Развитая система безопасности — это одна из особенностей операционной системы Windows 8.1, Windows 10. И основой этой безопасности служит файловая система NTFS, которая предполагает использование так называемых разрешений.
Под разрешением NTFS понимается правило, связанное с объектом (файлом, папкой) и используемое для управления доступом пользователей к этому объекту. При этом под пользователем понимается не только пользователь-человек как таковой, но и программы, запущенные от его имени (под его учетной записью).
В NTFS, разрешения назначаемые папкам, отличаются от разрешений, назначаемых файлам. Далее будут по отдельности рассмотрены и те и другие. Причем в NTFS предусмотрен как стандартный набор разрешений (для общих случаев), так и специализированный набор — для «тонкой» настройки.
Стандартные разрешения
Разрешения для папок имеют ту особенность, что они определяют возможные действия как для самих папок, так и для содержащихся внутри них файлов и подпапок. Ниже в таблице показано, что это могут быть за разрешения.
Стандартные разрешения NTFS для папок:
| Разрешение | Допускаемые действия |
|---|---|
| Чтение (Read) | Разрешается просматривать вложенные папки и файлы, атакже их свойства: имя владельца, разрешения и атрибуты
(такие как «только чтение», «скрытый», «архивный» и «системный») |
| Запись (Write) | Разрешается создавать и размещать внутри папки новые файлыи подпапки, а также изменять атрибуты папки и просматривать ее свойства: владельца и разрешения |
| Список содержимого папки (List folder contents) | Дает право просматривать имена содержащихся в папке файлов и вложенных подпапок |
| Чтение и выполнение (Read&Execute) | Позволяет получить доступ к файлам в подпапках, даже еслинет доступа к самой папке. Кроме того разрешает те же действия, что предусмотрены для разрешений «Чтение» и «Список содержимого папки» |
| Изменение (Modify) | Разрешает все действия, предусмотренные для разрешений«Чтение» и «Чтение и выполнение» + разрешает удаление папки |
| Полный доступ(Full control) | Предоставляет полный доступ к папке. Это значит, чтодопускаются все действия, предусмотренные всеми перечисленными выше разрешениями. Дополнительно позволя- ется становиться владельцем папки и изменять ее разрешения |
| Особыеразрешения(Special Permission) | Задает набор специальных разрешений, отличающийся отстандартных и перечисленных ниже |
| Разрешение | Допускаемые действия |
|---|---|
| Чтение (Read) | Разрешается чтение файла, а также просмотр его свойств:имя владельца, разрешений и атрибутов |
| Запись (Write) | Разрешается перезапись файла, изменение его атрибутов,а также просмотр его владельца и разрешений |
| Чтение и выполнение (Read&Execute) | То же что и «Чтение» + возможность запуска приложения(если файл исполняемый) |
| Изменение (Modify) | Допускает изменение и удаление файла + то, чтопредусмотрено разрешениями «Запись» и «Чтение и выполнение» |
| Полный доступ(Full control) | Предоставляет полный доступ к файлу. Это значит, чтодопускаются все действия, предусмотренные всеми перечис- ленными выше разрешениями. Дополнительно позволяется становиться владельцем файла и изменять его разрешения |
| Особыеразрешения(Special Permission) | Задает набор специальных разрешений, отличающийся отстандартных и перечисленных ниже |
Специальные разрешения
Если стандартные разрешения предназначены для общих случаев, для быстрого и удобного назначения прав доступа, то специализированные права доступа позволяют подойти к этому делу более ответственно. При этом можно изменить стандартный набор разрешений так, как будет необходимо. Описание специализированных разрешений как для папок, так и для файлов показано в таблице ниже. Специальные разрешения NTFS для файлов и папок:| Разрешение | Описание |
|---|---|
| Обзор папок /Выполнение файлов | Для папок. Разрешение «Обзор папок» позволяет или запрещает перемещение по структуре папок в поисках других файлов или папок. Причем это допускается даже в тех случаях, когда пользователь не обладает разрешением на доступ к просматриваемым папкам. Для разрешения «Обзор папок» имеется одно ограничение: оно действительно только в том случае, если группа или пользователь не обладает правом «Обход перекрестной проверки», устанавливаемым в оснастке «Групповая политика». (По умолчанию правом «Обход перекрестной проверки» наделена группа «Все»).. Для файлов. Разрешение «Выполнение файлов» позволяет или запрещает запуск программ. Обратите внимание, что разрешение «Обзор папок» для папки не означает автоматическую установку разрешения «Выполнение файлов» для всех файлов, размещенных в этой папке |
| Содержание папки /Чтение данных | Для папок. Разрешение «Содержание папки» позволяет или запрещает просмотр имен файлов и подпапок, содержащихся в папке. Это разрешение относится только к содержимому данной папки и не означает, что имя самой этой папки также должно включаться в список.. Для файлов. Разрешение «Чтение данных» позволяет или запрещает чтение данных из файла |
