RSS    

   Реферат: Безопасность файловых ресурсов сети Windows 2000

-     Имя файла сокращается до 6 символов, за которыми следует символ ~ (тильда) и одна цифра.

-     Расширение имени сокращается до трех символов.

3.   В качестве имен файлов или каталогов запрещено использование имен, зарезервированных операционной системой:

       AUX, COM1…COM4, LPT1…LPT4, NUL, PRN.

4.   Функции защиты данных от несанкционированного доступа со всеми их возможностями могут использоваться при установке файловой системы NTFS.[2]  

Файловая система NTFS 5.0. Эта версия файловой системы является объектно-ориентированным хранилищем данных, представляемых в виде привычных для пользователя объектов — файлов и каталогов. В NTFS 5.0 теперь можно хранить потенциально любую информацию и в любых форматах представления. Реализуются эти возможности за счет появления в файловой системе нового механизма Reparse points (повторный грамматический анализ). Reparse points  — это объекты, которые могут быть связаны с файлами или каталогами, и описывают правила хранения и обработки информации, хранящейся в нестандартном для файловой системы виде. С использованием этого механизма в NTFS уже реализованы механизмы шифрации данных и механизмы монтирования томов (представление любого тома в виде каталога на другом диске — возможность создания виртуальной файловой системы, состоящей только из файлов и каталогов на любой рабочей станции или сервере). А разработчики получили мощный инструмент для создания приложений, способных хранить данные в своем уникальном формате (включая и собственные алгоритмы шифрации) для обеспечения необходимого уровня производительности и безопасности работы с данными.

Рассмотрим принципы работы механизма Reparse points. Любое приложение, работающее с файловой системой, при обращении к дискам отображает информацию в виде привычных файлов и каталогов, хранящихся в NTFS. При попытке открытия выбранного пользователем файла (или каталога), запрос на чтение данных передается приложением ядру ОС. Ядро, анализируя свойства выбранного файла и обнаруживая связанный с ним объект Reparse points, анализирует хранящуюся в этом объекте информацию (в этом и состоит суть названия механизма — повторный грамматический анализ). Объект Reparse points, по сути, содержит ссылку на специальный драйвер, создаваемый любым разработчиком. Этот драйвер и определяет реальный формат хранения данных на томах NTFS. При попытке открытия файла управление передается созданному разработчиком модулю, который и считывает данные с диска в известном ему формате. Поэтому с появлением этого нового механизма любой разработчик имеет возможность обеспечить безопасность и удобство хранения данных для своего специфического приложения. [5]

Еще одним новшеством файловой системы NTFS 5.0 стали обновленные механизмы разграничения прав доступа и появившиеся средства квотирования дискового пространства. Отныне система прав доступа обладает встроенными механизмами наследования, позволяющими с большой степенью удобства выполнять разграничение полномочий в файловых системах с большим количеством уровней вложенности каталогов. Из приятных нововведений также можно назвать появившийся инструментарий (в отличие от Windows NT 4.0 он поставляется в составе Windows 2000), позволяющий описывать маски наследуемых прав для любых комбинаций каталогов, файлов и целых ветвей файловой системы. Сами права доступа стали обладать существенно большей гибкостью, не создающей путаницу из-за обилия вариантов разграничения прав.

Интерфейсы прикладного программирования (API) сетевой аутентификации Windows, являющиеся частью SSPI (Security Support Provider Interface). Приложения и службы Windows 2000 используют SSPI для изоляции протоколов прикладного уровня от деталей протоколов сетевой безопасности. Windows 2000 поддерживает интерфейс SSPI в целях сокращения кода уровня приложений, необходимого для работы с многочисленными протоколами аутентификации. Интерфейс SSPI представляет уровень, поддерживающий различные механизмы аутентификации и шифрации, использующие протоколы с симметричными или асимметричными ключами.

SSPI — это инструмент, с помощью которого реализована вся внутренняя система безопасности Windows 2000 и ее сервисов. SSPI обеспечивает существование 3 основных механизмов сетевой безопасности: аутентификацию, гарантию целостности и конфиденциальность. Под аутентификацией понимается возможность проверки того, что полученные вами данные пришли действительно от того, чей адрес стоит в поле отправителя. Гарантия целостности подразумевает наличие набора средств, позволяющих проверить получение тех данных, которые были посланы вам. Соблюдение конфиденциальности требует, чтобы сообщение было получено и прочитано только тем пользователем, кому оно адресовано.

С использованием SSPI разработчики получают возможность создания приложений со встроенными средствами сетевой безопасности и соблюдением открытых стандартов. Это позволяет гарантировать безопасный обмен данными с любыми организациями — партнерами, заказами, поставщиками по общедоступным каналам связи, например, Интернет.[4]

В Windows 2000 каждый пользователь должен зарегистрироваться в системе перед началом работы. Это необходимо как на локальной рабочей станции без подключения к сети, так и на станции в компьютерной сети. Внутри системы каждый пользовательл имеет свой  ID (идентификатор или уникальное имяпользователя, состоящее из имени и пароля). Каждый пользователь также может войти в систему в качестве гостя (Guest). В этом случае ему предоставляется возможность обращения к файлам других компьютеров сети, которрые разрешены для совместного использования, но не к файлам, расположенным на NT-сервере.

 Каждый пользователь должен зарегистрироваться в системе индивидуально. Это позволяет организовать защиту файлов таким образом, что некоторые каталоги или диски для одних пользователей могут быть закрыты, а для других – открыты. Это относится к предоставлению всех прав доступа.

Пользователю, обладающему правами админитсратора, доступны все ресурсы, имеющиеся в данной системе. И если он однажды забудет свой пароль, то это приведет к необходимости форматирования диска и переустановки операционной  системы. Следует, однако, отметить, что полный ассортимент средств защиты доступен лишь тогда, когда установлена файловая система NTFS.

 Без проблем можно подключить несколько рабочих станций Windows 2000 к Peer-to-peer-сети (одноранговая сеть). Для этого нужно вставить в компьютер сетевую плату и с помощью Панели управления настроить параметры кабельного соединения. Необходимо также запустить Сервер обслуживания. В такой сети тоже можно  предоставить отдельным пользователям праава доступа к ресурсам со  всеми или ограниченными возможностями, а также организовать коллективное использование принтера. В одноранговую сеть  могут объединяться компьютеры  с другими операционными системамми, такими как Windows for Workgroups, Windows 95/98 и Novell-клиент.

Сеть может обладать дополнительной возможностью обеспечения лоступа посредством RAS (Remote Acces Service-служба удаленного доступа). С помощью  RAS из  Windows 2000-компьютера можно обращаться к сети через модем по телефону и работать в ней как обычный клиент.[2]

2. Защита файлов

Файловая система FAT для каждого файла в томе сохраняет имя файла, его размер, дату последнего изменения и собственно информацию. Система NTFS , кроме перечисленного, также выдает список контроля доступа  (access control list, ACL), который определяет степень доступа к файлам и папкам системы, имеющуюся у пользователя. Каждый файл и папка в томе NTFS имеют свой ACL.

Защитой файлов в томе NTFS можно управлять с помощью вкладки  Security (Безопасность) в диалоговом окне свойств файла:

1.   Щелкнуть правой кнопкой мыши на файле в Проводнике.

2.   Выбрать во всплывающем меню пункт Properties (Свойства).

3.   Щелкнуть на вкладке Security (Безопасность), чтобы открыть диалоговое окно, изображенное на рис.1.

Если выделенный файл не хранится в томе NTFS, вкладка Security(Безопасность) не появится, поскольку защита файла возможна только в томе NTFS.


Рис.1. На вкладке Безопасность отображены пользователи, имеющие разрешения на доступ к файлу

Диалоговое окно используется для просмотра и изменения степени доступа пользователя к файлу. При выделении имени в поле Name (Имя) в поле Permissions (Разрешения) в нижней части диалогового окна отображается степень доступа данного пользователя или группы к данному файлу. Затененные флажки определяют наличие разрешения «по наследству». Это значит,  что разрешение было предоставлено родительским объектом. Например, родительский объект для файла – папка, в которой он содержится. Затененный флажок дает знать, что разрешение дано по умолчанию, поскольку файл создан в папке, у которой помечен соответствующий флажок.[1]

2.1 Разрешения для файлов

Поле Permissions (Разрешения) включает список основных разрешений, и использовать их можно в различных сочетаниях, чтобы они подходили именно вам. По сути, каждое разрешение из списка представляет собой установленный набор разрешений. В табл. 1 показано, что именно включено в то или иное разрешение из списка в поле Permissions (Разрешения).

Таблица 1.

Основные разрешения для файла

Разрешение

Описание
Индивидуальные разрешения
Read (Чтение)

Позволяет пользовате-

лю просматривать

информацию файла

- List Folder/Read Data (Содержание папки/

   Чтение данных)

- Read Attributes (Чтение атрибутов)

- Read Extended Attributes (Чтение дополни-

   тельных атрибутов)

- Read Permissions (Чтение разрешений )

- Synchronize (Синхронизация)

Read & Execute

( Чтение

и  выполнение)

Позволяет запускать

Программы

- Все разрешения, перечисленные выше

- Traverse Folder/Execute Files (Обзор папок

   Выполнение файлов)

Write (Запись),

Содержимое

Файла

Позволяет изменять

Файлы

- Creates Files/Write Data (Создание файлов/

   Запись данных)

- Creates Folders/Append Data (Создание па-

   пок/Дозапись данных)

- Write Attributes (Запись атрибутов)

- Write Extended Attributes (Запись дополни-

   тельных атрибутов)

- Read Permissions (Чтение разрешений)

- Synchronize (Синхронизация)

Modify

(Изменить)

Позволяет читать,

изменять и удалять

файл

- Все перечисленные выше разрешения

- Delete (Удаление)

Full Control

( Полный                  

    доступ) 

Позволяет осущест-

влять полный контроль над файлом

- Все перечисленные выше разрешения

- Delete Subfolders and Files ( Удаление

   подпапок и файлов)

- Change Permissions ( Смена разрешений)

- Take Ownership (Смена владельца)

Страницы: 1, 2, 3, 4


Новости


Быстрый поиск

Группа вКонтакте: новости

Пока нет

Новости в Twitter и Facebook

                   

Новости

© 2010.