혼란스러운 Windows 7 파일 / 공유 권한을 이해하는 방법

Windows의 모든 권한을 파악하려고 시도한 적이 있습니까? 공유 권한, NTFS 권한, 액세스 제어 목록 등이 있습니다. 모두 함께 작동하는 방법은 다음과 같습니다.

보안 식별자

Windows 운영 체제는 SID를 사용하여 모든 보안 주체를 나타냅니다. SID는 기계, 사용자 및 그룹을 나타내는 가변 길이의 영숫자 문자열입니다. 파일 또는 폴더에 사용자 또는 그룹 권한을 부여 할 때마다 SID가 ACL (액세스 제어 목록)에 추가됩니다. 씬 뒤에 SID는 다른 모든 데이터 객체와 같은 방식으로 이진으로 저장됩니다. 그러나 Windows에 SID가 표시되면 더 읽기 쉬운 구문을 사용하여 표시됩니다. Windows에서 어떤 형태의 SID를 보게되는 경우가 많지 않으며, 가장 일반적인 시나리오는 누군가에게 리소스에 대한 권한을 부여한 다음 해당 사용자 계정이 삭제 된 다음 ACL에 SID로 표시되는 것입니다. Windows에서 SID를 볼 수있는 일반적인 형식을 살펴 보겠습니다.

표시되는 표기법은 특정 구문을 사용하며 아래는이 표기법에서 SID의 다른 부분입니다.

1. ‘S’접두사
2. 구조 개정 번호
3. 48 비트 식별자 권한 값
4. 32 비트 하위 인증 기관 또는 상대 식별자 (RID) 값의 가변 수

아래 이미지에서 SID를 사용하면 이해를 돕기 위해 여러 섹션을 나눕니다.

SID 구조 :

'에스' – SID의 첫 번째 구성 요소는 항상‘S’입니다. 이것은 모든 SID의 접두사이며 Windows에 다음 내용이 SID임을 알려줍니다.
'1' – SID의 두 번째 구성 요소는 SID 스펙의 개정 번호입니다. SID 스펙이 변경되면 이전 버전과의 호환성을 제공합니다. Windows 7 및 Server 2008 R2부터 SID 사양은 여전히 ​​첫 번째 개정판에 있습니다.
‘5’ – SID의 세 번째 섹션을 식별자 기관이라고합니다. 이것은 SID가 생성 된 범위를 정의합니다. SID의이 섹션에 가능한 값은 다음과 같습니다.

1. 0 – 널 권한
2. 1 – 세계 권위
3. 2 – 지방 당국
4. 3 – 창조자 권한
5. 4 – 고유하지 않은 기관
6. 5 – NT 권한

‘21’ – 네 번째 구성 요소는 하위 인증 기관 1이며, 값 '21'은 네 번째 필드에 사용되어 다음에 나오는 하위 인증 기관이 로컬 시스템 또는 도메인을 식별하도록 지정합니다.
‘1206375286-251249764-2214032401’ –이를 하위 권한 2, 3 및 4라고합니다. 이 예에서는 로컬 컴퓨터를 식별하는 데 사용되지만 도메인의 식별자 일 수도 있습니다.
‘1000’ – 하위 인증 기관 5는 SID의 마지막 구성 요소이며 RID (상대 식별자)라고하며 RID는 각 보안 주체와 관련이 있습니다. Microsoft가 제공하지 않은 사용자 정의 개체는 다음과 같습니다. RID가 1000 이상입니다.

보안 주체

보안 주체는 SID가 첨부 된 것으로 사용자, 컴퓨터 및 그룹 일 수 있습니다. 보안 주체는 로컬이거나 도메인 컨텍스트에있을 수 있습니다. 컴퓨터 관리에서 로컬 사용자 및 그룹 스냅인을 통해 로컬 보안 주체를 관리합니다. 시작 메뉴에서 컴퓨터 바로 가기를 마우스 오른쪽 버튼으로 클릭하고 관리를 선택하십시오.

새 사용자 보안 주체를 추가하려면 사용자 폴더로 이동하여 마우스 오른쪽 단추를 클릭하고 새 사용자를 선택하십시오.

사용자를 두 번 클릭하면 소속 그룹 탭의 보안 그룹에 해당 사용자를 추가 할 수 있습니다.

새 보안 그룹을 만들려면 오른쪽의 그룹 폴더로 이동하십시오. 공백을 마우스 오른쪽 버튼으로 클릭하고 새 그룹을 선택하십시오.

