Windows Confidential: Informazioni nascoste, eppure disponibili
In che modo è possibile fare in modo che Esplora risorse non mostri file a cui un altro utente non deve accedere? Questi suggerimenti sono estremamente utili per tenere al sicuro i propri file nascosti.
Raymond Chen
Quando si Esplora risorse per visualizzare il contenuto di una directory di file system, mostrerà è il contenuto della directory come indicato dal file system. Se il file system ha elementi nascosti, per impostazione predefinita, Windows Explorer verrà eliminare l'elemento da visualizzare.
È possibile configurare gli elementi Esplora Elimina dall'elenco di Opzioni cartella nel Pannello di controllo. È anche possibile visualizzare gli elementi nascosti e “ file protetti di sistema ”, detti internamente “ nascosto super ”, come se questi fosse un enorme H stampata sulla loro magliette. Una cosa che Esplora risorse non è disponibile, tuttavia, è un'impostazione per eliminare gli elementi a cui l'utente non dispone di accesso.
Esplora risorse si basa sul file system a scopo di pesanti. Se la directory contiene una sottocartella inaccessibile, non occupa la funzione di enumerazione file di sistema. È richiesto il contenuto della directory e che is what you get.
Per verificare questo eliminando un prompt e eseguendo un comando dir: comando. Il risultato è il contenuto della directory, se si dispone di accesso a tutti i contenuti. Le funzioni di enumerazione file system si occupa solo sull'autorizzazione FILE_LIST_DIRECTORY, noto all'interno dell'interfaccia “ elenco cartella autorizzazione ”. Se si concede un'autorizzazione utente per elencare il contenuto di una directory, l'utente può visualizzare il contenuto della directory.
Controllo di accesso
Perché non è un'opzione per filtrare gli elementi a cui l'utente non dispone di accesso in Windows Explorer? In primo luogo, tale opzione renderebbe più lenta enumerazione di directory. Per ogni elemento che viene restituita dal FindNextFile, Esplora sarebbe necessario eseguire un controllo di protezione sul file per vedere se l'utente dispone dell'autorizzazione di accesso. Se si sta l'enumerazione di un file su un computer remoto (che è uno scenario comune), significa che uno o due probabilmente chiamate di rete roundtrip per ciascun elemento.
Una directory con file di 1.000, utilizzata per scattare le richieste di rete solo 12, avrà ora 1,012. Quando parla di un server di rete a metà del mondo con un tempo di ping 500ms directory di elenco che consente di eseguire sei secondi ora ha più di tre minuti.
Un altro problema principale è che tenta di accedere a tutti i file per determinare le autorizzazioni di accesso utente possono causare numerosi accessi non riusciti. Ciò significa che a sua volta numerose voci di controllo nei registri di protezione. Queste voci di controllo sono una fonte di preoccupazione per le aziende che li studiare nei registri di protezione (e le persone che richiede spesso questa funzionalità studiare i registri di protezione).
Generano una grande quantità di disturbo, rende più difficile identificare i pericoli di protezione all'interno di un'organizzazione. Con questa funzione attivata, ogni utente finisce alla ricerca come un hacker test metodicamente tutti i file del sistema alla ricerca di uno con debole elenchi di controllo di accesso.
Primi tentativi di portare l'accesso di stile di Windows XP per domini ha un problema simile con gli amministratori IT. Windows XP connesso automaticamente l'utente se la password è vuota. A tale scopo, il tentativo di accesso l'utente con una password vuota. Se non è riuscito, visualizzata la richiesta di password.
Questo algoritmo ha riempito con tentativi di accesso “ password non valida ” i registri di protezione. Si allineano preoccupazione da amministratori IT non solo per rendere più difficili da trovare autentica i tentativi di infiltrazione dei sistemi, ma anche per rendendo molto più probabile che gli utenti dovrebbe bloccare accidentalmente i relativi account dopo un numero eccessivo di tentativi di accesso.
Quando persone viene chiesto al team di Gestione risorse sull'aggiunta di questa funzionalità, il personale Esplora illustrati questi problemi. È inoltre indicata una soluzione, è sufficiente formulare una domanda meno specifico. Invece di richiedere di Esplora risorse per effettuare il filtraggio, eseguire il filtro del file System.
La soluzione tradizionale per nascondere gli elementi dagli utenti che non dispongono dell'autorizzazione di accesso consiste nell'inserirli in una sottodirectory in cui gli utenti non dispongano di autorizzazioni per le cartelle. Windows Server 2003 Service Pack 1 viene introdotta una funzionalità nota come enumerazione basato su Access (spesso abbreviato ABE). Se si configura una condivisione con enumerazione basato su Access, il server verrà filtrare i file e le directory a cui gli utenti non hanno accesso.
Dato questa funzionalità viene implementata nel redirector dei file di sistema, l'impostazione viene applicata solo alle condivisioni. Accesso tramite percorsi locali continua a funzionare come prima. Perché viene chiesto al server di eseguire ulteriori operazioni, enumerazione directory sarà leggermente più lento. Ogni elemento deve essere verificato prima che venga restituito al client. Per ulteriori dettagli, consultare il white paper di enumerazione basato su Access .
Raymond Chen Web sito, The Old New Thing e libro intitolato identico (Addison-Wesley, 2007) si occupa della cronologia di Windows, programmazione Win32 e principio di Le Chatelier