systemy operacyjne w02007 - PB Wydział Elektryczny
Transkrypt
systemy operacyjne w02007 - PB Wydział Elektryczny
Zarz dzanie mechanizmami bezpiecze stwa w systemie Windows 2000... ń Instrukcja nr 4 ą 1. MECHANIZMY BEZPIECZE STWA W WINDOWS 2000 Białostocka Politechnika Wydział Elektryczny Katedra Elektrotechniki Teoretycznej i Metrologii W systemie Windows 2000 do podstawowych mechanizmów bezpiecze stwa pozwalaj cych kontrolowa dost p do danych i programów nale : Konta u ytkowników oraz hasła dost pu - ka dy u ytkownik przed rozpocz ciem pracy w systemie Windows 2000 musi zalogowa si podaj c swój identyfikator i hasło dost pu (chocia istnieje mo liwo takiego skonfigurowania systemu, aby zawsze ładował si domy lny u ytkownik bez konieczno ci wprowadzania jego identyfikatora i hasła). Bezpieczny proces logowania do systemu - w systemie Windows 2000, aby rozpocz prac nale y poda identyfikator u ytkownika oraz hasło dost pu. U ytkownik wprowadza powy sze dane w oknie, które pojawia si po wci ni ciu kombinacji klawiszy Ctrl+Alt+Del. Wprowadzenie nieprawidłowego identyfikatora u ytkownika b d nieprawidłowego hasła blokuje dost p do danych znajduj cych si na komputerze. Wyj tkiem od powy szej zasady jest specjalne konto Go (zob. pkt. 5). W starszych systemach, Windows 95/98, tak e istniało okno logowania, w którym wprowadzało si identyfikator u ytkownika i hasło, jednak e mo na było zalogowa si wprowadzaj c dowolne dane lub wciskaj c klawisz Esc. W systemie Windows 2000 nie da si obej etapu logowania w ten sposób, gdy Windows 2000 sprawdza czy podane informacje s zgodne z danymi o autoryzowanych u ytkownikach, zapisanymi w wewn trznej bazie danych. Kontrola dost pu do plików i katalogów - w systemie Windows 2000 istniej prawa dost pu do poszczególnych plików, katalogów lub dysków. Prawa te mog istnie tylko w przypadku zainstalowania systemu plików NTFS. Grupy u ytkowników - stosowane s w przypadku, gdy kilku lub kilkunastu u ytkowników powinno posiada takie same prawa dost pu. Tworzy si wtedy grup u ytkowników, której nadaje si odpowiednie prawa a nast pnie przypisuje u ytkowników do tej grupy. Konto u ytkownika w takim przypadku dziedziczy uprawnienia grupy, do której u ytkownik nale y. Zasady zabezpiecze dla u ytkownika lub grupy - okre laj zasady zabezpiecze dla pojedynczego u ytkownika lub grupy u ytkowników. Ŝ - ę Materiały pomocnicze do zaj z przedmiotu SYSTEMY OPERACYJNE - Kod przedmiotu: W02007 wiczenie pt. - ę - Instrukcja numer 4 Ŝ ń - Ŝ ZARZ DZANIE MECHANIZMAMI BEZPIECZE STWA W SYSTEMIE WINDOWS 2000. U YTKOWNICY, GRUPY, PRAWA DOST PU, SYSTEM PLIKÓW NTFS 2. GRUPY ROBOCZE I DOMENY dr in . Jarosław Forenc W systemie Windows 2000 sie komputerowa, w której znajduje si komputer mo e by oparta na grupach roboczych lub domenach: Białystok 2006 Systemy operacyjne Strona 2 z 24 3. GRUPY U YTKOWNIKÓW LOKALNYCH Konta u ytkowników korzystaj cych z tych samych uprawnie mo na organizowa w grupy. Staj c si członkiem grupy, u ytkownik dziedziczy wszystkie jej uprawnienia. Ułatwia to znacznie prac administratora, gdy nie musi on nadawa uprawnie pojedynczym kontom tylko jednorazowo grupie u ytkowników. W systemie Windows 2000 ka dy u ytkownik musi nale e (a mówi c inaczej - by członkiem) przynajmniej jednej grupy u ytkowników. Istnieje pi predefiniowanych grup u ytkowników: - Ŝ - U ytkownicy zaawansowani (ang. Power Users) - maj uprawnienia do instalowania nowego oprogramowania oraz nowych sterowników urz dze , mog modyfikowa ustawienia systemowe, np. dat i czas, ale nie mog zmienia konfiguracji sieci. U ytkownicy nale cy do tej grupy nie maj tak e praw dost pu do plików innych u ytkowników. U ytkownicy (ang. Users) - maj uprawnienia do uruchamiania ju zainstalowanego oprogramowania, nie mog natomiast instalowa nowego oprogramowania ani zmienia konfiguracji systemu. Administratorzy (ang. Administrators) - u ytkownicy nale cy do tej grupy wszystkie prawa, mog m.in. instalowa i uruchamia maj oprogramowanie, instalowa nowe sterowniki urz dze , dodawa i usuwa u ytkowników, itp. Ŝ - Systemy operacyjne Strona 3 z 24 - ń Poniewa w trakcie zaj b dziemy korzysta z komputerów tworz cych grup robocz to wszystkie informacje znajduj ce si w dalszej cz ci instrukcji b d dotyczyły głównie takiego poł czenia komputerów. - Zarz dzanie mechanizmami bezpiecze stwa w systemie Windows 2000... ą Grupa robocza (ang. Workgroup) - jest to poł czenie komputerów typu peer-to-peer, umo liwiaj ce wymian danych, współu ytkowanie drukarek i innych zasobów. Ka dy komputer stanowi oddzieln cz i sam odpowiada za bezpiecze stwo swoich danych. Udost pnienie zasobów innym członkom grupy roboczej wymaga utworzenia kont lokalnych i przydzielenia odpowiednich praw dost pu. Do grupy roboczej mo e przył czy si ka dy, kto zna jej nazw i odpowiednio skonfiguruje ustawienia sieciowe swojego komputera. Domena (ang. Domain) - bezpiecze stwem i prawami dost pu w domenie zajmuje si specjalny dedykowany serwer - kontroler domeny (mo e nim by tylko serwer Windows 2000). Nazwy u ytkowników, grup i komputerów przechowywane s w Active Directory - centralnej bazie