Zasady nadawania uprawnień NTFS
Transkrypt
Zasady nadawania uprawnień NTFS
SYSTEMY OPERCYJNE – WWW.EDUNET.TYCHY.PL Ochrona zasobów dyskowych Uprawnienia w systemie plików NTFS Uprawnienia (permissions) nadawane są w celu ochrony dostępu do konkretnych obiektów np.: plików, folderów, folderów udostępnionych, drukarek. Najczęściej przy ich pomocy regulujemy, kto i co może z danym zasobem zrobić, np. wybrana grupa użytkowników może zapisywać dane w określonym folderze albo drukować dokumenty na wskazanej drukarce. Uprawnienia są cechą systemu NTFS (New Technology File System). Rodzina systemów FAT (File Allocation Table) nie posiada takich możliwości. Od strony systemu plików uprawnienia są realizowane poprzez utrzymywanie dla każdego obiektu (folderu i plików) tak zwanej Listy Kontroli Dostępu (Access Control List - ACL), zawierającej szereg wpisów (Access Control Entries), opisujących kto i co może w odniesieniu do danego zasobu zrobić. System operacyjny podczas logowania użytkownika generuje dla niego tzw. żeton dostępu (access token), zawierający informacje o użytkowniku, grupach, do których należy oraz nadanych mu prawach systemowych. Podczas każdej próby uzyskania dostępu do zasobu chronionego uprawnieniami system sprawdza, czy na Liście Kontroli Dostępu znajduje się odpowiedni wpis umożliwiający albo bezpośrednio użytkownikowi, albo którejś z grup, do których należy, wykonanie wybranej akcji. Jeśli taki wpis istnieje, to użytkownik może akcję wykonać, jeśli nie to wyświetlany jest odpowiedni komunikat systemowy informujący o braku wystarczających uprawnień. Główne zasady nadawania uprawnień Uwzględniając fakt, że użytkownik może być jednocześnie członkiem wielu grup należy zadbać oto, aby tworząc uprawnienia kierować się następującymi zasadami: 1. Uprawnienia nadane użytkownikowi i wszystkim grupom, do których należy, kumulują się. 2. Opcja Odmów ma wyższy priorytet niż opcja Zezwalaj 3. Uprawnienia nadane bezpośrednio do pliku mają wyższy priorytet niż te, które nadano do zawierającego go folderu. Nadając lub odbierając uprawnienia, należy posługiwać się grupami, a nie bezpośrednio kontami użytkowników. Dodatkowo należy stosować znaczące nazwy grup, co pozwoli utrzymać należytą kontrolę dostępu do zasobów. Opr.: Grzegorz Szymkowiak SYSTEMY OPERCYJNE – WWW.EDUNET.TYCHY.PL Pośrednie i bezpośrednie odebranie uprawnień Z pośrednim odebraniem uprawnień mamy do czynienia wtedy, gdy na Liście Kontroli Dostępu nie ma ani wpisu zezwalającego, ani odbierającego – efekt tego działania jest więc taki, że użytkownik danego uprawnienia nie posiada. Jeśli jednak w przyszłości zostanie mu ono nadane, to je uzyska efektywnie (kumulując uprawnienia). Bezpośrednie odebranie uprawnień następuje wtedy, gdy na Liście Kontroli Dostępu pojawia się wpis odbierający uprawnienie (użytkownikowi lub grupie). Efekt jest taki, że użytkownik danego uprawnienia nie posiada, ani nie będzie posiadał w przyszłości, nawet jeśli zostanie ono nadane grupie, do której należy – czy też jemu osobiście. Nadawanie uprawnień do poszczególnych plików, innych niż do folderów, które je zawierają powinno odbywać się w uzasadnionych przypadkach, gdyż inaczej łatwo wprowadzić bałagan. Strategia, którą należy polecić w odniesieniu do nadawania uprawnień powinna zakładać rozpoczynanie ich nadawania od uprawnień najwęższych (np. jedynie odczyt), a dopiero gdy okaże się to niezbędne, stopniowo je rozszerzać. Dziedziczenie uprawnień Standardowo uprawnienia są w obrębie partycji (wolumenów) NTFS dziedziczone, co oznacza, że jeśli nadamy uprawnienia do folderu, a następnie w obrębie utworzymy nowy folder lub plik to odziedziczą one uprawnienia od swojego „rodzica”. Oczywiście „rodzic” też dziedziczy uprawnienia od swojego „rodzica”. Oprócz uprawnień dziedziczonych można oczywiście dodatkowo nadawać uprawnienia bezpośrednio na poziomie każdego folderu. Dziedziczenie jest symbolizowane znacznikiem w polu umieszczonym u dołu zakładki Uprawnienia (Zabezpieczenia - Zaawansowane). Opr.: Grzegorz Szymkowiak SYSTEMY OPERCYJNE – WWW.EDUNET.TYCHY.PL Uprawnienia dziedziczone nie można na danym poziomie wyłączyć. Aby je zmienić, trzeba: zmienić je na poziomie wyższym, tam, gdzie zostało ono bezpośrednio nadane, albo po prostu wyłączyć dziedziczenie. Wyłączenie dziedziczenia powoduje, że system operacyjny pyta, co zrobić z uprawnieniami, które do tej pory były dziedziczone. System może w typ przypadku: Skopiować dziedziczenie – wtedy dziedziczenie zostanie wyłączone, a uprawnienia, które poprzednio były dziedziczone zostaną automatycznie nadane bezpośrednio. Usunąć dziedziczenie – wtedy dziedziczenie również jest wyłączone, ale uprawnienia, które poprzednio były dziedziczone zostają usunięte. Ponowne włączenie dziedziczenia powoduje, że na Liście Kontroli Dostępu obiektu (folderu lub pliku) obok uprawnień nadanych bezpośrednio pojawiają się uprawnienia odziedziczone od obiektów nadrzędnych, jest to więc operacja całkowicie odwracalna. Generalnie, dziedziczenie uprawnień wdaje się być bardzo pożyteczne – tworząc nowy folder nie musimy rozpoczynać pracy od nadawania wszelkich niezbędnych uprawnień. Na świeżo sformatowanej partycji (wolumenie) NTFS jest uprawnienie odczytu dla grupy Wszyscy. Warto po utworzeniu folderów w katalogu głównym zabezpieczyć je odpowiednimi uprawnieniami. Opr.: Grzegorz Szymkowiak SYSTEMY OPERCYJNE – WWW.EDUNET.TYCHY.PL Tabela uprawnień NTFS Opr.: Grzegorz Szymkowiak