Vzdálené řízení přístupu k objektům souborového systému

Sdílení na systémech Windows 2000/XP zajišťuje služba LanManServer (jejíž zobrazovaný název v konzoli Služby je Server) pracující pod lokálním systémovým účtem. Obyčejně je přístup služeb běžící pod lokálním systémovým účtem (těch je většina) k objektům souborového systému zajištěn zabudovaným objektem zabezpečení SYSTEM, jehož ACE je standardně umístěno v ACL všech objektů souborového systému NTFS (zabudovaný objekt zabezpečení SYSTEM a skupina Administrators mají standardně nejvyšší možná privilegia). Objekty v souborovém systému NTFS vytvořené systémovým účtem mají vlastníka skupinu Administrators

. Čili např. HTTP server pracující pod systémovým účtem potřebuje, aby systémový účet měl práva k objektům FS, se kterými má pracovat. V případě služby LanManServer je to jinak - pro sdílení stačí, aby práva k objektům NTFS měly ty entity, které k němu přistupují. Nicméně odebírání práv objektu SYSTEM důrazně nedoporučuji.

Pro potřeby služby LanManServer existují v systému seznamy řízení přístupu vztahující se k jednotlivým sdílením. Tyto seznamy jsou něco jiného než ACL objektů v NTFS! Nevztahují se k objektům souborového systému jako takovým, tudíž existují i pro sdílení složek ze souborového systému FAT. Kromě uvedených odlišností mají oprávnění sdílení stejnou strukturu, jakou mají ACL. Obsahují ACEs, a nejen proto je jejich nazvání Access Control Listy (ACL) oprávněné. Je však nezbytné rozlišovat přístupová práva k objektům NTFS a oprávnění sdílení.

Parametry sdílení se uchovávají v systémovém registru v klíči HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanManServer\\Shares, oprávnění sdílení v podklíči Security zmíněného klíče, ve kterém se uchovávají parametry sdílení.

Výsledná efektivní práva pro přístup uživatele ke sdílení jsou průnikem výsledné množiny oprávnění souborového systému a výsledné množiny oprávnění sdílení, která se získává stejným způsobem, jaký byl popsán u množiny oprávnění souborového systému. Na souborovém systému FAT se uvažuje, že uživatel má neomezená lokální práva.

Protože obvykle není kladen důraz na rozlišení lokálního a vzdáleného přístupu a protože se obvykle používá systém NTFS, oprávnění sdílení se nastavují na plný přístup všem (zabudovanému objektu zabezpečení Everyone nebo Authenticated Users; rozdílu se věnuje jiná část seriálu).

Identifikace sdílených složek

Sdílená složka nemusí v síti vystupovat pod názvem totožným s názvem složky v souborovém systému, na kterou bylo sdílení aplikováno, ale zpravidla se název shoduje (systém dokonce umožňuje vytvoření více sdílení jedné složky). Z předchozí sentence vyplynulo, že sdílená složka je v síti identifikována názvem. Název je tvořen zpravidla znaky anglické abecedy, příp. podtržítky; jaké všechny znaky systém skousne, nechám vyzkoušet Vás, každopádně použití znaků národních abeced v praxi silně nedoporučuji. Speciálním znakem, používaným jako poslední v názvu, je $; označuje se jím skryté sdílení.

Příznaky sdílení složek:

• Administrátorské sdílení je sdílení vytvořené operačním systémem za účelem vzdálené správy:
  • Oprávnění sdílení na těchto sdíleních jsou nastavena na Úplné řízení (Full Control) pro skupiny Administrators a Backup Operators. Uživateli (správci) není umožněno oprávnění sdílení administrátorských sdílení upravovat.
  • OS Windows 2000 a Windows XP Professional automaticky "administrátorsky" nasdílí všechny logické disky, které se v systému objeví a mají přiděleno písmeno jednotky, kromě těch, které uchovávají data na fyzických vyměnitelných discích (flash disky, optická média, diskety, …). Název tohoto sdílení je tvořen písmenem disku v systému (bez dvojtečky) a znakem $.
  • "Administrátorsky" sdílena je ještě složka systému (%SystemRoot%), a to pod názvem ADMIN$.
  • Administrátorská sdílení lze odebrat, ale, není-li na serveru v klíči HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanManServer\\Parameters přítomna položka AutoShareWks typu DWORD s hodnotou 0 (připomínám, že se bavíme o skupinovém uspořádání na systémech MS Windows 2000/XP), administrátorská sdílení se po restartu serveru obnoví. Systém Windows XP Home Edition administrátorská sdílení nepodporuje.
• Skryté sdílení je sdílení, jehož název končí znakem $:
  • Není viditelné při enumeraci sdílených složek systému integrovanými nástroji Windows (Průzkumník, net.exe, …), avšak po síti se při požadavku na listaci sdílených složek jeho název přenáší, takže jeho odhalení nástroji třetích stran na straně klienta není problém. Autor seriálu do doby psaní tohoto dílu neznal žádný postup, jak vynutit neodesílání názvů skrytých sdílení.

Nepozorní čtenáři by nyní mohli namítnout, že výčet není kompletní - existují i jiná sdílení, ale ta nejsou sdíleními složek.