Como entender essas permissões confusas de arquivo / compartilhamento do Windows 7

Você já tentou descobrir todas as permissões no Windows? Existem permissões de compartilhamento, permissões NTFS, listas de controle de acesso e muito mais. Veja como todos eles funcionam juntos.

O identificador de segurança

Os sistemas operacionais Windows usam SIDs para representar todos os principais de segurança. SIDs são apenas strings de comprimento variável de caracteres alfanuméricos que representam máquinas, usuários e grupos. SIDs são adicionados a ACLs (Listas de Controle de Acesso) sempre que você concede permissão a um usuário ou grupo para um arquivo ou pasta. Nos bastidores, os SIDs são armazenados da mesma forma que todos os outros objetos de dados, em binário. No entanto, quando você vir um SID no Windows, ele será exibido usando uma sintaxe mais legível. Não é sempre que você verá qualquer forma de SID no Windows. O cenário mais comum é quando você concede a alguém permissão para um recurso, a conta do usuário é excluída e, em seguida, aparece como um SID na ACL. Então, vamos dar uma olhada no formato típico em que você verá SIDs no Windows.

A notação que você verá leva uma certa sintaxe, abaixo estão as diferentes partes de um SID nesta notação.

  1. Um prefixo ‘S’
  2. Número de revisão da estrutura
  3. Um valor de autoridade de identificador de 48 bits
  4. Um número variável de valores de subautoridade ou identificador relativo (RID) de 32 bits

Usando meu SID na imagem abaixo iremos dividir as diferentes seções para um melhor entendimento.

A Estrutura SID:

‘S’ – O primeiro componente de um SID é sempre um ‘S’. Ele tem o prefixo de todos os SIDs e informa ao Windows que o que se segue é um SID.
‘1’ – O segundo componente de um SID é o número de revisão da especificação do SID; se a especificação do SID fosse alterada, ela forneceria compatibilidade com versões anteriores. No Windows 7 e no Server 2008 R2, a especificação SID ainda está na primeira revisão.
‘5’ – A terceira seção de um SID é chamada de Autoridade Identificadora. Isso define em qual escopo o SID foi gerado. Os valores possíveis para essas seções do SID podem ser:

  1. 0 – Autoridade Nula
  2. 1 – Autoridade Mundial
  3. 2 – Autoridade Local
  4. 3 – Autoridade do Criador
  5. 4 – Autoridade Não Única
  6. 5 – Autoridade NT

’21’ – O quarto componente é a sub-autoridade 1, o valor ’21’ é usado no quarto campo para especificar que as sub-autoridades que seguem identificam a Máquina Local ou o Domínio.
‘1206375286-251249764-2214032401’ – Eles são chamados de subautoridade 2,3 e 4, respectivamente. Em nosso exemplo, isso é usado para identificar a máquina local, mas também pode ser o identificador de um domínio.
‘1000’ – Subautoridade 5 é o último componente em nosso SID e é chamado de RID (Identificador Relativo), o RID é relativo a cada entidade de segurança, observe que quaisquer objetos definidos pelo usuário, aqueles que não são enviados pela Microsoft terá um RID de 1000 ou superior.

Diretores de Segurança

Uma entidade de segurança é qualquer coisa que tenha um SID anexado, podendo ser usuários, computadores e até grupos. Os principais de segurança podem ser locais ou estar no contexto do domínio. Você gerencia as entidades de segurança locais por meio do snap-in Usuários e grupos locais, no gerenciamento do computador. Para chegar lá, clique com o botão direito no atalho do computador no menu iniciar e escolha gerenciar.

Recomendado:  SSD está diminuindo a velocidade? O Windows 11 pode ser o culpado

Para adicionar um novo principal de segurança do usuário, você pode ir para a pasta de usuários e clicar com o botão direito e escolher o novo usuário.

Se você clicar duas vezes em um usuário, poderá adicioná-lo a um Grupo de segurança na guia Membro de.

Para criar um novo grupo de segurança, navegue até a pasta Grupos no lado direito. Clique com o botão direito no espaço em branco e selecione o novo grupo.

