Un ghid pentru permisiunile sistemului de fișiere. Resurse de sistem de auditare a permisiunilor NTFS

Permisiuni NTFS

În prelegerea anterioară am vorbit despre securitatea rețelei și conceptul de permisiuni, dar merită să revenim la asta acum, deoarece permisiunile sunt disponibile doar pe hard disk-urile NTFS. În această secțiune vom vorbi despre capacitățile NTFS de a vă proteja fișierele de privirile indiscrete. Spre deosebire de sistemul FAT, accesul la resursele partajate nu poate fi activat sau dezactivat. NTFS oferă un nivel de granularitate care permite accesul numai celor la care doriți și îi filtrează pe toți ceilalți.

Permisiuni pentru un utilizator individual

Înainte de a discuta despre permisiunile pentru utilizatori și grupuri, precum și despre fișierele în sine, este important să revizuiți elementele de bază ale modului în care funcționează permisiunile. Mai întâi vă vom arăta ce este moștenirea, apoi ne vom uita la un instrument din Windows XP Professional care ar trebui să vă ajute, dar care poate deveni o piatră de poticnire dacă nu înțelegeți caracteristicile sale.

Moştenire

Este posibil să existe doar câțiva utilizatori în rețea sau pot fi mii. Prin setarea de permisiuni personalizate pe volume și foldere NTFS, această sarcină poate fi relativ simplă într-o organizație formată din șase persoane. După cum sa menționat deja în prelegeri 9 Dacă o organizație începe să crească, împărțirea utilizatorilor în grupuri specifice face gestionarea permisiunilor mult mai ușoară.

Mai întâi ar trebui să creați un set de permisiuni pentru un anumit grup, cum ar fi inginerii. În acest caz, când un nou inginer apare în organizație, el este adăugat automat la acest grup. În același timp, permisiunile pentru acest grup sunt moștenite.

Notă. Moștenirea se aplică și altor obiecte de pe un volum NTFS. De exemplu, dacă setați permisiuni pentru un anumit folder și apoi creați un subdosar în cadrul acestuia, dreptul de moștenire vă eliberează de a crea un nou set de permisiuni pentru acel subdosar, deoarece moștenește permisiunile folderului părinte.

Dacă credeți că un grup de ingineri trebuie să emită sau să reînnoiască un anumit permis, este ușor să faceți acest lucru. Odată schimbată (despre care vom vorbi mai târziu în această prelegere), noua permisiune este atribuită fiecărui membru al grupului respectiv.

Pe de altă parte, un anumit inginer poate avea nevoie de permisiunea de care alții nu au nevoie. Puteți, prin autentificarea în grupul de inginerie, să faceți modificările necesare acestui utilizator, iar acesta va primi o nouă permisiune care nu va fi moștenită de el prin apartenența la acest grup. În acest caz, permisiunea nu se va aplica celorlalți membri ai grupului.

Nou în Windows XP Professional este partajarea simplă a fișierelor. Această caracteristică este activată atunci când instalați Windows XP Professional pentru prima dată sau când partajați un volum sau un folder. Pentru a activa mai multe instrumente de control al accesului utilizatorilor, partajarea simplă a fișierelor trebuie dezactivată.

S-ar putea să vă întrebați de ce este necesară partajarea simplă a fișierelor dacă această funcție trebuie dezactivată. Doar pentru a facilita procesul de partajare a fișierelor și folderelor. Cu partajarea simplă a fișierelor activată, nu există multe configurații pentru modul în care utilizatorii pot accesa fișiere, imprimante etc. Aceasta oferă o modalitate ușoară de a partaja fișiere. Cu toate acestea, dacă doriți să controlați cine poate accesa fișierele, partajarea simplă a fișierelor ar trebui să fie dezactivată. Pentru a face acest lucru, urmați acești pași.

Selectați Start\My Computer, apoi faceți clic pe Tools și selectați Folder Options.

În caseta de dialog Opțiuni folder, faceți clic pe fila Vizualizare.

Derulați lista de setări din fereastra Setări avansate și bifați sau debifați caseta de selectare Utilizați partajarea simplă a fișierelor.

Faceți clic pe OK.

Notă. Dezactivarea simplă a partajării fișierelor vă va împiedica să setați permisiunile pentru fișiere. De asemenea, ar trebui să plasați toate fișierele și folderele pe un volum sau o partiție NTFS.

Permisiuni pentru foldere și volume

Permisiunile controlează ce poate face un utilizator sau un grup cu un obiect din rețea sau de pe computerul local. Permisiunile sunt acceptate numai atunci când partajarea simplă a fișierelor este dezactivată și pe un hard disk format NTFS. ÎN tabelul 10.2 listează permisiunile atribuite folderelor și în tabelul 10.3- pentru dosare.

Creați și gestionați permisiunile

Prin crearea de permisiuni pentru fișiere, foldere și volume NTFS individuale, puteți profita de multe mai multe opțiuni de securitate decât oferă sistemul de fișiere FAT. Fila Proprietăți a folderului sau volumului selectat include o filă Securitate. Făcând clic pe el, puteți vedea o serie de opțiuni pentru a controla accesul.

Pentru a configura permisiunile pentru un anumit folder sau volum, urmați acești pași.

Specificați volumul sau folderul pentru care urmează să setați permisiunile.

Faceți clic dreapta pe el și selectați Proprietăți.

Selectați fila Securitate.

Notă. Dacă volumul NTFS este partajat, trebuie să setați permisiunile prin fila Securitate, în loc să utilizați butonul Permisiuni din fila Partajare.

În fereastra de proprietăți care apare, veți vedea două ferestre. Fereastra de sus conține o listă de utilizatori și grupuri ( orez. 10.7). În partea de jos este o listă de permisiuni pentru utilizator care pot fi setate și ajustate. Din nou, această filă este disponibilă numai pentru volumele formatate NTFS.

Orez. 10.7. Fila Securitate din caseta de dialog proprietăți

Făcând clic pe un anumit utilizator sau grup, puteți seta permisiunile pentru acesta în fereastra de jos. Sunt disponibile următoarele permisiuni.

