Лекция 9 Возможности файловой системы NTFS Системы

Лекция 9. Возможности файловой системы NTFS

Системы контроля доступа Избирательный контроль доступа Полномочный контроль доступа 2

ИЗБИРАТЕЛЬНЫЙ КОНТРОЛЬ ДОСТУПА Каждый пользователь должен иметь определенный набор разрешений на доступ к конкретному объекту файловой системы. Пользователь становится владельцем файла или папки, если сам их создает. Владелец назначает разрешения на доступ к объекту ФС. В системе существует привилегированный пользователь (Администратор/ root), который может назначить себя владельцем любого объекта файловой системы (файла или папки). 3

ОСНОВНЫЕ ПОЛОЖЕНИЯ СИСТЕМЫ РАЗРЕШЕНИЙ существуют разрешения и запреты; нужно учитывать взаимодействие разрешений и запретов; важно понятие владельца; учитывается наследование разрешений, которое существует по умолчанию. 4

ПРАВИЛО СЛОЖЕНИЯ РАЗРЕШЕНИЙ НА ДОСТУП Разрешения пользователя на доступ к объектам файловой системы работают по принципу дополнения (аддитивности). Это значит, что действующие разрешения, то есть те разрешения, которые пользователь реально имеет в отношении конкретного каталога или файла, образуются из всех прямых и косвенных разрешений, назначенных пользователю для данного объекта с помощью логической функции ИЛИ. Действующее разрешение=разрешение 1 ИЛИ разрешенние 2 ИЛИ. . . 5

ПРАВИЛО ПРИОРИТЕТА ЗАПРЕТОВ НА ДОСТУП Следует отметить, что правило сложения разрешений с помощью логического ИЛИ не выполняется, когда пользователь имеет определенное разрешение, а группе, в которую он входит, отказано в этом разрешении (или наоборот). В этом случае отказ в разрешении имеет более высокий приоритет над предоставлением разрешения, т. е. в результате пользователь не будет иметь данного разрешения. 6

ТИПЫ РАЗРЕШЕНИЙ В ФС NTFS Разрешения для файлов стандартные специальные ·полный доступ ·изменить ·чтение и выполнение ·чтение ·запись ·полный доступ ·выполнение файлов ·чтение данных ·чтение атрибутов ·чтение доп. атрибутов ·запись данных ·дозапись данных ·запись атрибутов ·запись доп. атрибутов ·удаление ·чтение разрешений ·смена владельца 7

НАЗНАЧЕНИЕ РАЗРЕШЕНИЙ НА ДОСТУП (ОКНО «БЕЗОПАСНОСТЬ» ) 8

ОТСУТСТВИЕ ВКЛАДКИ «БЕЗОПАСНОСТЬ» Вкладка безопасность не доступна в свойствах файлов и папок в Windows младших версий (например: Vista Home Premium, Windows Vista Home Basic и Windows Vista Starter. ) Вкладка «Безопасность» также недоступна в свойствах файлов и папок, если используется файловая система FAT или FAT 32. Вкладка безопасность может быть скрыта в версиях Windows XP, если установлен флажок «Использовать простой общий доступ к файлам» , если компьютер не включен в домен 9

НАЗНАЧЕНИЕ РАЗРЕШЕНИЙ НА ДОСТУП (ОКНО «ВЫБОР ТИПА ОБЪЕКТА» ) 10

11

12

НАЗНАЧЕНИЕ РАЗРЕШЕНИЙ НА ДОСТУП Из командной строки – утилита ICACLS 13

НАЗНАЧЕНИЕ РАЗРЕШЕНИЙ НА ДОСТУП (ОКНО «ДОПОЛНИТЕЛЬНЫЕ ПАРАМЕТРЫ БЕЗОПАСНОСТИ» ) 14

УНАСЛЕДОВАННЫЕ РАЗРЕШЕНИЯ Обратите внимание на флажок: «Добавить разрешения, наследуемые от родительских объектов» (версия 7) 15

16

НАЗНАЧЕНИЕ РАЗРЕШЕНИЙ НА ДОСТУП (ОКНО «ДЕЙСТВУЮЩИЕ РАЗРЕШЕНИЯ» ) 17

ПЕРЕДАЧА ПРАВ ВЛАДЕНИЯ (ОКНО ДОПОЛНИТЕЛЬНЫХ ПАРАМЕТРОВ БЕЗОПАСНОСТИ) 18

ПЕРЕДАЧА ПРАВ ВЛАДЕНИЯ ИЗ КОМАНДНОЙ СТРОКИ TAKEOWN [/S система [/U пользователь [/P [пароль]]]] /F имя_файла [/A] [/R [/D приглашение]] Ключи: /S <система> - Удаленная система, к которой выполняется подключение. /U [<домен>]<пользователь> - Контекст пользователя, в котором команда будет выполняться. /P [<пароль>] - Пароль для указанного контекста пользователя. /F <имя_файла> - Шаблон для имени файла или каталога. /A - Делает владельцем группу администраторов вместо текущего пользователя. /? - Вывод справки по использованию 19

