Лабораторная работа № 9 : Файловая система и права доступа
advertisement
1 Лабораторная работа № 9 1. Теоретическая часть: Файловая система и права доступа 1.1. Особенности файловых систем семейства FAT Файловая система представляет собой иерархическое хранилище пользовательских и системных файлов, а также областей данных. В операционных системах существует большое количество файловых систем, но Windows XP, поддерживает только две из них: FAT (File Allocation Table, таблица распределения файлов) и NTFS (New Technology File System, файловая система новой технологии). Обе файловые системы разработаны в компании Microsoft. Файловая система FAT официально появилась в первой версии ОС MS-DOS. Файловая система NTFS, являясь журналируемой системой нового поколения, впервые возникла в ОС линейки Windows NT. Существует большое количество файловых систем под общим названием FAT: FAT 12, FAT 16 и FAT32. Аббревиатура FAT указывает на тот факт, что в работе файловой системы используется таблица размещения файлов, разрядность которой, в зависимости от файловой системы, может быть 12-, 16- и 32-битная. Чем больше эта разрядность, тем больший объем носителя может использовать файловая система. Файловая система FAT12 использовалась на старых жестких дисках, а также дискетах большей емкости, наиболее популярными форматами которых стали 1.2 Mb для 5.25" и 1.44 Мb Для 3.5". Файловая система FAT16 использовалась и используется в жестких дисках относительно малой емкости. Наиболее целесообразно ее использование на винчестерах до нескольких гигабайт. В н.в. используется для хранения информации на различных Flash (тип технологии, используемой в микросхемах памяти) накопителях, устройствах типа memory-stick (модули памяти к различным электронным устройствам) и др. Использование файловой системы FAT32 было популярно в Windows 98, Windows 98 SE и Windows ME. Она предназначалась для поддержки дисков большой емкости. Строение FAT. Файловая система FAT состоит из трех областей данных: - загрузочного сектора; - таблицы размещения файлов; - областей файлов и каталогов. Загрузочный сектор1 (ВООТ-сектор, англ. BOOT – загрузка) используется для хранения ряда системных параметров, констант и переменных. Эти данные определяют параметры используемого жесткого диска или иного носителя, на котором находится файловая система, название тома, а также параметры ОС. В более общем случае, например, при использовании жесткого диска в первом его секторе, находится специальный MBR-сектор (англ. Master Boot Record, самый главный ВООТ-сектор). Данный сектор содержит поНазвание «сектор» пошло от правила, что все накопители разбиты на сектора, чтобы к ним было просто обращаться ОС, например, по номеру сектора. 1 2 мимо параметров жесткого диска еще и специальное описание виртуальных дисков (разделов) и программу загрузчик ОС. Область размещения файлов состоит из последовательности 12-, 16- или 32-разрядных чисел, в зависимости от разрядности системы, которые определяют размещение файлов и папок на компьютере. Чем больше разрядность, тем больше размер файлов и папок и, следовательно, тем большего объема диски они могут поддерживать. Область файлов и папок содержит файлы и папки, которые могут храниться не последовательно на диске, а в различных местах, так же как и информация, которая в них содержится. В таком случае говорят, что диск фрагментирован или имеет фрагментацию. На жестком диске может быть максимум четыре раздела, один из которых активный (загрузочный). В любом из этих четырех разделов может быть произвольное количество логических дисков. Файловой системе FAT необходимо постоянное обслуживание. Каждый раз после некорректного завершения работы компьютера, что может произойти в результате сбоя программы, ОС или электричества, ОС необходимо запускать программу проверки файловой системы, так как в ней могут остаться ошибки или потерянные данные. Такая ситуация случается, если во время записи какой-либо информации компьютер перестал нормально функционировать и информация записалась не туда, куда нужно, или записалась корректно, но ОС из-за сбоя не успела узнать об этом. Также возможно, что из-за функций кэширования информации, какой-либо файл из-за сбоя не успел записаться на диск. И информация стала безвозвратно потерянной для пользователя. Поэтому компьютер рекомендуется оборудовать системой бесперебойного питания. Помимо проверки файловой системы FAT необходимо периодически выполнять функции дефрагментации диска, т.к. по ходу чтения файла с диска приходится постоянно перемещаться с одного места на другое в поисках следующего куска файла, что сказывается на быстродействии системы. Поэтому Microsoft включила в состав ОС программу дефрагментации. 