Permissões de compartilhamento e permissão NTFS

No Windows, existem dois tipos de permissões de arquivo e pasta. Em primeiro lugar, há as permissões de compartilhamento e, em segundo lugar, há as permissões NTFS, também chamadas de permissões de segurança. Observe que, ao compartilhar uma pasta por padrão, o grupo “Todos” recebe permissão de leitura. A segurança nas pastas geralmente é feita com uma combinação de permissão de compartilhamento e NTFS. Se for esse o caso, é essencial lembrar que sempre se aplica a mais restritiva, por exemplo, se a permissão de compartilhamento for definida como Todos = Ler (que é o padrão), mas a permissão NTFS permite que os usuários façam alterações no arquivo, a permissão de compartilhamento terá preferência e os usuários não terão permissão para fazer alterações. Quando você define as permissões, o LSASS (Autoridade de Segurança Local) controla o acesso ao recurso. Ao fazer logon, você recebe um token de acesso com seu SID nele, quando você acessa o recurso, o LSASS compara o SID que você adicionou à ACL (Lista de Controle de Acesso) e se o SID está na ACL, ele determina se deve permitir ou negar o acesso. Não importa quais permissões você use, há diferenças, então vamos dar uma olhada para entender melhor quando devemos usar quais.

Permissões de compartilhamento:

  1. Aplica-se apenas a usuários que acessam o recurso pela rede. Eles não se aplicam se você fizer logon localmente, por exemplo, por meio de serviços de terminal.
  2. Ele se aplica a todos os arquivos e pastas no recurso compartilhado. Se você deseja fornecer um tipo mais granular de esquema de restrição, você deve usar a permissão NTFS além das permissões compartilhadas
  3. Se você tiver quaisquer volumes formatados FAT ou FAT32, esta será a única forma de restrição disponível para você, já que as permissões NTFS não estão disponíveis nesses sistemas de arquivos.
Recomendado:  Como fazer uma captura de tela no iPad

Permissões NTFS:

  1. A única restrição nas permissões NTFS é que elas só podem ser definidas em um volume formatado para o sistema de arquivos NTFS
  2. Lembre-se de que os NTFS são cumulativos, o que significa que as permissões efetivas de um usuário são o resultado da combinação das permissões atribuídas ao usuário e as permissões de quaisquer grupos aos quais o usuário pertence.

As novas permissões de compartilhamento

O Windows 7 comprou uma nova técnica de compartilhamento “fácil”. As opções mudaram de Ler, Alterar e Controle Total para. Ler e ler / escrever. A ideia fazia parte da mentalidade de todo o grupo de Casa e torna mais fácil compartilhar uma pasta para pessoas que não entendem de computador. Isso é feito por meio do menu de contexto e é compartilhado facilmente com seu grupo de escolha.

Se você quiser compartilhar com alguém que não faz parte do grupo de escolha, você sempre pode escolher a opção “Pessoas específicas …”. O que traria um diálogo mais “elaborado”. Onde você pode especificar um usuário ou grupo específico.

Existem apenas duas permissões conforme mencionado anteriormente, juntas, elas oferecem um esquema de proteção tudo ou nada para suas pastas e arquivos.

  1. A permissão de leitura é a opção “olhe, não toque”. Os destinatários podem abrir, mas não podem modificar ou excluir um arquivo.
  2. Ler / Gravar é a opção “fazer qualquer coisa”. Os destinatários podem abrir, modificar ou excluir um arquivo.

O jeito da velha escola

A antiga caixa de diálogo de compartilhamento tinha mais opções e nos dava a opção de compartilhar a pasta com um alias diferente, permitindo limitar o número de conexões simultâneas e também configurar o cache. Nenhuma dessas funcionalidades é perdida no Windows 7, mas está oculta em uma opção chamada “Compartilhamento Avançado”. Se você clicar com o botão direito em uma pasta e acessar suas propriedades, poderá encontrar essas configurações de “Compartilhamento avançado” na guia de compartilhamento.

