Главная: Рефераты

Рефераты. Безопасность файловых ресурсов сети Windows 2000

Файловая система NTFS 5.0. Эта версия файловой системы является

объектно-ориентированным хранилищем данных, представляемых в виде

привычных для пользователя объектов — файлов и каталогов. В NTFS

5.0 теперь можно хранить потенциально любую информацию и в любых

форматах представления. Реализуются эти возможности за счет

появления в файловой системе нового механизма Reparse points

(повторный грамматический анализ). Reparse points — это объекты,

которые могут быть связаны с файлами или каталогами, и описывают

правила хранения и обработки информации, хранящейся в нестандартном

для файловой системы виде. С использованием этого механизма в NTFS

уже реализованы механизмы шифрации данных и механизмы монтирования

томов (представление любого тома в виде каталога на другом диске —

возможность создания виртуальной файловой системы, состоящей только

из файлов и каталогов на любой рабочей станции или сервере). А

разработчики получили мощный инструмент для создания приложений,

способных хранить данные в своем уникальном формате (включая и

собственные алгоритмы шифрации) для обеспечения необходимого уровня

производительности и безопасности работы с данными.

Рассмотрим принципы работы механизма Reparse points. Любое

приложение, работающее с файловой системой, при обращении к дискам

отображает информацию в виде привычных файлов и каталогов,

хранящихся в NTFS. При попытке открытия выбранного пользователем

файла (или каталога), запрос на чтение данных передается

приложением ядру ОС. Ядро, анализируя свойства выбранного файла и

обнаруживая связанный с ним объект Reparse points, анализирует

хранящуюся в этом объекте информацию (в этом и состоит суть

названия механизма — повторный грамматический анализ). Объект

Reparse points, по сути, содержит ссылку на специальный драйвер,

создаваемый любым разработчиком. Этот драйвер и определяет реальный

формат хранения данных на томах NTFS. При попытке открытия файла

управление передается созданному разработчиком модулю, который и

считывает данные с диска в известном ему формате. Поэтому с

появлением этого нового механизма любой разработчик имеет

возможность обеспечить безопасность и удобство хранения данных для

своего специфического приложения. [5]

Еще одним новшеством файловой системы NTFS 5.0 стали

обновленные механизмы разграничения прав доступа и появившиеся

средства квотирования дискового пространства. Отныне система прав

доступа обладает встроенными механизмами наследования, позволяющими

с большой степенью удобства выполнять разграничение полномочий в

файловых системах с большим количеством уровней вложенности

каталогов. Из приятных нововведений также можно назвать появившийся

инструментарий (в отличие от Windows NT 4.0 он поставляется в

составе Windows 2000), позволяющий описывать маски наследуемых прав

для любых комбинаций каталогов, файлов и целых ветвей файловой

системы. Сами права доступа стали обладать существенно большей

гибкостью, не создающей путаницу из-за обилия вариантов

разграничения прав.

Интерфейсы прикладного программирования (API) сетевой

аутентификации Windows, являющиеся частью SSPI (Security Support

Provider Interface). Приложения и службы Windows 2000 используют

SSPI для изоляции протоколов прикладного уровня от деталей

протоколов сетевой безопасности. Windows 2000 поддерживает

интерфейс SSPI в целях сокращения кода уровня приложений,

необходимого для работы с многочисленными протоколами

аутентификации. Интерфейс SSPI представляет уровень, поддерживающий

различные механизмы аутентификации и шифрации, использующие

протоколы с симметричными или асимметричными ключами.

SSPI — это инструмент, с помощью которого реализована вся

внутренняя система безопасности Windows 2000 и ее сервисов. SSPI

обеспечивает существование 3 основных механизмов сетевой

безопасности: аутентификацию, гарантию целостности и

конфиденциальность. Под аутентификацией понимается возможность

проверки того, что полученные вами данные пришли действительно от

того, чей адрес стоит в поле отправителя. Гарантия целостности

подразумевает наличие набора средств, позволяющих проверить

получение тех данных, которые были посланы вам. Соблюдение

конфиденциальности требует, чтобы сообщение было получено и

прочитано только тем пользователем, кому оно адресовано.

