Problemas con el sistema de archivos de Windows ¿Por qué obtengo acceso denegado?

Problemas con el sistema de archivos de Windows ¿Por qué obtengo acceso denegado? / Pregunte a los expertos

Desde el sistema de archivos NTFS De FAT a NTFS a ZFS: sistemas de archivos desmitificados de FAT a NTFS a ZFS: sistemas de archivos desmitificados Los diferentes discos duros y sistemas operativos pueden usar sistemas de archivos diferentes. Esto es lo que eso significa y lo que necesitas saber. Read More se introdujo como el formato predeterminado en las ediciones para consumidores de Windows (comenzando con Windows XP), las personas han tenido problemas con el acceso a sus datos en unidades internas y externas. Los atributos de archivos simples ya no son la única causa de problemas al encontrar y usar sus archivos. Ahora tenemos que lidiar con los permisos de archivos y carpetas, como descubrió uno de nuestros lectores.

La pregunta de nuestro lector:

No puedo ver las carpetas en mi disco duro interno. Yo corri el comando “attrib -h -r -s / s / d” y muestra acceso denegado en cada carpeta. Puedo ir a las carpetas con el comando Ejecutar pero no puedo ver las carpetas en mi disco duro. Cómo puedo solucionar esto?

Respuesta de Bruce:

Aquí hay algunas suposiciones seguras basadas en la información que hemos recibido: El sistema operativo es Windows XP o posterior; el sistema de archivos en uso es NTFS; el usuario no tiene permisos de Control total en la parte del sistema de archivos que está tratando de manipular; no están en el contexto del Administrador; y los permisos predeterminados en el sistema de archivos pueden haber sido alterados.

Todo En Windows es un objeto, ya sea una clave de registro, una impresora o un archivo. A pesar de que utilizan los mismos mecanismos para definir el acceso de los usuarios, restringiremos nuestra discusión a los objetos del sistema de archivos para que sea lo más simple posible..

Control de acceso

Alerta de seguridad roja: 10 blogs de seguridad informática que debe seguir hoy Alerta roja: 10 blogs de seguridad informática que debe seguir hoy La seguridad es una parte crucial de la informática, y debe esforzarse por educarse y mantenerse actualizado. Usted querrá revisar estos diez blogs de seguridad y los expertos en seguridad que los escriben. Leer más de cualquier tipo tiene que ver con el control quien puede hacer algo en el objeto que se asegura. ¿Quién tiene la tarjeta llave para desbloquear la puerta para entrar en el recinto? ¿Quién tiene las llaves para abrir la oficina del CEO? ¿Quién tiene la combinación para abrir la caja fuerte en su oficina??

El mismo tipo de pensamiento se aplica a la seguridad de los archivos y carpetas en los sistemas de archivos NTFS. Todos los usuarios del sistema no tienen una necesidad justificada de acceder a todos los archivos del sistema, ni tampoco necesitan tener el mismo tipo de acceso a estos archivos. Al igual que todos los empleados de una empresa, no es necesario que tengan acceso a la caja de seguridad en la oficina del CEO, ni a la capacidad de modificar los informes corporativos, aunque se les puede permitir leerlos..

Permisos

Windows controla el acceso a los objetos del sistema de archivos (archivos y carpetas) mediante la configuración de permisos para usuarios o grupos. Estos especifican qué tipo de acceso tiene el usuario o grupo al objeto. Estos permisos se pueden establecer en permitir o negar un tipo específico de acceso, y se puede establecer explícitamente en el objeto, o implícitamente a través de la herencia de su carpeta principal.

Los permisos estándar para archivos son: Control total, Modificar, Leer y ejecutar, Leer, Escribir y Especial. Las carpetas tienen otro permiso especial, llamado Lista de contenidos de la carpeta. Estos permisos estándar son conjuntos predefinidos de permisos avanzados que permiten un control más granular, pero que normalmente no son necesarios fuera de los permisos estándar.

