Fråga experterna

Windows File System Woes Varför får jag åtkomst nekad?

Windows File System Woes Varför får jag åtkomst nekad? / Fråga experterna

Ända sedan NTFS-filsystemet Från FAT till NTFS till ZFS: Filsystem Demystified från FAT till NTFS till ZFS: Filsystem Demystified Olika hårddiskar och operativsystem kan använda olika filsystem. Här är vad det betyder och vad du behöver veta. Read More introducerades som standardformat i konsumentutgåvor av Windows (från och med Windows XP). Folk har haft problem med att få tillgång till data på både interna och externa enheter. Inte längre är enkla filattribut den enda orsaken till problem när man hittar och använder sina filer. Nu måste vi strida mot fil- och mapptillstånd, som en av våra läsare upptäckte.

Vår läsars fråga:

Jag kan inte se mappar på min interna hårddisk. Jag sprang kommandot “attrib -h -r-s / s / d” och det visar åtkomst nekad på varje mapp. Jag kan gå till mappar med kommandot Kör men jag kan inte se mappar på min hårddisk. Hur fixar jag det här??

Bruces svar:

Här är några säkra antaganden baserade på informationen vi har fått: Operativsystemet är Windows XP eller senare; det filsystem som används är NTFS; Användaren har inte Full Control-behörigheter på den del av filsystemet som de försöker manipulera. de är inte i administratörssammanhang och standardbehörigheterna på filsystemet kan ha ändrats.

Allt I Windows är ett objekt, oavsett om det är en registernyckel, en skrivare eller en fil. Trots att de använder samma mekanismer för att definiera användaråtkomst begränsar vi vår diskussion till filsystemobjekt för att hålla det så enkelt som möjligt.

Åtkomstkontroll

Säkerhetsrödvarning: 10 Datorsäkerhetsbloggar som du bör följa idag Red Alert: 10 Datorsäkerhetsbloggar du bör följa idag Säkerhet är en viktig del av databehandling, och du bör sträva efter att utbilda dig själv och vara aktuell. Du vill kolla in de tio säkerhetsbloggarna och säkerhetsexperterna som skriver dem. Läs mer av något slag handlar om att kontrollera vem kan göra något på objektet som säkras. Vem har nyckelkortet för att låsa upp porten för att komma in i föreningen? Vem har nycklarna för att öppna VD: s kontor? Vem har kombinationen att öppna kassan på sitt kontor?

Samma typ av tänkande gäller säkerheten för filer och mappar på NTFS-filsystem. Varje användare på systemet har inget motiverat behov av åtkomst till varje fil i systemet, och de behöver inte heller ha samma tillgång till dessa filer. Precis som varje anställd i ett företag behöver inte ha tillgång till säkerheten på VD: s kontor, eller förmågan att ändra företagsrapporter, även om de får få läsa dem.

Behörigheter

Windows styr åtkomst till filsystemobjekt (filer och mappar) genom att ange behörigheter för användare eller grupper. Dessa anger vilken typ av åtkomst användaren eller gruppen har till objektet. Dessa behörigheter kan ställas in på antingen tillåta eller förneka en specifik typ av åtkomst, och kan antingen uttryckas explicit på objektet eller implicit genom arv från dess föräldrakatalog.

Standardbehörigheterna för filer är: Full Control, Modify, Read & Execute, Read, Write och Special. Mappar har ett annat särskilt tillstånd, kallat List Folder Contents. Dessa standardbehörigheter är fördefinierade uppsättningar av avancerade behörigheter vilket möjliggör mer granulär kontroll men normalt inte behövs utanför standardtillstånden.

Till exempel, Läs och kör standardtillståndet innehåller följande avancerade behörigheter:

  • Traverse Folder / Execute File
  • Lista mapp / läs data
  • Läs attribut
  • Läs Utökade Attribut
  • Läs behörigheter

Access Control Lists

Varje objekt i filsystemet har en tillhörande åtkomstkontrolllista (ACL). ACL är en lista över säkerhetsidentifierare (SID) som har behörigheter på objektet. Säkerhetsmyndighetens delsystem (LSASS) kommer att jämföra SID som är kopplat till åtkomsttoken som ges till användaren vid inloggning till SID: erna i ACL för det objekt som användaren försöker komma åt. Om användarens SID inte matchar någon av SID: erna i ACL, kommer åtkomst nekas. Om den matchar kommer den begärda åtkomsten att beviljas eller nekas baserat på behörigheterna för det SID.

Det finns också en utvärderingsorder för behörigheter som måste övervägas. Explicit behörigheter har företräde framför implisita tillstånd, och neka behörigheter har företräde framför behörigheter. För att det ser ut så ser det ut:

  1. Explicit neka
  2. Explicit Tillåt
  3. Implicit Förneka
  4. Implicit Tillåt

Standard Root Directory Tillstånd

De behörigheter som ges i rotkatalogen för en enhet varierar något beroende på om enheten är systemstationen eller inte. Som framgår av bilden nedan har en systemdriven två separata Tillåta poster för autentiserade användare. Det finns en som tillåter godkända användare att skapa mappar och lägga till data i befintliga filer, men inte ändra någon befintlig data i filen som endast gäller rotkatalogen. Den andra tillåter autentiserade användare att ändra filer och mappar som finns i undermappar, om den undermappen arver behörigheter från roten.

Systemkatalogerna (Windows, Programdata, Programfiler, Programfiler (x86), Användare eller Dokument och Inställningar, och eventuellt andra) får inte erhålla sina behörigheter från rotkatalogen. Eftersom de är systemkataloger är deras behörigheter uttryckligen inställda för att förhindra oavsiktlig eller skadlig ändring av operativsystem, program och konfigurationsfiler av skadlig kod eller hackare.

