Zabezpieczenia i Uprawniwnia, Informatyka, Systemy plików
[ Pobierz całość w formacie PDF ]
Laboratorium 4
Zabezpieczenia zasobów
Bardzo ważną kwestią w przypadku administracji systemem Windows 2000 jest właściwe
zabezpieczenie zasobów przed nieautoryzowanym dostępem. Mechanizmem zapewniającym
takie zabezpieczenia są uprawnienia NTFS. Pozwalają one określić, którzy użytkownicy lub
grupy mają dostęp do danego folderu lub pliku. Oczywiście w ten sposób można
zabezpieczać zarówno całe foldery, jak i pojedyncze pliki.
Uprawnienia NTFS są dostępne wyłącznie na dyskach z systemem NTFS, nie są dostępne
natomiast na partycjach sformatowanych z użyciem systemu plików FAT16 i FAT32.
Uprawnienia do folderów
Uprawnienia do folderów pozwalają na kontrolę dostępu do folderów oraz do znajdujących
się w nich plików i podfolderów.
zawiera listę standardowych uprawnień do
folderów wraz z ich opisem.
Tabela 1. Standardowe prawa dostępu do folderów
Uprawnienie
Opis
Odczyt (Read)
przeglądanie zawartości katalogów oraz odczyt atrybutów i uprawnień
Wyświetlanie zawartości
folderu (List Folder Contents)
Odczyt
+ możliwość przechodzenia przez folder, nawet gdy użytkownik nie
ma uprawnień do folderów, przez które chce przechodzić
Zapis (Write)
tworzenie nowych plików i podfolderów w danych folderze oraz zmiana
atrybutów folderu
Zapis i Wykonanie
(Write & Execute)
Zapis
+
Wyświetlanie zawartości folderu
Modyfikacja (Modify)
Zapis i Wykonanie
+ możliwość usuwania danego folderu oraz odczytu
uprawnień
Pełna kontrola (Full Control)
Modyfikacja
+ możliwość usuwania podfolderów i plików, zmiany
uprawnień do folderu oraz przejęcia go na własność
Uprawnienia do plików
Uprawnienia do plików pozwalają kontrolować dostęp do plików.
zawiera listę
standardowych uprawnień do plików z opisem.
Tabela 2. Standardowe prawa dostępu do plików
Uprawnienie
Opis
Odczyt (Read)
odczyt zawartości plików, podgląd jego atrybutów oraz uprawnień
Zapis (Write)
zapis oraz dołączanie danych do pliku, zmiana jego atrybutów
Zapis i Wykonanie
(Write and Execute)
Odczyt + Zapis
+ możliwość uruchomienia pliku oraz dodatkowo odczyt
uprawnień
Modyfikacja (Modify)
Zapis i Wykonanie
+ możliwość usuwania danego pliku oraz odczytu
uprawnień
Pełna kontrola (Full Control)
Modyfikacja
+ możliwość zmiany uprawnień do pliku oraz przejęcia go na
własność
1
Edycja 2005/2006
  W przypadku partycji sformatowanych z użyciem NTFS domyślnie do głównego katalogu
przypisywane jest uprawnienie
Pełna kontrola
dla grupy
Wszyscy
. Grupa
Wszyscy
ma więc
dostęp do wszystkich folderów oraz plików, tworzonych w katalogu głównym. Aby dostęp do
plików i folderów mieli tylko autoryzowani użytkownicy, należy zmienić domyślne
uprawnienia do tworzonych plików i folderów.
Lista kontroli dostępu
System plików NTFS wraz z każdym plikiem i folderem przechowuje na dysku listę kontroli
dostęp (
ACL
–
A
ccess
C
ontrol
L
ist
). Lista ta zawiera spis wszystkich kont użytkowników i
grup, które mają nadany dostęp do plików i folderów oraz typ dostępu, jaki został im nadany.
