Операции доступа и способы управления доступом

Windows поддерживает три класса операций доступа, которые отличаются типом субъектов и объектов, участвующих в этих операциях.

§ Разрешения (permissions) — это множество операций, которые могут быть определены для субъектов всех типов по отношению к объектам любого типа: файлам, каталогам, принтерам, секциям памяти и т. д. Разрешения по своему назначению соответствуют правам доступа к файлам и каталогам в ОС UNIX.

§ Права (user rights) — определяются для субъектов типа группа на выполнение некоторых системных операций: установку системного времени, архивирование файлов, выключение компьютера и т. п. В этих операциях участвует особый объект доступа — операционная система в целом. В основном именно права, а не разрешения отличают одну встроенную группу пользователей от другой. Некоторые права у встроенной группы являются также встроенными — их у данной группы нельзя удалить. Остальные права встроенной группы можно удалять (или добавлять из общего списка прав).

§ Возможности пользователей (user abilities) определяются для отдельных пользователей на выполнение действий, связанных с формированием их операционной среды, например изменение состава главного меню программ, возможность пользоваться пунктом меню Run (выполнить) и т. п. За счет уменьшения набора возможностей (которые по умолчанию доступны пользователю) администратор может «заставить» пользователя работать с той операционной средой, которую администратор считает наиболее подходящей и ограждающей пользователя от возможных ошибок.

Различают дискреционный (избирательный) способ управления доступом и полномочный (мандатный).

При дискреционном доступе определенные операции над конкретным ресурсом запрещаются или разрешаются субъектам или группам субъектов.

Текущее состояние прав доступа при дискреционном управлении описывается матрицей, в строках которой перечислены субъекты, в столбцах — объекты, а в ячейках — операции, которые субъект может выполнить над объектом.

Полномочный подход заключается в том, что все объекты могут иметь уровни секретности, а все субъекты делятся на группы, образующие иерархию в соответствии с уровнем допуска к информации. Иногда это называют моделью многоуровневой безопасности, которая должна обеспечивать выполнение следующих правил.

· Простое свойство секретности. Субъект может читать информацию только из объекта, уровень секретности которого не выше уровня секретности субъекта. Генерал читает документы лейтенанта, но не наоборот.

*-свойство. Субъект может записывать информацию в объекты только своего уровня или более высоких уровней секретности. Генерал не может случайно разгласить нижним чинам секретную информацию.

Проверка разрешений доступа процесса к объекту производится в Windows NT в основном в соответствии с общей схемой доступа. При входе пользователя в систему для него создается так называемый токен доступа(access token), включающий идентификатор пользователя и идентификаторы всех групп, в которые входит пользователь, а также имеются: список управления доступом (ACL) по умолчанию, который состоит из разрешений и применяется к создаваемым процессом объектам; список прав пользователя на выполнение системных действий.

Все объекты, включая файлы, потоки, события, даже токены доступа, когда они создаются, снабжаются дескриптором безопасности, который содержит список управления доступом — ACL (Access Control List или ACL — список контроля доступа, который определяет, кто или что может получать доступ к конкретному объекту, и какие именно операции разрешено или запрещено этому субъекту проводить над объектом.Список доступа представляет собой структуру данных (обычно таблицу), содержащую записи, определяющие права индивидуального пользователя или группы на специальные системные объекты, такие как программы, процессы или файлы). Владелец объекта, обычно пользователь, который его создал, обладает правом избирательного управления доступом к объекту и может изменять ACL объекта, чтобы позволить или не позволить другим осуществлять доступ к объекту. Встроенный администратор Windows NT может не иметь некоторых разрешений на доступ к объекту.

При запросе процессом некоторой операции доступа к объекту в Windows NT управление всегда передается монитору безопасности, который сравнивает идентификаторы пользователя и групп пользователей из токена доступа с идентификаторами, хранящимися в элементах ACL объекта. В элементах ACL Windows NT могут существовать как списки разрешенных, так и списки запрещенных для пользователя операций.

Система безопасности могла бы осуществлять проверку разрешений каждый раз, когда процесс использует объект. Но список ACL состоит из многих элементов, процесс в течение своего существования может иметь доступ ко многим объектам, и количество активных процессов в каждый момент времени также велико. Поэтому проверка выполняется только при каждом открытии, а не при каждом использовании объекта.

Если же вызывающий код не снабжает объект списком ACL, а объект имеет имя, то применяется принцип наследования разрешений. Система безопасности просматривает ACL того каталога объектов, в котором хранится имя нового объекта. Некоторые из входов ACL каталога объектов могут быть помечены как наследуемые. Это означает, что они могут быть приписаны новым объектам, создаваемым в этом каталоге.

В том случае, когда процесс не задал явно список ACL для создаваемого объекта и объект-каталог не имеет наследуемых элементов ACL, используется список ACL по умолчанию из токена доступа процесса.

