate. Le autorizzazioni esplicite hanno la precedenza sulle autorizzazioni implicite e negano che le autorizzazioni abbiano la precedenza sulle autorizzazioni di autorizzazione. In ordine, sembra questo:

  1. Denuncia esplicita
  2. Consenso esplicito
  3. Nega implicita
  4. Consenso implicito

Autorizzazioni directory radice predefinite

Le autorizzazioni concesse nella directory principale di un'unità variano leggermente, a seconda che l'unità sia o meno l'unità di sistema. Come si vede nell'immagine qui sotto, un'unità di sistema ha due separati permettere voci per utenti autenticati. Ce n'è uno che consente agli utenti autenticati di creare cartelle e aggiungere dati a file esistenti, ma non di modificare alcun dato esistente nel file che si applica esclusivamente alla directory radice. L'altro consente agli utenti autenticati di modificare file e cartelle contenuti nelle sottocartelle, se tale sottocartella sta ereditando le autorizzazioni dalla radice.

Le directory di sistema (Windows, Dati programma, Programmi, Programmi (x86), Utenti o Documenti e Impostazioni ed eventualmente altre) non ereditano le loro autorizzazioni dalla directory principale. Poiché sono directory di sistema, le loro autorizzazioni sono esplicitamente impostate per aiutare a prevenire alterazioni involontarie o dannose di sistemi operativi, programmi e file di configurazione da parte di malware o hacker.

Se non è un'unità di sistema, l'unica differenza è che il gruppo Authenticated Users ha una singola voce allow che consente di modificare le autorizzazioni per la cartella principale, le sottocartelle e i file. Tutte le autorizzazioni assegnate per i 3 gruppi e l'account SYSTEM sono ereditate in tutta l'unità.

Analisi del problema

Quando il nostro poster ha pubblicato il attrib comando che tenta di rimuovere tutti gli attributi di sistema, nascosti e di sola lettura su tutti i file e le cartelle che iniziano nella directory (non specificata) in cui si trovavano, hanno ricevuto messaggi che indicavano che l'azione che volevano eseguire (attributi di scrittura) veniva rifiutata. A seconda della directory in cui si trovavano quando hanno eseguito il comando, è probabile che sia una cosa molto buona, specialmente se si trovavano in C: \.

Invece di tentare di eseguire quel comando, sarebbe stato meglio cambiare le impostazioni in Esplora risorse / Esplora file per mostrare file e directory nascosti. Questo può essere facilmente raggiunto andando a Organizza> Opzioni cartella e ricerca in Esplora risorse o File> Cambia cartella e opzioni di ricerca in Esplora file. Nella finestra di dialogo risultante, selezionare il Visualizza scheda> Mostra file, cartelle e unità nascoste. Con questo abilitato, le directory e i file nascosti vengono visualizzati come elementi in grigio nell'elenco.

A questo punto, se i file e le cartelle non vengono ancora visualizzati, c'è un problema con l'autorizzazione avanzata Cartella elenco / Lettura dati. O l'utente o il gruppo a cui appartiene l'utente espressamente o implicitamente negato tale permesso sulle cartelle in questione, o l'utente non appartiene a nessuno dei gruppi che hanno accesso a tali cartelle.

Potresti chiedere in che modo il lettore può accedere direttamente a una di queste cartelle se l'utente non dispone delle autorizzazioni della cartella elenco / lettura dei dati. Finché si conosce il percorso della cartella, è possibile andare su di esso a condizione che si disponga delle autorizzazioni avanzate Traverse Folder / Execute File su di esso. Questo è anche il motivo per cui non è probabile che si tratti di un problema con l'autorizzazione standard Contenuto cartella elenco. Esso ha tutti e due di queste autorizzazioni avanzate.