Aby użytkownik mógł skorzystać z danego pliku lub folderu na liście
ACL
musi istnieć wpis
zwany
Access Control Entry
(
ACE
) dla niego lub grupy, do której on należy. Wpis ten musi
pozwalać na rodzaj dostępu, który jest żądany (np. odczyt) dla użytkownika, który chce ten
dostęp uzyskać. Jeśli wpis
ACE
nie występuje na liście
ACL
, wówczas użytkownik nie
będzie miał dostępu do danego zasobu.
Przypisywanie wielokrotnych uprawnień
Poprzez przypisanie różnych uprawnień dla użytkownika i dla grupy, do której on należy
może się zdarzyć, iż będzie on miał przypisane różne uprawnienia do danego zasobu. Aby
poprawnie przypisywać uprawnienia, należy zrozumieć sposoby nakładania się i
dziedziczenia uprawnień dla systemu NTFS.
Kumulowanie uprawnień
Efektywne uprawnienia dla użytkownika są kombinacją uprawnień przypisanych dla niego
samego oraz dla grupy, do której on należy. Jeśli użytkownik posiada prawo do odczytu
danego folderu (uprawnienie
Odczyt
), a grupa, której jest członkiem posiada prawo na zapis
(uprawnienie
Zapis
), wówczas użytkownik ma oba rodzaje uprawnień do tego katalogu
(
Odczyt
oraz
Zapis
). Następuje więc kumulacja uprawnień dla użytkownika i dla grupy, do
której on należy. Sytuację tę ilustruje
Folder A
Grupa B
Zapis
Użytkownik
Odczyt
Plik A
Grupa A
Plik B
Rys. 1. Kumulowanie uprawnień
Nadpisywanie uprawnień
Uprawnienia do plików w systemie NTFS mają wyższy priorytet niż uprawnienia do
folderów. Oznacza to, że jeśli użytkownik będzie miał odpowiednia uprawnienia do pliku, to
będzie miał do niego dostęp, nawet jeśli nie będzie miał dostępu do folderu, w którym ten plik
się znajduje. Aby skorzystać z tego pliku użytkownik musi podać pełną ścieżkę dostępu
zgodną z konwencją
UNC
(
U
niversal
N
aming
C
onvention
) lub też lokalną ścieżkę dostępu.
Uprawnienie Odmawiaj
W systemie Windows 2000 istnieje możliwość zabronienia użytkownikowi lub grupie dostępu
do wybranego pliku lub też folderu. Aby to zrobić należy przypisać danemu zasobowi
uprawnienie
Odmawiaj
. Nie jest to jednak zalecany sposób kontroli dostępu do zasobów.
2
Edycja 2005/2006
 Uprawnienie to spowoduje zablokowanie wszystkich innych uprawnień, mimo iż użytkownik
może mieć zdefiniowane uprawnienia, które pozwolą mu na dostęp do tego zasobu. Przykład
zaprezentowany na
wyjaśnia tę sytuację.
Folder A
Grupa B
Zapis
Użytkownik
Odczyt
Plik A
Grupa A
Odmów
zapisu dla
Plik B
Plik B
Rys. 2. Działanie uprawnienia Odmawiaj
Użytkownik
ma prawo
Odczyt
dla
FolderA
i jest członkiem grup:
GrupaA
oraz
GrupaB
.
GrupaB
ma prawo
Zapis
do folderu
FolderA
. Równocześnie grupa
GrupaA
ma zabronione
prawo
Zapis
dla pliku
PlikB
. Użytkownik może czytać i zapisywać plik
PlikA
. Ponadto może
odczytywać plik
PlikB
, ale nie może zapisywać tego pliku, ponieważ jest członkiem grupy
Grupa1
, która ma zablokowane prawo
Zapis
dla pliku
PlikB
.
Uprawnienie
Odmawiaj
jest jedynym wyjątkiem od zasady kumulowania uprawnień.
Dlatego też tego sposobu kontroli dostępu do zasobów należy unikać. Znacznie prostszym
sposobem kontroli dostępu jest zezwalanie na dostęp do odpowiednich zasobów, tylko
wybranym użytkownikom i grupom. Należy więc tak projektować grupy oraz organizować
drzewo folderów, aby zarządzanie zasobami i dostępem do nich odbywało się poprzez
zezwalanie na dostęp, bez potrzeby korzystania z uprawnienia
Odmawiaj
.
