Защита файлов и каталогов с помощью NTFS. Права доступа. Разрешения NTFS. Кто управляет DACL и SACL

Страницы работы

18 страниц (Word-файл)

Содержание работы

Защита файлов и каталогов с помощью NTFS

Для работы с файлами и каталогами на жестких дисках операционная система Microsoft Windows NT версии 4.0 поддерживает две файловые системы: FAT (File Allocation Table) и NTFS (New Technology File System). Первая широко применяется другими операционными системами, такими как MS-DOS, Windows 3.x, Windows 95 и OS/2, вторая — разработанная специально для Windows NT — поддерживается только этой операционной системой. Между файловыми системами FAT и NTFS много различий в производительности, предоставляемых возможностях и т. д., но главное, что только NTFS обеспечивает защиту файлов и каталогов при локальном доступе.

В этой главе мы остановимся на возможностях, предоставляемых файловой системой NTFS для управления доступом пользователей к файлам и каталогам, объясним, как устанавливать и менять разрешения, используя различные системные программы, разберем вопросы наследования разрешений NTFS при копировании и перемещении файлов и каталогов, обсудим основные приемы эффективной работы с разрешениями NTFS и, наконец, приведем практические рекомендации по установке разрешений NTFS на системные файлы и каталоги, обеспечивающих необходимый уровень защиты как самой операционной системы, так и конфиденциальной информации, которая хранится на компьютерах с Windows NT.

Напомним: защиту ресурсов на разделах с файловой системой FAT можно организовать только при условии обращений к этому ресурсу по сети, разрешая различные типы доступа к совместно используемому ресурсу, расположенному на компьютере под управлением Windows NT или Windows 95.

Права доступа

Как и для любого другого защищенного объекта в операционной системе Windows NT, доступ к файлам и каталогам на разделах с NTFS контролируется системой безопасности с помощью маски доступа (access mask), содержащейся в записях списка контроля доступа ACL. Маска доступа включает стандартные (standard), специфичные (specific) и родовые (generic) права доступа. Первые определяют операции, общие для всех защищенных объектов Windows NT. Вот они:

Стандартное

право доступа         Позволяет...

SYNCHRONIZE      ...использовать объект для синхронизации.

WRITE_OWNER     ...изменить владельца объекта.

WRITE_DAC            ...изменить дискреционный список контроля доступа (discretionary ACL, DACL) к объекту.

READ_                        ...считать информацию из дескриптора безопасности объекта (кроме данных из

CONTROLсистемного списка контроля доступа — system ACL, SACL).

DELETE                      ...удалить объект.

Специфичные права доступа характерны только для объектов определенного типа и применяются только при операциях с этими объектами. Взгляните на список прав, используемых при работе с защищенными файлами и папками на разделах с файловой системой NTFS, и предоставляемые этими правами возможности:

Специфичное

право доступа                             Позволяет...

READ_DATA                                ...прочитать информацию в файле (папке).

WRITE_DATA                              ...записать информацию.

APPEND_DATA                           ...добавить информацию.

READ_ATTRIBUTES                   ...считать атрибуты файла (папки).

WRITE_ATTRIBUTES                 ...записать атрибуты.

READ_EA (Extended Attribute)  ...считать расширенные атрибуты файла (папки).

WRITE_EA (Extended Attribute) ...записать расширенные атрибуты.

EXECUTE                                     ...запустить файл на выполнение.

Родовые права доступа облегчают создание приложений, работающих с системой безопасности Windows NT (указать одно родовое право доступа гораздо легче, чем целый набор его составляющих). Родовые права доступа используются приложениями для обеспечения защиты объекта, а их конкретное действие определяется тем, каким стандартным и специфичным правам доступа они соответствуют. Для примера ниже приведены родовые права доступа, используемые при работе с файлами на NTFS-разделах.

Родовое право доступа       Для файлов включает специфичные

                                                истандартныеправа

GENERIC_READ                   READ_CONTROL

FILE_READ_DATA

FILE_READ_ATTRIBUTES

FILE_READ_EA

SYNCHRONIZE

GENERIC_WRITE                 READ_CONTROL

FILE_WRITE_DATA

FILE_WRITE_ATTRIBUTES

FILE_WRITE_EA

FILE_APPEND_DATA

SYNCHRONIZE

GENERIC_EXECUTE           READ_CONTROL

FILE_READ_ATTRIBUTES

FILE_EXECUTE

SYNCHRONIZE

И наконец отметим, что в интерфейсе прикладного программирования Win32 определены константы, являющиеся комбинациями стандартных прав доступа. Значение этих констант следует представлять, поскольку иногда именно они указываются для обозначения прав доступа к объектам NTFS.

Похожие материалы

Информация о работе