Control total. Permite unui utilizator sau grup să citească, să creeze, să modifice și să șteargă fișiere.

Modifica. Permite utilizatorilor să șteargă fișiere și foldere, să facă modificări ale permisiunilor sau să preia proprietatea asupra unui fișier sau folder de la alt utilizator.

Citiți și executați. Permite utilizatorilor să citească și să ruleze fișiere fără a aduce modificări conținutului volumului sau folderului partajat.

Listează conținutul folderului. Permite utilizatorilor să vadă conținutul folderelor.

Citit. Permite utilizatorilor să vadă conținutul unui volum sau folder. De asemenea, pot deschide fișiere, dar nu au voie să salveze modificările.

Scrie. Permite utilizatorilor să scrie în foldere sau volume, dar îi împiedică să deschidă fișiere sau să vizualizeze o listă de fișiere.

Permisiuni speciale. Făcând clic pe butonul Avansat, puteți aplica permisiuni speciale.

Limitarea numărului de utilizatori

În funcție de dimensiunea și structura organizației dvs., este posibil să nu puteți permite tuturor să acceseze același volum în același timp. Dacă doriți să setați o limită a numărului de utilizatori care pot accesa un volum sau un folder în același timp, deschideți caseta de dialog Permisiuni și selectați fila Partajare ( orez. 10.8).

În secțiunea Limită utilizator, specificați una dintre următoarele opțiuni.

Maxim permis Permite accesul pentru numărul maxim de utilizatori de rețea.

Permiteți acest număr de utilizatori Permiteți accesul numai pentru numărul specificat de utilizatori.

Mai multe detalii despre permisiuni pot fi găsite în cap. 9.

În prelegerea anterioară am vorbit despre securitatea rețelei și conceptul de permisiuni, dar merită să revenim la asta acum, deoarece permisiunile sunt disponibile doar pe hard disk-urile NTFS. În această secțiune vom vorbi despre capacitățile NTFS de a vă proteja fișierele de privirile indiscrete. Spre deosebire de sistemul FAT, accesul la resursele partajate nu poate fi activat sau dezactivat. NTFS oferă un nivel de granularitate care permite accesul numai celor la care doriți și îi filtrează pe toți ceilalți.

Permisiuni pentru un utilizator individual

Înainte de a discuta despre permisiunile pentru utilizatori și grupuri, precum și despre fișierele în sine, este important să revizuiți elementele de bază ale modului în care funcționează permisiunile. Mai întâi vă vom arăta ce este moștenirea, apoi ne vom uita la un instrument din Windows XP Professional care ar trebui să vă ajute, dar care poate deveni o piatră de poticnire dacă nu înțelegeți caracteristicile sale.

Moştenire

Este posibil să existe doar câțiva utilizatori în rețea sau pot fi mii. Prin setarea de permisiuni personalizate pe volume și foldere NTFS, această sarcină poate fi relativ simplă într-o organizație de șase persoane. După cum sa menționat în Capitolul 9, pe măsură ce o organizație începe să crească, împărțirea utilizatorilor în grupuri specifice face gestionarea permisiunilor mult mai ușoară.

Mai întâi ar trebui să creați un set de permisiuni pentru un anumit grup, cum ar fi inginerii. În acest caz, când un nou inginer apare în organizație, el este adăugat automat la acest grup. În același timp, permisiunile pentru acest grup sunt moștenite.

Notă. Moștenirea se aplică și altor obiecte de pe un volum NTFS. De exemplu, dacă setați permisiuni pentru un anumit folder și apoi creați un subdosar în cadrul acestuia, dreptul de moștenire vă eliberează de a crea un nou set de permisiuni pentru acel subdosar, deoarece moștenește permisiunile folderului părinte.

Dacă credeți că un grup de ingineri trebuie să elibereze sau să reînnoiască un anumit permis, este ușor să faceți acest lucru. Odată schimbată (despre care vom vorbi mai târziu în această prelegere), noua permisiune este atribuită fiecărui membru al grupului respectiv.

Pe de altă parte, un anumit inginer poate avea nevoie de permisiunea de care alții nu au nevoie. Vă puteți conecta la grupul de inginerie, să faceți modificările necesare acestui utilizator, iar acesta va primi o nouă permisiune care nu va fi moștenită de el prin apartenența la acest grup. În acest caz, permisiunea nu se va aplica celorlalți membri ai grupului.

Nou în Windows XP Professional este partajarea simplă a fișierelor. Această caracteristică este activată atunci când instalați Windows XP Professional pentru prima dată sau când partajați un volum sau un folder. Pentru a activa mai multe instrumente de control al accesului utilizatorilor, partajarea simplă a fișierelor trebuie dezactivată.

S-ar putea să vă întrebați de ce este necesară partajarea simplă a fișierelor dacă această funcție trebuie dezactivată. Doar pentru a facilita procesul de partajare a fișierelor și folderelor. Cu partajarea simplă a fișierelor activată, nu există multe configurații pentru modul în care utilizatorii pot accesa fișiere, imprimante etc. Aceasta oferă o modalitate ușoară de a partaja fișiere. Cu toate acestea, dacă doriți să controlați cine poate accesa fișierele, partajarea simplă a fișierelor ar trebui să fie dezactivată. Pentru a face acest lucru, urmați acești pași.

1. Selectați Start\My Computer, apoi faceți clic pe Tools și selectați Folder Options.
2. În caseta de dialog Opțiuni folder, faceți clic pe fila Vizualizare.
3. Derulați lista de setări din fereastra Setări avansate și bifați sau debifați caseta de selectare Utilizați partajarea simplă a fișierelor.
4. Faceți clic pe OK.

Notă. Dezactivarea simplă a partajării fișierelor vă va împiedica să setați permisiunile pentru fișiere. De asemenea, ar trebui să plasați toate fișierele și folderele pe un volum sau o partiție NTFS.

