Как настроить права доступа к файлам windows

Windows доступа к файловой системе и конфиденциальности

Некоторым приложениям требуется доступ к файловой системе, чтобы предоставлять пользователям все возможности. Предоставление приложению разрешения на доступ к файловой системе позволяет ему обращаться к тем же файлам и папкам, к которым есть доступ у вас. Приложение должно запросить такой доступа, а вы можете разрешить или отклонить запрос.

Предоставление доступа к файловой системе может дать приложению доступ к личному содержимому, которое требуется настроить. Именно поэтому мы позволяем вам контролировать файлы, к которым предоставляется доступ, давая возможность выбрать, каким приложениям разрешен доступ к файловой системе. Если вы даете разрешение на использование приложения, но потом передумаете, вы можете отключить для него доступ к файловой системе. Для этого выполните следующие действия.

В Windows 10 начните > Параметры > конфиденциальности > файловой системе.

В Windows 11 перейдите в начните > Параметры > конфиденциальности & безопасности > файловой системе.

Доступ к файловой системе может быть уже отключен, если вы используете устройство, выданное вам на работе, или если вы добавили рабочую учетную запись на собственное устройство. В этом случае в верхней части страницы параметров файловой системы появится сообщение «Некоторые параметры управляются организацией».

Принцип работы параметров доступа к файловой системе

Чтобы разрешить или запретить доступ к файловой системе для конкретного приложения или службы

Выполните одно из следующих действий:

В Windows 10 пуск перейдите в пуск > Параметры > Файловая система конфиденциальности > и убедитесь, что включено разрешение приложениям на доступ к файловой системе .

В Windows 11 перейдите в пуск > Параметры > Конфиденциальность & безопасность > Файловая система и убедитесь, что для приложений включено приложение «Доступ к файловой системе».

Выберите приложения и службы, которые могут получать доступ к файловой системе, включив или выключив параметры отдельных приложений и служб.

Чтобы запретить доступ к файловой системе для большинства приложений

Выполните одно из следующих действий:

В Windows 10 пуск перейдите в пуск > Параметры > Файловая система конфиденциальности > и убедитесь, что отключено разрешение приложениям на доступ к файловой системе .

В Windows 11 перейдите в пуск > Параметры > Конфиденциальность & безопасность > Файловая система и убедитесь, что отключено приложение «Доступ приложений к файловой системе».

Это запретит приложениям доступ к файловой системе на устройстве, на котором выполнен вход. Если другие пользователи работают на этом устройстве, они по-прежнему могут включить доступ к файловой системе под своими учетными записями.

Исключения из параметров конфиденциальности доступа к файловой системе

В списке отображаются не все приложения, в которых можно выбрать приложения, которые могут получить доступ к файловой системе. Некоторые программы Windows, например программы, скачаемые из Интернета или установленные с определенным типом мультимедиа (например, компакт-диск, DVD- или USB-накопитель), не будут отображаться в этом списке, и на них не влияет параметр, позволяющий приложениям получать доступ к файловой системе. Чтобы разрешить или запретить доступ к файловой системе для одной из этих программ, проверьте параметры самой программы.

Источник

Права на безопасность и доступ к файлам

Так как файлы являются защищаемыми объектами, доступ к ним регулируется моделью управления доступом, которая управляет доступом ко всем другим защищаемым объектам в Windows. Подробное описание этой модели см. в контроль доступа.

Дескриптор безопасности для файла или каталога можно указать при вызове функции CreateFile, CreateDirectory или CreateDirectoryEx. Если для параметра lpSecurityAttributesзадано значение NULL, файл или каталог получает дескриптор безопасности по умолчанию. Списки управления доступом (ACL) в дескрипторе безопасности по умолчанию для файла или каталога наследуются от родительского каталога. Обратите внимание, что дескриптор безопасности по умолчанию назначается только при создании файла или каталога, а не при переименовании или перемещении.

Чтобы получить дескриптор безопасности объекта файла или каталога, вызовите функцию GetNamedSecurityInfo или GetSecurityInfo . Чтобы изменить дескриптор безопасности объекта файла или каталога, вызовите функцию SetNamedSecurityInfo или SetSecurityInfo .

