Реализация безопасности в Windows NT на уровне файловой системы

Администратор может управлять доступом пользователей к каталогам и файлам в разделах диска, отформатированных под файловую систему NTFS. Разделы, отформатированные под FAT и HPFS, не поддерживаются средствами защиты Windows NT. Однако можно защитить разделяемые по сети каталоги независимо от того, какая используется файловая система.

Для зашиты файла или каталога необходимо установить для него разрешения (permissions). Каждое установленное разрешение определяет вид доступа, который пользователь или группа пользователей имеют по отношению к данному каталогу или файлу. Например, когда вы устанавливаете разрешение Read к файлу MY IDEAS.DOC для группы COWORKERS, пользователи из этой группы могут просматривать данные этого файла и его атрибуты, но не могут изменять файл или удалять его.

Windows NT позволяет использовать набор стандартных разрешений, которые можно устанавливать для каталогов и файлов. Стандартными разрешениями для каталогов являются: No Access, Read, Add, Add&Read, Change и Full Control.

Стандартными разрешениями для файлов являются:

 

No Access, Read, Change и Full Control.

 

Стандартные разрешения представляют собой группы индивидуальных разрешений. Каждому стандартному разрешению соответствует определенная установка фиксированного набора индивидуальных разрешений. Индивидуальные разрешения могут быть:

 

Read (R), Write (W), Execute (X), Delete (D),

Change Permission (P), Take Ownership (O).

 

При установке стандартного разрешения рядом с ним в скобках отображаются заглавные буквы установленных индивидуальных разрешений. Например, при установке для файла стандартного разрешения Read рядом со словом Read появляется аббревиатура RX, которая означает, что стандартному разрешению Read соответствует установка двух индивидуальных разрешений - Read и Execute.

Администратор может с помощью утилиты File Manager устанавливать как стандартные, так и индивидуальные разрешения.

Для того, чтобы эффективно пользоваться возможностями механизмов безопасности NTFS, нужно помнить следующее:

 

· Пользователи не могут пользоваться каталогом или файлом, если они не имеют разрешения на это, или же они не относятся к группе, которая имеет соответствующее разрешение.

· Разрешения имеют накопительный эффект за исключением разрешения No Access, которое отменяет все остальные имеющиеся разрешения. Например, если группа CO-WORKERS имеет разрешение Change для какого-то файла, а группа Finance имеет для этого файла только разрешение Read, и Петров является членом обеих групп, то у Петрова будет разрешение Change. Однако, если разрешение для группы Finance изменится на No Access, то Петров не сможет использовать этот файл, несмотря на то, что он член группы, которая имеет доступ к файлу.

· Когда вы создаете в каталоге файлы и подкаталоги, то они наследуют разрешения, которые имеет каталог.

· Пользователь, который создает файл или каталог, является владельцем (owner) этого файла или каталога. Владелец всегда имеет полный доступ к файлу или каталогу, так как может изменять разрешения для него. Пользователи - члены группы Administrators - могут всегда стать владельцами любого файла или каталога.

· Самым удобным путем управления защитой файлов и каталогов является установка разрешений для групп пользователей, а не для отдельных пользователей. Обычно пользователю требуется доступ ко многим файлам. Если пользователь является членом какой-либо группы, которая имеет доступ к этим файлам, то администратору проще лишить пользователя этих прав, удалив его из состава группы, а не изменять разрешения для каждого файла. Заметим, что установка разрешения для индивидуального пользователя не отменяет разрешений, данных пользователю как члену некоторой группы.

 

Для каталога индивидуальные разрешения имеют следующий смысл:

 

	R	W	X	D	P	O	FC
Просматривать имена файлов в каталоге	*	O	*	O	*	O	*
Просматривать атрибуты каталога	*	O	*	O	*	O	*
Добавлять файлы и подкаталоги	O	*	O	*	O	*	*
Изменять атрибуты каталога	O	*	O	*	O	*	*
Переходить в подкаталоги каталога	O	*	*	O	*	O	*
Просматривать владельца каталога и разрешения	*	l	*	O	*	O	*
Удалять каталог	O	*	O	*	O	*	*
Изменять разрешения каталога	O	*	O	*	*	O	*
Становиться владельцем каталога	O	*	O	*	O	*	O

 

 

Для файла индивидуальные разрешения имеют следующий смысл:

 

	R	W	X	D	P	O	FC
Просматривать данные файла	*	O	O	O	O	O	*
Просматривать атрибуты файла	*	O	*	O	O	O	*
Изменять атрибуты файла	O	*	O	O	O	O	*
Изменять и добавлять данные в файл	O	*	O	O	O	O	*
Выполнять файл, если это программа	O	O	*	O	O	O	*
Просматривать владельца файла и разрешения	*	*	*	O	O	O	*
Удалять файл	O	O	O	*	O	O	*
Изменять разрешения файла	O	O	O	O	*	O	*
Становиться владельцем файла	O	O	O	O	O	*	*

 

Для файлов имеется следующее соответствие индивидуальных и стандартных разрешений файла:

 

No Access - Ни одного

Read - RX

Change - RWXD

Full Control - Все разрешения

 

Стандартные разрешения для каталога представляют собой объединения индивидуальных разрешений для каталога и для файлов, входящих в этот каталог:

 

No Access  (Ни одного) (Ни одного)

List       (RX) (Не определены)

Read       (RX) (RX)

Add        (WX) (Не определены)

Add&Read   (RWX) (RX)

Change     (RWXD) (RWXD)

Full Control (Все разрешения) (Все разрешения)