Защищенность и дескриптор защиты

При регистрации пользователя в системе для него создается так называемый признак доступа. В признак включаются: идентификатор пользователя и идентификаторы всех групп, в которые входит пользователь, а также список управления доступом Access Control List (ACL). ACL состоит из разрешений, применяемых к создаваемым процессом файлам и списка прав на выполнение определенных действий. ACL является лишь частью дескриптора защиты, назначаемого файлам, потокам, событиям и даже признакам доступа, когда они создаются в системе.

Правом изменять список доступа обладает владелец объекта (по умолчанию – его создатель). В Windows XP встроенный Администратор, в отличие от рута xNIX систем, может не обладать правами на доступ к объекту, однако он всегда может изменить разрешения, став его владельцем. Вернуть же владение Администратор не сможет, поэтому юзер всегда может узнать, что с его файлом работал Администратор. В отличие от xNIX, в ACL сдержатся списки как разрешенных, так и запрещенных операций.

В NTFS5 дескриптор безопасности был перенесен из собственного атрибута объекта файловой системы в метафайл $Secure, что привело к значительной экономии дискового пространства в многопользовательских средах и повысило быстродействие за счет индексирования атрибутов.

Шифрование (NT5)

Полезная возможность для людей, которые беспокоятся за свои секреты - каждый файл или каталог может также быть зашифрован, что не даст возможность прочесть его другой инсталляцией NT. В сочетании со стандартными практически непрошибаемым паролем назагрузку самой системы, эта возможность обеспечивает достаточную для большинства применений безопасность избранных вами важных данных.

Суть процедуры восст. данных в NTFS заключается в регистрации. Каждая операция изменения ФС, т.е. операция по распределению дискового простр. обр. как транзакция. Транзакция рассматривается как неделимая (атомарная) операция, во вр. кот. никакие др. операции на изменения данными не разрешены.

Каждая транзакция осуществляется в 3 этапа: система записывает в специальный журнальный файл то, что она собирается делать; если запись в журнал была успешной, то система выполняет транзакцию; если транзакция завершена нормально, то система отмечает в журнале этот факт; если произошел сбой системы, то после загрузки запускается программа восстановления. Эта программа просматривает конец журнального файла. Если обнаружена импортирующая запись, то она игнорируется – сбой произошел во время записи в журнал. Если все записи помечены как успешно выполненные транзакции, то сбой произошел между транзакциями – ничего испр. не надо. Если найдена запись, кот. отмечает накинутую, но не выполненную транзакцию, то сбой произошел во время этой транзакции – но журнал содержит дост. инф., чтобы восстановить сост. ФС до начала транзакции или же доделать ее до конца.

NTFS обладает характеристиками защищенности, поддерживая контроль доступа к данным и привилегии владельца, играющие исключительно важную роль в обеспечении целостности важных данных. Папки и файлы NTFS могут иметь назначенные им права доступа вне зависимости от того, являются ли они разделяемыми или нет. NTFS - единственная файловая система в Windows, которая позволяет назначать права доступа к различным файлам. Устанавливая пользователям определенные разрешения для файлов и каталогов, пользователь может защищать конфиденциальную информацию от несанкционированного доступа. Разрешения пользователя на доступ к объектам файловой системы работают по принципу дополнения. Это значит, что действующие разрешения, то есть те разрешения, которые пользователь реально имеет в отношении конкретного каталога или файла, образуются из всех прямых или косвенных разрешений, назначенных ползователю для данного объекта с помощью логической функции "Или". Например, если пользователь имеет правоназначенное разрешение для каталога на чтение, а косвенно через членство в группах ему дано право на запись, то в результате пользователь сможет читать информацию в файлах каталога и записывать в них данные.
Для назначения пользователю или группе разрешения на доступ к определенномук файлу необходимо: 1. Указать файл мышью и нажать правую кнопку. Выбрать пункт Properties (Свойства) контексного меню. В появившемся окне свойств файла перейти на вкладку Security (Безопасность). По умолчанию данной вкладки там нет, чтобы она появилась необходимо в свойствах папки убрать галочку Simple File Sharing (использовать простой общий доступ к файлам).

2. В группе Name (Имя) показан список пользователей и групп, которым уже предоставлены разрешения для этого файла. Для того, чтобы добавить или удалить пользователей или новые группы, нажать кнопку Add/Remove (Добавить/Удалить) Появится окно диалога Select Users, Groups (Выбрать пользователей, группы).В поле Enter the object names to select (Ввелите имена выбираемых объектов) написать имя пользователя, кнопка Check Names (Проверить имена) позволяет проверить правильность написания имени.

3. В группе Permissions (Разрешения)

 

устанавливаются разрешения. Присутствуют указатели Deny (запретить) и Allow (Разрешить). Устанавливаются флажки для следующих параметров: Full Control (полный контроль) - пользователь получает неограниченныей доступ к файлу, Modify (Изменение) - пользователь может изменять файл, Read & execute (Чтение и выполнение), Read (Чтение) - пользователь может только читать файл, Write (Запись) - пользователь может записывать в файл.

Для более тонкой настройки разрешений необходимо нажать кнопку Advanced. Появляется диалоговое окно Advanced Security Settings for (Дополнительные параметры безопасности). Здесь можно дополнительно указать дополнительные разрешения, настроить политику аудита, изменить (просмотреть) информацию о владельце файла и добавить / удaлить пользователей, могущих получить доступ к файлу.

Следующее, очень полезное свойство файловой системы NTFS - это возможность введения квот. Это свойство, как правило необходимо системным администраторам, больших компаний, где работают большое количество пользователей, у которых нет привычки следить за актуальностью информации, и которые хранят ненужные файлы, тем самым занимая дисковое пространство. Так как администратор не может проследить за всем этим, он может ввести квоту на использование диска определенному пользователю. После установки квот пользователь может хранить на томе ограниченный объем данных, в то время как на этом диске может оставаться свободное пространство. Если пользователь превысит выданную ему квоту, в журнал событий будет внесена соответствующая запись. Чтобы включить квоты на диске нужно прежде всего, чтобы он был в формате NTFS, затем в свойствах папки Tools-Folder Options-View убрать флажок Simple File Sharing. Это нужно для того, чтобы в свойствах диска появилась вкладка Quota. Вней необходимо установить флажок на Enable quota managment (Активизировать управление квотами). Это будет установлена мягкое квотирование, которое выдаст предупреждение, что пользователь, если так случится, превысил квоту, но право на запись у него будет.

Наши рекомендации