Confidencial de Windows: Ocultar en la vista normal
¿Cómo evita el Explorador de Windows no se muestren los archivos a la que el usuario no debe tener acceso? Pruebe estas sugerencias para evitar que un usuario de los archivos ocultos.
Raymond Chen
Cuando se solicita el Explorador de Windows para mostrar el contenido de un directorio de sistema de archivos, le mostrará el contenido del directorio de acuerdo con el sistema de archivos. Si el sistema de archivos tiene elementos ocultos, a continuación, de forma predeterminada, el Explorador de Windows suprime el elemento de la pantalla.
Puede configurar los elementos de explorador de Windows que se suprime de la lista del panel de control Opciones de carpeta. Incluso puede elegir mostrar los elementos ocultos y “ operativo archivos protegidos del sistema ” (conocida internamente como “ Super-Hidden, ” como si tuvieran un H gigante impreso en sus camisetas). Una cosa que no tiene el Explorador de Windows, no obstante, es una opción para suprimir los elementos a la que el usuario no tiene acceso.
Explorador de Windows se basa en el sistema de archivos para hacer el trabajo pesado. Si el directorio contiene una subcarpeta inaccesible, la función de enumeración del sistema de archivos le es indiferente. Solicitó el contenido del directorio y es lo que se obtiene.
Puede confirmarlo si quita a un símbolo del sistema y realizar un dir: comando. El resultado es el contenido del directorio, si tiene acceso a todo el contenido de esos o no. Las funciones de enumeración de archivos del sistema sólo importan el permiso FILE_LIST_DIRECTORY, conocido en la interfaz de usuario como “ lista de permisos de carpeta ”. Si se concede un permiso de usuario para mostrar el contenido de un directorio, a continuación, el usuario puede ver el contenido del directorio.
Control de acceso
¿Por qué los explorador de Windows no tiene una opción para filtrar los elementos a la que el usuario no tiene acceso? En primer lugar, esa opción sería más lenta de la enumeración de directorios. Para todos los elementos que regresa de FindNextFile, Explorador de Windows tiene que realizar una comprobación de seguridad en el archivo si el usuario tiene permiso de acceso. Si va a enumerar un archivo en un equipo remoto (que es un escenario común), significa que uno o dos, posiblemente, llamadas de red de ida y vuelta por artículo.
Un directorio con los archivos de 1.000, que se utiliza para realizar las solicitudes de red sólo 12, ahora tendrá 1.012. Cuando está hablando en un servidor de red hasta la mitad del mundo con un tiempo de ping de 500 ms, la lista se utiliza para tener seis segundos ahora tiene más de tres minutos de directorios.
Otro problema importante es intenta tener acceso a cada archivo para determinar el permiso de acceso de usuario puede dar lugar a una gran cantidad de accesos erróneos. Esto significa que a su vez una gran cantidad de entradas de auditoría en los registros de seguridad. Estas entradas de auditoría son una fuente de preocupación para las empresas que les estudiar en los registros de seguridad (y sus registros de seguridad de estudio de las personas que piden esta característica con frecuencia).
Generan una gran cantidad de ruido, lo que es más difícil de identificar las amenazas de seguridad real de una organización. Esta característica está habilitada, se terminan el aspecto de un pirata informático metódicamente las pruebas de todos los archivos en el sistema busca uno con débil todos los usuarios tener acceso a las listas de control.
Intentos de tiempo de compilación para que aparezca el inicio de sesión de estilo de Windows XP para dominios se ejecutaban en un problema similar con los administradores de TI. Windows XP sesión automáticamente al usuario si su contraseña está en blanco. Para ello, ha intentado la sesión del usuario con una contraseña en blanco. Si se produjo un error, a continuación, muestra la solicitud de contraseña.
Este algoritmo dio como resultado registros de seguridad se llene con “ contraseña ” intentos de inicio de sesión. Esto ha dibujado preocupaciones de los administradores de IT no sólo para hacerla más difíciles de encontrar original intenta infiltrarse en sus sistemas, pero también para lo que los usuarios mucho más probable que accidentalmente bloquearía a sí mismos sus cuentas en el siguiente a demasiados intentos de inicio de sesión.
Cuando los usuarios más frecuentes del equipo en el Explorador de Windows acerca de cómo agregar esta característica, la gente del explorador de Windows se ha explicado todos estos problemas. Señaló también una solución, sólo tiene que hacer una pregunta específica de menos. En lugar de pedir el Explorador de Windows para realizar el filtrado, realice el filtrado en el sistema de archivos.
La solución tradicional para ocultar los elementos de los usuarios que no tienen permiso de acceso es colocarlos en un subdirectorio donde los usuarios no tienen permisos de carpeta. Windows Server 2003 Service Pack 1 introdujo una característica conocida como basadas en Access (enumeración) (a menudo abreviado ABE). Si configura un recurso compartido de con la enumeración basada en el acceso, el servidor filtrará los archivos y directorios a los usuarios que no tiene acceso.
Dado que esta característica se implementa en el redirector del sistema de archivos, la configuración se aplica sólo a los recursos compartidos. Acceso a través de las rutas de acceso locales continúa se comportan igual que antes. Debido a está la solicitud al servidor para realizar más trabajo, la enumeración del directorio será ligeramente más lenta. Cada elemento se debe comprobar antes de que se devuelve al cliente. Para obtener más información, consulte las notas del producto (enumeración) de Access en .
.jpg)
Raymond Chen The Old New Thing, y con nombres idénticos de título de libro (Addison-Wesley, 2007) se ocupa del historial de Windows, programación de Win32 y principio de Le Chatelier