Файловая система NTFS 5.0. Эта версия файловой системы является
объектно-ориентированным хранилищем данных, представляемых в виде
привычных для пользователя объектов — файлов и каталогов. В NTFS
5.0 теперь можно хранить потенциально любую информацию и в любых
форматах представления. Реализуются эти возможности за счет
появления в файловой системе нового механизма Reparse points
(повторный грамматический анализ). Reparse points — это объекты,
которые могут быть связаны с файлами или каталогами, и описывают
правила хранения и обработки информации, хранящейся в нестандартном
для файловой системы виде. С использованием этого механизма в NTFS
уже реализованы механизмы шифрации данных и механизмы монтирования
томов (представление любого тома в виде каталога на другом диске —
возможность создания виртуальной файловой системы, состоящей только
из файлов и каталогов на любой рабочей станции или сервере). А
разработчики получили мощный инструмент для создания приложений,
способных хранить данные в своем уникальном формате (включая и
собственные алгоритмы шифрации) для обеспечения необходимого уровня
производительности и безопасности работы с данными.
Рассмотрим принципы работы механизма Reparse points. Любое
приложение, работающее с файловой системой, при обращении к дискам
отображает информацию в виде привычных файлов и каталогов,
хранящихся в NTFS. При попытке открытия выбранного пользователем
файла (или каталога), запрос на чтение данных передается
приложением ядру ОС. Ядро, анализируя свойства выбранного файла и
обнаруживая связанный с ним объект Reparse points, анализирует
хранящуюся в этом объекте информацию (в этом и состоит суть
названия механизма — повторный грамматический анализ). Объект
Reparse points, по сути, содержит ссылку на специальный драйвер,
создаваемый любым разработчиком. Этот драйвер и определяет реальный
формат хранения данных на томах NTFS. При попытке открытия файла
управление передается созданному разработчиком модулю, который и
считывает данные с диска в известном ему формате. Поэтому с
появлением этого нового механизма любой разработчик имеет
возможность обеспечить безопасность и удобство хранения данных для
своего специфического приложения. [5]
Еще одним новшеством файловой системы NTFS 5.0 стали
обновленные механизмы разграничения прав доступа и появившиеся
средства квотирования дискового пространства. Отныне система прав
доступа обладает встроенными механизмами наследования, позволяющими
с большой степенью удобства выполнять разграничение полномочий в
файловых системах с большим количеством уровней вложенности
каталогов. Из приятных нововведений также можно назвать появившийся
инструментарий (в отличие от Windows NT 4.0 он поставляется в
составе Windows 2000), позволяющий описывать маски наследуемых прав
для любых комбинаций каталогов, файлов и целых ветвей файловой
системы. Сами права доступа стали обладать существенно большей
гибкостью, не создающей путаницу из-за обилия вариантов
разграничения прав.
Интерфейсы прикладного программирования (API) сетевой
аутентификации Windows, являющиеся частью SSPI (Security Support
Provider Interface). Приложения и службы Windows 2000 используют
SSPI для изоляции протоколов прикладного уровня от деталей
протоколов сетевой безопасности. Windows 2000 поддерживает
интерфейс SSPI в целях сокращения кода уровня приложений,
необходимого для работы с многочисленными протоколами
аутентификации. Интерфейс SSPI представляет уровень, поддерживающий
различные механизмы аутентификации и шифрации, использующие
протоколы с симметричными или асимметричными ключами.
SSPI — это инструмент, с помощью которого реализована вся
внутренняя система безопасности Windows 2000 и ее сервисов. SSPI
обеспечивает существование 3 основных механизмов сетевой
безопасности: аутентификацию, гарантию целостности и
конфиденциальность. Под аутентификацией понимается возможность
проверки того, что полученные вами данные пришли действительно от
того, чей адрес стоит в поле отправителя. Гарантия целостности
подразумевает наличие набора средств, позволяющих проверить
получение тех данных, которые были посланы вам. Соблюдение
конфиденциальности требует, чтобы сообщение было получено и
прочитано только тем пользователем, кому оно адресовано.
