Problemas no sistema de arquivos do Windows: Por que o acesso é negado?

Propaganda

Desde o Sistema de arquivos NTFS De FAT para NTFS e ZFS: sistemas de arquivos desmistificadosDiferentes discos rígidos e sistemas operacionais podem usar sistemas de arquivos diferentes. Aqui está o que isso significa e o que você precisa saber. consulte Mais informação foi introduzido como o formato padrão nas edições de consumidor do Windows (começando com o Windows XP), as pessoas tiveram problemas ao acessar seus dados tanto no ambiente interno quanto no interno. unidades externas. Os atributos de arquivo simples não são mais a única causa de problemas ao localizar e usar seus arquivos. Agora temos que lidar com permissões de arquivo e pasta, como um de nossos leitores descobriu.

Pergunta do nosso leitor:

Não consigo ver as pastas no meu disco rígido interno. Eu executei o comando "Attrib -h -r -s / s / d" e mostra o acesso negado em todas as pastas. Posso ir para as pastas usando o comando Executar, mas não consigo ver as pastas no meu disco rígido. Como faço para corrigir isso?

Resposta de Bruce:

Aqui estão algumas suposições seguras com base nas informações fornecidas: O sistema operacional é o Windows XP ou posterior; o sistema de arquivos em uso é NTFS; o usuário não tem permissões de Controle total na parte do sistema de arquivos que está tentando manipular; eles não estão no contexto do administrador; e as permissões padrão no sistema de arquivos podem ter sido alteradas.

Tudo no Windows é um objeto, seja uma chave do Registro, uma impressora ou um arquivo. Mesmo que eles usem os mesmos mecanismos para definir o acesso do usuário, restringiremos nossa discussão aos objetos do sistema de arquivos para mantê-lo o mais simples possível.

Controle de acesso

Segurança Alerta vermelho: 10 blogs de segurança de computadores que você deve seguir hojeA segurança é uma parte crucial da computação e você deve se esforçar para se educar e se manter atualizado. Você deve consultar esses dez blogs de segurança e os especialistas em segurança que os escrevem. consulte Mais informação de qualquer tipo tem tudo a ver com controlar quem pode fazer alguma coisa no objeto que está sendo protegido. Quem tem o cartão-chave para destrancar o portão e entrar no complexo? Quem tem as chaves para abrir o escritório do CEO? Quem tem a combinação para abrir o cofre em seu escritório?

O mesmo tipo de pensamento se aplica à segurança de arquivos e pastas nos sistemas de arquivos NTFS. Todo usuário no sistema não tem uma necessidade justificável de acessar todos os arquivos no sistema, nem todos precisam ter o mesmo tipo de acesso a esses arquivos. Assim como todo funcionário de uma empresa não precisa ter acesso ao cofre no escritório do CEO, nem a capacidade de modificar relatórios corporativos, apesar de poderem lê-los.

Permissões

O Windows controla o acesso aos objetos do sistema de arquivos (arquivos e pastas), definindo permissões para usuários ou grupos. Eles especificam que tipo de acesso o usuário ou grupo tem para o objeto. Essas permissões podem ser definidas como permitir ou negar um tipo específico de acesso e pode ser definido explicitamente no objeto ou implicitamente através da herança de sua pasta pai.

As permissões padrão para arquivos são: Controle total, Modificação, Leitura e execução, Leitura, Gravação e Especial. As pastas têm outra permissão especial, chamada Listar Conteúdo da Pasta. Essas permissões padrão são conjuntos predefinidos de permissões avançadas que permitem um controle mais granular, mas normalmente não são necessários fora das permissões padrão.

Por exemplo, o Leitura e execução A permissão padrão inclui as seguintes permissões avançadas:

• Atravessar Pasta / Executar Arquivo
• Pasta de lista / leitura de dados
• Atributos de Leitura
• Ler atributos estendidos
• Permissões de leitura

Listas de controle de acesso

Cada objeto no sistema de arquivos tem uma ACL (lista de controle de acesso) associada. A ACL é uma lista de identificadores de segurança (SIDs) que têm permissões no objeto. O Local Security Authority Subsystem (LSASS) comparará o SID anexado ao token de acesso fornecido ao usuário no logon com os SIDs na ACL para o objeto que o usuário está tentando acessar. Se o SID do usuário não corresponder a nenhum SID na ACL, o acesso será negado. Se corresponder, o acesso solicitado será concedido ou negado com base nas permissões para esse SID.

Também há uma ordem de avaliação para permissões que precisam ser consideradas. Permissões explícitas têm precedência sobre permissões implícitas e negar permissões têm precedência sobre permissões de permissão. Em ordem, fica assim:

1. Negação explícita
2. Permitir Explícito
3. Negação implícita
4. Permissão implícita

Permissões padrão do diretório raiz

As permissões concedidas no diretório raiz de uma unidade variam ligeiramente, dependendo se a unidade é a unidade do sistema ou não. Como visto na imagem abaixo, uma unidade do sistema possui dois Permitir entradas para usuários autenticados. Existe um que permite que usuários autenticados criem pastas e anexem dados aos arquivos existentes, mas não alterem nenhum dado existente no arquivo que se aplique exclusivamente ao diretório raiz. O outro permite que Usuários autenticados modifiquem arquivos e pastas contidos nas subpastas, se essa subpasta estiver herdando permissões da raiz.

Os diretórios do sistema (Windows, Dados do programa, Arquivos de programa, Arquivos de programa (x86), Usuários ou Documentos e configurações e possivelmente outros) não herdam suas permissões do diretório raiz. Por serem diretórios do sistema, suas permissões são definidas explicitamente para ajudar a evitar alteração inadvertida ou maliciosa dos arquivos do sistema operacional, programa e configuração por malware ou um hacker.

