30. Новые возможности фс ntfs. Избирательный контроль доступа. Правила

взаимодействия разрешений. Наследование разрешений. Понятие владельца,

передача владения. Квоты. Шифрование файлов. Сжатие файлов. Ссылки, создание

ссылок и точек подключения. Монтирование ФС. Именованные потоки. Настройка

аудита доступа к объектам.

ВОЗМОЖНОСТИ ФАЙЛОВОЙ СИСТЕМЫ NTFS 5.0.

особенность:возможность установки прав доступа на локальные файлы и папки.

Избирательный контроль доступа

• Каждый пользователь должен иметь определенный набор разрешений на доступ к конкретному объекту файловой системы.

• Кроме того, он может быть владельцем файла или папки, если сам их создает.

• Владелец назначает разрешения на доступ к объекту ФС.

• В системе существует привилегированный пользователь (Администратор/ root), который может назначить себя владельцем любого объекта файловой системы (файла или папки).

Основные положения системы разрешений

• существуют разрешения и запреты;

• нужно учитывать взаимодействие разрешений и запретов;

• важно понятие владельца;

• учитывается наследование разрешений, которое существует по умолчанию.

Нужно помнить несколько положений:

1. Взаимодействие разрешений и запретов

2. Понятие владельца

3. Наследование разрешений

Разрешения пользователя на доступ к объектам файловой системы работают по принципу

дополнения (аддитивности). Это значит, что действующие разрешения, то есть те

разрешения, которые пользователь реально имеет в отношении конкретного каталога или

файла, образуются из всех прямых и косвенных разрешений, назначенных пользователю для

данного объекта с помощью логической функции ИЛИ.

ICACLS и файл посмотреть разрешения на файл, ICACLS - файл и grant:r и пользователь -

Передача права владения

Пользователь, создавший файл или папку - владелец этого объекта.

Для передачи владения объектом файловой системы или для просмотра текущего

владельца файла или папки откройте соответствующее окно свойств, перейдите на вкладку

Безопасность, затем нажмите кнопку Дополнительно. Появится окно Дополнительные

параметры безопасности. (рис. 15.7). Перейдите на вкладку Владелец этого окна.

Текущий владелец объекта виден в поле Текущий владелец этого элемента. В списке

Изменить владельца на можно просмотреть учетные записи, обладающие правом

получения во владение данного объекта файловой системы. Выделите учетную запись

пользователя, которому вы хотите передать право владения и нажмите кнопки Применить и

ОК.

Передача прав владения из командной строки

TAKEOWN [/S система [/U пользователь [/P [пароль]]]] /F имя_файла [/A] [/R [/D приглашение]]

Ключи:

/S <система> - Удаленная система, к которой выполняется подключение.

/U [<домен\>]<пользователь> - Контекст пользователя, в котором команда будет выполняться.

/P [<пароль>] - Пароль для указанного контекста пользователя.

/F <имя_файла> - Шаблон для имени файла или каталога.

/A - Делает владельцем группу администраторов вместо текущего пользователя.

/? - Вывод справки по использованию

Примеры:

TAKEOWN /F C:\Windows\System32\acme.exe

TAKEOWN /F %windir%\*.txt

Квота определяет ограничения дискового пространства. Так как квотирование выполняется по каждому тому, то не имеет значения, находятся ли тома на одном физическом жестком диске или на различных устройствах. После установки квот дискового пространства пользователь сможет хранить на томе ограниченный объем данных, в то время как на этом томе может оставаться свободное пространство. Если пользователь превышает выданную ему квоту, в журнал событий вносится соответствующая запись. Затем, в зависимости от конфигурации системы, пользователь либо сможет записать информацию на том (более мягкий режим), либо ему будет отказано в записи из-за отсутствия свободного пространства.

Устанавливать и просматривать квоты на диске можно только в разделе с NTFS 5.0 и при

наличии необходимых полномочий (задаваемых с помощью локальных или доменных

групповых политик) у пользователя, устанавливающего квоты.

Шифрование файлов (папок)

• Использовать EFS для шифрования содержимого файлов и папок сравнительно просто:

• пользователям Windows достаточно установить флажок «Шифровать содержимое для защиты данных» окна «Дополнительные свойства файла»;

• выбрать команду Шифровать из контекстного меню файла или папки.(Команда Зашифровать/Дешифровать контекстного меню — малоизвестная функция, по умолчанию отключенная. Чтобы ее активизировать, необходимо добавить параметр EncryptionContext Menu со значением 1 типа REG_DWORD в раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Advanced).

EFS

• Если атрибут шифрования установлен на уровне папки NTFS, то вновь создаваемые файлы в папке будут шифроваться автоматически.