danych o zasobach domeny. Dodanie komputera do domeny wymaga zgody administratora. Administrator mo e zdefiniowa zasady bezpiecze stwa dla wszystkich komputerów w domenie. Instrukcja nr 4 Operatorzy kopii zapasowych (ang. Backup Operators) - u ytkownicy nale cy do tej grupy maj dost p do wszystkich plików znajduj cych si na komputerze, ale tylko wtedy, gdy u ywaj oprogramowania do wykonywania kopii zapasowych. Mog zatem kopiowa pliki, ale nie mog przegl da ich zawarto ci. Go cie (ang. Guests) - u ytkownicy o najmniejszych uprawnieniach. Zazwyczaj mog uruchamia zainstalowane oprogramowanie, ale nie maj dost pu do sieci i nie mog dokonywa zmian w konfiguracji komputera. ś - ń - Zarz dzanie mechanizmami bezpiecze stwa w systemie Windows 2000... ą Instrukcja nr 4 Poza powy szymi pi cioma grupami w systemie Windows 2000 mo na tworzy tak e własne grupy u ytkowników i nadawa im uprawnienia. 4. ADMINISTRATOR Podczas instalacji Windows 20000 tworzy predefiniowane konto o nazwie Administrator i prosi o okre lenie dla niego hasła dost pu. Tworzona jest tak e grupa o nazwie Administratorzy - ka dy u ytkownik nale cy do tej grupy b dzie pełnoprawnym administratorem systemu. Administrator ma wszystkie prawa w systemie, m.in. mo e instalowa i usuwa oprogramowanie, instalowa i usuwa sterowniki urz dze , konfigurowa sie , dodawa i usuwa u ytkowników oraz nadawa im prawa. Administrator ma te dost p do wszystkich plików i katalogów znajduj cych si w systemie. Generalnie zalecane jest korzystanie z tego konta tylko w przypadku wykonywania czynno ci administracyjnych, a normalna praca powinna by wykonywana na „zwykłym” koncie u ytkownika. Praca na koncie z uprawnieniami administratora jest niebezpieczna zwłaszcza podczas korzystania z internetu, gdy wtedy jeste my najbardziej nara eni na ataki wirusów, snifferów, itp. programów uruchomi Pracuj c jako zwykły u ytkownik mo na cz z uprawnieniami administratora. W tym celu nale y z menu kontekstowego danego programu wybra polecenie Uruchom jako (ang. Run As...) i w oknie, które pojawi si wpisa nazw i hasło u ytkownika maj cego uprawnienia administratora. Je li menu kontekstowe programu nie zawiera polecenia uruchom jako to nale y klikn ikon uruchamianego programu przy wci ni tym klawiszu Shift. Metoda ta działa we wszystkich sytuacjach poza zmian ustawie sieci (do zmiany ustawie sieci wymagane jest zalogowanie u ytkownika z uprawnieniami administratora). Konta administratora nie mo na usun z systemu (ale mo na zmieni jego nazw ), konto to nie zostanie te nigdy zablokowane przez nieprawidłowe próby logowania. Systemy operacyjne Strona 4 z 24 Zarz dzanie mechanizmami bezpiecze stwa w systemie Windows 2000... ń ą Instrukcja nr 4 ą Zarz dzanie mechanizmami bezpiecze stwa w systemie Windows 2000... ń Instrukcja nr 4 Po wci ni ciu przycisku Dalej wprowadzamy i potwierdzamy hasło dla nowego u ytkownika. Przechodzimy Dalej. Pojawia si okno przedstawione na Rys. 2. 5. KONTO GO ś ć W systemie tworzone jest tak e specjalne konto - Go (ang. Guest). Dost p do tego konta mo liwy jest po podaniu dowolnego identyfikatora u ytkownika oraz dowolnego hasła dost pu. Rozwi zanie takie stosowane jest w przypadku, gdy do okre lonego komputera maj mie dost p wszyscy u ytkownicy. Stwarza to niestety niebezpiecze stwo włamania do systemu i z tego powodu konto to jest domy lnie zablokowane. 6. TWORZENIE KONTA NOWEGO U YTKOWNIKA Ŝ Rys. 2. Przypisanie u ytkownika do grupy. Ŝ Stworzenie konta nowego u ytkownika wymaga posiadania uprawnie administratora. Otwieramy Panel sterowania i dwukrotnie klikamy ikon U ytkownicy i hasła. Pojawia si okno zawieraj ce list wszystkich u ytkowników w systemie. W oknie tym klikamy przycisk Dodaj. Wy wietlone zostaje okno Dodawanie nowego u ytkownika, przedstawione na Rys. 1. Ŝ Ŝ W oknie tym okre lamy do jakiej grupy b dzie nale ał u ytkownik. U ytkownik mo e by u ytkownikiem standardowym lub u ytkownikiem z ograniczonym dost pem. U ytkownik standardowy jest domy lnie członkiem grupy U ytkownicy zaawansowani, natomiast U ytkownik z ograniczonym dost pem jest domy lnie członkiem grupy U ytkownicy. Wybranie opcji Inny umo liwia wybranie innej grupy, np. Administratorzy, Go cie. Ŝ Ŝ ę Ŝ ś 7. MODYFIKACJA USTAWIE KONT U YTKOWNIKÓW Ŝ Do zarz dzania kontami u ytkowników słu y aplet U ytkownicy i hasła w Panelu sterowania. Aby zmodyfikować ustawienia konta uruchamiamy aplet, zaznaczamy konto a następnie naciskamy przycisk Wła ciwo ci (Rys. 3). ś ś Ŝ Rys. 1. Okno dodawania nowego u ytkownika. Ŝ Wprowadzamy nast puj ce dane: - Nazwa u ytkownika - okre la nazw u ytkownika wprowadzan podczas logowania do systemu. Nazwa konta musi by niepowtarzalna, mo e składa si z maksymalnie 64 znaków i mo e zawiera dowoln kombinacj liter, cyfr oraz wi kszo ci symboli (za wyj tkiem: @ \ / < > [ ] : ; + = * | , ? .). Zalecane jest stosowanie krótkich nazw (do 15 znaków) i unikanie znaku spacji w nazwie u ytkownika, gdy mog wyst pi problemy z obsług sieci. Z tego ostatniego powodu nie zaleca si równie , aby nazwa u ytkownika była taka sama jak nazwa komputera. - Imi i nazwisko - imi i nazwisko u ytkownika. - Opis - krótki opis wła ciciela konta. ę Rys. 3. Właściwości konta uŜytkownika. Systemy operacyjne Strona 5 z 24 Systemy operacyjne Strona 6 z 24 Instrukcja nr 4 Zarządzanie mechanizmami bezpieczeństwa w systemie Windows 2000... Instrukcja nr 4 Ŝ W oknie, które pojawiło się moŜemy zmienić dane wprowadzane podczas tworzenia konta (Nazwa u ytkownika, Imi i nazwisko, Opis) oraz zmienić przynaleŜność do grupy. ę - Ŝ Bardziej szczegółowe informacje odnośnie ustawień konta znajdziemy w jego właściwościach zaawansowanych (Rys. 4). Okno to wyświetlane jest po wybraniu: Panel sterowania U ytkownicy i hasła, na zakładce Zaawansowane wybieramy przycisk Zaawansowane, pojawia się okno Lokalni u ytkownicy i grupy, w lewym panelu zaznaczamy U ytkownicy, w prawym panelu wyświetlana jest lista wszystkich uŜytkowników, zaznaczamy interesującego nas uŜytkownika i z menu kontekstowego wybieramy Wła ciwo ci. Zarządzanie mechanizmami bezpieczeństwa w systemie Windows 2000... z czerwonym znakiem x. Próba zalogowania się spowoduje wyświetlenie komunikatu z prośbą o skontaktowanie się z administratorem systemu. Zawsze zalecane jest wyłączanie nieuŜywanych kont. Konto jest zablokowane - konto jest automatycznie blokowane, gdy włączona jest opcja automatycznego blokowania konta po kilku nieudanych próbach logowania. Zablokowane konto moŜe odblokować tylko administrator. Ŝ Ŝ ń ś ś KaŜdy uŜytkownik moŜe zmienić swoje hasło wciskając w dowolnym momencie kombinację klawiszy Ctrl+Alt+Del i wybierając opcję Zmie hasło. Zmiana hasła wymaga wpisania starego hasła i wprowadzenia nowego. Ta sama kombinacja klawiszy moŜe posłuŜyć do zablokowania dostępu do komputera w sytuacji, gdy nikogo nie ma przed komputerem. Często administrator systemu ustawia opcję blokowania komputera po określonym czasie bezczynności. Odblokowanie dostępu do komputera wymaga wprowadzenia nazwy uŜytkownika i hasła. 8. PROFILE U YTKOWNIKÓW Ŝ Kiedy uŜytkownik loguje się po raz pierwszy, system Windows 2000 tworzy zestaw plików i katalogów przeznaczonych specjalnie dla uŜytkownika jest to tzw. profil u ytkownika. Domyślnie system Windows 2000 przechowuje profile uŜytkowników w katalogu Documents and Settings znajdującym się na tym samym dysku, na którym zainstalowany jest system operacyjny. KaŜdy uŜytkownik ma w tym katalogu podkatalog o nazwie takiej samej jak identyfikator uŜytkownika. W profilu uŜytkownika zapisane są wszystkie dane uŜytkownika oraz informacje o ustawieniach (np. kolory, tapeta pulpitu, dźwięki, itp.). Rys. 4. Okno właściwości uŜytkownika. W zakładce Ogólne mamy: W Windows 2000 mogą być stosowane trzy rodzaje profilów uŜytkowników: ę Pełna nazwa - zawiera to samo co Imi i nazwisko przy zakładaniu konta. Opis - to samo co Opis przy zakładaniu konta. U ytkownik musi zmieni hasło przy nast pnym logowaniu - zaznaczenie tej opcji wymusza na uŜytkowniku konieczność zmiany hasła przy najbliŜszym logowaniu. U ytkownik nie mo e zmieni hasła - zaznaczenie tej opcji spowoduje wyłączenie moŜliwości zmiany hasła przez uŜytkownika. Hasło nigdy nie wygasa - w domyślnych ustawieniach co 42 dni uŜytkownik musi zmienić swoje hasło, zaznaczenie tej opcji spowoduje, Ŝe uŜytkownik nie będzie monitowany o konieczności zmiany hasła. Konto jest wył czone - zaznaczenie tej opcji spowoduje wyłączenie konta, po wyłączeniu konta jego ikonka na liście uŜytkowników wyświetlana jest - ć Ŝ - ę ć ą Systemy operacyjne - ą - Ŝ - Ŝ - - Profil lokalny - tworzony automatycznie podczas pierwszego logowania uŜytkownika na danym komputerze. Profil ten przechowywany jest na dysku lokalnym w katalogu Documents and Settings. Profil mobilny - tworzony przez administratora sieci i przechowywany na serwerze Windows 2000. KaŜda zmiana profilu zapisywana jest na serwerze i dlatego jeśli uŜytkownik loguje się na róŜnych komputerach, to zawsze ma ten sam profil. Profil obowi zkowy - jest odmianą profilu mobilnego, zawiera on ustawienia, których uŜytkownik nie moŜe zmieniać. Strona 7 z 24 Systemy operacyjne Strona 8 z 24 Instrukcja nr 4 Zarządzanie mechanizmami bezpieczeństwa w systemie Windows 2000... Instrukcja nr 4 Zarządzanie mechanizmami bezpieczeństwa w systemie Windows 2000... Konto Go nie posiada własnego profilu uŜytkownika. Kiedy ktoś loguje się na takie konto to uŜytkownikowi takiemu przypisywany jest domyślny profil uŜytkownika. 9. ZARZ DZANIE MECHANIZMAMI BEZPIECZE STWA ę DuŜo więcej opcji związanych z mechanizmami bezpieczeństwa znajduje się w ustawieniach zabezpieczeń lokalnych: Panel sterowania Narz dzia administracyjne Zasady zabezpiecze lokalnych. Po lewej stronie mamy wyświetlone grupy ustawień w formie drzewa, natomiast po prawej szczegółowe ustawienia. Dostępne opcje moŜna podzielić na cztery grupy: ń Rys. 6a. Ustawienia zabezpieczeń lokalnych - Zasady lokalne - Zasady prowadzenia inspekcji. Zasady konta - określają zasady jaki podlegają uŜytkownicy przy tworzeniu i zmienianiu haseł (Rys. 5a i Rys. 5b). Domyślnie uŜytkownicy muszą zmieniać hasła co 42 dni, moŜna określić takŜe po ile próbach wprowadzenia nieprawidłowego hasła konto zostanie zablokowane. Przypisywanie praw u ytkownikom: określają, którzy uŜytkownicy i grupy mają prawo wykonywania określonych czynności - Rys. 6b). Ŝ • - Rys. 5a. Ustawienia zabezpieczeń lokalnych - Zasady konta - Zasady haseł. Rys. 5b. Ustawienia zabezpieczeń lokalnych - Zasady konta - Zasady blokady konta. - Rys. 6b. Ustawienia zabezpieczeń lokalnych - Zasady lokalne - Przypisywanie praw uŜytkownika. ń ą • Opcje zabezpiecze : opcje dotyczące komputera lokalnego (Rys. 6c). ń Zasady lokalne - dzielą się na: Zasady prowadzenia inspekcji (Rys. 6a): określają jakie rodzaje zdarzeń w systemie mają być zapisywane, np. udane i nieudane próby wykonania czynności. Zdarzenia te mogą być odczytane w Podgl dzie zdarze : Panel sterowania Narz dzia administracyjne Podgl d zdarze Dziennik zabezpiecze . • ń ą ę ń Systemy operacyjne Strona 9 z 24 Systemy operacyjne Strona 10 z 24 Instrukcja nr 4 Zarządzanie mechanizmami bezpieczeństwa w systemie Windows 2000... Instrukcja nr 4 Zarządzanie mechanizmami bezpieczeństwa w systemie Windows 2000... 10. SYSTEM PLIKÓW NTFS System plików NTFS (ang. New Technology File System) pojawił się pierwszy raz, w wersji 1.0, w systemie Windows NT 3.1 (1993 r.). W systemach Windows NT 3.51 i Windows NT 4.0 stosowana była wersja 1.2 (niektóre źródła podają numer 1.1), znana teŜ jako NTFS 4.0 od numeru wersji systemu Windows. Wraz z systemem Windows 2000 pojawił się NTFS 5.0 (nazywany teŜ 3.0), w którym wprowadzono duŜo zmian w stosunku do wcześniejszej wersji. W systemach Windows XP i Windows 2003 stosowany jest NTFS 5.1 (3.1). W systemie Windows 2000 obsługę NTFS 5.1 wprowadzono w SP1, zaś w systemie Windows NT 4.0 w SP4. Teoretycznie partycja NTFS moŜe mieć rozmiar 264-1 klastrów. Windows potrafi obsłuŜyć tylko 232-1 klastrów, co przy klastrze o wielkości 64 kB daje partycję o maksymalnym rozmiarze 256 terabajtów minus 64 kB. Jeszcze większym ograniczeniem jest tabela partycji w MBR dysku twardego, która ogranicza rozmiar partycji do 2 terabajtów. Teoretyczna wielkość pliku wynosi 264 bajtów minus 1 kB (16 eksabajtów minus 1 kB), ale ograniczeniem systemu Windows jest 244 bajtów minus 64 kB (16 terabajtów minus 64 kB). Struktura wolumenu (dysku) NTFS jest następująca: MFT (Master File Table) Boot Sector Pliki i katalogi Kopia zapasowa MFT Rys. 7. Struktura wolumenu (dysku) w systemie plików NTFS. Rys. 6c. Ustawienia zabezpieczeń lokalnych - Zasady lokalne - Opcje zabezpieczeń - Zasady kluczy publicznych - zawierają wyspecjalizowane narzędzia wykorzystywane do obsługi zaszyfrowanych plików. Zasady zabezpiecze IP w Komputer lokalny - zawierają zaawansowane narzędzia pozwalające kontrolować ruch sieciowy wykorzystujący protokół TCP/IP. ń - Boot Sector (sektor startowy) zajmuje pierwsze sektory dysku. W pierwszym sektorze znajdują się następujące dane: Jeśli komputer jest członkiem domeny Windows 2000, to ustawienia domeny są zawsze nadrzędne do ustawień lokalnych. Stąd dla kaŜdej zasady wyświetlane są Ustawienia lokalne (wprowadzone na komputerze na którym pracujesz) i Ustawienia efektywne (uwzględniające ewentualne ustawienia w domenie). Systemy operacyjne Strona 11 z 24 - instrukcja skoku do początku programu ładującego (3 bajty), nazwa wersji systemu operacyjnego - OEM ID (8 bajtów), struktura BPB - blok parametrów BIOS (25 bajtów), rozszerzony BPB (48 bajtów), wykonywalny kod startowy uruchamiający system operacyjny - kod bootstrap (426 bajtów). znacznik końca Boot Sectora - 55AAH (2 bajty). Boot Sector rozpoczyna się od zerowego sektora partycji i moŜe zajmować 16 kolejnych sektorów. Przechowuje podobne dane jak w systemie FAT. W pierwszej części znajduje się tzw. BIOS Parameter Block (BPB) zawierający dane o systemie plików (m.in. bajty na sektor, sektory na klaster, sektory na ścieŜkę, liczbę głowic, liczbę sektorów, itp.) i geometrii dysku, pozwalające kodowi wykonywalnemu zawartemu w sektorze startowym na Systemy operacyjne Strona 12 z 24 Instrukcja nr 4 Zarządzanie mechanizmami bezpieczeństwa w systemie Windows 2000... odnalezienie pliku NTLDR, załadowanie go do pamięci, i przekazanie mu kontroli celem uruchomienia systemu Windows. Rozszerzony BPB umoŜliwia odnalezienie MFT. Jeśli uszkodzeniu ulegną klastry naleŜące do MFT, to mogą one zostać przeniesione w inne miejsce dysku, a informacja o tym zostanie zapisana w rozszerzonym MFT. Instrukcja nr 4 Zarządzanie mechanizmami bezpieczeństwa w systemie Windows 2000... Tabela 2. Metapliki przechowywane w MFT Plik systemowy Nazwa pliku Rekord MFT Funkcja pliku Główna tablica plików $Mft 0 Zawiera jeden bazowy rekord dla kaŜdego pliku w woluminie NTFS. JeŜeli informacje dotyczące pliku lub katalogu są zbyt duŜe, aby zmieściły się w pojedynczym rekordzie, to alokowane są rekordy dodatkowe - w MFT lub poza nim. Główna tablica plików 2 $MftMirr 1 Kopia pierwszych czterech rekordów w MFT. Plik ten gwarantuje dostęp do MFT w przypadku awarii pojedynczego sektora. W starszych systemach umieszczany był w połowie woluminu, zaś w nowszych - na jego końcu. $LogFile 2 Zawiera listę kroków transakcji, uŜywaną przez funkcje związane z odzyskiwaniem NTFS, a mówiąc prościej są to informacje o wszystkich operacjach wykonywanych na plikach i katalogach, np. kopiowanie i kasowanie plików, przenoszenie katalogów, itp. Rozmiar pliku dziennika zaleŜy od rozmiaru woluminu i moŜe osiągać do 4 MB. Plik ten jest uŜywany przez Windows 2000 do przywracania spójności systemu plików po awarii systemu. Wolumin $Volume 3 Zawiera informacje o woluminie, takie jak jego etykieta, rozmiar i wersja NTFS uŜyta do formatowania dysku. Definicje atrybutów $AttrDef 4 Tabela nazw atrybutów, ich numerów i opisów. Tabela 1. Struktura BPB i rozszerzonego BPB w systemie NTFS Zawarto 0BH-0CH 2 0DH 1 Liczba sektorów w jednostce alokacji plików (JAP) 0EH-0FH 2 Liczba sektorów zarezerwowanych na początku dysku - zawsze 0 10H-12H 3 Zawsze 0 ś Rozmiar ć Bajty Rozmiar jednego sektora w bajtach (512 bajtów) Plik dziennika (log operacji dyskowych) 13H-14H 2 NieuŜywane w NTFS - zawsze 0 15H 1 Bajt identyfikacji nośnika (zawsze F8 - dysk twardy) 16H-17H 2 Zawsze 0 18H-19H 2 Liczba sektorów na ścieŜce 1AH-1BH 2 Liczba głowic (stron) dysku 1CH-1FH 4 Liczba sektorów ukrytych 20H-23H 4 NieuŜywane w NTFS Indeks katalogu głównego $ 5 Katalog główny. 24H-27H 4 NieuŜywane w NTFS Mapa bitowa klastrów $Bitmap 6 Reprezentacja woluminów, ilustrująca które klastry są zajęte. Jednemu klastrowi odpowiada jeden bit rekordu $Bitmap. 28H-2FH 8 Całkowita liczba sektorów 30H-37H 8 Numer klastra logicznego pliku $MFT Sektor startowy $Boot 7 38H-3FH 8 Numer klastra logicznego pliku $MFTMirr Zawiera informacje uŜywane podczas instalowania woluminu oraz dodatkowy kod ładujący, uŜywany jeŜeli wolumin jest startowy. 40H-43H 4 Liczba jednostek alokacji w rekordzie MFT Plik błędnych klastrów $BadClus 8 Zawiera listę uszkodzonych klastrów w woluminie. Plik zabezpieczeń $Secure 9 Zawiera unikalne deskryptory zabezpieczeń dla wszystkich plików w woluminie, czyli mówiąc prościej - informacje o prawach dostępu. Tabela wielkich $UpCase znaków 10 SłuŜy do konwersji małych znaków na odpowiadające im wielkie znaki w standardzie Unicode. Plik rozszerzeń NTFS 11 Wykorzystywany przez róŜnorodne opcjonalne rozszerzenia, takie jak przydziały, dane punktów specjalnych i identyfikatory obiektów. 44H-47H 4 Wielkość indeksu MFT (liczba jednostek alokacji) 48H-4FH 8 Numer seryjny woluminu 50H-53H 4 Suma kontrolna Za Boot Sectorem znajduje się tablica MFT (ang. Master File Table). MFT jest to specjalny plik, niewidoczny dla uŜytkownika, jedynie dla systemu. Pełni on rolę tablicy alokacji plików w systemie FAT. Są w nim zapisane wszystkie dane niezbędne do odczytania pliku z dysku. Plik ten jest hierarchiczną, obiektową bazą danych, składającą się z rekordów o stałej długości 1 kB. W kaŜdym rekordzie zapisane są atrybuty, które jednoznacznie określają połoŜenie i zawartość odpowiadających im plików lub katalogów. Pierwsze 16 (NTFS4) lub 26 (NTFS5) rekordów jest zarezerwowane dla tzw. metaplików. Pełną listę metaplików przedstawia Tabela 2. Systemy operacyjne Strona 13 z 24 $Extend 12–15 Zarezerwowane dla przyszłych zastosowań. Pozostała część pliku MFT przeznaczona jest na rekordy wszystkich plików i katalogów umieszczonych na dysku. PoniewaŜ takich plików i katalogów moŜe być duŜo to system juŜ wstępnie rezerwuje znaczną część dysku na MFT (domyślnie jest to 12,5 % miejsca na dysku nazywane strefą Systemy operacyjne Strona 14 z 24 Instrukcja nr 4 Zarządzanie mechanizmami bezpieczeństwa w systemie Windows 2000... MFT, ang. MFT zone). Jeśli pierwszy rekord MFT jest uszkodzony to system automatycznie odczytuje drugi rekord, w którym zapisana jest kopia pierwszego. PołoŜenie obu metaplików $Mft i $MftMirr zapisane jest w sektorze startowym partycji. KaŜdy plik lub katalog otrzymuje przynajmniej jeden rekord w MFT. Jeśli są to małe pliki lub katalogi (zazwyczaj poniŜej 1500 bajtów) to są one w całości przechowywane w obszarze danych MFT. W przypadku, gdy plik zawiera duŜą liczbę atrybutów lub teŜ jest mocno pofragmentowany wówczas moŜe wymagać uŜycia większej ilości rekordów. W takim przypadku pierwszy rekord (bazowy) zawiera informację o alokacji kolejnych rekordów pliku, ale juŜ poza tablicą MFT. System plików NTFS traktuje kaŜdy plik jako zbiór atrybutów. Elementy takie jak nazwa, prawa dostępu, a nawet dane są atrybutami pliku. KaŜdy atrybut jest opisany przez kod typu atrybutu oraz opcjonalnie przez jego nazwę. Wszystkie atrybuty mają dwie części składowe: nagłówek i blok danych. Nagłówek zawiera informacje opisujące atrybut, np. całkowitą liczbę bajtów zajmowanych przez atrybut, rozmiar bloku danych atrybutu, przesunięcie liczone od początku atrybutu określające połoŜenie bloku danych, znacznik czasu, wskaźniki stanu, itp. W bloku danych atrybutu znajdują się informacje zgodne z przeznaczeniem atrybutu. Atrybut nie musi być całkowicie zapisany w rekordzie MFT. Jeśli atrybut jest duŜy (najczęściej dotyczy to atrybutu $Data), to w rekordzie umieszczany jest tylko nagłówek oraz wskaźnik do bloku danych atrybutu, który to blok przenoszony jest na dysk poza MFT. Atrybuty takie nazywane są nierezydentnymi. System plików, przenosząc blok danych