Junte-se a nós neste breve artigo, onde vamos falar sobre como configurar as permissões NTFS para manter os dados dos seus utilizadores protegidos de olhares indiscretos.
Antes de arrancar, recomendamos a leitura deste outro artigo do nosso blog: “O que é o NTFS e quais são as suas características principais“. Acreditamos que pode servir como um bom preâmbulo para este artigo, já que aqui iremos falar apenas sobre a configuração de permissões.
Permissões NTFS:
Entender as permissões padrão:
Antes de começar a falar sobre as permissões no NTFS, devemos saber quais são as permissões que podem ser atribuídas, ou melhor, concedidas e negadas. É importante recordar que as permissões serão atribuídas a ficheiros e pastas:
- Modificar.
- Ler e executar.
- Mostrar o conteúdo da pasta.
- Ler.
- Escrever.
- Controlo total.
O problema com estas permissões é que se comportam de maneira diferente dependendo da sua aplicação, por isso é preciso aprofundar para obter uma descrição de permissões mais específica.
Por essa razão, temos de mostrar uma nova lista de permissões, com definições para um melhor entendimento das mesmas:
- Navegar por pastas: Permite ao utilizador navegar pelas pastas, mesmo que não tenha permissão para manipular o conteúdo.
- Executar Ficheiro: Iniciar a execução de um programa.
- Listar pastas: Exibir a lista de ficheiros e pastas contidos numa pasta.
- Ler dados: Abrir ficheiros para visualizar o seu conteúdo.
- Ler atributos: Permite exibir os atributos com os quais o sistema operativo identifica e cataloga um ficheiro.
- Ler atributos estendidos: Igual ao anterior, mas mostra os atributos estendidos associados.
- Criar ficheiros: Permite ao utilizador criar ficheiros dentro de uma pasta.
- Escrever dados: Permite que o utilizador faça alterações num ficheiro existente ou sobrescreva o conteúdo.
- Criar pastas: Permite ao utilizador criar pastas dentro de outras pastas.
- Adicionar dados: Permite que o utilizador adicione dados adicionais ao final de um ficheiro, mas não permite modificar ou excluir o conteúdo anterior.
- Escrever atributos: Permite ao utilizador alterar os atributos com os quais o sistema operativo cataloga um ficheiro ou pasta.
- Escrever atributos estendidos: Permite que o utilizador modifique atributos estendidos que foram previamente definidos por uma aplicação.
- Eliminar subpastas e ficheiros: Permite que o utilizador exclua subpastas e ficheiros mesmo nos casos em que a permissão de exclusão não foi explicitamente concedida.
- Eliminar: Permite que o utilizador exclua ficheiros e pastas.
- Ver permissões: Permite que o utilizador leia as permissões de ficheiros e pastas.
- Alterar Permissões: Permite ao utilizador modificar ou alterar permissões previamente concedidas em ficheiros e pastas.
- Assumir propriedade: Permite que o utilizador se nomeie o proprietário de um ficheiro ou pasta para modificar as suas permissões.
- Sincronizar: Permite que programas com vários processos mantenham subprocessos por manipuladores de ficheiros ou pastas e sincronizem com outros processos que possam sinalizá-los.
Abaixo apresentamos uma pequena tabela que descreve o que é permitido e o que é negado em cada caso.
| Modificar | Ler e executar | Mostrar o conteúdo (pastas) | Ler | Escrever | Controlo Total | |
| Navegar por pastas ou Executar Ficheiros | Sim | Sim | Sim | Sim | ||
| Listar pastas ou ler dados | Sim | Sim | Sim | Sim | Sim | |
| Ler atributos | Sim | Sim | Sim | Sim | Sim | |
| Ler atributos estendidos | Sim | Sim | Sim | Sim | Sim | |
| Criar ficheiros ou Escrever dados | Sim | Sim | Sim | |||
| Criar pastas ou Adicionar dados | Sim | Sim | Sim | |||
| Escrever atributos | Sim | Sim | Sim | |||
| Escrever atributos estendidos | Sim | Sim | Sim | |||
| Eliminar subpastas e ficheiros | Sim | |||||
| Eliminar | Sim | Sim | ||||
| Ver permissões | Sim | Sim | Sim | Sim | Sim | Sim |
| Alterar permissões | Sim | |||||
| Assumir propriedade | Sim | |||||
| Sincronizar | Sim | Sim | Sim | Sim | Sim | Sim |
Tabela. Permissões granulares do NTFS
A herança:
Quando falamos de permissões em pastas e ficheiros, devemos ter em conta o conceito de herança. O conceito de herança descreve como as permissões que concedemos a uma pasta se propagam pelos ficheiros e pastas que ela contém.
Por padrão, quando são concedidas permissões a uma pasta que é pai de outras pastas (ou seja, que contém outras), todos os ficheiros e pastas contidos nessa pasta herdarão as mesmas permissões.
NOTA: As permissões herdadas podem ser um pouco complicadas, mas são muito mais fáceis de manter do que aquelas que manipulamos explicitamente e individualmente.
Como já sabemos, as permissões explícitas, ao contrário das herdadas, são aquelas que são configuradas no próprio recurso. Ou seja, aquelas que são estabelecidas expressamente para esse elemento.