공유 권한 및 NTFS 권한

Windows에는 두 가지 유형의 파일 및 폴더 권한이 있습니다. 먼저 공유 권한이 있고 둘째로 보안 권한이라고하는 NTFS 권한이 있습니다. 기본적으로 폴더를 공유하면 “모두”그룹에 읽기 권한이 부여됩니다. 폴더에 대한 보안은 일반적으로 공유 및 NTFS 권한의 조합으로 수행됩니다.이 경우 공유 권한이 Everyone = Read (기본값)로 설정된 경우와 같이 가장 제한적인 사항이 항상 적용된다는 점을 기억해야합니다. 그러나 NTFS 권한은 사용자가 파일을 변경할 수 있도록하며, 공유 권한이 우선권을 가지며 사용자는 변경할 수 없습니다. 권한을 설정하면 LSASS (Local Security Authority)가 리소스에 대한 액세스를 제어합니다. 로그온하면 SID가있는 액세스 토큰이 제공되고 리소스에 액세스 할 때 LSASS는 ACL에 추가 한 SID (액세스 제어 목록)를 비교하고 SID가 ACL에있는 경우 다음을 결정합니다. 액세스를 허용 또는 거부합니다. 어떤 권한을 사용하든 차이가 있으므로 언제 무엇을 사용해야하는지 더 잘 이해할 수 있습니다.

공유 권한 :

1. 네트워크를 통해 리소스에 액세스하는 사용자에게만 적용됩니다. 예를 들어 터미널 서비스를 통해 로컬로 로그온하는 경우에는 적용되지 않습니다.
2. 공유 리소스의 모든 파일과 폴더에 적용됩니다. 보다 세부적인 종류의 제한 체계를 제공하려면 공유 권한 외에 NTFS 권한을 사용해야합니다
3. FAT 또는 FAT32 형식의 볼륨이있는 경우 해당 파일 시스템에서 NTFS 권한을 사용할 수 없으므로이 형식 만 사용할 수 있습니다.

NTFS 권한 :

1. NTFS 권한에 대한 유일한 제한은 NTFS 파일 시스템으로 포맷 된 볼륨에서만 설정할 수 있다는 것입니다.
2. NTFS는 누적되는 것이므로 사용자에게 유효한 권한은 사용자에게 할당 된 권한과 사용자가 속한 그룹의 권한을 결합한 결과임을 의미합니다.

새로운 공유 권한

Windows 7은 새로운 “쉬운”공유 기술과 함께 구입했습니다. 옵션이 읽기, 변경 및 모든 권한에서로 변경되었습니다. 읽고 쓰기 / 쓰기. 이 아이디어는 전체 홈 그룹 정신의 일부였으며 컴퓨터를 사용하지 않는 사람들을위한 폴더를 쉽게 공유 할 수 있습니다. 상황에 맞는 메뉴를 통해 이루어지며 홈 그룹과 쉽게 공유 할 수 있습니다.

홈 그룹에 속하지 않은 사람과 공유하고 싶을 때는 항상“특정 사람…”옵션을 선택할 수 있습니다. 보다 정교한 대화 상자가 나타납니다. 특정 사용자 또는 그룹을 지정할 수있는 위치

앞에서 언급 한 것처럼 두 가지 권한 만 있으며 폴더와 파일에 대한 보호 체계를 모두 제공하거나 전혀 제공하지 않습니다.

1. 독서 권한은 “보지 말고 터치”옵션입니다. 수신자는 파일을 열 수는 있지만 수정할 수는 없습니다.
2. 읽기 / 쓰기 “아무것도”옵션입니다. 받는 사람은 파일을 열거 나 수정하거나 삭제할 수 있습니다.

올드 스쿨 웨이

이전 공유 대화 상자에는 더 많은 옵션이 있었고 폴더를 다른 별칭으로 공유하는 옵션을 제공하여 동시 연결 수를 제한하고 캐싱을 구성 할 수있었습니다. 이 기능은 Windows 7에서 손실되지 않지만“고급 공유”라는 옵션 아래 숨겨져 있습니다. 폴더를 마우스 오른쪽 버튼으로 클릭하고 해당 속성으로 이동하면 공유 탭에서 이러한 “고급 공유”설정을 찾을 수 있습니다.