1.2. Средства управления файловой системой Для доступа к встроенным в систему средствам контроля диска и его дефрагментации необходимо: - вызвать программу: Проводник (Пуск\Все программы\Стандартные\ Проводник); - выбрать требуемый диск и вызвать контекстное меню правой кнопкой мыши; - выбрать команду Свойства; - откроется окно Свойства; - щелчком выбрать вкладку Сервис (рис.1.1.); - нажать на кнопку Выполнить проверку. Будет проведена операция по проверке диска. При нажатии на кнопку Выполнить дефрагментацию будет проведена дефрагментация диска. Де- 3 фрагментацию стоит проводить только при необходимости, что зависит от частоты работы с информацией. Существуют и другие программы для ускорения доступа к диску. Наиболее мощным и действенным приложением является программа SpeedDisk компании Symantec. Это приложение не только значительно ускоряет доступ и работу с файлами, но и производит дефрагментацию значительно быстрее продукта Microsoft за счет использования других алгоритмов. Руководствуясь идей, что компьютер сам должен решить, когда стоит производить дефрагментацию, Symantec сделала специальный продукт, входящий в набор утилит Norton Utilities, который постоянно выполняется в системе, как фоновое задание, и в случае обнаружения слишком большого количества фрагментированных файлов начинает выполнять процесс дефрагментации файловой системы компьютера. Запускаясь автоматически, данная программа постоянно работает в системе, наблюдая за происходящими в ней процессами, что делает ее использование гораздо более простым и доступным, чем регулярный вызов обычных программ по оптимизации файловой системы. Рис.1.1. Окно выполнения служебных операций с дисками Нижняя кнопка Выполнить архивацию предназначена для сохранения всей информации с жесткого диска компьютера, что необходимо делать на случай, если компьютер выйдет из строя и вся информация будет утрачена. Файловая система устроена достаточно просто и не имеет механизмов для предотвращения нежелательного доступа пользователей к папкам, файлам и системным областям диска, что порождает массу проблем. Корень всех проблем – отсутствие разграничения доступа пользователей к файлам что означит, что любая программа, работающая с данной файло- 4 вой системой, может производить запись в любое место файловой системы, что и нужно вирусам. Вирусы могут записываться в файлы и системные области диска (ВООТ-сектор и MBR-сектор). Кроме того, вирусы, зная устройство файловой системы и учитывая отсутствие в ней возможности шифрования файлов и папок, могут использовать различные уязвимости, чтобы самим, минуя уровень по работе с FAT операционной системы, хозяйничать в файлах и папках, оставаясь практически незамеченными. Вирусы могут перехватить все действия, связанные с работой FAT, и, например, производить шифрование файлов при их записи на диск, а при чтении производить обратное декодирование и криптографический алгоритм будет известен лишь им одним. При удалении вируса из системы ОС будет вылечена, но вся информация останется недоступной. Также если вирус проник на файловую систему FAT, то он может проникнуть в системные файлы ОС, получив возможный контроль над ней. Файловая система не остановит его, т.к. в ней все файлы равны и нет разницы, кому они принадлежат: операционной системе, прикладным программам или пользователям. FAT как и ОС не помешает вирусу пройти по всем программам и файлам пользователя, удалив или испортив их. Отсутствие разграничения доступа пользователей к файлам означает, что, сколько бы пользователей не работало в системе и какие бы надежные и изощренные пароли они не использовали, все их файлы будут видны друг другу. В данное время система FAT морально устарела, так как она не может эффективно противостоять различным сбоям и нарушениями, не может быстро работать с информацией и не обеспечивает защиту информации пользователей. 1.3. Файловая система NTFS и разграничения прав пользователей Файловая система NTFS (New Technology File System) является файловой системой нового поколения. При ее проектировании ставились цели сделать ее как можно более надежной, мощной, устойчивой к сбоям и безопасной. Главным отличием системы NTFS от системы FAT является устойчивость к сбоям и система разграничения доступа. Устойчивость к сбоям файловой системы нового поколения обеспечивается за счет метода журналирования. Во избежание сбоев перед каждым изменением служебной информации файловой системы создается специальная запись, говорящая о начале такой операции. И если эта операция прошла успешно, то запись о ней удаляется из файловой системы. Если же операция не завершилась успехом, то система может сделать откат операции, зная по записи, в каком состоянии находилась система до нее. Наличие данного механизма делает ненужным наличие программ проверки дисков. Это связано с тем, что система каждый раз при перезагрузке проверяет все файловые системы на локальных накопителях жестких дисков. И если какаялибо система имеет ошибки, то они сразу и целенаправленно, исправляются, т.