Permisiuni pentru foldere și volume

Permisiunile controlează ce poate face un utilizator sau un grup cu un obiect din rețea sau de pe computerul local. Permisiunile sunt acceptate numai atunci când partajarea simplă a fișierelor este dezactivată și pe un hard disk format NTFS. B listează permisiunile atribuite folderelor, iar B listează permisiunile de atribuire fișierelor.

Creați și gestionați permisiunile

Prin crearea de permisiuni pentru fișiere, foldere și volume NTFS individuale, puteți profita de multe mai multe opțiuni de securitate decât oferă sistemul de fișiere FAT. Fila Proprietăți a folderului sau volumului selectat include o filă Securitate. Făcând clic pe el, puteți vedea o serie de opțiuni pentru a controla accesul.

Pentru a configura permisiunile pentru un anumit folder sau volum, urmați acești pași.

1. Specificați volumul sau folderul pentru care urmează să setați permisiunile.
2. Faceți clic dreapta pe el și selectați Proprietăți.
3. Selectați fila Securitate.

Notă. Dacă volumul NTFS este partajat, trebuie să setați permisiunile prin fila Securitate, în loc să utilizați butonul Permisiuni din fila Partajare.

În fereastra de proprietăți care apare, veți vedea două ferestre. Fereastra de sus conține o listă de utilizatori și grupuri (). În partea de jos este o listă de permisiuni de utilizator care pot fi setate și ajustate. Din nou, această filă este disponibilă numai pentru volumele formatate NTFS.

Orez. 10.7. Fila Securitate din caseta de dialog proprietăți

Făcând clic pe un anumit utilizator sau grup, puteți seta permisiunile pentru acesta în fereastra de jos. Sunt disponibile următoarele permisiuni.

• Control total. Permite unui utilizator sau grup să citească, să creeze, să modifice și să șteargă fișiere.
• Modifica. Permite utilizatorilor să șteargă fișiere și foldere, să modifice permisiunile sau să preia proprietatea asupra unui fișier sau folder de la alt utilizator.
• Citiți și executați. Permite utilizatorilor să citească și să ruleze fișiere fără a aduce modificări conținutului volumului sau folderului partajat.
• Listează conținutul folderului. Permite utilizatorilor să vadă conținutul folderelor.
• Citit. Permite utilizatorilor să vadă conținutul unui volum sau folder. De asemenea, pot deschide fișiere, dar nu au voie să salveze modificările.
• Scrie. Permite utilizatorilor să scrie în foldere sau volume, dar îi împiedică să deschidă fișiere sau să vizualizeze o listă de fișiere.
• Permisiuni speciale. Făcând clic pe butonul Avansat, puteți aplica permisiuni speciale.

Limitarea numărului de utilizatori

În funcție de dimensiunea și structura organizației dvs., este posibil să nu puteți permite tuturor să acceseze același volum în același timp. Dacă trebuie să setați o limită a numărului de utilizatori care pot accesa simultan un volum sau un folder, deschideți caseta de dialog Permisiuni și selectați fila Partajare (Figura 10.8).

În secțiunea Limită utilizator, specificați una dintre următoarele opțiuni.

• Maxim permis Permite accesul pentru numărul maxim de utilizatori de rețea.
• Permiteți acest număr de utilizatori Permiteți accesul numai pentru numărul specificat de utilizatori.

Mai multe detalii despre permisiuni pot fi găsite în capitolul. 9.

Un sistem de permisiuni detaliat și complex este utilizat pentru a controla accesul utilizatorilor la foldere și fișiere. Mecanismul de control al accesului la obiect Windows este unul dintre cele mai detaliate dintre sistemele de operare cunoscute. Există cel puțin 14 permisiuni NTFS pentru fișiere și foldere care pot fi activate sau dezactivate și verificate. Aceste permisiuni pot fi atribuite fișierelor sau folderelor și utilizatorilor sau grupurilor. De asemenea, puteți atribui ordinea în care sunt moștenite permisiunile pentru fișiere sau foldere și utilizatori sau grupuri. Este ușor să te pierzi în labirintul de permise. Acest articol va discuta cum funcționează permisiunile pentru foldere și fișiere și cele mai eficiente modalități de a le aplica.

Bazele accesului la obiecte

Utilizatorul nu intră niciodată în contact direct cu niciun obiect Windows. Toate accesul la obiecte se realizează prin programe (de exemplu, Windows Explorer, Microsoft Office) sau procese. Un program care accesează resurse în numele unui utilizator efectuează o procedură numită uzurparea identității. Un program care accesează o resursă la distanță realizează o procedură numită delegare.

După ce un utilizator se înregistrează, identificatorul de sistem (SID) al utilizatorului și SID-urile de grup sunt procesate de procesul lsass.exe, care generează un token de acces securizat pentru utilizator. Tokenul de securitate conține și alte informații, inclusiv drepturile (permisiuni) atribuite utilizatorului, ID-ul de sesiune al utilizatorului (unic pentru fiecare sesiune) și o mască de permisiuni care detaliază tipul de acces solicitat. Drepturile atribuite unui utilizator pot fi văzute folosind comanda

Dacă un program accesează o resursă protejată în numele unui utilizator, monitorul de referință de securitate Windows solicită jetonul de acces de securitate al utilizatorului de la program. Monitorul de securitate analizează apoi jetonul pentru a determina permisiunile efective ale utilizatorului și permite sau respinge operațiunea solicitată de utilizator. Permisiunile efective sunt descrise mai detaliat mai jos.

Partajați permisiunile

Fiecare obiect Windows protejat, inclusiv fișiere, foldere, partajări, imprimante și chei de registry, păstrează permisiunile de securitate. Orice folder Windows poate fi făcut public pentru a permite accesul de la distanță. Permisiunile de partajare pot fi atribuite oricărui folder și obiecte de imprimantă din Windows, dar permisiunile se aplică numai dacă obiectul este accesat printr-o resursă de rețea. Permisiunile Folder Share includ Control total, Modificare și Citire.