Dziedziczenie uprawnień
Domyślnie uprawnienia, które przypisywane są do folderów nadrzędnych są dziedziczone
przez podfoldery i pliki w nim zawarte. Przypisanie uprawnień do danego folderu spowoduje
przypisanie takich samych uprawnień do wszystkich w nim istniejących, jak i nowo
tworzonych, plików i folderów.
Istnieje jednak możliwość zablokowanie dziedziczenia uprawnień. Zablokowanie
dziedziczenia uprawnień spowoduje, że wyłączone zostanie przekazywanie uprawnień z
folderu macierzystego do podfolderów i pliku w nim zawartych. Aby wyłączyć ten
mechanizm należy w podfolderach i plikach usunąć wszystkie odziedziczone uprawnienia,
pozostałe uprawnienia pozostawiając.
Folder, dla którego zablokowano mechanizm dziedziczenia uprawnień staje się teraz nowym
folderem nadrzędnym i jego uprawnienia będą teraz dziedziczyły jego podfoldery i pliki.
Przypisywanie i modyfikowanie uprawnień
Użytkownicy z grupy
Administratorzy
lub z prawem
Pełna kontrola
oraz właściciele plików i
folderów mogą przypisywać uprawnienia dla grup i użytkowników. W tym celu należy
kliknąć na wybranym pliku lub folderze i wybrać polecenie
Właściwości
, a następnie wybrać
zakładkę
Zabezpieczenia
. Wygląd zakładki
Zabezpieczenia
został przedstawiony na
Na zakładce tej dostępne są następujące opcje:
·
Nazwa
– pole to zawiera listę grup lub użytkowników, którzy mają przypisane
uprawnienia do danego zasobu.
·
Uprawnienia
– lista wszystkich praw, które można ustawić dla danego zasobu.
·
Dodaj
– przycisk ten wyświetla okno dialogowego
Wybieranie: Użytkownicy,
Komputery lub Grupy
, w którym będzie można wybrać użytkowników lub grupy,
którym chcemy przypisać odpowiednie uprawnienia.
3
Edycja 2005/2006
 ·
Usuń
– przycisk ten usuwa wybranego użytkownika lub grupę oraz uprawnienia dla
danego pliku lub folderu.
·
Zaawansowane
– przycisk ten otwiera okno
Ustawienia kontroli dostępu
, w którym
można ustawiać dodatkowe uprawnienia do danego zasobu.
Rys. 3. Wygląd zakładki Zabezpieczenia dla folderu
Jeżeli pole wyboru uprawnienia jest wyszarzone, oznacza to, że dane uprawnienie zostało
odziedziczone z folderu nadrzędnego.
Wyłączanie dziedziczenia uprawnień
Domyślnie podfoldery oraz pliki dziedziczą uprawnienia, które są przypisane do ich folderu
nadrzędnego. Opcja
Zezwalaj na propagowanie uprawnień dziedziczonych obiektu
nadrzędnego do tego obiektu
znajduje się na zakładce
Zabezpieczenia
(
). W celu
wyłączenia dziedziczenia uprawnień, należy tę opcję odznaczyć. Zostanie wówczas
wyświetlony dialog przedstawiony na
Rys. 4. Okno wyświetlone w momencie wyłączenia dziedziczenia uprawnień
Opcje dostępne w tym oknie to:
·
Kopiuj
– opcja ta pozwala na skopiowanie uprawnień z folderu nadrzędnego do
bieżącego folderu, a następnie blokuje dziedziczenie uprawnień z folderu
nadrzędnego.
·
Usuń
– opcja ta powoduje, że uprawnienia które są odziedziczone z folderu
nadrzędnego zostają usunięte z podfolderów i plików, a pozostają tylko uprawnienia
przypisane bezpośrednio do plików lub podfolderów.
·
Anuluj
– przycisk ten powoduje anulowanie wprowadzanych zmian.