Допустимые права доступа для файлов и каталогов включают права доступа DELETE, READ_CONTROL, WRITE_DAC, WRITE_OWNER и SYNCHRONIZEstandard. В таблице констант прав доступа к файлам перечислены права доступа, относящиеся к файлам и каталогам.

Хотя право доступа SYNCHRONIZE определено в стандартном списке прав доступа в качестве права на указание дескриптора файла в одной из функций ожидания, при использовании асинхронных операций ввода-вывода файлов следует ждать дескриптора событий, содержащегося в правильно настроенной структуре OVERLAPPED , а не использовать дескриптор файла с правом доступа SYNCHRONIZE для синхронизации.

Ниже приведены универсальные права доступа для файлов и каталогов.

Право доступа	Описание:
FILE_GENERIC_EXECUTE	FILE_EXECUTE FILE_READ_ATTRIBUTES STANDARD_RIGHTS_EXECUTE SYNCHRONIZE
FILE_GENERIC_READ	FILE_READ_ATTRIBUTES FILE_READ_DATA FILE_READ_EA STANDARD_RIGHTS_READ SYNCHRONIZE
FILE_GENERIC_WRITE	FILE_APPEND_DATA FILE_WRITE_ATTRIBUTES FILE_WRITE_DATA FILE_WRITE_EA STANDARD_RIGHTS_WRITE SYNCHRONIZE

Windows сравнивает запрошенные права доступа и сведения в маркере доступа потока с информацией в дескрипторе безопасности файла или объекта каталога. Если сравнение не запрещает предоставление всех запрошенных прав доступа, дескриптор объекта возвращается в поток, а права доступа предоставляются. Дополнительные сведения об этом процессе см. в разделе «Взаимодействие между потоками и защищаемыми объектами».

По умолчанию авторизация для доступа к файлу или каталогу строго контролируется списками управления доступом в дескрипторов безопасности, связанном с этим файлом или каталогом. В частности, дескриптор безопасности родительского каталога не используется для управления доступом к дочерним файлам или каталогам. Право FILE_TRAVERSEaccess можно применить, удалив BYPASS_TRAVERSE_CHECKINGпривилег от пользователей. Это не рекомендуется в общем случае, так как многие программы неправильно обрабатывают ошибки обхода каталога. Основное использование для FILE_TRAVERSE права доступа к каталогам заключается в том, чтобы обеспечить соответствие определенным стандартам IEEE и ISO POSIX, если взаимодействие с системами Unix является обязательным требованием.

Модель безопасности Windows предоставляет способ наследования дочернего каталога или запретить наследование одного или нескольких ACE в дескрипторе безопасности родительского каталога. Каждый ACE содержит сведения, определяющие, как его можно наследовать, и будет ли он влиять на наследуемый объект каталога. Например, некоторые наследуемые службы управления доступом к наследуемого объекта каталога управляют доступом к наследуемого объекта каталога, и они называются эффективными acEs. Все остальные службы ACE называются управляемыми доступом только для наследования.

Модель безопасности Windows также обеспечивает автоматическое наследование ACE дочерним объектам в соответствии с правилами наследования ACE. Это автоматическое наследование вместе с сведениями о наследовании в каждом ACE определяет, как ограничения безопасности передаются по иерархии каталогов.

Обратите внимание, что нельзя использовать доступ к ACE, чтобы запретить доступ только GENERIC_READ или только GENERIC_WRITE доступ к файлу. Это связано с тем, что для файловых объектов универсальные сопоставления для обоих GENERIC_READ или GENERIC_WRITE включают право доступа SYNCHRONIZE . Если ACE запрещает GENERIC_WRITE доступ к доверенному лицу, а доверенное лицо запрашивает GENERIC_READ доступ, запрос завершится ошибкой, так как запрос неявно включает в себя доступ SYNCHRONIZE , который неявно запрещен ACE, и наоборот. Вместо использования ACE, запрещенного в доступе, используйте доступ разрешенных ACE, чтобы явно разрешить разрешенные права доступа.

Другим средством управления доступом к объектам хранилища является шифрование. Реализация шифрования файловой системы в Windows — это зашифрованная файловая система или EFS. EFS шифрует только файлы, а не каталоги. Преимущество шифрования заключается в том, что она обеспечивает дополнительную защиту файлов, применяемых на носителе, а не через файловую систему и стандартную архитектуру управления доступом Windows. Дополнительные сведения о шифровании файлов см. в разделе «Шифрование файлов».