Наследование разрешений употребляется наиболее часто при создании нового объекта. Особенно оно эффективно при создании файлов, так как эта операция выполняется в системе наиболее часто.

Обзор управления доступом Access Control Overview

Относится к: Applies to

• Windows 10 Windows 10
• Windows Server 2016 Windows Server 2016

В этом разделе для ИТ-специалистов описывается управление доступом в Windows, которое является процессом авторизации пользователей, групп и компьютеров для доступа к объектам в сети или на компьютере. This topic for the IT professional describes access control in Windows, which is the process of authorizing users, groups, and computers to access objects on the network or computer. Ключевыми понятиями, которые составляют управление доступом, являются разрешения, владение объектами, наследование разрешений, права пользователей и аудит объектов. Key concepts that make up access control are permissions, ownership of objects, inheritance of permissions, user rights, and object auditing.

Описание функции Feature description

Компьютеры с поддерживаемой версией Windows могут управлять использованием системных и сетевых ресурсов с помощью взаимосвязанных механизмов проверки подлинности и авторизации. Computers that are running a supported version of Windows can control the use of system and network resources through the interrelated mechanisms of authentication and authorization. После проверки подлинности пользователя операционная система Windows использует встроенные технологии авторизации и управления доступом для реализации второго этапа защиты ресурсов: определения, имеет ли пользователь с проверкой подлинности правильные разрешения на доступ к ресурсу. After a user is authenticated, the Windows operating system uses built-in authorization and access control technologies to implement the second phase of protecting resources: determining if an authenticated user has the correct permissions to access a resource.

Общие ресурсы доступны пользователям и группам, кроме владельца ресурса, и они должны быть защищены от несанкционированного использования. Shared resources are available to users and groups other than the resource’s owner, and they need to be protected from unauthorized use. В модели управления доступом пользователи и группы (также именуемые директорами безопасности) представлены уникальными идентификаторами безопасности (SID). In the access control model, users and groups (also referred to as security principals) are represented by unique security identifiers (SIDs). Им назначены права и разрешения, которые информируют операционную систему о том, что может сделать каждый пользователь и группа. They are assigned rights and permissions that inform the operating system what each user and group can do. У каждого ресурса есть владелец, который предоставляет разрешения директорам безопасности. Each resource has an owner who grants permissions to security principals. Во время проверки контроля доступа эти разрешения проверяются, чтобы определить, какие принципы безопасности могут получить доступ к ресурсу и каким образом они могут получить к нему доступ. During the access control check, these permissions are examined to determine which security principals can access the resource and how they can access it.

Принципы безопасности выполняют действия (в том числе чтение, записи, изменение или полный контроль) на объектах. Security principals perform actions (which include Read, Write, Modify, or Full control) on objects. Объекты включают файлы, папки, принтеры, ключи реестра и объекты служб домена Active Directory (AD DS). Objects include files, folders, printers, registry keys, and Active Directory Domain Services (AD DS) objects. Общие ресурсы используют списки управления доступом (ACLs) для назначения разрешений. Shared resources use access control lists (ACLs) to assign permissions. Это позволяет руководителям ресурсов применять управление доступом следующими способами: This enables resource managers to enforce access control in the following ways:

Отказ в доступе к несанкционированным пользователям и группам Deny access to unauthorized users and groups

Установите четко определенные ограничения доступа, предоставляемого уполномоченным пользователям и группам Set well-defined limits on the access that is provided to authorized users and groups

Владельцы объектов обычно выдают разрешения группам безопасности, а не отдельным пользователям. Object owners generally grant permissions to security groups rather than to individual users. Пользователи и компьютеры, добавленные в существующие группы, принимают разрешения этой группы. Users and computers that are added to existing groups assume the permissions of that group. Если объект (например, папка) может удерживать другие объекты (например, подмостки и файлы), он называется контейнером. If an object (such as a folder) can hold other objects (such as subfolders and files), it is called a container. В иерархии объектов связь между контейнером и его контентом выражается, ссылаясь на контейнер в качестве родительского. In a hierarchy of objects, the relationship between a container and its content is expressed by referring to the container as the parent. Объект в контейнере называется ребенком, и ребенок наследует параметры управления доступом родителя. An object in the container is referred to as the child, and the child inherits the access control settings of the parent. Владельцы объектов часто определяют разрешения для контейнерных объектов, а не отдельных детских объектов, чтобы облегчить управление управлением доступом. Object owners often define permissions for container objects, rather than individual child objects, to ease access control management.