W celu wyłączenia domyślnego przypisywania uprawnienia
Pełna
kontrola
dla grupy
Wszyscy
dla nowych zasobów, należy usunąć dziedziczenie uprawnień dla głównego katalogu
lub też odpowiednio zmodyfikować uprawnienia dla tego katalogu.
Uprawnienia specjalne
Standardowe uprawnienia NTFS dają użytkownikom systemu Windows 2000 wystarczające
sposoby do kontroli i zabezpieczania dostępu do zasobów. Może jedna wystąpić sytuacja,
kiedy administrator systemu nie będzie w stanie określić poziomu dostępu do zasobów,
jakiego wymagają użytkownicy. W takim przypadku należy skorzystać ze specjalnych
uprawnień systemu NTFS. W systemie Windows 2000 dostępnych jest 13 takich uprawnień.
Uprawnienia standardowe są kombinacją uprawnień specjalnych. Przykładowo, uprawnienie
standardowe
Odczyt
jest kombinacją uprawnień specjalnych:
Odczyt
danych
,
Odczyt
uprawnień
,
Odczyt
atrybutów
oraz
Odczyt
rozszerzonych
atrybutów
. Jeżeli przypisujemy
4
Edycja 2005/2006
  specjalne uprawnienia do folderu, możemy wybrać czy uprawnienia będą odziedziczone przez
podfoldery i pliki znajdujące się w tym folderze.
Tabela 3. Uprawnienia specjalne oraz odpowiadające im uprawnienia standardowe
Uprawnienia
specjalne
Pełna
kontrola
Modyfikacja
Zapis i
wykonanie
Wyświetlanie
zawartości
folderu (tylko
foldery)
Odczyt
Zapis
Przechodzenie przez
folder/ Wykonywanie
pliku
X X
X
X
Wyświetlanie
zawartości
folderu/Odczyt
danych
X X
X
X X
Odczyt atrybutów
X X
X
X X
Odczyt atrybutów
rozszerzonych
X X
X
X X
Tworzenie plików/
Zapis danych
X X
X
X
Tworzenie folderów/
Dołączanie danych
X X
X
X
Zapis atrybutów
X X
X
X
Zapis atrybutów
rozszerzonych
X X
X
X
Usuwanie
podfolderów i plików
X
Usuwanie
X X
Odczyt uprawnień
X X
X
X X
Zmiana uprawnień
X
Przejęcie na własność
X
Uprawnienie Zmiana uprawnień
Uprawnienie to pozwala administratorowi lub użytkownikowi na przypisanie lub zmianę
uprawnień dla danego pliku lub folderu, bez przypisanego uprawnienia
Pełny
dostęp
. W ten
sposób, użytkownik lub administrator nie może skasować lub zapisać pliku lub folderu, ale
będzie mógł przypisać uprawnienia do pliku lub folderu. Aby administratorzy systemu mogli
zmieniać uprawnienia dla danego zasobu, należy grupie
Administratorzy
przypisać
uprawnienie
Zmiana
uprawnień
.
Uprawnienie Przejęcie na własność
Uprawnienie to pozwala innemu użytkownikowi, grupie lub
Administratorowi
na przejęcie na
własność pliku lub folderu. Przy przejmowaniu zasobu na własność obowiązują następujące
zasady:
· Użytkownik z prawem
Pełny dostęp
może przypisać prawo
Pełny dostęp
lub
Przejęcie na własność
innemu użytkownikowi lub grupie. Pozwoli to użytkownikowi
lub członkowi tej grupy na przejęcie danego pliku lub folderu na własność.
· Właściciel pliku lub folderu zawsze może kontrolować i modyfikować uprawnienia
swoich plików i folderów, nawet jeśli nie ma jawnie przypisanego prawa
Pełny dostęp
lub
Zmiana uprawnień
(uprawnienie zaawansowane).
· Administrator może przejąć na własność folder lub plik bez względu na przypisane do
niego uprawnienia. Jeśli administrator przejmie folder lub plik na własność,
5
Edycja 2005/2006
[ Pobierz całość w formacie PDF ]