Zasady nadawania uprawnień NTFS

SYSTEMY OPERCYJNE – WWW.EDUNET.TYCHY.PL
Ochrona zasobów dyskowych
Uprawnienia w systemie plików NTFS
Uprawnienia (permissions) nadawane są w celu ochrony dostępu do konkretnych obiektów
np.: plików, folderów, folderów udostępnionych, drukarek. Najczęściej przy ich pomocy regulujemy, kto i co może z danym zasobem zrobić, np. wybrana grupa użytkowników może zapisywać dane w określonym folderze albo drukować dokumenty na wskazanej drukarce.
Uprawnienia są cechą systemu NTFS (New Technology File System). Rodzina systemów
FAT (File Allocation Table) nie posiada takich możliwości. Od strony systemu plików uprawnienia
są realizowane poprzez utrzymywanie dla każdego obiektu (folderu i plików) tak zwanej Listy
Kontroli Dostępu (Access Control List - ACL), zawierającej szereg wpisów (Access Control
Entries), opisujących kto i co może w odniesieniu do danego zasobu zrobić.
System operacyjny podczas logowania użytkownika generuje dla niego tzw. żeton dostępu
(access token), zawierający informacje o użytkowniku, grupach, do których należy oraz nadanych mu prawach systemowych. Podczas każdej próby uzyskania dostępu do zasobu chronionego uprawnieniami system sprawdza, czy na Liście Kontroli Dostępu znajduje się odpowiedni
wpis umożliwiający albo bezpośrednio użytkownikowi, albo którejś z grup, do których należy,
wykonanie wybranej akcji. Jeśli taki wpis istnieje, to użytkownik może akcję wykonać, jeśli nie
to wyświetlany jest odpowiedni komunikat systemowy informujący o braku wystarczających
uprawnień.
Główne zasady nadawania uprawnień
Uwzględniając fakt, że użytkownik może być jednocześnie członkiem wielu grup należy
zadbać oto, aby tworząc uprawnienia kierować się następującymi zasadami:
1. Uprawnienia nadane użytkownikowi i wszystkim grupom, do których należy,
kumulują się.
2. Opcja Odmów ma wyższy priorytet niż opcja Zezwalaj
3. Uprawnienia nadane bezpośrednio do pliku mają wyższy priorytet niż te, które
nadano do zawierającego go folderu.
Nadając lub odbierając uprawnienia, należy posługiwać się grupami, a nie bezpośrednio kontami użytkowników. Dodatkowo należy stosować znaczące nazwy grup, co pozwoli
utrzymać należytą kontrolę dostępu do zasobów.
Opr.: Grzegorz Szymkowiak
SYSTEMY OPERCYJNE – WWW.EDUNET.TYCHY.PL
Pośrednie i bezpośrednie odebranie uprawnień
Z pośrednim odebraniem uprawnień mamy do czynienia wtedy, gdy na Liście Kontroli
Dostępu nie ma ani wpisu zezwalającego, ani odbierającego – efekt tego działania jest więc taki, że użytkownik danego uprawnienia nie posiada. Jeśli jednak w przyszłości zostanie mu ono
nadane, to je uzyska efektywnie (kumulując uprawnienia).
Bezpośrednie odebranie uprawnień następuje wtedy, gdy na Liście Kontroli Dostępu
pojawia się wpis odbierający uprawnienie (użytkownikowi lub grupie). Efekt jest taki, że użytkownik danego uprawnienia nie posiada, ani nie będzie posiadał w przyszłości, nawet jeśli zostanie ono nadane grupie, do której należy – czy też jemu osobiście.
Nadawanie uprawnień do poszczególnych plików, innych niż do folderów, które je zawierają powinno odbywać się w uzasadnionych przypadkach, gdyż inaczej łatwo wprowadzić bałagan.
Strategia, którą należy polecić w odniesieniu do nadawania uprawnień powinna zakładać
rozpoczynanie ich nadawania od uprawnień najwęższych (np. jedynie odczyt), a dopiero gdy
okaże się to niezbędne, stopniowo je rozszerzać.
Dziedziczenie uprawnień
Standardowo uprawnienia są w obrębie partycji (wolumenów) NTFS dziedziczone, co
oznacza, że jeśli nadamy uprawnienia do folderu, a następnie w obrębie utworzymy nowy folder
lub plik to odziedziczą one uprawnienia od swojego „rodzica”. Oczywiście „rodzic” też dziedziczy
uprawnienia od swojego „rodzica”. Oprócz uprawnień dziedziczonych można oczywiście dodatkowo nadawać uprawnienia bezpośrednio na poziomie każdego folderu.
Dziedziczenie jest symbolizowane znacznikiem w polu umieszczonym u dołu zakładki
Uprawnienia (Zabezpieczenia - Zaawansowane).
Opr.: Grzegorz Szymkowiak
SYSTEMY OPERCYJNE – WWW.EDUNET.TYCHY.PL
Uprawnienia dziedziczone nie można na danym poziomie wyłączyć. Aby je zmienić, trzeba:
zmienić je na poziomie wyższym, tam, gdzie zostało ono bezpośrednio nadane, albo po prostu
wyłączyć dziedziczenie.
Wyłączenie dziedziczenia powoduje, że system operacyjny pyta, co zrobić z uprawnieniami, które do tej pory były dziedziczone. System może w typ przypadku:

Skopiować dziedziczenie – wtedy dziedziczenie zostanie wyłączone, a uprawnienia, które poprzednio były dziedziczone zostaną automatycznie nadane bezpośrednio.

Usunąć dziedziczenie – wtedy dziedziczenie również jest wyłączone, ale uprawnienia, które poprzednio były dziedziczone zostają usunięte.
Ponowne włączenie dziedziczenia powoduje, że na Liście Kontroli Dostępu obiektu (folderu
lub pliku) obok uprawnień nadanych bezpośrednio pojawiają się uprawnienia odziedziczone od
obiektów nadrzędnych, jest to więc operacja całkowicie odwracalna.
Generalnie, dziedziczenie uprawnień wdaje się być bardzo pożyteczne – tworząc nowy folder nie musimy rozpoczynać pracy od nadawania wszelkich niezbędnych uprawnień. Na świeżo
sformatowanej partycji (wolumenie) NTFS jest uprawnienie odczytu dla grupy Wszyscy. Warto
po utworzeniu folderów w katalogu głównym zabezpieczyć je odpowiednimi uprawnieniami.
Opr.: Grzegorz Szymkowiak
SYSTEMY OPERCYJNE – WWW.EDUNET.TYCHY.PL
Tabela uprawnień NTFS
Opr.: Grzegorz Szymkowiak