В большинстве случаев возможность чтения и записи параметров безопасности файла или объекта каталога ограничена процессами в режиме ядра. Очевидно, что вы не хотите, чтобы какой-либо пользовательский процесс мог изменить владение или ограничение доступа к частному файлу или каталогу. Однако приложение резервного копирования не сможет выполнить резервное копирование файла, если ограничения доступа, введенные в файл или каталог, не позволяют процессу пользовательского режима приложения читать его. Приложения резервного копирования должны иметь возможность переопределить параметры безопасности файлов и объектов каталога, чтобы обеспечить полную резервную копию. Аналогичным образом, если приложение резервного копирования пытается записать резервную копию файла через копию на диске и явно запрещаете права записи в процесс приложения резервного копирования, операция восстановления не может завершиться. В этом случае приложение резервного копирования должно иметь возможность переопределить параметры управления доступом файла.

SE_BACKUP_NAME и SE_RESTORE_NAME привилегии доступа были созданы специально для обеспечения этой возможности резервного копирования приложений. Если эти привилегии были предоставлены и включены в маркере доступа процесса приложения резервного копирования, он может вызвать CreateFile , чтобы открыть файл или каталог для резервного копирования, указав стандартный READ_CONTROL права доступа в качестве значения параметра dwDesiredAccess . Однако чтобы определить вызывающий процесс как процесс резервного копирования, вызов CreateFile должен включать флаг FILE_FLAG_BACKUP_SEMANTICS в параметр dwFlagsAndAttributes . Полный синтаксис вызова функции приведен ниже.

Это позволит процессу резервного копирования открыть файл и переопределить стандартную проверку безопасности. Чтобы восстановить файл, приложение резервной копии будет использовать следующий синтаксис вызова CreateFile при открытии файла для записи.

Существуют ситуации, когда приложение резервного копирования должно иметь возможность изменять параметры управления доступом файла или каталога. Например, если параметры управления доступом копии файла или каталога на диске отличаются от резервной копии. Это произойдет, если эти параметры были изменены после резервного копирования файла или каталога или если он поврежден.

Флаг FILE_FLAG_BACKUP_SEMANTICS , указанный в вызове CreateFile , предоставляет приложению резервного копирования разрешение на чтение параметров управления доступом файла или каталога. С этим разрешением процесс приложения резервного копирования может вызвать GetKernelObjectSecurity и SetKernelObjectSecurity для чтения и сброса параметров управления доступом.

Если приложение резервного копирования должно иметь доступ к параметрам управления доступом на уровне системы, флаг ACCESS_SYSTEM_SECURITY должен быть указан в значении параметра dwDesiredAccess , переданном в CreateFile.

Приложения резервного копирования вызывают BackupRead для чтения файлов и каталогов, указанных для операции восстановления, и BackupWrite для их записи.

Источник

Как настроить права доступа к файлам windows

Статья о разграничении прав доступа в операционных системах Windows: дискретном и мандатном. В статье рассматриваются разграничения прав доступа к папкам и файлам на уровне операционной системы Windows и с помощью Secret Net.

Дискретное разграничение прав доступа

Для того, что бы настроить правила безопасности для папок нужно воспользоваться вкладкой «Безопасность». В Windows XP эта вкладка отключена по умолчанию. Для ее активации нужно зайти в свойства папки (Меню «Сервис» -> «Свойства папки» -> «Вид») и снять флажок «Использовать простой общий доступ к файлам».

Основные права доступа к папкам

В файловой системе NTFS в Windows XP существует шесть стандартных разрешений:

1. Полный доступ;
2. Изменить;
3. Чтение и выполнение;
4. Список содержимого папки;
5. Чтение;
6. Запись.

В Windows 10 нет стандартного разрешения «Список содержимого папки».

Эти разрешения могут предоставляться пользователю (или группе пользователей) для доступа к папкам и файлам. При этом право «Полный доступ» включат в себя все перечисленные права, и позволяет ими управлять.

Права доступа назначаются пользователю для каждого объекта (папки и файла). Для назначения прав нужно открыть меню «Свойства» и выбрать вкладку «Безопасность». После этого выбрать необходимо пользователя, которому будут назначаться разрешения.

