Лабораторная 1
.doc
МИНОБРНАУКИ РОССИИ
Санкт-Петербургский государственный
электротехнический университет
«ЛЭТИ» им. В. И. Ульянова (Ленина)
Кафедра информационной безопасности
отчет
по лабораторной работе №1
по дисциплине «Защита компьютерной информации»
Тема: Управление доступом к файловой системе NTFS с помощью списков контроля доступа
Студент гр. 8091 |
|
Гришин И. Д. |
Преподаватель |
|
Горячев А. В. |
Санкт-Петербург
2022
Цель работы.
Знакомство с механизмами управления доступом к файловой системе NTFS, основанным на списках контроля доступа (Access Control List – ACL).
Выполнение работы.
Зарегистрируемся на виртуальной машине Win2012R2-SVR1 от имени локального пользователя Администратор».
Создадим на компьютере SVR1 новых пользователей «Студент 1», «Студент 2», «Преподаватель».
Создадим там же на компьютере SVR1 группы «Студенты» и «Лишенцы».
Создадим новое дисковое устройство D:, для чего сначала уменьшим размер устройства С:, а затем на освободившимся месте создадим логический раздел D: и отформатируем его как NTFS.
Упражнение 1 – Назначение прав доступа пользователей и групп на файл, права разрешения и запрета операций.
В менеджере файлов откроем корневой каталог устройства D:. Создадим там новый текстовый файл с именем «Text1.txt» и произвольным содержимым. Создадим новый каталог Dir1 и в нем еще один каталог – Dir2. В каждом каталоге создадим по текстовому файлу Text11.txt и Text12.txt соответственно.
Проверим уровень доступа к файлу Text1.txt:
в свойствах файла в закладке «Security» посмотрим, каким пользователям и группам предоставлен доступ к этому файлу;
переключимся на пользователя Студент1, проверим его возможности по отношению к этому файлу;
вернёмся к пользователю Администратор (или Админ, если его использовали с самого начала), предоставим пользователю Студент1 возможность редактировать этот файл. Проверим эту возможность от имени пользователя Студент1;
добавим пользователя Студент1 в группу Студенты. Предоставим этой группе все права на файл Text1.txt. Убедимся в том, что теперь Студент1 всё (но не будем удалять файл);
добавим пользователя Студент1 в группу Лишенцы. Запретим в ACL этой группе изменение этого файла - Text0.txt.
Объяснение: приоритет прав запрета выше приоритет прав разрешения, поэтому применяясь на одного и того же пользователя – права будут применены те, у которых приоритет выше. В данном случае файл отредактировать не выйдет – у них выше приоритет.
Упражнение 2 – Работа с детализированным представлением ACL.
От имени администратора зайдём в детализированное представление ACL и предоставим пользователю Студент1 только возможность управления ACL данного файла (других полномочий у него быть при этом не должно).
От имени пользователя Студент1 добьёмся возможности изменения этого файла для себя.
Объяснение: если у пользователя будет опция изменения прав в рамках файла, то у него получится добавить себе права.
Упражнение 3 – Использование наследования, определение эффективных прав доступа.
От имени администратора включим в ACL каталога Dir1 пользователя Студент1 с возможностью управления списком контроля доступа, но запретом на изменение содержимого файла.
В ACL файла Text1 проконтролируем появление пользователя Студент1 с ранее заданным набором прав. Убедимся в невозможности изменения этого назначения.
Объяснение: так как права были назначены на родительскую папку, а наследие включено, то изменение назначения невозможно.
В детализированном представлении ACL этого файла включим этого же пользователя с разрешением на изменение содержимого. Зафиксируем изменения в базовом представлении ACL, посмотрим, как изменения проявились в расширенном представлении ACL. Проделаем то же самое с файлом Text12.txt.
Для файла Text11.txt в расширенном представлении зафиксируем, откуда появилось то или иное назначение (столбец «Унаследовано от»).
Там же в закладке «Действующие разрешения» определим окончательные права, которыми обладает пользователь Студент1 по отношению к этому файлу.
Упражнение 4 – Запрет наследования, восстановление доступа к файлу.
От имени пользователя Студент2 создадим в каталоге Dir1 новый файл – Text13.txt. Убедимся, что уровень доступа к нему определяется уровнем доступа к родительскому каталогу.
От имени пользователя Администратор в расширенном представлении ACL этого файла выключим опцию «Наследовать от родительского объекта применимые к дочерним объектам разрешения». В появившемся окне выберем опцию «Копировать». Посмотрим на результат.
Объяснение: после того как были скопированы разрешения родительского файла – могут быть изменены разрешения дочерних объектов. Если бы закрыли файл без копирования, то разрешения, унаследованные от родительского файла, исчзели бы.
В ACL каталога Dir1 добавим пользователя Преподаватель с полным доступом. Убедимся, что в ACL файла Text1.txt это никак не отразилось.
В расширенном представлении ACL этого файла включим опцию «Отключение наследования». В появившемся окне выберем опцию «Преобразовать...».
Объяснение: файл Text1.txt не лежит в папке от которых можно было унаследовать права, при отключении мы также не увидим изменения.
В расширенном представлении ACL файла Text1.txt удалим все строки с назначениями – список должен остаться пустым. Закроем все окна настройки безопасности файла.
Попытаемся прочитать этот файл от имени пользователя Студент1. Попытаемся открыть закладку «Безопасность.
Объяснение: при обращении к файлу от имени Студент1 ОС не может найти запись в ACL и по умолчанию у этого пользователя не будет прав на обращение к файлу и чтению.
Попытаемся прочитать этот файл от имени пользователя Администратор. Откройте закладку «Безопасность.
Объяснение: при обращении к файлу от имени Администратор ОС не может найти запись в ACL и по умолчанию у этого пользователя не будет прав на обращение к файлу и чтению.
Попытаемся прочитать от имени пользователя Администратор файл Text2.txt. Откроем закладку «Безопасность».
Объяснение: так как у файла Text11.txt были удалены все права, что не зависят от прав Text12.txt и они не наследуются, то файл Text12.txt можно открыть и изменять.
В расширенном представлении ACL файла Text12.txt воспользуемся кнопкой «Владелец». В открывшемся окне зададим в качестве владельца файла пользователя Администратор. Закроем все окна. Снова откроем е расширенное представление ACL файла Text11.txt.
Объяснение: если изменять владельца файла, то изменение прав доступа для этого файла останутся неизменными, так как они не зависят от прав владельца файла.
Проделаем эти же операции по отношению к каталогу Dir1, контролируя результат по файлу Text12.txt.
Объяснение: администратор – владелец папки dir1.
От имени пользователя Администратор в расширенном представлении ACL каталога Dir1 снова включим опцию «Включение наследования». Посмотрим на результат на файле Text11.txt (смотреть ACL в расширенном представлении).
Объяснение: при включении наследования, права, что были назначены каталогу dir1, будут назначены и на Text11.txt. При этом приоритет прав, что назначены на Text11.txt будет выше, чем приоритет наследованных прав.
Завершим работу виртуальной̆ машины.
Вывод.
В данной лабораторной работе были получены знания о том, как:
Назначать права доступа пользователей и групп на файл, права разрешения и запрета операций;
Работать с детализированным представлением ACL;
Использовать наследование и определять эффективные права доступа;
Запрещать наследование и восстанавливать доступ к файлу.