ПЕРЕДАЧА ПРАВ ВЛАДЕНИЯ ИЗ КОМАНДНОЙ СТРОКИ Если не указан параметр /A, владельцем файла становится текущий вошедший пользователь. Примеры: TAKEOWN /F C: WindowsSystem 32acme. exe TAKEOWN /F %windir%*. txt 20

КВОТЫ ДИСКОВОГО ПРОСТРАНСТВА 21

ЗАПИСИ КВОТ 22

ОКНО «ДОПОЛНИТЕЛЬНЫХ АТРИБУТОВ» (СВОЙСТВА ОБЪЕКТА ФС) 23

ШИФРОВАНИЕ ФАЙЛОВ (ПАПОК) Впервые реализовала в NTFS 5. 0 (Windows 2000). В Windows Server 2003 и Windows XP функциональность и набор компонентов EFS были расширены. Использовать EFS для шифрования содержимого файлов и папок сравнительно просто: пользователям Windows достаточно установить флажок «Шифровать содержимое для защиты данных» окна «Дополнительные свойства файла» ; выбрать команду Шифровать из контекстного меню файла или папки. (Команда Зашифровать/Дешифровать контекстного меню — малоизвестная функция, по умолчанию отключенная. Чтобы ее активизировать, необходимо добавить параметр Encryption. Context Menu со значением 1 типа REG_DWORD в раздел реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent. Versio n ExplorerAdvanced). 24

EFS Если атрибут шифрования установлен на уровне папки NTFS, то вновь создаваемые файлы в папке будут шифроваться автоматически. Если при запросе установить переключатель - «Применить эти атрибуты только к этой папке или также ко всем вложенным файлам и папкам» в положение: «Только к этой папке» , то файлы, находившиеся в папке до установки атрибута шифрования, шифроваться не будут. То же относится и к дешифрации. С помощью инструмента Cipher. exe компании Microsoft можно автоматизировать шифрование и управлять им из командной строки. 25

26

EFS Внутренний механизм EFS — отличный пример гибридного решения шифрования, в котором объединены возможности симметричного и асимметричного шифрования. Асимметричные шифры труднее взломать, но для их обработки требуется больше времени, чем для симметричных шифров. EFS использует симметричный шифр Advanced Encryption Standard (AES) для шифрования данных и асимметричный шифр RSA — для надежного хранения ключа шифрования данных. Ключ шифрования данных EFS известен как FEK (File Encryption Key — ключ шифрования файлов) 27

EFS При копировании зашифрованных данных из ФС NTFS в ФС FAT шифрование будет утеряно. Главная болевая точка EFS — потеря данных из-за того, что пользователи не знают или просто забывают, как важно делать резервные копии закрытого ключа EFS. Если пользователи устанавливают новую операционную систему Windows или копируют и восстанавливают защищенные EFS данные между различными компьютерами (между ФС NTFS), не принадлежащими одному домену, но при этом не копируют старый закрытый ключ EFS с предыдущего компьютера или операционной системы, чтобы импортировать его в новую среду, то доступ к данным, ранее зашифрованным с применением EFS, будет потерян. В автономных системах, начиная с версии Vista, операционная система автоматически приглашает пользователя сделать резервную копию закрытого ключа EFS. 28

EFS Управление секретными ключами осуществляется с помощью оснастки «Сертификаты» . Сертификат - это документ с цифровой подписью, связывающий значение открытого ключа с удостоверением пользователя, устройства или службы, которым принадлежит соответствующий закрытый ключ. Большинство широко используемых сертификатов базируются на стандарте сертификата X. 509 v 3. (Vista/7) Пользователь может в любое время запустить мастер резервного копирования ключа вручную из утилиты Учетные записи пользователей панели управления, используя задачу Управление сертификатами шифрования файлов и выбрав режим Копировать в файл. 29

УПРАВЛЕНИЕ СЕРТИФИКАТАМИ 30

ОКНО ОСНАСТКИ «СЕРТИФИКАТЫ» 31

ШИФРОВАНИЕ EFS дополняет другие технологии защиты и шифрования данных — Bit. Locker Drive Encryption (BDE) и Windows Rights Management Services (RMS), уже применяемые в продуктах Microsoft. 32

СЖАТИЕ 33

СЖАТИЕ - КОМАНДА COMPACT Синтаксис: compact [/c|/u] [/s[: каталог]] [/a] [/q] [/i] [/f] [имя_файла[. . . ]] Запущенная без параметров, команда compact выводит сведения об уплотнении файлов в текущем каталоге. /c - уплотняет заданный каталог или файл. /u - разуплотняет заданный каталог или файл. /s: каталог - Задает выполнение операции (уплотнения или разуплотнения) во всех подкаталогах заданного или текущего каталога. /a - отображает скрытые и системные файлы. 34