Se não for uma unidade do sistema, a única diferença é que o grupo Usuários Autenticados possui uma única entrada de permissão que permite permissões de Modificação para a pasta raiz, subpastas e arquivos. Todas as permissões atribuídas aos 3 grupos e à conta SYSTEM são herdadas em toda a unidade.

Analise de problemas

Quando nosso pôster rodou o attrib comando tentando remover qualquer sistema, atributos ocultos e somente leitura em todos os arquivos e pastas, iniciando no diretório diretório (não especificado) em que estavam, receberam mensagens indicando que a ação que eles queriam executar (atributos de gravação) foi sendo negado. Dependendo do diretório em que eles estavam quando executaram o comando, isso provavelmente é uma coisa muito boa, especialmente se eles estiverem em C: \.

Em vez de tentar executar esse comando, seria melhor alterar as configurações no Windows Explorer / File Explorer para mostrar arquivos e diretórios ocultos. Isso pode ser facilmente realizado acessando Organizar> Opções de pasta e pesquisa no Windows Explorer ou Arquivo> Alterar opções de pasta e pesquisa no File Explorer. Na caixa de diálogo resultante, selecione o Guia Exibir> Mostrar arquivos, pastas e unidades ocultas. Com isso ativado, diretórios e arquivos ocultos apareceriam como itens esmaecidos na lista.

Nesse momento, se os arquivos e pastas ainda não estiverem aparecendo, há um problema com a permissão avançada Listar pasta / Ler dados. O usuário ou um grupo ao qual ele pertence é explicitamente ou implicitamente negou essa permissão nas pastas em questão ou o usuário não pertence a nenhum dos grupos que têm acesso a essas pastas.

Você pode perguntar como o leitor poderia ir diretamente para uma dessas pastas se o usuário não tiver as permissões Listar Pasta / Ler Dados. Contanto que você conheça o caminho para a pasta, poderá acessá-la, desde que você tenha as permissões avançadas Atravessar Pasta / Executar Arquivo. Esse também é o motivo pelo qual não é provável que seja um problema com a permissão padrão Listar Conteúdo da Pasta. Tem ambos dessas permissões avançadas.

A resolução

Com exceção dos diretórios do sistema, a maioria das permissões é herdada na cadeia. Portanto, o primeiro passo é identificar o diretório mais próximo da raiz da unidade, onde os sintomas aparecem. Quando esse diretório estiver localizado, clique com o botão direito do mouse e selecione Guia Propriedades> Segurança. Verifique as permissões para cada um dos grupos / usuários listados, para verificar se eles têm uma verificação na coluna Permitir para a permissão de conteúdo da pasta Lista e não na coluna Negar.

Se nenhuma coluna estiver marcada, verifique também a entrada Permissões especiais. Se esta opção estiver marcada (permitir ou negar), clique no ícone Avançado botão Alterar permissões na caixa de diálogo resultante se você estiver executando o Vista ou posterior. Isso exibirá uma caixa de diálogo quase idêntica com alguns botões adicionais. Selecione o grupo apropriado, clique em Editar e verifique se a pasta List / permissão de dados de leitura é permitida.

Se as verificações estiverem acinzentadas, significa que é uma permissão herdada, e alterá-lo deve ser feito na pasta pai, a menos que haja uma razão convincente para não fazer isso, como o diretório de perfil de um usuário, e o pai seria o Usuários ou Documentos e configurações pasta. Também não é aconselhável adicionar permissões para que um segundo usuário possa acessar o diretório de perfil de outro usuário. Em vez disso, efetue login como usuário para acessar esses arquivos e pastas. Se for algo que deva ser compartilhado, mova-os para o diretório de perfil Público ou use a guia Compartilhamento para permitir que outros usuários acessem os recursos.

Também é possível que o usuário não tenha permissão para editar as permissões dos arquivos ou diretórios em questão. Nesse caso, o Windows Vista ou posterior deve apresentar um Controle de Conta de Usuário (UAC) Interromper solicitações irritantes do UAC - Como criar uma lista de permissões de controle de conta de usuário [Windows]Desde o Vista, nós, usuários do Windows, somos incomodados, incomodados, irritados e cansados ​​do prompt do Controle de Conta de Usuário (UAC), informando que um programa está sendo iniciado e que intencionalmente lançamos. Claro, melhorou, ... consulte Mais informação solicitar a senha do administrador ou permissão para elevar os privilégios do usuário para permitir esse acesso. No Windows XP, o usuário deve abrir o Windows Explorer com a opção Executar como… e usar o Conta de administrador Conta de administrador do Windows: tudo o que você precisa saberA partir do Windows Vista, a conta interna do Administrador do Windows é desativada por padrão. Você pode habilitá-lo, mas faça-o por sua conta e risco! Nós mostramos a você como. consulte Mais informação para garantir que as alterações possam ser feitas, se ainda não estiverem em execução com uma conta administrativa.

Eu sei que muitas pessoas diriam para você se apropriar dos diretórios e arquivos em questão, mas há um imenso ressalva para essa solução. Se isso impactar quaisquer arquivos e / ou diretórios do sistema, você estará enfraquecendo severamente a segurança geral do seu sistema. Deveria Nunca ser feito nos diretórios raiz, Windows, Usuários, Documentos e configurações, Arquivos de programas, Arquivos de programas (x86), Dados do programa ou inetpub ou em qualquer uma de suas subpastas.

Conclusão

Como você pode ver, as permissões nas unidades NTFS não são muito difíceis, mas a localização da fonte de problemas de acesso pode ser entediante em sistemas com muitos diretórios. Armado com um entendimento básico de como as permissões funcionam com listas de controle de acesso e um pouco de tenacidade, localizar e corrigir esses problemas logo se tornará brincadeira de criança.