Subiecții de securitate cărora li se atribuie control total unui obiect pot efectua aproape orice operație asupra obiectului. Ei pot șterge, redenumi, copia, muta și modifica un obiect. Un utilizator cu permisiunea Control total poate modifica permisiunile de Partajare ale unui obiect și poate deveni proprietarul obiectului (cu excepția cazului în care este deja proprietar și nu are permisiunea de preluare a proprietății). În acest fel, oricine are permisiunea Control total poate revoca permisiunile altora, inclusiv administratorului (deși administratorul poate revendica întotdeauna dreptul de proprietate și permisiunile). Capacitatea de a schimba permisiunile este o cerință a oricărui sistem de operare cu control discreționar al accesului (DAC), cum ar fi Windows.

În cele mai multe cazuri, permisiunea principală de acces la resurse cerută de utilizatorii obișnuiți este Modificare. Cu permisiunea Modificare, utilizatorul poate adăuga, șterge, edita sau redenumi orice resurse din folderul corespunzător. Permisiunea de citire vă permite să vizualizați, să copiați, să redenumiți și să imprimați un obiect. Un utilizator cu permisiunea de citire poate copia un obiect într-o altă locație unde are permisiunea de control total.

Permisiuni NTFS

Dacă Windows utilizează sistemul de fișiere NTFS (mai degrabă decât FAT), atunci toate fișierele, folderele, cheile de registry și multe alte obiecte au permisiuni NTFS. Permisiunile NTFS se aplică atât accesului local, cât și de la distanță la un obiect. Pentru a vizualiza și modifica permisiunile unui fișier sau folder NTFS, faceți clic dreapta pe obiect, selectați Proprietăți și accesați fila Securitate.

Tabelul 1 arată cele 7 permisiuni totale NTFS. Permisiunile rezumate sunt diferite combinații ale celor 14 permisiuni mai granulare prezentate în tabelul 2. Puteți vizualiza permisiunile detaliate deschizând caseta de dialog Setări avansate de securitate pentru un obiect făcând clic pe butonul Avansat din fila Securitate, apoi făcând clic pe butonul Editare din fila Permisiuni. Familiarizarea cu permisiunile detaliate ale unui obiect (în special unul care necesită securitate sporită) este un obicei bun, deși necesită mai mult efort. Permisiunile rezumate nu reflectă întotdeauna cu exactitate starea permisiunilor granulare. De exemplu, am văzut un rezumat al permisiunii de citire când utilizatorul avea de fapt permisiunea de citire și execuție.

Similar cu permisiunea Full Control Share, permisiunea Full Control NTFS oferă proprietarilor mai multe opțiuni. Utilizatorii care nu sunt administratori au adesea permisiunea de Control total pentru directorul lor principal și alte fișiere și foldere. După cum sa menționat, un deținător de permisiuni la acest nivel poate modifica permisiunile fișierului și poate deveni proprietar. În loc să acordați utilizatorilor permisiunea Control total, le puteți acorda doar permisiunea de modificare. Dacă utilizatorul este proprietarul fișierului, atunci, dacă este necesar, îl puteți împiedica manual să modifice permisiunile.

Din punct de vedere tehnic, permisiunile NTFS sunt cunoscute ca ACL-uri discreționare (DACL). Permisiunile de audit sunt cunoscute ca ACL-uri de sistem (SACL). Majoritatea obiectelor protejate NTFS au ambele tipuri de permisiuni.

Impactul relațiilor de încredere Windows

În mod implicit, toate domeniile și pădurile Windows 2000 și ulterioare au relații de încredere bidirecționale cu toate celelalte domenii din pădure. Dacă un domeniu are încredere în alt domeniu, atunci toți utilizatorii din domeniul de încredere au aceleași permisiuni de securitate în domeniul de încredere ca grupul Toată lumea și grupul Utilizatori autentificați din domeniul de încredere. În orice domeniu, multe permisiuni sunt atribuite acestor grupuri în mod implicit, iar relațiile de încredere oferă implicit drepturi largi care altfel nu ar fi acordate. Rețineți că, cu excepția cazului în care încrederile sunt selective, orice permisiuni acordate grupurilor Toată lumea și Utilizatori autentificați sunt, de asemenea, atribuite tuturor celorlalți utilizatori din pădure.

Verificarea permisiunilor din linia de comandă

Administratorii folosesc adesea instrumente de linie de comandă, cum ar fi subinacl.exe, xacls.exe și cacls.exe pentru a verifica permisiunile NTFS. Subinacl este inclus în Windows Server 2003 Resource Kit Tools. Cu Subinacl, puteți vizualiza și modifica permisiunile NTFS pentru fișiere, foldere, obiecte, chei de registry și servicii. Cea mai importantă caracteristică a Subinacl este de a copia permisiunile unui utilizator, grup sau obiect și de a le aplica unui alt utilizator, grup sau obiect din același domeniu sau alt domeniu. De exemplu, atunci când un utilizator se mută de la un domeniu la altul în Windows, este creat un nou cont de utilizator; toate SID-urile sau permisiunile preexistente asociate cu utilizatorul original sunt revocate. Copiind permisiunile într-un nou cont de utilizator folosind Subinacl, le puteți face identice. Xcacls funcționează similar cu Subinacl și este inclus în Kitul de resurse Windows 2000 Server.

Programul Cacls este descris în articolul „CACLS nedocumentat: capabilități de permisiuni de grup” publicat de Microsoft. Acesta este un instrument mai vechi care a fost inclus cu Windows de la Windows NT. Cacls nu este la fel de util ca Subinacl sau Xacls, dar utilitarul este întotdeauna disponibil pe Windows. Cu Cacls puteți vizualiza și modifica fișierele și permisiunile în funcție de utilizator și grup, dar nu puteți crea permisiuni NTFS granulare. În prezent, Cacls se limitează la lucrul cu permisiuni Fără acces, Citire, Modificare și Control total, care corespund permisiunilor NTFS, dar nu permisiunilor Partajare. În plus, permisiunea de citire a lui Cacls corespunde permisiunii de citire și execuție a sistemului NTFS.