• Если при запросе установить переключатель - «Применить эти атрибуты только к этой папке или также ко всем вложенным файлам и папкам» в положение: «Только к этой папке», то файлы, находившиеся в папке до установки атрибута шифрования, шифроваться не будут. То же относится и к дешифрации.

• С помощью инструмента Cipher.exe компании Microsoft можно автоматизировать шифрование и управлять им из командной строки.

Сжатие файлов и папок

• использование программ-архиваторов (наиболее известные – WinRAR, WinZIP и др); при их использовании придется самостоятельно производить сжатие файлов, а при необходимости использовать информацию в них содержащуюся, вы должны произвести

распаковку этих файлов. Процесс сжатия и распаковки не автоматизирован.

• использование специальных программ – дисковых компрессоров (программы DriveSpace,

DoubleSpace и др.). Они находятся резидентно в памяти. При записи данных на диск, программа их сжимает, при чтении с сжатого диска дисковый компрессор автоматически распаковывает данные в оперативной памяти. Недостатком этих программ можно считать занятие центрального

процессора при сжатии и распаковке информации и расход оперативной памяти для

хранения кода программы–компрессора.

Следует помнить, что:

· Допускается сжатие файлов и папок только на дисках с файловой системой NTFS. Если

кнопка Другие не отображается, значит, выбранная папка или файл находятся не на диске

NTFS.

· При добавлении или копировании файла в сжатую папку его сжатие производится

автоматически. При перемещении файла с другого диска NTFS в сжатую папку также

производится его сжатие.

· Сжатые файлы и папки не шифруются.

Примеры использования команды COMPACT

• Для уплотнения всех файлов с расширением .bmp в каталоге \Tmp и его подкаталогах:

compact /c /s \tmp *.bmp

• Для окончательного уплотнения файла Zebra.bmp, который был частично уплотнен до сбоя системы, применяется следующая команда:

compact /c /f zebra.bmp

Жесткая ссылка - ссылка указывающая не на файл, а на его область данных. Получаются два файла (лежащих на одном логическом диске, в одной или разных папках) идентичных по содержанию, причем они занимают место на диске как один файл и синхронно изменяются.

Символическая ссылка - может указывать только на диск или на каталог и не поддерживает относительные пути.

MKLINK [[/D] | [/H] | [/J]] Ссылка Назначение

• /D Создание символической ссылки на каталог.

(По умолчанию создается символическая ссылка на файл.)

• /H Создание жесткой связи вместо символической ссылки.

• /J Создание соединения для каталога.

Ссылка - Имя новой символической ссылки.

Назначение - Путь (относительный или абсолютный), на который ссылается новая ссылка.

Точки соединения ФС

• Результат операции монтирования (объединение нескольких ФС в одну, когда одна из ФС становится подкаталогом другой ФС)

• Монтировать можно разные ФС, но та, на которую производится монтирование (где расположены точки соединения) должна быть NTFS.

Работа с точками соединения NTFS. Утилита mountvol

С помощью утилиты mountvol.ехе можно:

·подключить том, Вывести на экран информацию о целевой папке точки соединения NTFS, использованной при подключении тома, Просмотреть список доступных для использования томов файловой системы, Уничтожить точки подключения томов, созданных с помощью mountvol.

mountvol [устройство:]путь имя_тома,

где:

• [устройство:]путь – определяет существующую папку NTFS 5.0, являющуюся точкой подключения тома;

• имя_тома – определяет имя подключаемого тома.

Параметры утилиты тоипtvol:

• /D – уничтожение существующей точки подключения у указанной папки;

• /L– отображение списка томов, подключенных к данной папке.

Организация хранения файлов, при которой пользователю предоставляется возможность объединять ФС, находящиеся на разных устройствах, в единую ФС, описываемую единым деревом каталогов. Такая операция называется монтированием.

Именованные потоки

При создании файла основные данные следует записать в неименованный поток. Затем необходимо создать внутри того же файла именованный поток, предназначенный для данных образа. Теперь один файл будет содержать два потока. Все потоки в пределах одного файла имеют одни и те же атрибуты (время создания, безопасность и т. д.). Следует отметить, что при копировании файла, содержащего потоки, в файловую систему, не поддерживающую их (например, FAT на гибком диске), скопированы будут только данные неименованного потока.

Аудит – это процесс, позволяющий фиксировать события, происходящие в операционной системе и имеющие отношение к безопасности.

Настройка аудита двухэтапный процесс:

1. Активизация с помощью оснастки Групповая политика (в локальном варианте – Локальная политика безопасности);

2. Выбор и изменение свойств конкретных объектов ФС