Se você clicar no botão “Compartilhamento avançado”, que requer credenciais de administrador local, você pode definir todas as configurações com as quais estava familiarizado nas versões anteriores do Windows.

Se você clicar no botão de permissões, verá as 3 configurações com as quais todos estamos familiarizados.

  1. A permissão de leitura permite que você visualize e abra arquivos e subdiretórios, bem como execute aplicativos. No entanto, não permite que quaisquer alterações sejam feitas.
  2. A permissão de modificação permite que você faça tudo o que a permissão de leitura permite, mas também adiciona a capacidade de adicionar arquivos e subdiretórios, excluir subpastas e alterar dados nos arquivos.
  3. Controle total é “fazer qualquer coisa” das permissões clássicas, pois permite que você faça qualquer uma e todas as permissões anteriores. Além disso, oferece a permissão de alteração avançada de NTFS, isso só se aplica a pastas NTFS

Permissões NTFS

A permissão NTFS permite um controle muito granular sobre seus arquivos e pastas. Com isso dito, a quantidade de granularidade pode ser assustadora para um iniciante. Você também pode definir a permissão NTFS para cada arquivo, bem como para cada pasta. Para definir a permissão NTFS em um arquivo, você deve clicar com o botão direito e ir para as propriedades do arquivo, onde você precisará ir para a guia de segurança.

Recomendado:  Windows 11 tem um novo canal de lançamento “Canário”

Para editar as permissões NTFS para um usuário ou grupo, clique no botão editar.

Como você pode ver, há várias permissões NTFS, então vamos analisá-las. Primeiro, daremos uma olhada nas permissões NTFS que você pode definir em um arquivo.

  1. O controle total permite que você leia, escreva, modifique, execute, altere atributos, permissões e se aproprie do arquivo.
  2. Modificar permite ler, gravar, modificar, executar e alterar os atributos do arquivo.
  3. Ler e executar permitirá que você exiba os dados, atributos, proprietário e permissões do arquivo e execute o arquivo se for um programa.
  4. Ler permitirá que você abra o arquivo, visualize seus atributos, proprietário e permissões.
  5. A gravação permitirá que você grave dados no arquivo, anexe-o ao arquivo e leia ou altere seus atributos.

As permissões NTFS para pastas têm opções ligeiramente diferentes, então vamos dar uma olhada nelas.

  1. Controle total permite ler, gravar, modificar e executar arquivos na pasta, alterar atributos, permissões e assumir a propriedade da pasta ou dos arquivos nela contidos.
  2. Modificar permite ler, gravar, modificar e executar arquivos na pasta e alterar os atributos da pasta ou dos arquivos nela contidos.
  3. Ler e executar permitirá que você exiba o conteúdo da pasta e exiba os dados, atributos, proprietário e permissões para arquivos dentro da pasta e execute arquivos dentro da pasta.
  4. Listar conteúdo da pasta permitirá que você exiba o conteúdo da pasta e exiba os dados, atributos, proprietário e permissões para arquivos dentro da pasta.
  5. Ler permitirá que você exiba os dados, atributos, proprietário e permissões do arquivo.
  6. A gravação permitirá que você grave dados no arquivo, anexe-o ao arquivo e leia ou altere seus atributos.

A documentação da Microsoft  também afirma que “Listar conteúdo da pasta” permitirá que você execute arquivos dentro da pasta, mas ainda será necessário habilitar “Ler e executar” para fazer isso. É uma permissão documentada de forma muito confusa.

Resumo

Em resumo, os nomes de usuários e grupos são representações de uma string alfanumérica chamada SID (identificador de segurança). As permissões de compartilhamento e NTFS estão vinculadas a esses SIDs. As permissões de compartilhamento são verificadas pelo LSSAS apenas quando são acessadas pela rede, enquanto as permissões de NTFS são válidas apenas nas máquinas locais. Espero que todos tenham um bom entendimento de como a segurança de arquivos e pastas no Windows 7 é implementada. Se você tiver alguma dúvida, sinta-se à vontade para falar nos comentários.