Moştenire

În mod implicit, toate fișierele, folderele și cheile de registry moștenesc permisiuni de la containerul părinte. Moștenirea poate fi activată sau dezactivată pentru fișiere, foldere sau chei de registry individuale și pentru utilizatori sau grupuri individuale. După cum putem vedea în ecranul 1, câmpul Aplicați la fila Permisiuni din caseta de dialog Setări avansate de securitate arată dacă o anumită permisiune este limitată la containerul curent sau se extinde la subdosare și fișiere. Administratorul poate atribui o permisiune (per utilizator) care este moștenită sau nu. În acest exemplu, grupul Toată lumea are permisiunea Citire și executare în folderul curent și această permisiune nu este moștenită.

Dacă un fișier sau un folder moștenește majoritatea permisiunilor sale, dar are și un set de permisiuni explicite, acestea din urmă au întotdeauna prioritate față de drepturile moștenite. De exemplu, puteți acorda unui utilizator permisiunea Full Control-Deny pe directorul rădăcină al unui anumit volum și ca toate fișierele și folderele de pe unitate să moștenească acele permisiuni. Apoi, puteți atribui oricărui fișier sau folder de pe unitate o permisiune care înlocuiește modul vechi Control total-Refuzare.

Permisiuni efective

Windows Security Monitor determină permisiunile efective ale utilizatorilor (permisiunile efective pe care le au în practică) pe baza mai multor factori. După cum sa menționat mai sus, monitorul de securitate colectează mai întâi informații despre contul de utilizator individual și toate grupurile cărora le aparține utilizatorul și rezumă toate permisiunile atribuite tuturor SID-urilor de utilizator și grup. Dacă permisiunile Deny și Allow există la același nivel, atunci Deny are de obicei prioritate. Dacă Full Control-Deny are prioritate, utilizatorul de obicei nu are acces la obiect.

În mod implicit, atunci când se contabilizează permisiunile NTFS și Share (un utilizator se conectează la o resursă printr-o rețea), monitorul de securitate ar trebui să colecteze toate permisiunile Share și NTFS. Drept urmare, permisiunile efective ale unui utilizator sunt un set de permisiuni acordate atât de permisiuni Share, cât și de NTFS.

De exemplu, utilizatorul poate ajunge să aibă permisiuni de Partajare Citire și modificare și permisiuni NTFS Citire și modificare. Permisiunile efective sunt cel mai restrictiv set de permisiuni. În acest caz, rezoluțiile sunt aproape identice. Permisiunile efective ar fi Citire și Modificare/Modificare. Mulți administratori cred în mod eronat că permisiunile eficiente sunt numai pentru citire, din cauza exemplelor slabe, suprasimplificate sau a documentației învechite.

Caseta de dialog Setări avansate de securitate din Windows XP și versiunile mai noi are acum o filă Permisiuni efective (vezi Figura 2). Din păcate, fila Permisiuni efective reflectă doar permisiunile NTFS. Nu ia în considerare impactul permisiunilor de Partajare, grupurile bazate pe activitate în care utilizatorul nu este membru și alți factori, cum ar fi sistemul de fișiere de criptare (EFS). Dacă EFS este activat pe un fișier sau folder, un utilizator cu permisiuni NTFS și Partajare adecvate ar putea să nu poată accesa obiectul dacă nu are drepturi de acces EFS la folder sau fișier.

• Fiți atenți când acordați permisiuni de control total utilizatorilor obișnuiți. Este util să le acordați permisiunea Modificare. În majoritatea cazurilor, această abordare oferă utilizatorilor toate permisiunile necesare fără a le permite să schimbe drepturile sau să preia proprietatea.
• Lucrați cu atenție cu grupul Toți; Este mai bine să utilizați grupul Utilizatori autentificați (sau Utilizatori) sau un grup special cu drepturi limitate. Omisiuni importante ale grupului de utilizatori autentificați sunt absența invitatului și a utilizatorului neautentificat.
• Nu este neobișnuit ca administratorilor de rețea să li se ceară să introducă conturi de oaspeți pentru utilizatori terți (de exemplu, consultanți, contractori, programatori independenți). Dar drepturile unui utilizator obișnuit sunt adesea redundante pentru un oaspete. Ar trebui să creați și să utilizați un grup ale cărui permisiuni implicite sunt foarte limitate (de exemplu, permisiunea Full Control-Deny pentru directoarele rădăcină), apoi permiteți accesul în mod explicit numai la fișierele și folderele necesare acestui cont de oaspete. Permisiunile atribuite explicit sunt de preferat, deoarece oferă utilizatorilor oaspeți exact permisiunile de care au nevoie pentru a-și face treaba, dar nu mai mult.
• Ar trebui să fiți atenți când restricționați grupurile Toată lumea și Utilizatori, deoarece administratorii sunt și ei membri ai acestor grupuri.
• În cazul relațiilor de încredere cu alte domenii, este util să folosiți încredere unidirecțională și selectivă pentru a limita drepturile utilizatorilor domeniului de încredere.
• Ar trebui să auditați periodic permisiunile NTFS și Share pentru a vă asigura că sunt cât mai limitate posibil.

Folosind aceste linii directoare și tabele de referință cu o scurtă descriere a tuturor permisiunilor, vă puteți aventura în siguranță în labirintul sistemului de fișiere. Administratorul va putea atribui cu încredere permisiuni pentru fișiere, foldere, utilizatori și grupuri.

Tabelul 1. Rezumatul permisiunilor NTFS

Tabelul 2. Permisiuni NTFS detaliate

Când instalați Windows XP, vi se va solicita să formatați partiția existentă pe care este instalat sistemul de operare în sistemul de fișiere NTFS. Deci ce este?

Sistemul de fișiere NTFS oferă o combinație de performanță, fiabilitate și eficiență pe care FAT nu o poate realiza. Principalele obiective de proiectare ale NTFS au fost să ofere performanță de mare viteză a operațiunilor standard de fișiere, cum ar fi citirea, scrierea, căutarea și să ofere capabilități suplimentare, inclusiv repararea unui sistem de fișiere deteriorat pe discuri extrem de mari.

Sistemul de fișiere NTFS este „propriul său” sistem de fișiere pentru Windows NT și, așa cum este cunoscut WinXP, este un fel de continuare a acestei linii de sistem de operare. Dar dacă veți utiliza mai multe sisteme de operare, cum ar fi Windows 9x și Windows XP pe un singur computer, atunci volumul de pornire nu poate fi formatat în NTFS, deoarece liniile Windows 95 (98) „înțeleg” doar FAT și discurile formatate în NTFS. pentru acestea sistemul de operare pur și simplu nu există. Fișierele aflate pe unitățile NTFS pot fi văzute numai folosind programe terțe. Dacă în timpul instalării nu ați format partiția în NTFS, atunci acest lucru se poate face după aceasta. În linia de comandă WindowsXP trebuie să tastați „Convertire (numele unității)/FS:NTFS” fără ghilimele.

Mai jos este un tabel de comparație între sistemele de fișiere FAT și NTFS

NTFS are caracteristici de securitate care acceptă controlul accesului la date și privilegiile proprietarului, care joacă un rol vital în asigurarea integrității datelor importante. Dosarele și fișierele NTFS pot avea drepturi de acces atribuite, indiferent dacă sunt partajate sau nu.
NTFS este singurul sistem de fișiere din Windows care vă permite să atribuiți permisiuni diferitelor fișiere. Setând utilizatorilor permisiuni specifice asupra fișierelor și directoarelor, utilizatorul poate proteja informațiile sensibile împotriva accesului neautorizat. Permisiunile utilizatorului de a accesa obiectele sistemului de fișiere funcționează pe principiul adăugării. Aceasta înseamnă că permisiunile efective, adică permisiunile pe care un utilizator le are de fapt asupra unui anumit director sau fișier, sunt derivate din toate permisiunile directe sau indirecte atribuite utilizatorului pe acel obiect folosind funcția booleană „Sau”. De exemplu, dacă un utilizator are dreptul de a atribui permisiunea de citire unui director și i se acordă indirect permisiunea de scriere prin apartenența la grup, atunci rezultatul este că utilizatorul va putea citi informațiile din fișierele directorului și va putea scrie date în ele.
Pentru a aloca unui utilizator sau unui grup permisiunea de a accesa un anumit fișier, trebuie: 1. Selectați fișierul cu mouse-ul și faceți clic pe butonul din dreapta. Selectați elementul Proprietăți din meniul contextual. În fereastra cu proprietățile fișierului care apare, accesați fila Securitate. În mod implicit, această filă nu este acolo pentru a apărea, trebuie să debifați caseta de selectare Partajare simplă a fișierelor din proprietățile folderului (utilizați partajarea simplă a fișierelor).
2. Grupul Nume arată o listă de utilizatori și grupuri cărora li s-au acordat deja permisiuni pentru acest fișier. Pentru a adăuga sau elimina utilizatori sau grupuri noi, faceți clic pe butonul Adăugare/Eliminare Apare caseta de dialog Selectați utilizatori, grupuri În câmpul Introduceți numele obiectelor de selectat, scrieți numele de utilizator, butonul Verificați numele ortografia numelui.
3. În grupul Permisiuni, permisiunile sunt setate. Există indicatori Deny și Allow. Sunt bifate următoarele opțiuni: Control total - utilizatorul are acces nerestricționat la fișier, Modificare - utilizatorul poate modifica fișierul, Citire și executare, Citire - utilizatorul poate citi doar fișierul, Scriere - Utilizatorul poate scrie în fișier .

Pentru a ajusta permisiunile, faceți clic pe butonul Avansat. Apare caseta de dialog Setări avansate de securitate pentru. Aici puteți, opțional, să specificați permisiuni suplimentare, să configurați politicile de audit, să schimbați (vedeți) informațiile proprietarului fișierului și să adăugați/eliminați utilizatori care pot accesa fișierul.
Următoarea proprietate foarte utilă a sistemului de fișiere NTFS este capacitatea de a introduce cote. Această proprietate este de obicei necesară administratorilor de sistem ai companiilor mari unde lucrează un număr mare de utilizatori, care nu au obiceiul de a păstra informațiile la zi și care stochează fișiere inutile, ocupând astfel spațiu pe disc. Deoarece administratorul nu poate monitoriza toate acestea, el poate impune o cotă de utilizare a discului unui anumit utilizator. Odată stabilite cotele, un utilizator poate stoca o cantitate limitată de date pe un volum, în timp ce spațiul liber poate rămâne pe acel disc. Dacă utilizatorul depășește cota care i-a fost atribuită, se va face o înregistrare corespunzătoare în jurnalul de evenimente. Pentru a activa cotele pe un disc, trebuie să fiți în primul rând în format NTFS, apoi în proprietățile folderului Tools-Folder Options-View, debifați caseta de selectare Simplu File Sharing. Acest lucru este necesar pentru ca fila Cotă să apară în proprietățile discului. În el, trebuie să bifați caseta de selectare Activează gestionarea cotelor. Aceasta va stabili o cotă soft, care va emite un avertisment că utilizatorul, dacă se întâmplă acest lucru, a depășit cota, dar va avea dreptul să scrie. Pentru a refuza accesul la acest volum unui utilizator dacă cota este depășită, trebuie să bifați caseta de selectare Interzice spațiu pe disc utilizatorilor care depășesc limita cotei. În aceeași filă, puteți seta dimensiunea cotei alocate (Limitați spațiul pe disc la) și pragul, depășirea care face ca un avertisment să fie scris în jurnalul de evenimente (Setare nivel de avertizare la) - Setați pragul pentru emiterea unui mesaj . Aceste setări sunt setate în mod implicit pentru toți utilizatorii. În fereastra Intrări de cotă, puteți modifica parametrii cotei setate pentru un anumit utilizator. Pentru a face acest lucru, selectați contul de configurat, utilizați meniul contextual pentru a selecta proprietăți și configura cota.
Și încă o inovație în NTFS 5 - puncte de montare. Utilizatorul poate defini foldere diferite, fără legătură și chiar unități din sistem ca o singură unitate sau folder. Acest lucru este de mare importanță pentru identificarea într-un singur loc a informațiilor eterogene aflate în sistem. Fișierele și folderele astfel create au un număr unic de identificare, care garantează localizarea lor corectă în sistem, chiar dacă folderul sau fișierul a fost transferat.

În orice sistem bazat pe tehnologii Windows NT, există resurse speciale de rețea. Numele unor resurse se termină cu simbolul $ astfel de resurse de rețea folosesc "; reţea" sau la deschiderea resurselor serverului folosind comanda " \\<имя сервера>" nu va fi vizibil. Cu toate acestea, dacă specificați numele complet UNC al resursei de rețea, puteți vedea datele aflate în ea.

Să enumerăm aceste resurse:

• resursa de forma " \\<имя сервера>\admin$" (de exemplu, \\DC1\admin$ ) - destinat administrării computerelor de la distanță; calea corespunde întotdeauna locației folderului în care este instalat sistemul Windows; numai membrii grupului se pot conecta la această resursă Administratorii, Operatori de arhivăȘi Operatori de server ;
• resursa de forma " \\<имя сервера>\< буква диска>$ " (de exemplu, \\DC1\C$ ) - folderul rădăcină al unității specificate; numai membrii grupului se pot conecta la resurse de rețea de acest tip pe un server Windows Administratorii, Operatori de arhivăȘi Operatori de server; pe computerele care rulează Windows XP Professional și Windows 2000 Professional, membrii grupului se pot conecta la astfel de resurse AdministratoriiȘi Operatori de arhivă ;
• resursa" \\<имя сервера>\IPC$" (de exemplu, \\DC1\IP$ ) - folosit pentru administrarea de la distanță;
• resursa" \\<имя сервера>\NETLOGON" (de exemplu, \\DC1\NETLOGON) - utilizat numai pe controlerele de domeniu; scripturile (scripturile) pentru autentificarea utilizatorului, compatibile cu versiunile anterioare ale sistemelor de operare Microsoft, sunt stocate în acest folder de rețea;
• resursa" \\<имя сервера>\SYSVOL" - utilizat numai pe controlerele de domeniu; partea de fișier a politicilor de grup este stocată în acest folder de rețea;
• resursa" \\<имя сервера>\PRINT$" - o resursă care acceptă imprimante partajate; în special, driverele pentru imprimante partajate sunt stocate în acest folder.

Puteți vizualiza o listă completă a resurselor furnizate de acest server pentru partajare în „ Dosare partajate", în capitolul " Resurse partajate" (Fig. 8.35):

Orez. 8.35.

În aceeași secțiune a acestui snap-in, puteți dezactiva partajarea resurselor în rețea, puteți modifica permisiunile de rețea și puteți crea noi resurse de rețea.

Pe lângă resursele speciale de rețea cu simbolul $ la sfârșitul numelui resursei, acordate grupurilor cu autoritate ridicată, acest simbol poate fi folosit pentru a acorda acces oricărei alte resurse cărora administratorul însuși i-a acordat acces la rețea. În acest caz, resursa de rețea va fi, de asemenea, ascunsă în timpul navigării normale în rețea, dar va fi accesibilă prin specificarea numelui complet UNC, iar accesul poate fi permis acelor grupuri de utilizatori care au nevoie de această resursă.

Permisiuni NTFS

Subliniem încă o dată că permisiunile de rețea se aplică numai atunci când accesați resurse prin rețea. Dacă utilizatorul este autentificat local, acum accesul poate fi controlat numai folosind permisiunile NTFS. Pe un volum (partiție) cu sistemul FAT, utilizatorul va avea acces deplin la informațiile de pe acest volum.

Permisiunile NTFS pot fi setate prin deschidere Proprietăți dosar sau fișier și accesați „ Siguranță " (Securitate). După cum se poate observa în Fig. 8.36, setul de tipuri de permisiuni NTFS este mult mai bogat decât setul de permisiuni de rețea.

Pe un volum NTFS, puteți atribui următoarele tipuri de permisiuni folderelor:

• Acces complet ;
• Schimbare ;
• Citiți și executați ;
• Lista conținutului folderului ;
• Citind ;
• Record ;
• Permisiuni speciale.

Nu există nicio vizualizare pentru fișiere " Citirea conținutului unui folder ".

Dacă faceți clic pe butonul „Permisiuni”. În plus", apoi puteți ajusta permisiunile.

Permisiunile NTFS pot fi evident sau mostenit. În mod implicit, toate folderele sau fișierele moștenesc permisiunile acelui obiect container ( obiect părinte) în care sunt create. Utilizarea permisiunilor vechi facilitează lucrul controlului accesului. Dacă un administrator trebuie să modifice drepturile de acces pentru un folder și tot conținutul acestuia, atunci este suficient să facă acest lucru pentru folderul în sine, iar modificările vor afecta automat întreaga ierarhie a subdosarelor și documentelor. În fig. 8.36. este clar că grupul " Administratorii„a moștenit permisiuni de tip” Acces complet" pentru folder Folder1. Și în fig. 8.37. se arată că grupul " Utilizatori" are un set de permisiuni atribuite explicit:

Nu puteți modifica permisiunile moștenite. Dacă faceți clic pe „ În plus", atunci puteți anula moștenirea permisiunilor de la obiectul părinte. În acest caz, sistemul va oferi două opțiuni pentru anularea moștenirii: fie copiați permisiunile moștenite anterioare sub formă de permisiuni explicite, fie ștergeți-le complet.

Mecanism de aplicare a permisiunilor

În paragraful 8.1 s-a spus că fiecare fișier este un set de atribute. Este apelat atributul care conține informații despre permisiunile NTFS lista de control acces (ACL, Lista de control al accesului). Structura ACL este prezentată în tabel. 8.4. Fiecare intrare din ACL este apelată element de control acces (ACE, intrare pentru controlul accesului).

