3-1 Основи побудови та захисту сучасних операційних систем / Защита_операционных_систем_КНМЗ
.pdf
ЗАГАЛЬНІ ВІДОМОСТІ ПРО ФАЙЛОВУ СИСТЕМУ NTFS
NTFS (від англ. New Technology File System - «файлова система нової технології») - стандартна файлова система для сімейства операційних систем Microsoft Windows NT.
NTFS підтримує систему метаданих і використовує спеціалізовані структури даних для зберігання інформації про файли для поліпшення продуктивності, надійності і ефективності використання дискового простору.
3
Структура NTFS
На початку тома знаходиться завантажувальний запис тома (Volume Boot Record), в якому міститься код завантаження Windows, інформація про томи (зокрема, тип файлової системи), адреси системних файлів ($Mft і $MftMirr). Завантажувальний запис займає зазвичай 8 МБ (16 перших секторів).
В певній галузі тома (адреса початку цієї області вказується в завантажувального запису) розташована основна системна структура NTFS - головна таблиця
файлів (Master File Table, MFT). У записах цієї таблиці
міститься вся інформація про розташування файлів на томі, а невеликі файли зберігаються прямо в записах MFT.
Оскільки MFT є найважливішою системної структурою, до якої при операціях з томом найбільш часто відбуваються звернення, вигідно зберігати файл $Mft в безперервній області логічного диска, щоб уникнути його фрагментації і, отже, підвищити швидкість роботи з ним. З цією метою при форматуванні тома виділяється безперервна область, звана зоною MFT (MFTZone).
NTFS зберігає інформацію про файли (всі атрибути!) в головній файловій таблиці - Master File Table (MFT), що розташовується ближче до середини диска (в прихованому системному файлі $ MFT).
На зберігання інформації про кожен файл (і каталог) в $ MFT відводиться від одного до декількох Кбайт.
NTFS має вбудовані можливості розмежування доступу до даних для різних користувачів і груп користувачів (списки контролю доступу - Access Control
Lists (ACL)), а також призначати квоти (обмеження на максимальний обсяг
дискового простору, займаний тими чи іншими користувачами).
Файли невеликого розміру (порядку сотень байт) зберігаються безпосередньо в $ MFT, що істотно прискорює доступ до них.
Через те, що файл $ MFT зазвичай розташовується ближче до середини диска, руйнування перших доріжок диска NTFS не приводить до таких фатальних наслідків, як руйнування початкових областей диска FAT.
6
Дозволи NTFS дозволяють явно вказати, які користувачі і групи мають доступ до файлів і папок і які операції з вмістом цих файлів або папок їм дозволено виконувати.
Система безпеки NTFS ефективна незалежно від того, чи звертається користувач до файлу або папці, розміщених на локальному комп'ютері або в мережі.
Дозволи NTFS застосовні тільки до томів, відформатованим з використанням файлової системи NTFS. Вони не передбачені для томів,
які використовують файлові системи FAT або FAT32.
Дозволи, що встановлюються для папок, відрізняються від дозволів, що встановлюються для файлів.
Адміністратори, власники файлів або папок і користувачі з дозволом Повний доступ (Full Control) мають право призначати дозволи NTFS користувачам і групам для управління доступом до цих файлів і папок.
В NTFS зберігається список управління доступом (Access Control List, ACL) для
кожного файлу і папки на томі NTFS
ACL (Access Control List - список контролю доступу) - визначає, хто або що може отримувати доступ до конкретного об'єкта, і які саме операції
дозволено або заборонено цьому суб'єкту проводити над об'єктом.
Щоб користувач отримав доступ до ресурсу, в ACL повинна бути запис, звана елемент списку управління доступом (Access Control Entry, АСЕ), для цього користувача або групи, до якої він належить.
Якщо в ACL немає відповідної АСЕ, то користувач не отримає доступ до ресурсу.
Дозволи NTFS
Множинні дозволи
Можливо встановити кілька дозволів користувачеві і всім групам, членом яких він є.
Для цього необхідно мати уявлення про правила і пріоритети, за якими в NTFS призначаються і об'єднуються множинні дозволи і про
спадкування дозволів NTFS
Ефективні дозволи
Ефективні дозволу користувача для ресурсу - це сукупність дозволів NTFS,які призначаються окремому користувачеві і всім групам, до яких він належить. Якщо у користувача є дозвіл читання (Read) для папки і він входить до групи, у якій є дозвіл запис (Write) для тієї ж папки, значить, у цього користувача є обидва дозволи.
Правила та пріоритети множинних дозволів:
Якщо викликає потік явно надає дескриптор захисту при створенні об'єкта, то система захисту застосовує його до об'єкту.
Якщо викликаючий потік явно надає дескриптор захисту при створенні об'єкта, то система захисту застосовує його до об'єкту.
Якщо викликаючий потік не надає дескриптор захисту і
об'єкту присвоюється ім'я, система захисту шукає цей дескриптор в контейнері, в якому зберігається ім'я нового об'єкта.
Якщо дескриптор захисту не визначений і немає ні успадкованих АСЕ, ні DACL за замовчуванням, система створює об'єкт без DACL, що відкриває повний доступ до нього будь-яким користувачам і групам.
ПРІОРИТЕТИ ДОЗВОЛІВ У NTFS
Дозволи NTFS підсумовуються.
Дозволи для файлів мають більший пріоритет, ніж дозволи для папок
Заборона доступу має більший пріоритет, ніж дозвіл на всіх рівнях, на які він поширюється.
Основи побудови та захисту сучасних операційних систем
2. ПОРЯДОК ВСТАНОВЛЕННЯ ДОЗВОЛІВ NTFS ТА ОСОБЛИВИХ ДОЗВОЛІВ