atrybutu poza MFT, stara się zapisać dane w przyległych klastrach. Jeśli nie jest to moŜliwe, to dane zapisywane są w kilku ciągach jednostek alokacji i wtedy kaŜdemu ciągowi odpowiada wskaźnik w rekordzie MFT. Jeśli wszystkie atrybuty mieszczą się wewnątrz pojedynczego rekordu MFT, wówczas tworzone atrybuty nazywane są rezydentnymi. Takimi atrybutami są zawsze nazwa pliku i znaczniki czasu. Tabela 3. Typy atrybutów plików w systemie NTFS Kod atrybutu Typ atrybutu Numer atrybutu Opis Systemy operacyjne Zawiera lokalizację wszystkich rekordów atrybutów, które nie mieszczą się w rekordzie MFT. Strona 15 z 24 Zarządzanie mechanizmami bezpieczeństwa w systemie Windows 2000... $File_Name Nazwa pliku 48 / 0x30 Atrybut powtarzalny dla długich i skróconych nazw plików. Długa nazwa pliku moŜe składać się z maksymalnie 255 znaków w standardzie Unicode. Skrócona nazwa pliku jest zapisywana w formacie 8.3 i niewraŜliwa na wielkość znaków. $Volume_Version Wersja woluminu 64 / 0x40 Wersja woluminu. Atrybut usunięty wraz z NTFS 5.0. Wcześniej istniał, ale nie był uŜywany. $Object_Id ID obiektu 64 / 0x40 Identyfikator pliku unikalny w obrębie woluminu. Jest wykorzystywany przez usługę śledzenia łączy. Nie wszystkie pliki posiadają identyfikatory obiektu. Atrybut wprowadzony w NTFS 5.0. $Security_Descriptor Identyfikuje właściciela pliku oraz uŜytkowników, którzy mogą z danego Deskryptor zabezpieczeń pliku korzystać. Usunięty w NTFS 5.1. 80 / 0x50 $Volume_Name Nazwa woluminu 96 / 0x60 UŜywany jedynie w przypadku pliku systemowego $Volume. Zawiera etykietę woluminu. Usunięty w NTFS 5.1. $Volume_Information UŜywany jedynie w przypadku pliku systemowego $Volume. Zawiera Informacje o woluminie wersję woluminu, a od NTFS 5.1 takŜe nazwę woluminu. 112 / 0x70 $Data Dane 128 / 0x80 $Index_Root Indeks główny 144 / 0x90 Dane pliku. System NTFS zezwala na występowanie wielu atrybutów danych dla jednego pliku: jeden nienazwany atrybut danych + jeden lub więcej nazwanych atrybutów danych, z których kaŜdy posiada indywidualną składnię. Atrybut $Data jest zmieniany podczas kompresji i szyfrowania. UŜywany do implementowania katalogów i innych indeksów. Zawiera kopię atrybutu $File_Name wszystkich plików i podkatalogów. $Index_Allocation Alokacje indeksu 160 / 0xA0 UŜywany do implementowania katalogów i innych indeksów. $Bitmap Mapa bitowa 176 / 0xB0 UŜywany do implementowania katalogów i innych indeksów. $Symbolic_Link Łącze symboliczne 192 / 0xC0 $Reparse_Point Punkt specjalny 192 / 0xC0 Zawiera atrybuty pliku (R, S, A, H), liczniki aktualizacji i połączeń oraz $Standard_Information znaczniki określające datę i czas utworzenia pliku, modyfikacji danych, Informacje standardowe modyfikacji atrybutów i ostatniego dostępu do pliku. W NTFS 5.1 są to 16 / 0x10 takŜe prawa dostępu. $Attribute_List Lista atrybutów 32 / 0x20 Instrukcja nr 4 UŜywany do łączy symbolicznych. Usunięty w NTFS 5.0. Wcześniej istniał, ale nie był uŜywany. UŜywany przez punkty instalacji woluminów, a takŜe przez sterowniki filtrów IFS (Installable File System) w celu oznaczenia niektórych plików jako specjalnych dla danego sterownika. Wprowadzony w NTFS 5.0. $Ea_Information Informacje o atrybucie UŜywany dla zgodności z OS/2, tj. kompatybilności z systemem plików HPFS. rozszerzonym 208 / 0xD0 $Ea Atrybut rozszerzony 224 / 0xE0 UŜywany dla zgodności z OS/2, tj. kompatybilności z systemem plików HPFS. $Logged_Utility_Stream ZbliŜony do strumienia danych, ale operacje na nim są rejestrowane w pliku Rejestrowany strumień dziennika NTFS podobnie, jak zmiany metadanych NTFS. Jest uŜywany pomocniczy przez szyfrowanie EFS. 256 / 0x100 Systemy operacyjne Strona 16 z 24 Instrukcja nr 4 Zarządzanie mechanizmami bezpieczeństwa w systemie Windows 2000... Instrukcja nr 4 Zapis Pliki w systemie NTFS są reprezentowane w MFT przez rekord zawierający trzy wspólne atrybuty: $Standard_Information, $File_Name i $Security_Descriptor razem z czwartym atrybutem $Data. Blok danych atrybutu $Data moŜe być modyfikowany podczas kompresji i szyfrowania. Zarządzanie mechanizmami bezpieczeństwa w systemie Windows 2000... • • • • • System plików NTFS posiada bardzo rozbudowane uprawnienia dostępu do plików i katalogów. KaŜdy plik lub katalog znajdujący się na partycji NTFS ma dwie listy: - SACL (ang. System Access Control List) - lista wykorzystywana przez system do inspekcji, DACL (ang. Discretionary Access Control List) - lista zawierająca uprawnienia przyznane uŜytkownikom i grupom uŜytkowników. KaŜda z list kontroli dostępu zawiera wpisy ACE (ang. Access Control Entry) zawierające kod uŜytkownika lub grupy uŜytkowników i spis przyznanych im uprawnień. KaŜdy uŜytkownik systemu Windows 2000 przed rozpoczęciem pracy loguje się na określone konto. Przed wykonaniem operacji dotyczącej pliku lub katalogu, system sprawdza listę uprawnień dotyczących tego pliku lub katalogu i decyduje czy zezwolić na operację. Systemy operacyjne Strona 17 z 24 Odczyt • • • • • • • • • • • • • • • • • • • • Systemy operacyjne • • • • • • • Przejęcie na własność Katalogi reprezentowane są przez rekordy zawierające