Создайте папки по названиям разрешений, всего у вас будет 6 папок для Windows XP и для Windows 10. Я рассмотрю на примере Windows XP, на «десятке» вам будет проще. Скачайте папки по ссылке и скопируйте в них содержимое (не сами папки, а то, что в них находится).

Отройте вкладку «Безопасность» в свойствах папки «Список содержимого папки». У меня есть пользователь user, вы можете добавить своего. Для того, что бы изменить право на объект нужно выбрать пользователя и указать ему разрешение, в данном случае «Список содержимого папки». Затем нажмите «Применить» и «ОК».

Выбор пользователя Список содержимого

По аналогии установите права для соответствующих папок.

После установки прав доступа проверьте их. Для этого войдите в операционную систему под пользователем, для которого устанавливали права, в моем случае это user.

«Список содержимого папки» — предоставляет возможность просмотра файлов и папок в текущем каталоге. То есть вы можете посмотреть, что есть в папке, но запустить и открыть ничего не получиться.

«Чтение» — предоставляет возможность открывать в папке все файлы, кроме исполняемых файлов (например, с расширением .exe).

«Чтение и выполнение» — предоставляет возможность открывать в данном каталоге все файлы.

«Запись» — предоставляет возможность добавления файлов в папку без права на доступ к вложенным в него объектам, в том числе на просмотр содержимого каталога.

«Изменить» — предоставляет возможность открывать и создавать (изменять) файлы в папке.

«Полный доступ» — предоставляет все возможности для работы с папкой и вложенными файлами, включая изменение разрешений.

Откройте каждую папку и проверьте, что разрешения выполняются.

Содержимое папки «Список содержимого» Ошибка запуска исполняемого файла Ошибка текстового файла

Элементы разрешений на доступ

Каждое разрешение состоит из нескольких элементов, которые позволяют более гибко настраивать систему безопасности. Войдите в операционную систему под учетной записью администратора.

Просмотреть элементы разрешений на доступ можно, нажав на кнопку «Дополнительно» во вкладке «Безопасность» и выбрав любой элемент разрешений.

Поэкспериментируйте с элементами и проверьте, как они работаю.

Элементы разрешений на доступ для записи

Владелец файла

В файловой системе NTFS у каждого файла есть свой владелец. Владельцем файла является пользователь операционной системы. Он может управлять разрешениями на доступ к объекту независимо от установленных разрешений.

Узнать, какой пользователь является владельцем файла или папки можно на закладке «Владелец» в дополнительных параметрах безопасности.

Наследование прав доступа

В файловой системе NTFS поддерживается наследование разрешений. Если вы устанавливаете разрешение на папку, то оно наследуется для всех вложенных файлов и папок.

При любых изменениях разрешений на родительскую папку они меняются в дочерних (вложенных) файлах и каталогах.

Для изменения унаследованных разрешений нужно открыть вкладку «Разрешения» в дополнительных параметрах безопасности. Там же можно отключить наследование разрешений.

Запреты

Кроме установки разрешений в файловых системах можно устанавливать запреты. Например, вы можете разрешить чтение и выполнение, но запретить запись. Таким образом, пользователь для которого установлен запрет и разрешения сможет запустить исполняемый файл или прочитать текстовый, но не сможет отредактировать и сохранить текстовый файл.

Запреты на объекты в файловой системе NTFS

В дополнительных параметрах безопасности можно посмотреть действующие разрешения и для конкретного пользователя.

Разграничение прав доступа с помощью Secret Net (на примере версии 5.1)

При использовании Secret Net доступ к файлам осуществляется, в случае если пользователю присваивается соответствующий уровень допуска. В примере я использую Windows XP с установленным программным продуктом Secret Net 5.1.

Первым делом нужно запустить локальные параметры безопасности от имени Администратора: «Пуск –> Программы –> Secret Net 5 –> Локальная политика безопасности».

Далее необходимо перейти в «Параметры Secret Net» –> «Настройка подсистем» –> «Полномочное управление доступом: название уровней конфиденциальности».

Введите названия уровней. У меня это:

• Низший – Общедоступно.
• Средний – Конфиденциально.
• Высший – Секретно.