С использованием SSPI разработчики получают возможность
создания приложений со встроенными средствами сетевой безопасности
и соблюдением открытых стандартов. Это позволяет гарантировать
безопасный обмен данными с любыми организациями — партнерами,
заказами, поставщиками по общедоступным каналам связи, например,
Интернет.[4]
В Windows 2000 каждый пользователь должен зарегистрироваться в
системе перед началом работы. Это необходимо как на локальной
рабочей станции без подключения к сети, так и на станции в
компьютерной сети. Внутри системы каждый пользовательл имеет свой
ID (идентификатор или уникальное имяпользователя, состоящее из
имени и пароля). Каждый пользователь также может войти в систему в
качестве гостя (Guest). В этом случае ему предоставляется
возможность обращения к файлам других компьютеров сети, которрые
разрешены для совместного использования, но не к файлам,
расположенным на NT-сервере.
Каждый пользователь должен зарегистрироваться в системе
индивидуально. Это позволяет организовать защиту файлов таким
образом, что некоторые каталоги или диски для одних пользователей
могут быть закрыты, а для других – открыты. Это относится к
предоставлению всех прав доступа.
Пользователю, обладающему правами админитсратора, доступны все
ресурсы, имеющиеся в данной системе. И если он однажды забудет свой
пароль, то это приведет к необходимости форматирования диска и
переустановки операционной системы. Следует, однако, отметить, что
полный ассортимент средств защиты доступен лишь тогда, когда
установлена файловая система NTFS.
Без проблем можно подключить несколько рабочих станций Windows
2000 к Peer-to-peer-сети (одноранговая сеть). Для этого нужно
вставить в компьютер сетевую плату и с помощью Панели управления
настроить параметры кабельного соединения. Необходимо также
запустить Сервер обслуживания. В такой сети тоже можно
предоставить отдельным пользователям праава доступа к ресурсам со
всеми или ограниченными возможностями, а также организовать
коллективное использование принтера. В одноранговую сеть могут
объединяться компьютеры с другими операционными системамми, такими
как Windows for Workgroups, Windows 95/98 и Novell-клиент.
Сеть может обладать дополнительной возможностью обеспечения
лоступа посредством RAS (Remote Acces Service-служба удаленного
доступа). С помощью RAS из Windows 2000-компьютера можно
обращаться к сети через модем по телефону и работать в ней как
обычный клиент.[2]
2. Защита файлов
Файловая система FAT для каждого файла в томе сохраняет имя
файла, его размер, дату последнего изменения и собственно
информацию. Система NTFS , кроме перечисленного, также выдает
список контроля доступа (access control list, ACL), который
определяет степень доступа к файлам и папкам системы, имеющуюся у
пользователя. Каждый файл и папка в томе NTFS имеют свой ACL.
Защитой файлов в томе NTFS можно управлять с помощью вкладки
Security (Безопасность) в диалоговом окне свойств файла:
1. Щелкнуть правой кнопкой мыши на файле в Проводнике.
2. Выбрать во всплывающем меню пункт Properties (Свойства).
3. Щелкнуть на вкладке Security (Безопасность), чтобы открыть
диалоговое окно, изображенное на рис.1.
Если выделенный файл не хранится в томе NTFS, вкладка
Security(Безопасность) не появится, поскольку защита файла возможна
только в томе NTFS.
Рис.1. На вкладке Безопасность отображены пользователи, имеющие
разрешения на доступ к файлу
Диалоговое окно используется для просмотра и изменения степени
доступа пользователя к файлу. При выделении имени в поле Name (Имя)
в поле Permissions (Разрешения) в нижней части диалогового окна
отображается степень доступа данного пользователя или группы к
данному файлу. Затененные флажки определяют наличие разрешения «по
наследству». Это значит, что разрешение было предоставлено
родительским объектом. Например, родительский объект для файла –
папка, в которой он содержится. Затененный флажок дает знать, что
разрешение дано по умолчанию, поскольку файл создан в папке, у
которой помечен соответствующий флажок.[1]
2.1 Разрешения для файлов
Поле Permissions (Разрешения) включает список основных разрешений,
и использовать их можно в различных сочетаниях, чтобы они подходили
именно вам. По сути, каждое разрешение из списка представляет собой
установленный набор разрешений. В табл. 1 показано, что именно
включено в то или иное разрешение из списка в поле Permissions
(Разрешения).
Таблица 1.
Основные разрешения для файла
|Разрешение |Описание |Индивидуальные разрешения |
|Read (Чтение)|Позволяет |- List Folder/Read Data (Содержание |
| |пользовате- |папки/ |
| |лю просматривать |Чтение данных) |
| |информацию файла |- Read Attributes (Чтение атрибутов)|
Страницы: 1, 2, 3, 4