La risoluzione

Ad eccezione delle directory di sistema, la maggior parte delle autorizzazioni viene ereditata lungo la catena. Quindi, il primo passo è identificare la directory più vicina alla radice dell'unità, in cui i sintomi emergono. Una volta individuata questa directory, fare clic con il tasto destro del mouse e selezionare Proprietà> scheda Sicurezza. Controllare le autorizzazioni per ciascuno dei gruppi / utenti elencati, per verificare che abbiano un controllo nella colonna Consenti per l'autorizzazione del contenuto della cartella Elenco e non nella colonna Nega.

Se nessuna colonna è selezionata, controlla anche la voce Autorizzazioni speciali. Se è selezionato (consentire o negare), fare clic su Avanzate pulsante, quindi Cambia permessi nella finestra di dialogo risultante se si esegue Vista o successive. Questo farà apparire una finestra di dialogo quasi identica con alcuni pulsanti aggiuntivi. Selezionare il gruppo appropriato, fare clic modificare e assicurarsi che l'autorizzazione della cartella Elenco / lettura dei dati sia consentita.

Se i controlli sono in grigio, significa che è un permesso ereditato, e cambiandolo dovrebbe essere fatto nella cartella genitore, a meno che non vi sia un valido motivo per non farlo, ad esempio se si tratta di una directory di profilo di un utente e il genitore sarebbe la cartella Users o Documents & Settings. Non è nemmeno saggio aggiungere autorizzazioni per un secondo utente in modo da poter accedere alla directory del profilo di un altro utente. Invece, accedere come tale utente per accedere a tali file e cartelle. Se è qualcosa che deve essere condiviso, spostali nella directory del profilo pubblico o utilizza la scheda Condivisione per consentire ad altri utenti di accedere alle risorse.

È anche possibile che l'utente non abbia il permesso di modificare le autorizzazioni dei file o delle directory in questione. In tal caso, Windows Vista o versione successiva dovrebbe presentare un comando User Account Control (UAC) Stop fastidiosi messaggi UAC - Come creare una whitelist di controllo account utente [Windows] Stop fastidiosi messaggi UAC - Come creare una whitelist per il controllo dell'account utente [Windows] Ever da Vista, noi utenti di Windows siamo stati infastiditi, infastiditi, infastiditi e stanchi del prompt UAC (User Account Control) che ci informa che è stato avviato un programma che abbiamo lanciato intenzionalmente. Certo, è migliorato, ... Leggi di più richiede la password dell'amministratore o il permesso di elevare i privilegi dell'utente per consentire questo accesso. Sotto Windows XP, l'utente dovrebbe aprire Windows Explorer con l'opzione Esegui come ... e utilizzare l'account Amministratore Account amministratore di Windows: Tutto quello che c'è da sapere Account amministratore Windows: Tutto quello che c'è da sapere A partire da Windows Vista, l'amministratore di Windows integrato l'account è disabilitato per impostazione predefinita. Puoi abilitarlo, ma fallo a tuo rischio e pericolo! Ti mostriamo come. Ulteriori informazioni per garantire che le modifiche possano essere apportate, se non sono già in esecuzione con un account amministrativo.

So che molte persone ti diranno semplicemente di prendere possesso delle directory e dei file in questione, ma ce n'è uno enorme avvertimento a quella soluzione. Se inciderà sui file di sistema e / o sulle directory, indebolirai gravemente la sicurezza generale del tuo sistema. Dovrebbe mai fare da root, Windows, Utenti, Documenti e impostazioni, Programmi, Programmi (x86), Dati programma, o directory inetpub o una qualsiasi delle loro sottocartelle.

Conclusione

Come potete vedere, le autorizzazioni sulle unità NTFS non sono eccessivamente difficili, ma localizzare la fonte dei problemi di accesso può essere noioso su sistemi con molte directory. Armati di una conoscenza di base su come le autorizzazioni funzionano con gli elenchi di controllo degli accessi e un po 'di tenacia, individuare e risolvere questi problemi diventerà presto un gioco da ragazzi.

Scopri di più su: Gestione file, File System, NTFS.