takie same atrybuty jak pliki, ale zamiast atrybutu $Data umieszczone są trzy atrybuty $Index_Root, $Index_Allocation i $Bitmap przeznaczone do tworzenia list, sortowania oraz lokalizowania plików i podkatalogów. • Zmiana uprawnień Rys. 9. Struktura duŜego pliku w systemie NTFS. Odczyt uprawnień Ciąg klastrów n • Usuwanie ... • Usuwanie podfolderów i plików Ciąg klastrów 2 • Zapis rozszerzonych atrybutów Ciąg klastrów 1 • Zapis atrybutów ... • Tworzenie katalogów / Dołączanie danych $Attribute_List (Lista klastrów naleŜących do pliku) Tworzenie plików / Zapis danych $Security_Descriptor (Opis praw dostępu) Odczyt rozszerzonych atrybutów $File_Name (Nazwa pliku) • Odczyt atrybutów $Standard_Information (Informacje standardowe) • Wyświetlenie zawartości folderu / Odczyt danych W przypadku większych plików struktura ma postać przedstawioną na Rys. 9. • Przechodzenie przez folder / Wykonanie pliku Rys. 8. Struktura małego pliku w systemie NTFS. • Wyświetlenie zawartości folderu $Data (Dane) Zapis i wykonanie $Security_Descriptor (Opis praw dostępu) Modyfikacja $File_Name (Nazwa pliku) Pełna kontrola $Standard_Information (Informacje standardowe) Tabela 4. Uprawnienia i standardowe grupy uprawnień w systemie Windows 2000 Jak juŜ wcześniej wspomniano, małe pliki zapisywane są bezpośrednio w MFT. Struktura takiego pliku jest przedstawiona na Rys. 8. Strona 18 z 24 Instrukcja nr 4 Zarządzanie mechanizmami bezpieczeństwa w systemie Windows 2000... Zarządzanie mechanizmami bezpieczeństwa w systemie Windows 2000... ś ś W celu wyświetlenia lub zmiany wszystkich uprawnień naleŜy we Wła ciwo ciach pliku lub katalogu przejść do zakładki Zabezpieczenia, następnie wcisnąć przycisk Zaawansowane, w oknie Ustawienia kontroli dost pu dla... (Rys. 12) zaznaczyć odpowiedniego uŜytkownika lub grupę i wcisnąć przycisk Wy wietl/Edytuj (Rys. 13). ę ś ś ś W systemie NTFS występuje 14 uprawnień, z czego 13 jest widocznych dla uŜytkowników. Wszystkie 13 uprawnień przedstawionych jest w Tabeli 4 (pierwsza kolumna tej tabeli). Czternaste uprawnienie słuŜy do synchronizacji i kontroluje dostęp przez aplikacje wielowątkowe. Aby ustawianie uprawnień było łatwiejsze, w systemie Windows 2000 dostępne są standardowe zestawy uprawnień (pierwszy wiersz Tabeli 4). Zestawy te wyświetlane są na zakładce Zabezpieczenia po wybraniu Wła ciwo ci pliku (Rys. 10) lub katalogu (Rys. 11). Instrukcja nr 4 Rys. 12 Ustawienia kontroli dostępu dla uŜytkownika lub grupy uŜytkowników. Rys. 10 Uprawnienia dla plików. Rys. 13 Zmiana uprawnień dla uŜytkownika lub grupy uŜytkowników. Rys. 11 Uprawnienia dla katalogów. Systemy operacyjne Uprawnienia do pliku lub katalogu moŜe ustawiać tylko jego właściciel. Aby przejąć plik innego uŜytkownika naleŜy mieć uprawnienia do Strona 19 z 24 Systemy operacyjne Strona 20 z 24 Instrukcja nr 4 Zarządzanie mechanizmami bezpieczeństwa w systemie Windows 2000... Zarządzanie mechanizmami bezpieczeństwa w systemie Windows 2000... podręcznego wybieramy polecenie Udost pnianie. Na ekranie wyświetlane jest okno właściwości katalogu (Rys. 14). ę przejmowania własności tego pliku. Przy wyświetlaniu uprawnień do plików i katalogów określana są dwa pola: Zezwalaj i Odmawiaj (por. Rys. 13). Odmowa uprawnienia jest waŜniejsza niŜ przyznanie uprawnienia. Jeśli np. uŜytkownik ma nadane pewne prawo, ale naleŜy do grupy, która ma odmowę tego prawa, to faktycznie nie będzie miał tego prawa. Instrukcja nr 4 ń Domyślnie w systemie Windows 2000 plik lub katalog dziedziczy uprawnienia z katalogu nadrzędnego - opcja Zezwalaj na propagowanie uprawnie dziedzicznych obiektu nadrz dnego do tego obiektu jest zaznaczona. Oznacza, to Ŝe zmiany w uprawnieniach katalogu nadrzędnego zostaną skopiowane na ten plik lub katalog, natomiast praw tego pliku lub katalogu nie moŜna zmienić - są one wyświetlane na szaro. Obok praw dziedziczonych, kaŜdy plik lub katalog moŜe mieć ustawione takŜe inne prawa, które będą istniały obok dziedziczonych. Po odznaczeniu opcji Zezwalaj na propagowanie uprawnie dziedzicznych obiektu nadrz dnego do tego obiektu Windows 2000 pyta uŜytkownika, czy dziedziczone uprawnienia mają być skopiowane czy usunięte. MoŜna takŜe nadać wszystkim obiektom podrzędnym takie same uprawnienia jak ma obiekt nadrzędny - wymaga to zaznaczenia opcji Resetuj uprawnienia na wszystkich obiektach podrz dnych i wł cz propagacj uprawnie dziedzicznych. ę ń ę ę ą ę Rys. 14. Udostępnianie katalogu. ń ę Zaznaczamy opcję Udost pnij ten folder, a następnie określamy następujące pola: - Nazwa udziału - jest to nazwa pod jaka udostępniany katalog lub dysk będzie widoczny w sieci. Komentarz - opis udostępnianego katalogu lub dysku pozwalający innym uŜytkownikom zorientować się co do jego przeznaczenia. Limit u ytkowników - określa ilu jednocześnie uŜytkowników moŜe korzystać z zasobu. Windows 2000 pozwala na jednoczesne podłączenie 10 uŜytkowników do jednego udziału (nawet jeśli w polu Limit u ytkowników wpisana jest większa wartość). Uprawnienia - określają prawa dostępu do udziałów. Domyślnie dostęp do utworzonego udziału mają wszyscy uŜytkownicy sieci (Wszyscy). W oknie, które pojawia się po wybraniu przycisku Uprawnienia (Rys. 15) moŜemy poszczególnym uŜytkownikom lub grupom nadać następujące uprawnienia: Ŝ Podczas kopiowania lub przenoszenia pliku na inny wolumin NTFS tworzony jest nowy plik, więc dziedziczy on prawa po katalogu, do którego został przekopiowany. UŜytkownik, który wykonał kopiowanie lub przenoszenie staje się jego właścicielem. Przy przenoszeniu pliku w obrębie tego samego woluminu nic się z nim nie dzieje - zmienia się tylko jego nazwa, pozostałe uprawnienia i ustawienia pozostają niezmienione. W przypadku kopiowania pliku w obrębie tego samego woluminu zostaje utworzony nowy plik. Jego uprawnienia są dziedziczone z katalogu nadrzędnego, a jego właścicielem staje się uŜytkownik kopiujący. Ŝ - 11. UDOST PNIANIE ZASOBÓW W systemie Windows 2000 moŜna udostępniać innym uŜytkownikom wybrane katalogi lub całe dyski. Do włączenia udostępniania konieczne jest zalogowanie uŜytkownika z uprawnieniami administratora lub uŜytkownika zaawansowanego. Dla kaŜdego udostępnianego zasobu moŜna oddzielnie ustawić uprawnienia, przy czym naleŜy pamiętać, Ŝe uprawnienia do zasobów udostępnianych w sieci są czym innym niŜ prawa dostępu uŜytkowników lokalnych. Dostęp do udostępnianych zasobów ma kaŜdy uŜytkownik niezaleŜnie od tego, kto jest zalogowany do systemu, a co więcej zasoby są dostępne nawet wtedy, gdy nikt nie jest zalogowany. Aby udostępnić katalog lub dysk klikamy prawym przyciskiem myszki jego ikonkę i z menu Systemy operacyjne Strona 21 z 24 - - Pełna kontrola (ang. Full Control) - pełne uprawnienia, m.in. tworzenie, usuwanie, odczytywanie, modyfikowanie, zapisywanie i przejęcie własności plików. Zmiana (ang. Change) - to samo jw. za wyjątkiem prawa do zmiany uprawnień i przejmowania na własność. Odczyt (ang. Read) - prawo do przeglądania plików i katalogów, otwierania plików i uruchamiania programów. Nie moŜna tworzyć nowych plików, usuwać ani modyfikować istniejących. Systemy operacyjne Strona 22 z 24 Instrukcja nr 4 Zarządzanie mechanizmami bezpieczeństwa w systemie Windows 2000... Instrukcja nr 4 Zarządzanie mechanizmami bezpieczeństwa w systemie Windows 2000... Wymagania BHP Warunkiem przystąpienia do praktycznej realizacji ćwiczenia jest zapoznanie się z instrukcją BHP i instrukcją przeciw poŜarową oraz przestrzeganie zasad w nich zawartych. Wybrane urządzenia dostępne na stanowisku laboratoryjnym mogą posiadać instrukcje stanowiskowe. Przed rozpoczęciem pracy naleŜy zapoznać się z instrukcjami stanowiskowymi wskazanymi przez prowadzącego. W trakcie zajęć laboratoryjnych naleŜy przestrzegać następujących zasad: ♦ Sprawdzić, czy urządzenia dostępne na stanowisku laboratoryjnym są w stanie kompletnym, nie wskazującym na fizyczne uszkodzenie. Sprawdzić prawidłowość połączeń urządzeń peryferyjnych. ♦ JeŜeli istnieje taka moŜliwość, naleŜy dostosować warunki stanowiska do własnych potrzeb, ze względu na ergonomię. Monitor komputera ustawić w sposób zapewniający stałą i wygodną obserwację dla wszystkich członków zespołu. ♦ Załączenie komputera moŜe się odbywać po wyraŜeniu zgody przez prowadzącego. ♦ Zabronione jest dokonywanie jakichkolwiek przełączeń w urządzeniach oraz wymiana elementów składowych pod napięciem. ♦ Konfiguracja sprzętu (np. konfiguracja systemu operacyjnego, ustawienie parametrów monitora) moŜe się odbywać wyłącznie w porozumieniu z prowadzącym zajęcia. ♦ W trakcie pracy z komputerem zabronione jest spoŜywanie posiłków i picie napojów. ♦ W przypadku zaniku napięcia zasilającego naleŜy niezwłocznie wyłączyć komputer i monitor z sieci elektrycznej. ♦ Stwierdzone wszelkie braki w wyposaŜeniu stanowiska oraz nieprawidłowości w funkcjonowaniu sprzętu naleŜy przekazywać prowadzącemu zajęcia. ♦ W przypadku zakończenia pracy naleŜy zakończyć sesję przez wydanie polecenia wylogowania. Zamknięcie systemu operacyjnego moŜe się odbywać tylko na wyraźne polecenie prowadzącego. Rys. 15. Udostępnianie katalogu - uprawnienia. Zaznaczenie pola Zezwalaj nadaje odpowiednie uprawnienie, natomiast pole Odmawiaj ma zastosowanie, gdy dany uŜytkownik nie powinien mieć uprawnień do tego udziału, mimo Ŝe wynikają one z przydziału do określonej grupy uŜytkowników. LITERATURA: [1] ń [3] Ŝ [2] http://www.microsoft.com/poland/windows2000/win2000prof/ „Windows 2000 Professional. Resource Kit”. E. Bott: „Windows 2000 Professional dla ka dego”, Helion, Gliwice, 2001. I. McLean: „Bezpiecze stwo w Windows 2000. Czarna ksi ga”, Helion, Gliwice, 2002. D.A. Solomon, M.E. Russinovich: „MS Windows 2000 od rodka”, Helion, Gliwice, 2003. W. Boswell: „Windows 2000 Server. Vademecum profesjonalisty”, Helion, Gliwice, 2002. http://www.ntfs.com G. Niemirowski: „NTFSologia, cz. 1, cz. 2, cz. 3”, 2005 http://www.microsoft.com/poland/technet/article/art015.mspx P. Cassel: „Windows 2000 Professional. Ksi ga eksperta", Helion, Gliwice, 2002. E. Bott, C. Siechert: „Bezpiecze stwo Microsoft Windows XP i Windows 2000 dla ekspertów", Wydawnictwo Read Me, Warszawa, 2003. ę [5] [6] [7] [8] ś [4] ę Systemy operacyjne ń [9] Strona 23 z 24 Systemy operacyjne Strona 24 z 24