Por ejemplo, el Leer y ejecutar permiso estándar incluye los siguientes permisos avanzados:

  • Traverse Folder / Execute File
  • Listar carpeta / Leer datos
  • Leer los atributos
  • Leer los atributos extendidos
  • Permisos de lectura

Listas de control de acceso

Cada objeto en el sistema de archivos tiene una Lista de control de acceso (ACL) asociada. La ACL es una lista de identificadores de seguridad (SID) que tienen permisos en el objeto. El subsistema de autoridad de seguridad local (LSASS) comparará el SID adjunto al token de acceso dado al usuario al iniciar sesión en los SID en la ACL para el objeto al que el usuario intenta acceder. Si el SID del usuario no coincide con ninguno de los SID en la ACL, se denegará el acceso. Si coincide, el acceso solicitado se otorgará o denegará según los permisos para ese SID.

También hay un orden de evaluación para los permisos que deben ser considerados. Los permisos explícitos tienen prioridad sobre los permisos implícitos, y los permisos de denegación tienen prioridad sobre los permisos permitidos. En orden, se ve así:

  1. Negación explícita
  2. Permitir explícito
  3. Negación implícita
  4. Permiso implícito

Permisos de directorio raíz predeterminados

Los permisos otorgados en el directorio raíz de una unidad varían ligeramente, dependiendo de si la unidad es la unidad del sistema o no. Como se ve en la imagen de abajo, una unidad de sistema tiene dos Permitir Entradas para usuarios autenticados. Existe uno que permite a los usuarios autenticados crear carpetas y anexar datos a archivos existentes, pero no cambiar ningún dato existente en el archivo que se aplique únicamente al directorio raíz. El otro permite a los usuarios autenticados modificar archivos y carpetas contenidos en subcarpetas, si esa subcarpeta está heredando permisos de la raíz.

Los directorios del sistema (Windows, Datos de programa, Archivos de programa, Archivos de programa (x86), Usuarios o Documentos y configuraciones, y posiblemente otros) no heredan sus permisos del directorio raíz. Debido a que son directorios del sistema, sus permisos se configuran explícitamente para ayudar a prevenir la alteración involuntaria o maliciosa del sistema operativo, el programa y los archivos de configuración por parte de malware o un pirata informático..

Si no es una unidad del sistema, la única diferencia es que el grupo de Usuarios autenticados tiene una única entrada de permiso que permite Modificar permisos para la carpeta raíz, las subcarpetas y los archivos. Todos los permisos asignados para los 3 grupos y la cuenta del SISTEMA se heredan en todo el disco.

Análisis del problema

Cuando nuestro cartel corrió el atribución El comando que intenta eliminar cualquier atributo del sistema, oculto y de solo lectura en todos los archivos y carpetas que comienzan en el directorio (no especificado) en el que estaban, recibió mensajes que indicaban que la acción que querían realizar (escribir atributos) estaba siendo denegada. Dependiendo del directorio en el que se encontraban cuando ejecutaron el comando, esto es probablemente algo muy bueno, especialmente si estaban en C: \.

En lugar de intentar ejecutar ese comando, hubiera sido mejor cambiar la configuración en el Explorador de Windows / Explorador de archivos para mostrar los archivos y directorios ocultos. Esto se puede lograr fácilmente yendo a Organizar> Carpeta y opciones de búsqueda. en el Explorador de Windows o Archivo> Cambiar carpeta y opciones de búsqueda en el explorador de archivos. En el cuadro de diálogo resultante, seleccione la Ficha Ver> Mostrar archivos ocultos, carpetas y unidades. Con esto habilitado, los directorios y archivos ocultos se mostrarían como elementos atenuados en la lista.

En este punto, si los archivos y carpetas aún no aparecen, hay un problema con el permiso avanzado Listar carpeta / Leer datos. El usuario o un grupo al que pertenece el usuario es explícitamente o implícitamente negó ese permiso en las carpetas en cuestión, o el usuario no pertenece a ninguno de los grupos que tienen acceso a esas carpetas.