| Чтение атрибутов | Разрешает или запрещает просмотр таких атрибутов файлаили папки, как «Только чтение» и «Скрытый» |
| Чтениедополнительных атрибутов | Разрешает или запрещает просмотр дополнительных атрибутовфайла или папки. Дополнительные атрибуты определяются программами и могут различаться для разных программ |
| Создание файлов /Запись данных | Для папок. Разрешение «Создание файлов» позволяет илизапрещает создание файлов в папке (применимо только к папкам). . Для файлов. Разрешение «Запись данных» позволяет или. запрещает внесение изменений в файл и запись поверх имеющегося содержимого |
| Создание папок /Дозапись данных | Для папок. Разрешение «Создание папок» позволяет илизапрещает создание папок внутри папки (применимо только к папкам). . Для файлов. Разрешение «Дозапись данных» позволяет или запрещает внесение данных в конец файла, но не изменение, удаление или замену имеющихся данных (применимо только к файлам) |
| Запись атрибутов | Разрешает или запрещает смену таких атрибутов файла илипапки, как «Только чтение» и «Скрытый». При этом разрешение «Запись атрибутов» не подразумевает права на создание или удаление файлов или папок: разрешается только вносить изменения в их атрибуты |
| Запись дополнительных атрибутов | Разрешает или запрещает смену дополнительных атрибутовфайла или папки. Дополнительные атрибуты определяются программами и могут различаться для разных программ. Разрешение «Запись дополнительных атрибутов» не подразумевает права на создание или удаление файлов или папок: разрешается только вносить изменения в их атрибуты |
| Удаление | Разрешает или запрещает удаление файла или папки. Если дляфайла или папки отсутствует разрешение «Удаление», то объект все же можно удалить при наличии разрешения «Удаление подпапок и файлов» для родительской папки |
| Удаление подпапок и файлов | Это разрешение применяется только к папкам. Оно позволяетили запрещает удаление подпапок и файлов внутри папки даже в тех случаях, когда отсутствует разрешение «Удаление» |
| Чтение разрешений | Разрешает или запрещает чтение разрешений на доступ кфайлу или папке (т.е. разрешений «Полный доступ», «Чтение» и «Запись») |
| Смена разрешений | Разрешает или запрещает смену разрешений на доступ к файлуили папке (таких как «Полный доступ», «Чтение» и «Запись») |
| Смена владельца | Разрешает или запрещает вступать во владение файлом илипапкой. Привилегия владельца состоит в том, что он всегда может изменять разрешения на доступ к файлу или папке, независимо от любых разрешений, защищающих этот файл или папку |
| Синхронизация | При одновременном доступе к одним и тем же папкам (файлам)данное разрешение позволяет или запрещает ожидание различными потоками файлов или папок и синхронизацию их с другими потоками. Это разрешение применимо только к программам, выполняемым в многопоточном режиме с несколькими процессами |
Разрешения для файлов и папок
Ниже, в таблице показано, какие особые разрешения входят в какие стандартные разрешения. Например, можно увидеть, что в стандартное разрешение «Полный доступ» входят все специальные разрешения, а в стандартное разрешение «Изменение» — все, кроме «Удаление подпапок и файлов», «Смена разрешений» и «Смена владельца». В таблице также можно увидеть, что стандартные разрешения «Список содержимого папки» и «Чтение и выполнение» включают в себя одинаковый перечень особых разрешений. Тем не менее разница все-таки есть, а заключается она в том, что наследуются эти разрешения по разному. Так, разрешение «Список содержимого папки» наследуется только папками и отображается только при просмотре разрешений на доступ к папкам. Файлами это разрешение не наследуется. Что касается разрешения «Чтение и выполнение», то оно наследуется как папками, так и файлами. Отображается оно также при просмотре разрешений на доступ как к папкам, так и к файлам. В этой связи следует отметить, что пользователи, которым разрешен полный доступ к папке, могут удалять любые файлы в этой папке, независимо от установленных для них разрешений. Вхождение специальных разрешений в стандартные разрешения.| Особыеразрешения | Стандартные разрешения | |||||
|---|---|---|---|---|---|---|
| Полный доступ | Изменение | Чтение и выполнение | Список содержимого папки (только для папок) | Чтение | Запись | |
| Обзор папок/Выполнение файлов | X | X | X | X | ||
| Содержание папки/Чтение данных | X | X | X | X | X | |
| Чтение атрибутов | X | X | X | X | X | |
| Чтение дополнительных атрибутов | X | X | X | X | X | |
| Создание файлов/Запись данных | X | X | X | |||
| Создание папок/ Дозапись данных | X | X | X | |||
| Запись атрибутов | X | X | X | |||
| Запись дополнительных атрибутов | X | X | X | |||
| Удаление подпапок и файлов | X | |||||
| Удаление | X | X | ||||
| Чтение разрешений | X | X | X | X | X | X |
| Смена разрешений | X | |||||
| Смена владельца | X | |||||
| Синхронизация | X | X | X | X | X | X |
