Разграничение доступа к файловой системе в операционной системе Windows. Списки контроля доступа

Санкт-Петербургский государственный университет информационных технологий, механики и оптики

Лабораторная работа №1

«Разграничение доступа к файловой системе в операционной системе Windows»

Подготовили:

гр. 5111.

Преподаватель:

2009 г.

Задание

В общих чертах описать возможности NTFS по разграничению доступа к ФС.

Права доступа NTFS

Файловая система NTFS обеспечивает доступ к файлам и папкам на основе списков контроля доступа. В NTFS любой файл или папка имеет дескриптор безопасности, содержащий два списка контроля доступа : дискреционный (DACL) и системный (SACL).

Дискреционный предоставляется в распояржение владельцу объекта(файла, папки...)

Системным же управляет администратор.

Списки контроля доступа содержат информацию о том, какие пользователи или группы пользователей имеют право на осуществление тех или иных действий над объектом.

Права бывают трёх видов : стандартные, специфичные, родовые. Стандартные характерны для любых объектов (не обязательно фаловой системы). Это такие права, как стать владельцем, прочитать списки контроля доступа, синхронизироваться по объекту и т.п.

Специфичные права – в нашем случае права для файлов и папок. Это чтение, запись, выполнение ит.п. Родовые права составляют совокупности прочих прав и используются для удобства.

Каждый раз, когда субъект пытается выполнить то или иное действие, система проверяет, разрешено ли это для него (непосредственно или для групп, в которые он входит) .

Наследование разрешений

При копировании, перемещении объектов, создании новых объектов в папках (папка является контейнером для других объектов), происходит наследование прав доступа. При этом работает специфичный механизм наследования. Для каждой папки имеется список прав, которые наследует созданная в ней папка или файл. Дочерние папки наследуют список контроля доступа, установленный для родительской папки. Дочерние файлы наследуют список контроля доступа, установленный для файлов родительской папки.

При перемещении файлов и папок, они сохраняют прежние разрешения.

Выводы

В общих чертах модель разграничения доступа похожа на каноническую (субъекты и объекты доступа поставлены в однозначное отношение). Но по факту, если учесть такие особенности, как ресурсы, доступные для всех пользователей (папка All Users), а также возможности олицетворения, схема доступа становится куда более запутанной, что открывает уязвимости уже по самой задумке.