Файловый архив студентов. Файловый архив студентов.
1313 вуза, 5303 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Белорусский государственный университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Лабораторная работа 2.docx
Скачиваний:
2
Добавлен:
01.07.2025
Размер:
193.66 Кб
Скачать
►Содержание►

Лабораторная работа №2. Безопасность в файловой системе ntfs.

Разделы формата NTFSприменяются, начиная с версии WindowsNT 3.51, и предоставляют возможность защищать файлы и папки, а также использовать многие из тех служб, что поставляются с WindowsServer 2008.

Файловая система NTFS разрабатывалась с учетом требований, предъявляемых к файловой системе корпоративного класса. Чтобы свести к минимуму потери данных в случае неожиданного выхода системы из строя или ее краха, файловая система должна гарантировать целостность своих метаданных. Для защиты конфиденциальных данных от несанкционированного доступа файловая система должна быть построена на интегрированной модели защиты и она должна поддерживать защиту пользовательских данных за счет программной избыточности данных.

1. Функциональные возможности разделов формата ntfs

Разделы NTFS предоставляют доступ ко многим функциональным возможностям, кото­рые могут применяться для создания высоконадежной, масштабируемой, безопасной и легко управляемой файловой системы. К числу базовых функциональных возможностей разделов формата NTFS относятся возможность обеспечения поддержки для томов большого размера, возможность настройки разрешений или ограничения доступа к наборам данных, возмож­ность сжатия или шифрования данных и возможность настройки для каждого пользовате­ля отдельных квот хранения во всем разделе и/или конкретных папках.

1.1. Восстанавливаемость

NTFS является восстанавливаемой (recoverable) файловой системой. Поддержка восстановления в NTFS гарантирует, что в случае отказа электропитания или аварии системы ни одна операция файловой системы (транзакция) не останется незавершенной; при этом структура дискового тома будет сохранена. Она гарантирует согласованность данных тома, используя стандартную процедуру регистрации транзакций. Каждая операция ввода-вывода, которая изменяет файл на томе NTFS, рассматривается файловой системой как транзакция.

При модификации файла специальная компонента файловой системы - сервис регистрации файлов (Log File Service) - фиксирует всю информацию, необходимую для повторения (redo) или отката (undo) транзакции в специальном файле. Если транзакция не завершается нормально, то NTFS пытается закончить транзакцию (повторить) или производит ее откат. Этот метод обеспечивает минимальное время восстановления, однако восстанавливаются только системные данные (метаданные), гарантируя, что пользователь не потеряет весь том из-за повреждения файловой системы, пользовательские же данные могут быть утеряны.

1.2. Защита

Защита в NTFS построена на модели объектов Windows. Файлы и каталоги защищены от доступа пользователей, не имеющих соответствующих прав. Открытый файл реализуется в виде объекта «файл» с дескриптором безопасности. Прежде чем процесс сможет открыть описатель какого-либо объекта, система защиты Windows должна убедиться, что у этого процесса есть соответствующие полномочия. Дескриптор защиты в сочетании с требованием регистрации пользователя при входе в систему гарантирует, что ни один процесс не получит доступа к файлу без разрешения системного администратора или владельца файла.

Дескриптор безопасности включает следующие атрибуты.

  • Номер версии. Версия модели защиты SRM (securityreferencemonitor), использованной для создания дескриптора.

  • Флаги Необязательные модификаторы, определяющие поведение или характеристики дескриптора. В них содержится контролирующая структура, которая определяет возможность наследования разрешений от дескриптора безопасности родительского объекта. Пример — флаг, который запрещает наследование дескриптором параметров защиты от другого объекта.

  • SID владельца. Идентификатор безопасности владельца.

  • SID группы. Идентификатор безопасности основной группы для данного объекта.

  • Список управления избирательным доступом (discretionaryaccesscontrollist, DACL). В этом списке определены участники системы безопасности, которым разрешен или запрещен доступ к объекту.

  • Системный список управления доступом (systemaccesscontrollist, SACL) Этот список определяет пользователей, которые будут внесены в журнал системой аудита при доступе или при неудачной попытке доступа к объекту.

ACL список - это набор записей контроля доступа (Access Control Entry — АСЕ), каждая запись состоит:

  • Идентификатор безопасности (SID), который представляет участника системы безопасности

  • Маска доступа (Access Mask), которая определяет разрешения для этого участника безопасности.

В списке ACL есть записи ACE двух типов - разрешающие и запрещающие доступ. Разрешающая запись содержит SID пользователя или группы и битовый массив (access mask), определяющий набор операций, которые процессы, запускаемые этим пользователем, могут выполнять с данным объектом. Запрещающая запись действует аналогично, но в этом случае процесс не может выполнять перечисленные операции.

Записи контроля доступа, которые непосредственно созданы в списке контроля доступа, имеют больший приоритет, чем записи контроля доступа, унаследованные от родительского объекта. Для этого система сортирует записи контроля доступа на основе их происхождения.

Порядок следования строк ACE в финальном списке

    • Явные запреты

    • Явные разрешения

    • Унаследованные запреты

    • Унаследованные разрешения

Изменять разрешения прав доступа к объектам можно с использованием редактора прав доступа (см. раздел 2).

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности