Pregunta Permisos NTFS para la carpeta principal para hacer accesibles las subcarpetas


Escenario rápido en un sistema local de Windows.

Manejar E: está formateado con NTFS tiene el siguiente diseño y permisos:

E:\                  (JohnDoe)
E:\folder            (Administrator)
E:\folder\subfolder  (JohnDoe)
  • JohnDoe tiene acceso de lectura / escritura al directorio raíz.
  • JohnDoe tiene acceso de lectura / escritura subfolder
  • JohnDoe hace NO tener acceso a folder
  • JohnDoe hace NO tener la capacidad de alterar los permisos.

Ya que JohnDoe No puede acceder folder y por lo tanto no puede enumerar los contenidos, debe escribir en el camino E:\folder\subfolder a mano. No hay forma de hacer clic para llegar desde E:\ a subfolder.

Aquí está la pregunta: ¿Hay alguna forma de JohnDoe para descubrir la existencia y el camino de lo accesible subfolder, sin poder enumerar el contenido de su padre folder? Suponer que no le dijeron subfolderEl nombre y los permisos no cambian de lo que se indicó anteriormente.

Por el bien de este problema, ignore la posibilidad de un ataque de fuerza bruta para adivinar subfolder'nombre de. Solo se permiten los métodos de fuerza no bruta.


5


origen




Respuestas:


NTFS no proporciona un método para descubrir dichas subcarpetas remotas dentro de sí mismo, suponiendo que la carpeta intermediaria es verdaderamente sin acceso. Para obtener tal inteligencia, debe mirar más allá del sistema de archivos, tal vez interrogando a otros archivos por las rutas contenidas en los documentos, o cualquier atajo que establezca sobre esa referencia tales subdirectorios.

Las cosas se vuelven más interesantes si JohnDoe tiene acceso elevado a la máquina. En ese punto, examinar los manejadores de archivos abiertos puede revelar la presencia de directorios ocultos. Si el directorio está compartido, la lista de archivos abiertos para el recurso compartido también revelaría su presencia. Sin embargo, estos métodos no funcionarían para usuarios 'normales'.


4



JohnDoe tiene acceso cero a la carpeta intermediaria. - Unsigned
Esta es la respuesta correcta para Windows, si no tiene el permiso "Leer" en folder, no puedes listar sus contenidos. Pero tenga en cuenta que, aunque uno esperaría folder\subfolder ser completamente inaccesibledebido a la falta del permiso "Traverse" en folder (correspondiente a x bit en Unix), de forma predeterminada Windows otorga a todos el privilegio "Omitir comprobación de recorrido" subfolder  permanece accesible si se conoce su ruta completa. - grawity
@grawity: sé que es accesible. Es solo esa parte de la ruta completa. Tengo curiosidad si hay una manera de determinar el camino completo cuando es no conocido. - Unsigned


Crear un cruce para la subcarpeta en el directorio raíz.

E:\
E:\folder
E:\folder\subfolder
E:\junction-to-subfolder

Usa el comando:

MkLink /j "E:\junction-to-subfolder" "E:\folder\subfolder"

Ahora JohnDoe puede ver y acceder a esa subcarpeta fácilmente.

EDITAR: Para eliminar la unión sin afectar el objetivo, use:

RD "E:\junction-to-subfolder"

1



No creo que entiendas la pregunta. Tengo curiosidad por saber si JohnDoe puede encontrar la carpeta por su cuenta sin ningún cruce. - Unsigned
Lo siento, leí "cómo puedo" en lugar de "si". - Hand-E-Food
Esta debería haber sido la forma en que se implementaron las carpetas en primer lugar. Esto no solo limita la capacidad de detección de las subcarpetas, sino que también resuelve el "Omitir el problema de poligonal". - surfasb


He usado una configuración similar y parece que los usuarios tropezarían con el directorio. El problema en su caso ahora es que se accederá a él. Si va a haber un script por lotes o un mapeo de unidades, entonces el usuario probablemente podría descubrirlo si fuera inteligente. Sé que en Windows puedes ocultar letras de unidad, pero eso puede no ser suficiente.

Sugeriría que si no quieres que accedan a él, no les des permiso, si es posible. Utilice otra cuenta para la tarea que esté realizando (por ejemplo, ejecutar un script por lotes para copias de seguridad o lo que sea).

Es difícil dar consejos más específicos sin saber más sobre lo que quiere lograr y sin dejar que el usuario lo sepa. Puede haber una manera diferente.


0



No estoy seguro de que entiendas la pregunta. ¿A qué te refieres con "tropezar"? No hay programas, recursos compartidos, etc. que hagan referencia a esta carpeta. - Unsigned
Si la computadora que está usando el usuario no sabe o no usa el recurso compartido, el usuario no sabe de la acción y nadie se lo dirá al usuario. Entonces no veo cómo el usuario podría descubrir que existe por sí mismo. - Scott McClenning
No es un recurso compartido, es una carpeta en un disco duro conectado localmente. Los permisos ya fueron mencionados anteriormente. Tengo curiosidad por saber si hay alguna forma de determinar la existencia de la carpeta sin poder enumerar directamente la carpeta principal. - Unsigned
Su frase "He usado una configuración similar y parece que los usuarios se tropezarían con el directorio" es un poco ambigua en el mejor de los casos. - Unsigned
Tu derecho, me equivoqué, no comparto, pero ellos no sabrían de la "subcarpeta" en el compartir. Dicho esto, sigo a la espera de que no se deba descubrir que existe a menos que se lo digan o la fuerza bruta (que usted excluyó). En cuanto a ser ambiguo, no reveló mucho sobre por qué tal carpeta debería existir. Si el usuario no debería encontrarlo, ¿por qué darles acceso? - Scott McClenning