Puede preguntar cómo el lector podría ir directamente a una de estas carpetas si el usuario no tiene los permisos Lista de carpetas / Leer datos. Siempre que conozca la ruta a la carpeta, puede ir a ella siempre que tenga los permisos avanzados de Traverse Folder / Execute File en ella. Esta es también la razón por la que no es probable que sea un problema con el permiso estándar Lista de contenidos de la carpeta. Tiene ambos de estos permisos avanzados.

La resolución

Con la excepción de los directorios del sistema, la mayoría de los permisos se heredan de la cadena. Entonces, el primer paso es identificar el directorio más cercano a la raíz de la unidad, donde aparecen los síntomas. Una vez que se encuentra este directorio, haga clic derecho y seleccione Propiedades> pestaña Seguridad. Verifique los permisos para cada uno de los grupos / usuarios listados, para verificar que tengan una verificación en la columna Permitir para el permiso Contenido de la carpeta de la Lista y no en la columna Denegar.

Si ninguna de las dos columnas está marcada, también mire la entrada Permisos especiales. Si está marcado (permitir o denegar), haga clic en Avanzado botón, entonces Cambiar permisos en el cuadro de diálogo resultante si está ejecutando Vista o posterior. Esto abrirá un cuadro de diálogo casi idéntico con algunos botones adicionales. Seleccione el grupo apropiado, haga clic en Editar y asegúrese de que el permiso Carpeta de lista / lectura de datos esté permitido.

Si los controles están en gris, significa que es un permiso heredado, y el cambio se debe hacer en la carpeta principal, a menos que haya una razón convincente para no hacerlo, como en el directorio del perfil de un usuario y el principal sería la carpeta Usuarios o Documentos y configuración. Tampoco es recomendable agregar permisos para que un segundo usuario pueda acceder al directorio del perfil de otro usuario. En su lugar, inicie sesión como ese usuario para acceder a esos archivos y carpetas. Si es algo que se debe compartir, muévalos al directorio de perfil Público o use la pestaña Compartir para permitir que otros usuarios accedan a los recursos.

También es posible que el usuario no tenga permiso para editar los permisos de los archivos o directorios en cuestión. En ese caso, Windows Vista o una versión posterior debe presentar una lista de control de cuentas de usuario (UAC). Detener indicaciones molestas de UAC - Cómo crear una lista blanca de control de cuentas de usuario [Windows]. desde Vista, nosotros, los usuarios de Windows hemos sido molestados, molestados, molestos y cansados ​​del aviso de Control de cuentas de usuario (UAC) que nos indica que se está iniciando un programa que iniciamos intencionalmente. Claro, ha mejorado, ... Leer más solicitud de la contraseña de administrador o permiso para elevar los privilegios del usuario para permitir este acceso. Bajo Windows XP, el usuario debe abrir el Explorador de Windows con la opción Ejecutar como ... y usar la cuenta de administrador. Cuenta de administrador de Windows: todo lo que necesita saber Cuenta de administrador de Windows: todo lo que necesita saber Comenzando con Windows Vista, el administrador de Windows integrado La cuenta está deshabilitada por defecto. Puede activarlo, pero hágalo bajo su propio riesgo. Te mostramos cómo. Lea más para asegurarse de que se puedan realizar los cambios, si aún no se están ejecutando con una cuenta administrativa.

Sé que mucha gente simplemente le diría que tome posesión de los directorios y archivos en cuestión, pero hay uno enorme advertencia a esa solución. Si afectaría a los archivos y / o directorios del sistema, estará debilitando gravemente la seguridad general de su sistema. Debería Nunca Se realizará en la raíz, Windows, Usuarios, Documentos y configuraciones, Archivos de programa, Archivos de programa (x86), Datos del programa o directorios inetpub o cualquiera de sus subcarpetas..

Conclusión

Como puede ver, los permisos en las unidades NTFS no son demasiado difíciles, pero localizar la fuente de los problemas de acceso puede ser tedioso en sistemas con muchos directorios. Con una comprensión básica de cómo funcionan los permisos con las listas de control de acceso y un poco de tenacidad, la ubicación y la solución de estos problemas pronto se convertirán en un juego de niños..

Explorar más sobre: ​​Administración de archivos, Sistema de archivos, NTFS.