ПРИМЕРЫ ИСПОЛЬЗОВАНИЯ КОМАНДЫ COMPACT Для уплотнения всех файлов с расширением. bmp в каталоге Tmp и его подкаталогах: compact /c /s tmp *. bmp Для окончательного уплотнения файла Zebra. bmp, который был частично уплотнен до сбоя системы, применяется следующая команда: compact /c /f zebra. bmp 35

ССЫЛКИ Ссылки На файлы Символические Жесткие На папки Символические Жесткие (Junction – точки подключения (соединения)) Создаются командой mklink 36

MKLINK [[/D] | [/H] | [/J]] Ссылка Назначение /D Создание символической ссылки на каталог. (По умолчанию создается символическая ссылка на файл. ) /H Создание жесткой связи вместо символической ссылки. /J Создание соединения для каталога. Ссылка - Имя новой символической ссылки. Назначение - Путь (относительный или абсолютный), на который ссылается новая ссылка. 37

ПРИМЕРЫ КОМАНДЫ Запускать окно в данном случае нужно от имени администратора

39

40

41

ТОЧКИ МОНТИРОВАНИЯ ФС Результат операции монтирования (объединение нескольких ФС в одну, когда одна из ФС становится подкаталогом другой ФС) Монтировать можно разные ФС, но та, на которую производится монтирование (где расположены точки соединения) должна быть NTFS. 42

ПОНЯТИЕ МОНТИРОВАНИЯ ФАЙЛОВЫХ СИСТЕМ (2 ФС ДО МОНТИРОВАНИЯ) Файловая система 1 / dir 1 dir 21 - каталог - обычный файл dir 3 dir 4 dir 22 Файловая система 2 / kat 1 kat 2 f 1 f 2 43

ПОНЯТИЕ МОНТИРОВАНИЯ ФАЙЛОВЫХ СИСТЕМ (СИСТЕМЫ ПОСЛЕ МОНТИРОВАНИЯ) Файловая система 1 / dir 1 dir 21 kat 1 f 1 dir 3 dir 4 dir 22 kat 2 f 2 44

ОСНАСТКА «УПРАВЛЕНИЕ ДИСКАМИ» 45

ОСНАСТКА «УПРАВЛЕНИЕ ДИСКАМИ» (ПРОДОЛЖЕНИЕ РАБОТЫ) 46

УТИЛИТА MOUNTVOL mountvol [устройство: ]путь имя_тома, где: [устройство: ]путь – определяет существующую папку NTFS 5. 0, являющуюся точкой подключения тома; имя_тома – определяет имя подключаемого тома. Параметры утилиты тоипtvol: /D – уничтожение существующей точки подключения у указанной папки; /L– отображение списка томов, подключенных к данной папке. 47

ПРИМЕР ИСПОЛЬЗОВАНИЯ УТИЛИТЫ MOUNTVOL С помощью утилиты тоипtvol подключение тома СDROM к точке соединения: mkdir CD mountvol CD \? Volume{fccfe 1 d 1 -932 a-11 d 5 -bba 4806 d 6172696 f} 48

MOUNTVOL 49

ИМЕНОВАННЫЕ ПОТОКИ 50

АУДИТ ДОСТУПА К ОБЪЕКТАМ ФС 1. 2. Аудит – это процесс, позволяющий фиксировать события, происходящие в операционной системе и имеющие отношение к безопасности. Настройка аудита двухэтапный процесс: Активизация с помощью оснастки Групповая политика (в локальном варианте – Локальная политика безопасности); Выбор и изменение свойств конкретных объектов ФС 51

АКТИВИЗАЦИЯ АУДИТА (ОКНО ОСНАСТКИ «ЛОКАЛЬНЫЕ ПОЛИТИКА БЕЗОПАСНОСТИ» ) 52

НАСТРОЙКА АУДИТА (ИЗМЕНЕНИЕ СВОЙСТВ ОБЪЕКТА) 53

НАСТРОЙКА АУДИТА (ИЗМЕНЕНИЕ СВОЙСТВ ОБЪЕКТА) 54

НАСТРОЙКА АУДИТА (УКАЗАНИЕ ДЕЙСТВИЙ ДЛЯ СЛЕЖЕНИЯ) 55

ПРОСМОТР СОБЫТИЙ 56

ОТКЛЮЧЕНИЕ АУДИТА ФАЙЛОВ И ПАПОК Установите указатель мыши на файл или папку, где необходимо отключить аудит, и нажмите правую кнопку. В появившемся меню выберите команду Свойства, появится окно свойств файла или папки. Перейдите на вкладку Безопасность. На вкладке Безопасность нажмите кнопку Дополнительно. В появившемся окне диалога выберите кнопку Аудит. В поле Элементы аудита выберите нужную запись и нажмите кнопку Удалить. Соответствующая запись будет удалена. 57