к. всю информацию ОС узнает из журнала операций файловой систе- 5 мы. Разграничение доступа является второй важнейшей особенностью файловой системы NTFS. Так как данная система реализована в защищенном режиме ОС и меняется от версии к версии ОС, то узнать ее структуру или даже попытаться считать какие-либо данные в обход ядра ОС для приложений становится практически невозможно. В NTFS введена система прав, когда каждый пользователь может иметь (или не иметь) определенные права на пользование файлом (папкой): возможность чтения, записи, исполнения и пр. Для того чтобы пользователь мог просмотреть ее содержимое, необходимо, чтобы он имел на это право. Данный механизм позволяет пользователям сохранять свои данные и информацию. Для того чтобы посмотреть или изменить права на любой файл в файловой системе NTFS, необходимо убедиться в ее наличие на жестком диске. Для этого следует: - запустить Проводник; - выбрать требуемый диск и вызвать контекстное меню правой кнопкой мыши; - выбрать команду Свойства; - появится окно Свойства: Локального диска С: (рис.1.2.). Рис.1.2. Окно Свойства жесткого диска Данный жесткий диск имеет файловую систему NTFS, приводится его суммарная емкость, объем занятого и свободного места. Наряду с этим система предлагает, посредством кнопки Очистка диска, вызов специальной программы для увеличения свободного места за счет удаления или перемещения редко используемых или неиспользуемых файлов, приложений и документов. Внизу окна предлагаются флажки для определения некоторых свойств данного диска, специфичных только для системы NTFS. Режим Сжимать диск для экономии места ответственен за сжатие ин- 6 формации посредством ядра ОС при ее записи на диск. Таким образом, объем диска за счет некоторого уменьшения производительности может возрасти до полутора раз. Процесс записи при сжатии файлов и процесс их декомпрессии при чтении с диска происходит для пользователя совершенно прозрачно и незаметно. Возможность сжатия информации защищает от кракеров, т.к. разжать сжатую файловой системой информацию на другом компьютере невозможно. В н.в. на рынке программного обеспечения существует ряд продуктов, способных к чтению файловой системы NTFS с жесткого диска Windows ХР машины. Для этого нужно загрузиться с какой-либо иной ОС, обычно с DOSдискеты или загрузочного компакт-диска, а потом, поставив специальный драйвер, перейти к работе нужного тома с NTFS. Также можно использовать другой компьютер с установленной Windows XP. Данное программное обеспечение позволяет не обращать внимания на права доступа и работать с NTFS также прозрачно и небезопасно, как с FAT. Это означает, что вся система безопасности обходится. И человек, имеющий доступ к компьютеру, а также имеющий возможность произвести загрузку с компакт-диска или дискеты, потенциально способен на обход любой системы безопасности NTFS. Режим Разрешить индексирование диска для быстрого поиска отвечает за работу системы поиска по файлам на диске, по умолчанию он включен. 1.4. Развертывание NTFS Если на компьютере установлена файловая система FAT, то для установки файловой системы NTFS следует воспользоваться программойконвертером файловых систем convert.exe, входящей в стандартный комплект поставки Windows XP. Запуск этой программы производится в текстовом командном окне, например, программы cmd.exe. Программу можно запустить, указав ключ "/help" в качестве аргумента (рис. 1.3). Рисунок 1.3. Запуск программы конвертации файловых систем Программа предназначена для конвертации файловых систем FAT в NTFS. При конвертации в простейшем случае необходимо указать после имени программы имя (букву) диска с двоеточием, а затем ключ «/FS:NTFS». Полезно указать ключ « /V » – программа будет выводить на экран больше 7 сообщений, в результате чего можно лучше контролировать процесс конвертации и ошибки, которые могут возникнуть по ходу этого процесса. Остальные опции данной программы редко используются (рис.1.4.). Рисунок 1.4. Помощь при работе с программой convert.exe Для получения дополнительных советов от Microsoft по использованию данной программы по ключевому слову «» в файле помощи Windows XP (Пуск\Справка) можно найти интересующую информацию (рис. 1.5). Рисунок 1.5. Помощь по работе с программой конвертации файловых систем 8 Программа convert.exe берет за образец для конвертирования файловую систему FAT и делает из нее NTFS. Однако в FAT нет ни системных прав, ни каких-либо других объектов данных, сопровождающих файлы и папки в файловой