로컬 관리자 자격 증명이 필요한 “고급 공유”버튼을 클릭하면 이전 버전의 Windows에서 익숙했던 모든 설정을 구성 할 수 있습니다.

권한 버튼을 클릭하면 모두 친숙한 3 가지 설정이 표시됩니다.

1. 독서 권한을 사용하면 파일과 하위 디렉토리를보고 열고 응용 프로그램을 실행할 수 있습니다. 그러나 변경할 수는 없습니다.
2. 수정 권한은 당신이 할 수있는 일을 할 수 있습니다 독서 권한은 파일과 하위 디렉토리를 추가하고 하위 폴더를 삭제하고 파일의 데이터를 변경하는 기능도 추가합니다.
3. 완전한 통제하에있는 이전 권한을 모두 수행 할 수 있으므로 기존 권한의 “무엇을 수행”입니다. 또한 고급 변경 NTFS 권한을 제공합니다. NTFS 폴더에만 적용됩니다.

NTFS 권한

NTFS 권한을 사용하면 파일과 폴더를 매우 세밀하게 제어 할 수 있습니다. 그와 같이 입도의 양은 새로운 이민자에게 어려울 수 있습니다. 파일 단위 및 폴더 단위로 NTFS 권한을 설정할 수도 있습니다. 파일에서 NTFS 권한을 설정하려면 마우스 오른쪽 버튼을 클릭하고 파일 탭으로 이동 한 다음 보안 탭으로 이동해야합니다.

사용자 또는 그룹의 NTFS 권한을 편집하려면 편집 버튼을 클릭하십시오.

보시다시피 NTFS 권한이 상당히 많으므로 세분화하십시오. 먼저 파일에서 설정할 수있는 NTFS 권한을 살펴 보겠습니다.

1. 완전한 통제하에있는 파일을 읽고, 쓰고, 수정하고, 실행하고, 속성과 권한을 변경하고, 소유권을 가질 수 있습니다.
2. 수정 파일 속성을 읽고, 쓰고, 수정하고, 실행하고, 변경할 수 있습니다.
3. 읽기 및 실행 파일의 데이터, 속성, 소유자 및 권한을 표시하고 프로그램 인 경우 파일을 실행할 수 있습니다.
4. 독서 파일을 열고 해당 속성, 소유자 및 권한을 볼 수 있습니다.
5. 쓰다 파일에 데이터를 쓰고 파일에 추가하고 해당 속성을 읽거나 변경할 수 있습니다.

폴더의 NTFS 권한에는 약간 다른 옵션이 있으므로 살펴볼 수 있습니다.

1. 완전한 통제하에있는 폴더의 파일을 읽고, 쓰고, 수정하고, 실행하고, 속성, 권한을 변경하고, 폴더 내의 파일을 소유 할 수 있습니다.
2. 수정 폴더의 파일을 읽고, 쓰고, 수정하고, 실행할 수 있으며 폴더 내의 파일 속성을 변경할 수 있습니다.
3. 읽기 및 실행 폴더의 내용을 표시하고 폴더 내의 파일에 대한 데이터, 속성, 소유자 및 권한을 표시하고 폴더 내의 파일을 실행할 수 있습니다.
4. 폴더 내용 나열 폴더의 내용을 표시하고 폴더 내의 파일에 대한 데이터, 속성, 소유자 및 권한을 표시 할 수 있습니다.
5. 독서 파일의 데이터, 속성, 소유자 및 권한을 표시 할 수 있습니다.
6. 쓰다 파일에 데이터를 쓰고 파일에 추가하고 해당 속성을 읽거나 변경할 수 있습니다.

Microsoft의 설명서에는 “폴더 내용 나열”을 통해 폴더 내에서 파일을 실행할 수 있지만 “읽기 및 실행”을 활성화해야한다고 명시되어 있습니다. 매우 혼란스럽게 문서화 된 권한입니다.

개요

요약하면 사용자 이름과 그룹은 SID (Security Identifier)라는 영숫자 문자열을 나타내며 공유 및 NTFS 권한은 이러한 SID에 연결됩니다. 공유 권한은 네트워크를 통해 액세스 할 때만 LSSAS에 의해 확인되는 반면 NTFS 권한은 로컬 시스템에서만 유효합니다. Windows 7의 파일 및 폴더 보안이 구현되는 방식에 대해 모두 잘 알고 있기를 바랍니다. 질문이 있으시면 언제든지 의견을 보내주십시오.