Quyền NTFS cho thư mục mẹ để có thể truy cập các thư mục con

5

Kịch bản nhanh trên hệ thống Windows cục bộ.

Lái xe E: được định dạng với NTFS có bố cục và quyền sau: 

E:\                  (JohnDoe)
E:\folder            (Administrator)
E:\folder\subfolder  (JohnDoe)
  • JohnDoe có quyền truy cập đọc / ghi vào thư mục gốc.
  • JohnDoe có quyền truy cập đọc / ghi subfolder
  • JohnDoe làm KHÔNG PHẢI có quyền truy cập vào folder
  • JohnDoe làm KHÔNG PHẢI có khả năng thay đổi quyền.

Kể từ khi JohnDoe không thể truy cập folder và do đó không thể liệt kê nội dung, anh ta phải gõ vào đường dẫn E:\folder\subfolder thủ công Không có cách "có thể nhấp" để lấy từ E:\ đến subfolder.

Đây là câu hỏi: Có cách nào cho JohnDoe để khám phá sự tồn tại và con đường của truy cập subfolder, mà không thể liệt kê nội dung của nó folder? Giả sử rằng anh ta đã không nói với subfolder Tên và các quyền không thay đổi so với những gì được nêu ở trên.

Vì vấn đề này, hãy bỏ qua khả năng tấn công vũ phu để đoán subfolder 'tên của. Chỉ cho phép các phương pháp không vũ phu.

windows  permissions  ntfs  acl 
Unsigned
nguồn

Câu trả lời:

4

NTFS không cung cấp phương thức để khám phá các thư mục con từ xa như vậy trong chính nó, giả sử rằng thư mục trung gian thực sự không có quyền truy cập. Để có được trí thông minh như vậy, bạn phải nhìn xa hơn hệ thống tệp, có lẽ bằng cách thẩm vấn các tệp khác cho các đường dẫn có trong phần mở rộng hoặc bất kỳ lối tắt nào đặt về tham chiếu các thư mục con đó.

Mọi thứ trở nên thú vị hơn nếu JohnDoe có quyền truy cập vào máy. Tại thời điểm kiểm tra xử lý tệp mở có thể tiết lộ sự hiện diện của các thư mục ẩn. Nếu thư mục được chia sẻ, danh sách các tệp đang mở để chia sẻ cũng sẽ tiết lộ sự hiện diện của chúng. Những phương pháp này sẽ không hoạt động cho người dùng 'bình thường'.

SysAdmin1138
nguồn
JohnDoe không có quyền truy cập vào thư mục trung gian.
Unsigned
4
Đây là câu trả lời đúng cho Windows - nếu bạn không có quyền "Đọc" trên folder, bạn không thể liệt kê nội dung của nó. Nhưng lưu ý rằng, mặc dù người ta sẽ mong đợi folder\subfolder hoàn toàn không thể truy cập do thiếu sự cho phép "Traverse" trên folder (tương ứng với x bit trên Unix), theo mặc định, Windows cung cấp cho mọi người đặc quyền "Bỏ qua kiểm tra ngang" và subfolder vẫn có thể truy cập nếu đường dẫn đầy đủ của nó được biết đến.
grawity
1
@grawity: Tôi biết nó có thể truy cập. Đó chỉ là một phần của con đường đầy đủ. Tôi tò mò liệu có cách nào để xác định đường dẫn đầy đủ khi đó là không phải được biết đến.
Unsigned
1

Tạo một đường nối cho thư mục con trong thư mục gốc. 

E:\
E:\folder
E:\folder\subfolder
E:\junction-to-subfolder

Sử dụng lệnh: 

MkLink /j "E:\junction-to-subfolder" "E:\folder\subfolder"

Bây giờ JohnDoe có thể nhìn thấy và truy cập thư mục con đó một cách dễ dàng.

CHỈNH SỬA: Để xóa đường giao nhau mà không ảnh hưởng đến mục tiêu, hãy sử dụng: 

RD "E:\junction-to-subfolder"
Hand-E-Food
nguồn
Tôi không nghĩ bạn hiểu câu hỏi. Tôi tò mò muốn biết nếu JohnDoe có thể tự tìm thư mục mà không cần bất kỳ mối nối nào.
Unsigned
Xin lỗi, tôi đọc "làm thế nào có thể" thay vì "nếu".
Hand-E-Food
Đây phải là cách các thư mục được thực hiện ở nơi đầu tiên. Điều này không chỉ giới hạn khả năng khám phá của các thư mục con mà còn giải quyết được "Vấn đề vượt qua".
surfasb
0

Tôi đã sử dụng một thiết lập tương tự và dường như người dùng sẽ vấp vào thư mục. Vấn đề trong trường hợp của bạn là bây giờ nó sẽ được truy cập. Nếu sắp có một tập lệnh bó hoặc ánh xạ ổ đĩa, thì người dùng có thể có thể khám phá nó nếu họ hiểu biết. Tôi biết trong Windows bạn có thể ẩn các ký tự ổ đĩa, nhưng điều đó có thể không đủ.

Tôi sẽ đề nghị nếu bạn không muốn họ truy cập nó, đừng cho phép họ, nếu có thể. Sử dụng một tài khoản khác cho nhiệm vụ mà bạn đang thực hiện (ví dụ: chạy tập lệnh bó để sao lưu hoặc bất cứ điều gì).

Thật khó để đưa ra lời khuyên cụ thể hơn khi không biết nhiều hơn về những gì bạn muốn thực hiện trong khi không cho người dùng biết. Có thể có một cách khác nhau.

Scott McClenning
nguồn
Tôi không chắc bạn hiểu câu hỏi. Bạn có ý nghĩa gì "vấp ngã"? Không có chương trình, chia sẻ, vv tham chiếu thư mục này.
Unsigned
Nếu máy tính mà người dùng đang sử dụng không biết hoặc sử dụng chia sẻ, người dùng sẽ không biết về chia sẻ đó và sẽ không ai nói cho người dùng biết. Sau đó, tôi không thấy làm thế nào người dùng có thể tự mình phát hiện ra nó tồn tại.
Scott McClenning
Đây không phải là chia sẻ, đây là một thư mục trên ổ cứng được kết nối cục bộ. Các quyền đã được nêu ở trên. Tôi tò mò muốn biết liệu có cách nào xác định sự tồn tại của thư mục mà không thể liệt kê trực tiếp thư mục mẹ hay không.
Unsigned
Câu của bạn "Tôi đã sử dụng một thiết lập tương tự và có vẻ như người dùng sẽ vấp vào thư mục" là một chút mơ hồ.
Unsigned
Quyền của bạn, tôi viết sai, không chia sẻ, nhưng họ sẽ không biết "thư mục con" trong phần chia sẻ tồn tại. Điều đó nói rằng, tôi vẫn đứng vững rằng không thể phát hiện ra nó tồn tại khi không được nói hoặc vũ phu (mà bạn loại trừ). Theo như mơ hồ, bạn đã không tiết lộ nhiều về lý do tại sao một thư mục như vậy sẽ cần phải tồn tại. Nếu người dùng không nên tìm thấy nó, tại sao lại cho họ quyền truy cập?
Scott McClenning
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.