Segredos do Windows: Oculto a olhos vistos
Como você impede o Windows Explorer de mostrar arquivos aos quais um determinado usuário não deveria ter acesso? Experimente estas dicas para manter alguém longe dos seus arquivos ocultos.
Raymond Chen
Quando você pede que o Windows Explorer para mostrar o conteúdo do diretório de sistema de arquivos, ele lhe mostrará o conteúdo da pasta conforme orientado pelo sistema de arquivos. Se o sistema de arquivos tiver itens ocultos, em seguida, por padrão, Windows Explorer irá suprimir o item da exibição.
Você pode configurar os itens da lista do painel de controle opções de pasta suprime a Windows Explorer. Você ainda pode optar por mostrar itens ocultos e “ operacional arquivos protegidos do sistema ” (conhecida internamente como “ super-oculto ”, como se elas tivessem uma gigante H impressa em suas camisas). Uma coisa que não tenha o Windows Explorer, no entanto, é uma configuração para suprimir os itens aos quais o usuário não tem acesso.
Windows Explorer se baseia no sistema de arquivos para fazer o trabalho pesado. Se o diretório contém uma subpasta inacessível, a função de enumeração do sistema de arquivos não se importa. Você terá que fornecer o conteúdo do diretório e que is what you get.
Você pode confirmar isso para um prompt de comando e fazendo um dir: comando. O resultado é o conteúdo do diretório, se você tem acesso a todo conteúdo desses ou não. As funções de enumeração do sistema de arquivo preocupam apenas com a permissão de FILE_LIST_DIRECTORY conhecida dentro da interface do usuário como “ lista de permissão de pasta ”. Se você conceder a um usuário a permissão Listar o conteúdo de um diretório, o usuário pode ver o conteúdo do diretório.
Controle de acesso
Por que o Windows Explorer não tem uma opção para filtrar os itens aos quais o usuário não tem acesso? Primeiro, essa opção tornaria mais lenta de enumeração de diretório. Para cada item que vem de volta de FindNextFile, o Windows Explorer teria que executar uma verificação de segurança para o arquivo para ver se o usuário tem permissão de acesso. Enumeração de um arquivo em um computador remoto (que é um cenário comum), significa que um ou dois, possivelmente, chamadas de rede de ida e volta por item.
Um diretório com 1000 arquivos, usado para fazer solicitações de rede apenas 12, agora terão 1,012. Quando você está falando com um servidor de rede intermediário em todo o mundo com uma hora 500ms ping, o diretório de listagem que costumava demorar seis segundos agora tem mais de três minutos.
Outro grande problema é que a tentativa de acessar cada arquivo para determinar a permissão de acesso do usuário pode resultar em uma grande quantidade de acessos com falha. Isso significa, por sua vez, muitas entradas de auditoria nos logs de segurança. Essas entradas de auditoria são uma fonte de preocupação para empresas de estudo-los nos logs de segurança (e as pessoas que pedem a esse recurso geralmente estudar seus logs de segurança).
Elas geram muito ruído, o que torna mais difícil identificar ameaças de segurança real de uma organização. Com esse recurso ativado, cada usuário é parecido com como um hacker metodicamente todos os arquivos de teste do sistema em busca de um com fraco listas de controle de acesso.
Primeiras tentativas de trazer o logon de estilo do Windows XP para domínios teve um problema similar com os administradores de TI. Windows XP automaticamente conectado ao usuário se sua senha em branco. Para fazer isso, ele tentou fazer o usuário logon com uma senha em branco. Se ele falhar, exibido o prompt de senha.
Esse algoritmo resultou em logs de segurança preenchendo “ senha inválida ” tentativas de logon. Isso desenhei preocupação dos administradores de TI não apenas para torná-lo mais difícil de encontrar autêntico tentar invadir os sistemas, mas também para torná-lo aos usuários muito mais prováveis seriam bloquear acidentalmente suas contas após muitas tentativas de logon sem êxito.
Quando solicitado a equipe do Windows Explorer que as pessoas sobre como adicionar esse recurso, o pessoal do Windows Explorer explicou todos esses problemas. Eles também apontado uma solução — você só precisa fazer uma pergunta específica do menor. Em vez de solicitar o Windows Explorer para fazer a filtragem, fazer a filtragem no sistema de arquivos.
A solução tradicional para ocultar os itens de usuários que não tenham permissão de acesso é colocá-los em um subdiretório onde os usuários não têm permissões de pasta. Windows Server 2003 SP 1 introduziu um recurso conhecido como a enumeração baseado em Access (freqüentemente abreviado ABE). Se você configurar um compartilhamento com enumeração de acesso, o servidor irá filtrar arquivos e diretórios para os usuários que não têm acesso.
Dado esse recurso é implementado no redirecionador de sistema de arquivos, a configuração se aplica apenas aos compartilhamentos. Acesso por meio de caminhos locais continua a se comportar como antes. Porque você está solicitando que o servidor para fazer mais trabalho, a enumeração de diretório será um pouco mais lenta. Cada item deve ser selecionada antes de que será retornado ao cliente. Para obter mais detalhes, consulte o informe oficial de enumeração de Access .
.jpg)
Raymond Chen Web site, O Old New Thing, e escreveu um livro (Addison-Wesley, 2007) homônimo lida com a história do Windows, a programação do Win32 e princípio de Le Chatelier