Защита файлов и каталогов с помощью NTFS. Права доступа. Разрешения NTFS. Кто управляет DACL и SACL

Защита файлов и каталогов с помощью NTFS

Для работы с файлами и каталогами на жестких дисках операционная система Microsoft Windows NT версии 4.0 поддерживает две файловые системы: FAT (File Allocation Table) и NTFS (New Technology File System). Первая широко применяется другими операционными системами, такими как MS-DOS, Windows 3.x, Windows 95 и OS/2, вторая — разработанная специально для Windows NT — поддерживается только этой операционной системой. Между файловыми системами FAT и NTFS много различий в производительности, предоставляемых возможностях и т. д., но главное, что только NTFS обеспечивает защиту файлов и каталогов при локальном доступе.

В этой главе мы остановимся на возможностях, предоставляемых файловой системой NTFS для управления доступом пользователей к файлам и каталогам, объясним, как устанавливать и менять разрешения, используя различные системные программы, разберем вопросы наследования разрешений NTFS при копировании и перемещении файлов и каталогов, обсудим основные приемы эффективной работы с разрешениями NTFS и, наконец, приведем практические рекомендации по установке разрешений NTFS на системные файлы и каталоги, обеспечивающих необходимый уровень защиты как самой операционной системы, так и конфиденциальной информации, которая хранится на компьютерах с Windows NT.

Напомним: защиту ресурсов на разделах с файловой системой FAT можно организовать только при условии обращений к этому ресурсу по сети, разрешая различные типы доступа к совместно используемому ресурсу, расположенному на компьютере под управлением Windows NT или Windows 95.

Права доступа

Как и для любого другого защищенного объекта в операционной системе Windows NT, доступ к файлам и каталогам на разделах с NTFS контролируется системой безопасности с помощью маски доступа (access mask), содержащейся в записях списка контроля доступа ACL. Маска доступа включает стандартные (standard), специфичные (specific) и родовые (generic) права доступа. Первые определяют операции, общие для всех защищенных объектов Windows NT. Вот они:

Специфичные права доступа характерны только для объектов определенного типа и применяются только при операциях с этими объектами. Взгляните на список прав, используемых при работе с защищенными файлами и папками на разделах с файловой системой NTFS, и предоставляемые этими правами возможности:

Родовые права доступа облегчают создание приложений, работающих с системой безопасности Windows NT (указать одно родовое право доступа гораздо легче, чем целый набор его составляющих). Родовые права доступа используются приложениями для обеспечения защиты объекта, а их конкретное действие определяется тем, каким стандартным и специфичным правам доступа они соответствуют. Для примера ниже приведены родовые права доступа, используемые при работе с файлами на NTFS-разделах.

И наконец отметим, что в интерфейсе прикладного программирования Win32 определены константы, являющиеся комбинациями стандартных прав доступа. Значение этих констант следует представлять, поскольку иногда именно они указываются для обозначения прав доступа к объектам NTFS.