Настройка субъектов

Настройка субъектов в Secret Net производится в группе «Локальные пользователи и группы». Зайдите в меню «Пуск» –> «Программы» –> «Secret Net 5» –> «Управление компьютером» –> «Локальные пользователи и группы» –> «Пользователи».

Что бы настроить права администратора нужно выбрать учетную запись «Администратор» и перейти на вкладку Secret Net 5. Установим уровень доступа «секретно».

Далее установите все флажки.

• Управление категориями конфиденциальности означает, что пользователь имеет право изменять категории конфиденциальности папок и файлов, а так же может управлять режимом наследования категорий конфиденциальности папок.
• Печать конфиденциальных документов означает, что пользователь может распечатывать конфиденциальные документы. Данная возможность появляется, если включен контроль печати конфиденциальных документов.
• Вывод конфиденциальной информации означает, что пользователь может копировать конфиденциальную информацию на внешние носители.

После установки всех флажков нажмите «Применить» и «ОК».

Создадим нового пользователя. Для этого нужно перейти «Локальные пользователи и Группы» –> «Пользователи». Создайте новых пользователей, я назову их «Конфиденциальный» и «Секретный». По аналогии с пользователем Администратор установите для новых пользователей аналогичные уровни доступа и настройки как на рисунках ниже.

Настройка объектов

Та или иная категория конфиденциальности является атрибутом папки или файла. Изменения этих атрибутов производятся уполномоченными пользователями (в данном случае Администратором). Категория конфиденциальности может присваиваться новым файлам или папкам автоматически или по запросу.

Автоматическое присваивание категории конфиденциальности можно включить или отключить в окне настройки свойств папки. Этот параметр может редактировать только пользователь, у которого есть права на «Редактирование категорий конфиденциальности».

При этом стоит учесть, что категории конфиденциальности могут назначаться только папка и файлам в файловой системе NTFS. В случае если у пользователя нет такой привилегии, он может только повысить категорию конфиденциальности и только не выше своего уровня.

Попробуйте создать в паке новый файл или каталог, а после чего изменить ее уровень (повысить) и установить флажок «Автоматически присваивать новым файлам». У вас появиться окно «Изменение категорий конфиденциальности».

Выберите пункт «Присвоение категорий конфиденциальности всем файлам в каталоге» и нажмите «ОК» для присвоения категории конфиденциальности всем файлам кроме скрытых и системных файлов.

В случае если категория допуска пользователя выше чем категория конфиденциальности объект, то пользователь имеет право на чтение документа, но не имеет права изменять и сохранять документ.

Если пользователь с категорией «Общедоступно» попробует прочитать или удалить документ, то он получит соответствующие ошибки.

То есть пользователь не может работать с документами, у которых уровень конфиденциальности выше, чем у него.

Если вы зайдете под пользователем «Секретный» то вы сможете повысить уровень конфиденциальности файлов и работать с ними.

Не стоит забывать, что конфиденциальные файлы нельзя копировать в общедоступные папки, чтобы не допустить их утечки.

Контроль потоков данных

Контроль потоков данных используется для того, что бы запретить пользователям возможность понижения уровня конфиденциальности файлов.

Для этого нужно запустить «Локальные параметры безопасности»: «Пуск» – «Программы» –> «Secret Net 5» –> «Локальная политика безопасности», затем перейти в группу «Параметры Secret Net» –> «Настройки подсистем» и выбрать параметр «Полномочное управление доступом: Режим работы» и включить контроль потоков. Изменения вступят в силу после перезагрузки компьютера.

Если зайти (после перезагрузки) под пользователем «Секретный» появиться выбор уровня конфиденциальности для текущего сеанса. Выберите секретный уровень.

Если вы откроете файл с уровнем «Конфиденциально», отредактируете его и попробуете сохранить под другим именем и в другую папку, то вы получите ошибку, так как уровень сеанса (секретный) выше, чем уровень файла (конфиденциальный) и включен контроль потоков данных.

На этом все, если у вас остались вопросы задавайте их в комментариях.

Обучаю HTML, CSS, PHP. Создаю и продвигаю сайты, скрипты и программы. Занимаюсь информационной безопасностью. Рассмотрю различные виды сотрудничества.

Источник