Tabelul listează identificatorii de securitate (SID) de utilizator, grup sau cont de computer și permisiunile asociate acestora. În figurile 8.36 sau 8.37, în loc de SID-uri, sunt afișate numele utilizatorilor și grupurilor incluse în ACL. Secțiunea 4 a precizat că atunci când un utilizator se conectează la rețea (când se înregistrează într-un domeniu), controlorul de domeniu trimite un jeton de acces care conține SID-urile utilizatorului însuși și ale grupurilor din care este membru la sesiunea curentă a utilizatorului pe calculator. Când un utilizator încearcă să efectueze o acțiune asupra unui folder sau fișier (și solicită un anumit tip de acces la un obiect), sistemul potrivește identificatorii de securitate din jetonul de acces al utilizatorului cu identificatorii de securitate conținuti în ACL-ul obiectului. Dacă anumite SID-uri se potrivesc, utilizatorului i se acordă permisiunile corespunzătoare pentru a accesa folderul sau fișierul.

Rețineți că atunci când un administrator modifică calitatea de membru al unui utilizator (include un utilizator într-un grup nou sau elimină un utilizator dintr-un grup), simbolul de acces al utilizatorului NU se schimbă automat. Pentru a obține un nou token de acces, utilizatorul trebuie să se deconecteze și să se conecteze din nou. Apoi va primi un nou token de acces de la controlerul de domeniu, reflectând schimbarea apartenenței la grupul de utilizatori

Procedura de aplicare a permisiunilor

Principiul aplicării permisiunilor NTFS pentru a accesa un fișier sau folder este același ca și pentru permisiunile de rețea:

• în primul rând, se verifică interdicțiile asupra oricăror tipuri de acces (dacă există interdicții, atunci acest tip de acces nu este permis);
• apoi se verifică setul de permisiuni (dacă există diferite tipuri de permisiuni pentru un utilizator și grupurile cărora le aparține acest utilizator, atunci se aplică setul total de permisiuni).

Dar pentru permisiunile NTFS schema devine puțin mai complicată. Permisiunile sunt aplicate în următoarea ordine:

• interdicții explicite;
• permisiuni explicite;
• inhibiții moștenite;
• permisiuni moștenite.

Dacă SID-ul utilizatorului sau SID-urile grupului din care utilizatorul este membru nu sunt specificate nici în permisiunile explicite, nici în permisiunile moștenite, atunci accesul la utilizator va fi refuzat.

Proprietatea unui folder sau fișier

Utilizatorul care a creat folderul sau fișierul este Proprietar a acestui obiect. Proprietarul obiectului are dreptul de a modifica permisiunile NTFS pentru acest obiect, chiar dacă i se interzice alte tipuri de acces. Proprietarul actual al unui obiect poate fi văzut prin deschidere Proprietăți obiect, apoi marcajul " Siguranță", apoi făcând clic pe butonul " În plus"și mergând la marcaj" Proprietar" (Fig. 8.38):

Atenţie! Administrator de sistem poate schimba proprietarul obiect prin selectarea unui nou proprietar din lista oferită în această fereastră sau din lista completă de utilizatori (făcând clic pe " Alți utilizatori sau grupuri"). Această caracteristică este oferită administratorilor pentru a restabili accesul la un obiect în cazul pierderii accesului din cauza permisiunilor atribuite incorect sau a ștergerii unui cont care avea acces exclusiv la acest obiect (de exemplu, singurul angajat care avea acces la fișierul rămas, administratorul l-a șters contul, în urma căruia accesul la fișier s-a pierdut complet, singura modalitate de a restabili accesul este transferul dreptului de proprietate asupra fișierului către administrator sau unui nou angajat care acționează ca angajat concediat ).

Partajarea permisiunilor de rețea și NTFS

Când accesați partajări de fișiere găzduite pe un volum NTFS prin rețea, utilizatorului i se aplică o combinație de permisiuni de rețea și NTFS.

La accesarea printr-o rețea, se calculează mai întâi permisiunile de rețea (prin însumarea permisiunilor pentru utilizator și a grupurilor din care face parte utilizatorul). Permisiunile NTFS sunt apoi calculate și prin însumare. Permisele efective rezultate acordate pentru acea proprietate anume vor fi minim din permisiunile calculate de rețea și NTFS.

Controlați accesul folosind grupuri

Grupurile de utilizatori sunt create special pentru a gestiona mai eficient accesul la resurse. Dacă atribuiți drepturi de acces fiecărei resurse pentru fiecare utilizator individual, atunci, în primul rând, aceasta este o muncă foarte intensivă în muncă și, în al doilea rând, devine dificil să urmăriți modificările drepturilor de acces atunci când un utilizator își schimbă poziția într-un departament sau se mută la altul. departament.

Să repetăm ​​materialul din Secțiunea 4. Pentru un control mai eficient al accesului, se recomandă următoarea schemă de organizare a furnizării accesului:

1. conturi de utilizator ( conturi) sunt incluse în grupurile de domenii globale ( grupuri globale) în conformitate cu structura de personal a companiei/organizației și cu responsabilitățile îndeplinite;
2. grupurile globale sunt incluse în grupuri locale de domeniu sau grupuri locale pe un server ( grupuri locale de domeniu, grupuri locale) în conformitate cu drepturile de acces necesare pentru o anumită resursă;
3. grupurilor locale adecvate li se atribuie permisiunile necesare ( permisiuni) la resurse specifice.

Această schemă, bazată pe primele litere ale obiectelor folosite, a primit o denumire prescurtată AGLP (A conteaza G grupuri locale L grupuri locale P permisiuni). Cu acest aranjament, dacă un utilizator este promovat sau retrogradat sau se mută în alt departament, nu este nevoie vizualizați toate resursele rețelei, accesul la care trebuie schimbat pentru acest utilizator. Este suficient să se schimbe în consecință apartenența utilizatorilor la grupuri globaleși drepturi de acces la resursele de rețea pentru acest utilizator se va schimba automat.

Să adăugăm că în modul principal de operare al domeniului Active Directory (modurile " Windows 2000 de bază" sau " Windows 2003") odată cu apariția cuibăririi grupurilor și a grupurilor universale, schema AGLP modificat în circuit AGG...GULL...LP.