Разрешения и атрибуты файлов Windows

Я несколько озадачен всей схемой безопасности файлов Windows. Я работаю в Unix, поэтому не до конца понимаю взаимосвязь между правами доступа к файлам / настройками безопасности и атрибутами; только для чтения, который может иметь файл.

Например, если я вхожу в систему как администратор в свой ящик и у меня есть файл, который позволяет администраторам получить полный контроль, но с установленным атрибутом только для чтения, это означает, что я не могу записать в этот файл? Есть ли способ, кроме удаления атрибута «только для чтения», который я могу записать в файлы, которые якобы имеют полный контроль? Если нет, то в чем преимущество полного контроля, если у вас нет полного контроля?

Права доступа к файлам определяют, какой у вас есть доступ к файлу - так же, как он звучит. Полный контроль позволяет создавать, удалять, добавлять, изменять разрешения, изменять атрибуты и т. Д.

Файлы и папки могут иметь дополнительные атрибуты, как и файлы в большинстве файловых систем * nix. «Скрытое» приходит на ум в качестве примера на обеих платформах.

В Windows некоторые из дополнительных атрибутов включают системный, только для чтения, архив, зашифрованный и сжатый. Когда у вас есть полный контроль (или изменение), у вас есть возможность изменять эти атрибуты, но, как вы обнаружили, файл только для чтения доступен только для чтения, даже кому-то с полным контролем. Несмотря на то, что полный контроль дает вам возможность изменять атрибуты файла, он не переопределяет их автоматически, подобно тому ls, как корневой пользователь по умолчанию не показывает скрытый файл в * nix.

Разрешение - это контроль безопасности. Атрибут применяется независимо от участника безопасности, пытающегося выполнить операцию.

Есть гораздо больше атрибутов, чем вы видите в командной строке. К ним относятся, если файл представляет собой ссылку, зашифрованный, каталог (тип файла) и целостность (низкий, средний или высокий).

Константы файловых атрибутов
http://msdn.microsoft.com/en-us/library/windows/desktop/gg258117%28v=vs.85%29.aspx

FILE_ATTRIBUTE_ARCHIVE 32 (0x20)

Файл или каталог, который является архивным файлом или каталогом. Приложения обычно используют этот атрибут, чтобы пометить файлы для резервного копирования или удаления.

FILE_ATTRIBUTE_COMPRESSED 2048 (0x800)

Файл или каталог, который сжат. Для файла все данные в файле сжаты. Для каталога сжатие является значением по умолчанию для вновь создаваемых файлов и подкаталогов.

FILE_ATTRIBUTE_DEVICE 64 (0x40)

Это значение зарезервировано для использования системой.

FILE_ATTRIBUTE_DIRECTORY 16 (0x10)

Дескриптор, который идентифицирует каталог.

FILE_ATTRIBUTE_ENCRYPTED 16384 (0x4000)

Файл или каталог, который зашифрован. Для файла все потоки данных в файле зашифрованы. Для каталога шифрование является значением по умолчанию для вновь создаваемых файлов и подкаталогов.

FILE_ATTRIBUTE_HIDDEN2 (0x2) Файл или каталог скрыты. Он не входит в обычный список каталогов.

FILE_ATTRIBUTE_INTEGRITY_STREAM 32768 (0x8000)

Каталог или поток пользовательских данных настроен на целостность (поддерживается только на томах ReFS). Он не входит в обычный список каталогов. Настройка целостности сохраняется с файлом, если он переименован. Если файл копируется, для файла назначения будет установлена ​​целостность, если для исходного файла или каталога назначения установлена ​​целостность.

Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003 и Windows XP: этот флаг не поддерживается до Windows Server 2012.

FILE_ATTRIBUTE_NORMAL 128 (0x80)

Файл, для которого не установлены другие атрибуты. Этот атрибут действителен только при использовании отдельно.

FILE_ATTRIBUTE_NOT_CONTENT_INDEXED 8192 (0x2000)

Файл или каталог не должны индексироваться службой индексации содержимого.

FILE_ATTRIBUTE_NO_SCRUB_DATA 131072 (0x20000)

Поток пользовательских данных не должен читаться фоновым сканером целостности данных (AKA scrubber). При установке в каталог он обеспечивает только наследование. Этот флаг поддерживается только в томах Storage Spaces и ReFS. Он не входит в обычный список каталогов.

Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003 и Windows XP: этот флаг не поддерживается до Windows 8 и Windows Server 2012.

FILE_ATTRIBUTE_OFFLINE 4096 (0x1000)

Данные файла не доступны сразу. Этот атрибут указывает, что данные файла физически перемещаются в автономное хранилище. Этот атрибут используется удаленным хранилищем, которое является программным обеспечением для управления иерархическим хранилищем. Приложения не должны произвольно изменять этот атрибут.

FILE_ATTRIBUTE_READONLY 1 (0x1)

Файл только для чтения. Приложения могут читать файл, но не могут писать или удалять его. Этот атрибут не учитывается в каталогах. Дополнительные сведения см. В разделе «Невозможно просмотреть или изменить атрибуты« Только для чтения »или системные атрибуты папок в Windows Server 2003, Windows XP, Windows Vista или Windows 7.

FILE_ATTRIBUTE_REPARSE_POINT 1024 (0x400)

Файл или каталог, с которым связана точка повторного анализа, или файл, который является символической ссылкой.

FILE_ATTRIBUTE_SPARSE_FILE 512 (0x200)

Файл, который является разреженным файлом.

FILE_ATTRIBUTE_SYSTEM 4 (0x4)

Файл или каталог, который операционная система использует часть или использует исключительно.

FILE_ATTRIBUTE_TEMPORARY 256 (0x100)

Файл, который используется для временного хранения. Файловые системы избегают записи данных обратно в большое хранилище, если доступно достаточное количество кэш-памяти, потому что обычно приложение удаляет временный файл после закрытия дескриптора. В этом случае система может полностью избежать записи данных. В противном случае данные записываются после закрытия дескриптора.

FILE_ATTRIBUTE_VIRTUAL 65536 (0x10000)

Это значение зарезервировано для использования системой.

Я предоставлю более длинный ответ, но в целом атрибуты, на которые вы ссылаетесь, являются устаревшими настройками файла со времен файловой системы DOS FAT. FAT хранит эти атрибуты как часть записей каталога файловой системы для файла. NTFS имеет свой собственный набор атрибутов, которые инкапсулируют старые атрибуты. По умолчанию любой пользователь, имеющий доступ к файлам, может изменять их и использовать для предотвращения случайной перезаписи данных.

Разрешения зависят от NTFS, и изменениями этих разрешений можно управлять для каждого пользователя (так что пользователь не может перейти с режима «только чтение» на режим записи). В частности, если вы посмотрите на команду attrib (которая показывает как устаревшие, так и новые добавления атрибутов, такие как целостность в более поздних версиях окон), можно иметь доступ только для чтения, установленный в разрешениях, но не иметь только доступ для чтения, установленный в атрибутах. Также интересно (если не важно) понять, что из-за абстракции технически возможно включить устаревшие атрибуты (хранящиеся в атрибуте $ standard_information NTFS) без их обязательного отображения в обычном графическом интерфейсе.

В частности, полный контроль разрешений позволяет вам изменять любые разрешения NTFS. Установка атрибута только для чтения предотвращает изменения до тех пор, пока он не будет удален.

Атрибуты FAT будут иметь приоритет над атрибутами NTFS в Windows.