С использованием SSPI разработчики получают возможность

создания приложений со встроенными средствами сетевой безопасности

и соблюдением открытых стандартов. Это позволяет гарантировать

безопасный обмен данными с любыми организациями — партнерами,

заказами, поставщиками по общедоступным каналам связи, например,

Интернет.[4]

В Windows 2000 каждый пользователь должен зарегистрироваться в

системе перед началом работы. Это необходимо как на локальной

рабочей станции без подключения к сети, так и на станции в

компьютерной сети. Внутри системы каждый пользовательл имеет свой

ID (идентификатор или уникальное имяпользователя, состоящее из

имени и пароля). Каждый пользователь также может войти в систему в

качестве гостя (Guest). В этом случае ему предоставляется

возможность обращения к файлам других компьютеров сети, которрые

разрешены для совместного использования, но не к файлам,

расположенным на NT-сервере.

Каждый пользователь должен зарегистрироваться в системе

индивидуально. Это позволяет организовать защиту файлов таким

образом, что некоторые каталоги или диски для одних пользователей

могут быть закрыты, а для других – открыты. Это относится к

предоставлению всех прав доступа.

Пользователю, обладающему правами админитсратора, доступны все

ресурсы, имеющиеся в данной системе. И если он однажды забудет свой

пароль, то это приведет к необходимости форматирования диска и

переустановки операционной системы. Следует, однако, отметить, что

полный ассортимент средств защиты доступен лишь тогда, когда

установлена файловая система NTFS.

Без проблем можно подключить несколько рабочих станций Windows

2000 к Peer-to-peer-сети (одноранговая сеть). Для этого нужно

вставить в компьютер сетевую плату и с помощью Панели управления

настроить параметры кабельного соединения. Необходимо также

запустить Сервер обслуживания. В такой сети тоже можно

предоставить отдельным пользователям праава доступа к ресурсам со

всеми или ограниченными возможностями, а также организовать

коллективное использование принтера. В одноранговую сеть могут

объединяться компьютеры с другими операционными системамми, такими

как Windows for Workgroups, Windows 95/98 и Novell-клиент.

Сеть может обладать дополнительной возможностью обеспечения

лоступа посредством RAS (Remote Acces Service-служба удаленного

доступа). С помощью RAS из Windows 2000-компьютера можно

обращаться к сети через модем по телефону и работать в ней как

обычный клиент.[2]

2. Защита файлов

Файловая система FAT для каждого файла в томе сохраняет имя

файла, его размер, дату последнего изменения и собственно

информацию. Система NTFS , кроме перечисленного, также выдает

список контроля доступа (access control list, ACL), который

определяет степень доступа к файлам и папкам системы, имеющуюся у

пользователя. Каждый файл и папка в томе NTFS имеют свой ACL.

Защитой файлов в томе NTFS можно управлять с помощью вкладки

Security (Безопасность) в диалоговом окне свойств файла:

1. Щелкнуть правой кнопкой мыши на файле в Проводнике.

2. Выбрать во всплывающем меню пункт Properties (Свойства).

3. Щелкнуть на вкладке Security (Безопасность), чтобы открыть

диалоговое окно, изображенное на рис.1.

Если выделенный файл не хранится в томе NTFS, вкладка

Security(Безопасность) не появится, поскольку защита файла возможна

только в томе NTFS.

Рис.1. На вкладке Безопасность отображены пользователи, имеющие

разрешения на доступ к файлу

Диалоговое окно используется для просмотра и изменения степени

доступа пользователя к файлу. При выделении имени в поле Name (Имя)

в поле Permissions (Разрешения) в нижней части диалогового окна

отображается степень доступа данного пользователя или группы к

данному файлу. Затененные флажки определяют наличие разрешения «по

наследству». Это значит, что разрешение было предоставлено

родительским объектом. Например, родительский объект для файла –

папка, в которой он содержится. Затененный флажок дает знать, что

разрешение дано по умолчанию, поскольку файл создан в папке, у

которой помечен соответствующий флажок.[1]

2.1 Разрешения для файлов

Поле Permissions (Разрешения) включает список основных разрешений,

и использовать их можно в различных сочетаниях, чтобы они подходили

именно вам. По сути, каждое разрешение из списка представляет собой

установленный набор разрешений. В табл. 1 показано, что именно

включено в то или иное разрешение из списка в поле Permissions

(Разрешения).

Таблица 1.

Основные разрешения для файла

|Разрешение |Описание |Индивидуальные разрешения |

|Read (Чтение)|Позволяет |- List Folder/Read Data (Содержание |

| |пользовате- |папки/ |

| |лю просматривать |Чтение данных) |

| |информацию файла |- Read Attributes (Чтение атрибутов)|

Страницы: 1, 2, 3, 4
2012 © Все права защищены
При использовании материалов активная ссылка на источник обязательна.