Этот набор контента содержит: This content set contains:

Вам необходимо разрешение на выполнение этой операции в Win 7 и Win 10

При выполнении каких-либо операций с файлами или папками (запуск, копирование, перемещение, удаление) вы можете внезапно столкнуться с сообщением «Вам необходимо разрешение на выполнение этой операции» в Виндовс 7 и 10. Обычно это связано с отсутствием у пользователя необходимых прав для работы с данным файлом, вследствие чего работа с ним блокируется системой. Разберёмся ниже, как это можно исправить.

Причины отсутствия доступа к целевой папке или файлу

ОС Виндовс обычно блокирует доступ к файлам или папкам, имеющим определяющее значение для её работы. Права на такие файлы (папки) передаются виртуальному системному пользователю «TrustedInstaller» (может упоминаться в тексте сообщения), или системному администратору (который совсем не то же самое, что пользователь с административными правами), или просто вводится ряд ограничений для обычных пользователей.

Такая политика вызвана высокой значимостью данных файлов для вашей ОС. Их повреждение или удаление может привести к негативным последствиям для вашей системы, потому разработчики ОС Виндовс включили встроенные механизмы защиты важных системных файлов в функционал операционки.

Кроме системной защиты файлов, появление рассматриваемого сообщения на Виндовс 7 и 10 может быть вызвано следующими причинами:

• Доступ к файлу блокируют различные вирусные программы (или данный файл и является вирусной программой);
• Файл в данный момент выполняется системой, потому не может быть перемещён или удалён;
• Доступ к файлу блокирует различное антивирусное ПО, подозревая файл в злокачественной деятельности.

После изложения причин, разберёмся как можно получить разрешение на выполнение такой операции.

«Вам необходимо разрешение на выполнение этой операции» — как исправить

Существует несколько довольно эффективных способов, позволяющих избавиться от запроса на разрешение необходимой операции. Рассмотрим их пристальнее.

• Используйте «безопасный режим в Win 7 и Win 10». Загрузите систему в безопасном режиме (при запуске ПК быстро жмите по клавише F8 для вывода меню безопасного режима). Загрузитесь в указанном режиме, под ним необходимые операции с файлом могут пройти без каких-либо проблем;
• Проверьте ваш PC на наличие зловредов. Помогут специальные антивирусные инструменты, уровня «Доктор Веб Кюрейт»;
• Временно отключите ваш стационарный антивирус с целью убедиться, что он не блокирует доступ к требуемым файлам;
• Используйте функционал командной строки, позволяющей разблокировать доступ к нужной директории. Запустите командную строку от админа, и в ней наберите:

Нажмите на Enter. Вы получите права на пользование данной директорией (или файлом). Теперь введите:

После выполнения данной команды вы дадите все права над данной папкой группе администраторов (в настройках). Это может помочь решить дисфункцию «вам необходимо разрешение на выполнение операции».

Используйте специализированный софт. Для разблокирования доступу к нужному файлу вы можете использовать специальный софт (к примеру, «Unlocker»). Скачайте и установите данную программу, после чего запустите Проводник. Далее найдите нужный файл, щёлкните на нём ПКМ, и в появившемся меню выберите «Unlocker».

Используйте функционал «Unlocker» для деблокировки файлов

Также себя зарекомендовал файловый менеджер «Total Commander», хорошо работающий с защищёнными файлами.

• Получите доступ к учётной записи «Супер администратора». Как известно, стандартная учётная запись с административными правами на ПК обладает не всей полнотой возможностей. Чтобы задействовать учётную запись администратора с полными правами (так называемый «Супер администратор»), откройте командную строку от админа, и в ней наберите:

Если же вы используете английскую версию Виндовс, то указанная команда должна выглядеть как:

Вам останется перезагрузить ваш компьютер, войти в систему под учётной записью «Супер админа», и провести необходимые операции с файлами;

• Получите права доступа. Перейдите с помощью Проводника к необходимому вам файлу (директории). Наведите на него курсор, щёлкните ПКМ, выберите «Свойства». В открывшемся окне выберите вкладку «Безопасность», в окне групп или пользователей кликните на «Все», а затем кликните на «Изменить» ниже.

Галочками пометьте все виды разрешений ниже, включая полный доступ.

Затем нажмите на «Ок», и перезагрузите ваш PC. Проблема разрешения на выполнение операции будет устранена, и вы получите доступ к нужному файлу.

В некоторых версии Виндовс 7 после нажатия на «Изменить» необходимо будет выбрать «Другие пользователи или группы», после чего идти далее по стандартному алгоритму.

Измените владельца. Вновь выберите вкладку «Безопасность» (как описано чуть выше), но теперь жмём на «Дополнительно» в самом низу.Справа от опции «Владелец» жмём на «Изменить». Откроется окно выбора поля пользователя или группа, там вводим «Все» или имя своей учётной записи. Сохраняем произведённые изменения и перезагружаем ПК, проблема «нет разрешения для доступа к файлу» может быть исправлена.

Введите «Все» или имя учётки, и сохраните произведённые изменения