Agora que já esclarecemos o que são as permissões herdadas e as permissões explícitas, podemos dizer que não é necessário retirar a herança se quisermos manter as permissões descendentes, mas temos de declarar permissões explícitas para fornecer novas permissões de negação ou conceder novos privilégios. Tendo tudo isto em conta, só devemos modificar a herança quando queremos modificar algo. Para manter a mesma configuração, não precisamos de fazer nada.
Gestão de heranças em permissões NTFS:
Às vezes, pode ser necessário que estas permissões não sejam herdadas internamente, mas, em vez disso, queremos fazer um reset à concessão das permissões, adicionando manualmente as permissões desejadas a partir desse ponto.
Para estes casos, deve-se seguir um dos caminhos que discutimos a seguir:
- Redefinir permissões explicitamente.
- Remover herança no objeto filho.
- Remover a herança no nível pai, o que interromperá a extensão (para os filhos).
A herança do ponto de vista do pai:
Para retirar a herança que um objeto filho, como um ficheiro ou uma subpasta, recebe do objeto pai (nível superior) que compõe a pasta que o contém, devemos aceder à guia de segurança do objeto pai, para então entrar nas opções avançadas.
Para isso clicamos com o botão direito do rato no objeto e selecionamos “Propriedades” (1).
Feito isso, acedemos à guia “Segurança” (2) para selecionar um grupo para modificar a herança e, em seguida, selecionar a opção “Opções avançadas” (3).
Antes de fazer as alterações pertinentes, devemos marcar a caixa de seleção “Substituir todas as permissões de objetos filhos por permissões herdadas deste objeto” (4).
NOTA: Podemos alterar ou não as permissões antes de interromper a herança, dependendo do que queremos conseguir.
A herança do ponto de vista do filho:
Quando queremos alterar as permissões de um objeto filho (um nível inferior ao que foi atribuído) devemos operar de maneira um pouco diferente, pois trata-se de permissões herdadas.
A maneira mais óbvia de alterar os privilégios é aceder ao nível em que foram atribuídos e modificá-los, mas isso pode não ser aquilo que queremos e pode gerar problemas, como atribuição de acesso a utilizadores que não deveriam tê-lo, bloqueios de acesso a utilizadores que devem ter acesso, etc.
Uma maneira mais correta de fazer isto é aceder ao nível em que queremos modificar essas permissões (neste caso seria o nível de um filho), e alterar as permissões que queremos modificar.
Para isso, a primeira coisa que devemos fazer é aceder ao nível filho, posicionar-nos sobre o ficheiro que queremos modificar, clicar com o botão direito do rato e selecionar “Propriedades” (5).
Neste ponto, vamos à guia “Segurança” (6) e clicamos em “Editar” (7).
Neste ponto, temos as permissões de segurança editadas, por isso vamos selecionar o utilizador (8) sobre o qual queremos trabalhar e, uma vez feito isso, selecionaremos as permissões que queremos alterar (9) e, em seguida, clicamos em “Aplicar” e “Aceitar” (10).
Com isto, as alterações entrarão em vigor e podemos vê-las na guia “Segurança” (11).
NOTA: Quando olhamos para as permissões do objeto pai, podemos ver que estas estão marcadas com uma caixa de seleção cinza, o que impede a sua manipulação, e significa que são herdadas de um nível superior.
Há outra forma de fazer isto, que é ir ao nível do filho e retirar a herança. Para isso, vamos aceder novamente ao nível do filho, posicionamo-nos no ficheiro no qual queremos desvincular a herança e clicamos com o botão direito, selecionando “Propriedades” (12).
Na nova janela, vamos a “Segurança” (13) e clicamos em “Opções avançadas” (14).
Neste ponto, acedemos à guia “Permissões” (15) e clicamos em “Interromper herança” (16).
Neste momento aparecerá uma janela pop-up que pergunta o que queremos fazer com as permissões herdadas atuais, mostrando duas opções (17):
- Converter permissões herdadas em permissões explícitas neste objeto.
- Remover todas as permissões herdadas deste objeto.
Devemos pensar em que mudanças queremos fazer para selecionar a opção ideal.
Se vai fazer muitas mudanças, é aconselhável remover as permissões herdadas e começar do zero; se houver poucas mudanças, pode escolher a opção de torná-las explícitas.
Depois disto, podemos ver que as heranças foram eliminadas e devemos começar a redefinir os privilégios novamente.
Para editar estas permissões, devemos posicionar-nos sobre a entidade de segurança (utilizador ou grupo) que queremos alterar e clicar em “Editar” (18).
Nesta nova janela, devemos atribuir as permissões necessárias a este recurso, e existem diferentes opções (19). Da mesma forma, podemos clicar no botão “Mostrar permissões avançadas” (20) para ver outras opções mais detalhadas.
Assim já teremos as permissões configuradas!
Conclusões:
Neste artigo vimos como configurar as permissões NTFS para manter os dados dos seus utilizadores protegidos de olhares indiscretos. Explicamos resumidamente quais são as permissões disponíveis, quais as permissões explícitas e herdadas, a diferença entre elas e como funciona a herança, bem como a forma como a podemos gerir ou eliminar.
Além disso, neste artigo vimos diferentes maneiras de gerir permissões de uma forma superficial, para dar ao leitor uma breve introdução – esperamos que seja suficiente para começar!
Se desejar obter mais informação sobre o sistema NTFS, pode visitar o site da Microsoft.
Obrigado por acompanhar-nos!