Om det inte är en systemdrift är den enda skillnaden att gruppen Authenticated Users har en enda tillåtet post som tillåter Ändra behörigheter för rotmappen, undermapparna och filerna. Alla behörigheter som tilldelats för de tre grupperna och SYSTEM-kontot är ärvda i hela enheten.

Problemanalys

När vår affisch sprang på attrib kommando som försöker ta bort alla system, dolda och skrivskyddade attribut på alla filer och mappar som börjar vid den (ospecificerade) katalogen de var i, mottog de meddelanden som indikerar den åtgärd de ville utföra (skriv attribut) nekades. Beroende på katalogen de var i när de sprang kommandot, är det troligen en mycket bra sak, särskilt om de var i C: \.

I stället för att försöka köra det här kommandot hade det varit bättre att bara ändra inställningarna i Utforskaren / Utforskaren för att visa dolda filer och kataloger. Detta kan enkelt genomföras genom att gå till Organisera> Mapp- och sökalternativ i Utforskaren eller Arkiv> Ändra mapp och sökalternativ i File Explorer. I den resulterande dialogrutan väljer du Visa fliken> Visa dolda filer, mappar och enheter. Med det här aktiverat kommer dolda kataloger och filer att dyka upp som nedtonade objekt i listan.

Om filerna och mapparna fortfarande inte visas uppstår det ett problem med avancerad behörighet för List Folder / Read Data. Antingen är användaren eller en grupp som användaren tillhör uttryckligen eller implicit nekade det tillståndet på de aktuella mapparna, eller användaren hör inte till någon av de grupper som har tillgång till dessa mappar.

Du kan fråga hur läsaren skulle kunna gå direkt till en av dessa mappar om användaren inte har listmapp / läs databehörigheter. Så länge du vet vägen till mappen kan du gå till den förutsatt att du har avancerade behörigheter för Traverse Folder / Execute File. Det här är också anledningen till att det inte är sannolikt att det är ett problem med standardmapp för listmappinnehåll. Det har både av dessa avancerade behörigheter.

Upplösningen

Med undantag för systemkataloger är de flesta behörigheterna arvet nedför kedjan. Så det första steget är att identifiera katalogen närmast roten på enheten där symtomytan är över. När den här katalogen är placerad högerklickar du på den och väljer Egenskaper> Fliken Säkerhet. Kontrollera behörigheterna för var och en av de grupper / användare som listas för att verifiera att de har en check i kolumnen Tillåt för innehållsmappens innehållsbehörighet och inte i kolumnen Förneka.

Om ingen kolumn är markerad, kolla även på posten Speciella behörigheter. Om detta är markerat (antingen tillåta eller neka), klicka på Avancerad knappen, då Ändra behörigheter i den resulterande dialogrutan om du kör Vista eller senare. Detta kommer att ge en nästan identisk dialogruta med några ytterligare knappar. Välj lämplig grupp, klicka Redigera och se till att List-mappen / läsdatatillstånd är tillåtet.

Om kontrollerna är gråtonade betyder det att det är en ärftligt tillstånd, och ändra det ska göras i föräldramappen, om inte det finns en tvingande anledning att inte göra det, till exempel det är en användares profilkatalog och föräldern skulle vara mappen Användare eller Dokument och inställningar. Det är också oklokt att lägga till behörigheter för en andra användare för att kunna komma åt en annan användares profilkatalog. Istället loggar du in som den användaren för att komma åt dessa filer och mappar. Om det är något som ska delas, flytta dem till den offentliga profilkatalogen eller använd fliken Delning så att andra användare får tillgång till resurserna.

Det är också möjligt att användaren inte har behörighet att redigera behörigheterna för de aktuella filerna eller katalogerna. I så fall bör Windows Vista eller senare presentera en användarkontokontroll (UAC). Stoppa irriterande UAC-prompter - Skapa en användarkontokontrollvitlista [Windows] Stoppa irriterande UAC-prompter - Skapa en användarkontokontrolllista Sedan Vista har vi Windows-användare blivit pestered, bugged, irriterade och trött på användarkontokontrollen (UAC) -prompten som berättade för oss att ett program startar som vi avsiktligt lanserade. Visst, det har förbättrats, ... Läs mer om administratörslösenordet eller tillstånd att höja användarens privilegier för att tillåta denna åtkomst. Under Windows XP ska användaren öppna Windows Explorer med alternativet Kör som ... och använda administratörskontot Windows Administrator Account: Allt du behöver veta Windows Administratorkonto: Allt du behöver veta Börja med Windows Vista, den inbyggda Windows-administratören Kontot är avstängt som standard. Du kan aktivera det, men gör det på egen risk! Vi visar dig hur. Läs mer för att se till att ändringarna kan göras om de inte redan körs med ett administrativt konto.

Jag vet att många människor bara skulle berätta för dig att ägna sig åt de aktuella katalogerna och filerna, men det finns en enorm varning till den lösningen. Om det skulle påverka några systemfiler och / eller kataloger, kommer du att försämras allvarligt systemets övergripande säkerhet. Det borde aldrig görs på rot, Windows, Användare, Dokument och Inställningar, Programfiler, Programfiler (x86), Programdata eller Inetpub-kataloger eller någon av deras undermappar.

Slutsats

Som du kan se är behörigheter på NTFS-enheter inte alltför svåra, men att hitta källan till åtkomstproblem kan vara tråkig på system med många kataloger. Beväpnad med en grundläggande förståelse för hur behörigheter arbetar med åtkomstkontrolllistor och lite fasthet, lokalisering och fixering av dessa problem kommer snart att bli barns lek.

Utforska mer om: Filhantering, filsystem, NTFS.