La vie secrète de Windows : Masquer au vu et au su de tous
Comment empêchez-vous l'Explorateur Windows d'afficher des fichiers auxquels un utilisateur ne devrait pas avoir le droit d'accéder ? Testez ces astuces pour garder les utilisateurs à distance de vos fichiers masqués.
Raymond Chen
Lorsque vous demandez à l'Explorateur Windows pour vous afficher le contenu d'un répertoire de système de fichiers, il va vous montrer le contenu du répertoire comme indiqué par le système de fichiers. Si le système de fichiers possède des éléments masqués, puis par défaut, l'Explorateur Windows supprimera l'élément de l'affichage.
Vous pouvez configurer les éléments de l'Explorateur Windows supprime de la liste à partir du Panneau de configuration Options des dossiers. Vous pouvez même choisir d'afficher les éléments masqués et “ fichiers du système d'exploitation protégés ” (appelée en interne “ super masqués, ” comme si elles avaient un gigantesque H imprimé sur leurs maillots). Une chose que l'Explorateur Windows n'a pas, cependant, est un paramètre pour supprimer les éléments auxquels l'utilisateur n'a pas accès.
L'Explorateur Windows s'appuie sur le système de fichiers pour faire le gros du travail. Si le répertoire contient un sous-dossier inaccessible, la fonction d'énumération de fichier système ne tient pas compte. Vous l'avez demandé le contenu du répertoire, et c'est ce que vous obtenez.
Vous pouvez le vérifier en déposant à une invite de commande et en effectuant l'un répertoire : commande. Le résultat est le contenu de l'annuaire, si vous avez accès à tous les ce contenu ou pas. Les fonctions d'énumération de fichier système en charge uniquement sur l'autorisation FILE_LIST_DIRECTORY, au sein de l'interface utilisateur en tant que “ liste autorisation de dossier ”. Si vous accordez une autorisation utilisateur pour répertorier le contenu d'un répertoire, l'utilisateur peut voir le contenu du répertoire.
Contrôle d'accès
Pourquoi l'Explorateur Windows n'a pas une option pour filtrer les éléments auxquels l'utilisateur n'a pas accès ? Tout d'abord, cette option serait énumération de répertoire plus lente. Pour chaque élément revient à partir de la fonction FindNextFile, l'Explorateur Windows devra effectuer une vérification de sécurité sur le fichier pour voir si l'utilisateur a l'autorisation d'accès. Si vous utilisez l'énumération d'un fichier sur un ordinateur distant (ce qui est un scénario courant), cela signifie que d'un ou deux éventuellement aller-retour réseau appels par article.
Un répertoire avec des fichiers de 1 000, qui permet de prendre les demandes de réseau que 12, prendra désormais 1,012. Lorsque vous parlez à un serveur réseau à mi-chemin dans le monde entier avec un délai ping de 500 ms, votre répertoire de listage utilisé pour prendre six secondes est maintenant plus de trois minutes.
Un autre problème majeur est que chaque fichier afin de déterminer l'utilisateur l'autorisation d'accès peut entraîner un grand nombre d'accès a échoué. Cela signifie à son tour un grand nombre d'entrées d'audit dans les journaux de sécurité. Ces entrées d'audit sont une source de préoccupation aux sociétés qui les étudier dans les journaux de sécurité (et leurs journaux de sécurité d'étudier les personnes qui demandent souvent cette fonctionnalité).
Ils génèrent beaucoup de bruit, ce qui rend plus difficile d'identifier les menaces de sécurité au sein d'une organisation. Avec cette fonctionnalité est activée, chaque utilisateur finit par recherche comme un pirate méthodiquement tester tous les fichiers dans le système recherche d'un faible listes de contrôle d'accès.
Premières tentatives pour mettre le style Windows XP d'ouverture de session à des domaines a rencontré un problème semblable avec les administrateurs informatiques. Windows XP connecté automatiquement l'utilisateur si son mot de passe est vide. Pour ce faire, il a essayé de se connecter l'utilisateur avec un mot de passe vide. Si elle a échoué, il affiche l'invite de mot de passe.
Cet algorithme a entraîné les journaux de sécurité saturation “ mot de passe non valides ” les tentatives d'ouverture de session. Cela a établi concernent des administrateurs informatiques non seulement pour les rendre plus difficile à trouver authentiques tentatives d'infiltration de leurs systèmes, mais également pour en faire beaucoup plus susceptibles d'utilisateurs seraient verrouiller accidentellement leurs comptes suivent les tentatives d'ouverture de session trop nombreuses.
Lorsque les personnes demandé à l'équipe de l'Explorateur Windows sur l'ajout de cette fonctionnalité, les gens de l'Explorateur Windows a expliqué tous ces problèmes. Ils remarquer également une solution, il vous suffit de poser une question de la moins spécifique. Au lieu de vous demander de l'Explorateur Windows pour effectuer le filtrage, effectuer le filtrage dans le système de fichiers.
Le masquage d'éléments à partir d'utilisateurs qui n'ont pas l'autorisation d'accès, la solution traditionnelle consiste à les placer dans un sous-répertoire dans lequel les utilisateurs n'ont pas les autorisations de dossier. Windows Server 2003 Service Pack 1 introduit une fonctionnalité connue en tant qu'énumération basée sur l'accès (souvent abrégé alternatif). Si vous configurez un partage avec l'énumération basée sur Access, le serveur va éliminer les fichiers et des répertoires auxquels les utilisateurs n'ont pas accès.
Étant donné cette fonctionnalité est implémentée dans le redirecteur du système de fichiers, le paramètre s'applique uniquement aux partages. Accès à l'aide de chemins d'accès locaux continue à se comportent comme avant. Étant donné que vous demandez le serveur pour effectuer plus de travail, énumération du répertoire sera légèrement plus lente. Chaque élément doit être vérifié avant qu'elle est renvoyée au client. Pour plus d'informations, consultez le document énumération basée sur Access .
.jpg)
Raymond Chen Web site, The Old New Thing, et même intitulée livre (Addison-Wesley, 2007) traite de l'historique de Windows, programmation Win32 et principe de Chatelier Le