системе NTFS. Поэтому следует с помощью специальной программы, входящей в состав Windows XP, поставить права системы безопасности на созданной системе NTFS. Для этого нужно в текстовом командном окне выполнить следующую команду: Secedit /configure /db С:\%SystemRoot%\temp\temp.mdb /Cfg c:\%System Distrib%\inf\defltwk.inf /areas filestore, где: %systemRoot% – каталог, в который установлена система; %SystemDistrib% – каталог, в котором находится дистрибутив ОС Windows XP. Проводить такую операцию нужно из пользовательской учетной записи, имеющей права администратора системы. В результате выполнения системой данной команды восстановятся права по умолчанию для папок и файлов в каталоге, где установлена система: C:\WIND0WS и C:\Program Files. Для папки Documents and Settings следует устанавливать права вручную. После завершения данного процесса диск будет находиться под управлением файловой системы NTFS. 1.5. Настройка приложения Проводник для эффективной работы с NTFS Для определения прав файлов и папок в NTFS следует: - запустить программу Свойства папки: Пуск\Панель управления\ Свойства папки (рис.1.6.); - выбрать закладку Вид; - в разделе Дополнительные параметры будут отображены текущие свойства папок. Рисунок 1.6. Окно настройки отображения файлов и папок 9 В открывшемся окне рекомендуется найти строку Использовать простой общий доступ и убедитесь, что флажок убран (рис.1.7.). Примечание: для того, чтобы все программы, файлы и ссылки активировались с одного щелчка мышью, то необходимо поставить опцию Щелчки мышью в положение Открывать одним щелчком, выделять указателем (рис.1.6.). Рисунок 1.7. Текущие свойства папок 1.6. Права доступа пользователей к объектам файловой системы После проделанной подготовительной работы можно приступить к изучению работы с правами файлов в NTFS. Для этого следует: - выбрать любой файл или папку; - щелчком правой кнопкой мыши вызвать контекстное меню; - в контекстном меню выбрать режим Свойства; - открыть вкладку Безопасность; - откроется окно безопасности файла или папки (рис.1.8.). В открывшейся вкладке видно, каким группам пользователей и какой именно доступ разрешен. В операционной системе и, в частности, ее файловой системе, действует правило: к файловому объекту имеют доступ только перечисленные пользователи, в соответствии с указанными им правами. В новейших операционных системах действует более глобальное правило: все, что явно не разрешено – запрещено. В соответствии с этим, любой пользователь, не принадлежащий к группе пользователей, указанных во вкладке Безопасность получит отказ при доступе к папке C:\Windows. В старых ОС линейки Windows 9x считалось, что запрещено только то, что явным образом запрещено – любой объект, который не имеет явного запрета в использовании, является доступным. 10 Рисунок 1.8. Окно свойств безопасности папки В старых ОС это означает, что каждый раз при создании какого-либо объекта пользователь должен сам вручную прописывать доступ, который к нему запрещен. Если пользователю нужно часто создавать новые объекты, то невозможно сразу на всех поставить корректные права доступа (или можно забыть запретить доступ другим пользователям). В этом случае как минимум, несколько минут или даже часов на таких файлах будет оставаться доступ для всех пользователей, т.е. с такого компьютера любой человек или программа может скопировать любую информацию или даже стереть ОС, если такая возможность не была заранее закрыта пользователем или системным администратором. Данную ситуацию используют вирусы, которые могут получить полный контроль над ОС, файлами, личной информацией. Благодаря введению новой политики безопасности Microsoft удалось не только сократить число краж информации пользователей, но и значительно сократить число вирусов и троянских программ. Однако, даже в этом случае, любые попытки фирмы разработчика уберечь от утраты информации могут окончиться ничем, если пользователь будет работать под правами Администратора ОС. Пользователь, принадлежащий к группе системных администраторов имеет все права и ситуация становится аналогичной ситуации в линейке ОС Windows 9x. Поэтому рекомендуется работать в системе под правами обычного пользователя группы Users. В окне свойств системы безопасности (рис.1.8.) находятся следующие группы пользователей: SYSTEM, Администраторы, Опытные пользователи, Пользователи, СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ. В эти группы входят также специфические возможности файловой системы или группы, от имени которых работает ОС или определенные программы и сервисы. К числу послед- 11 них групп принадлежит группа SYSTEM, от имени которой выступает ОС Windows ХР. Случается когда доступ для ОС к какому-либо объекту или к папке закрывается, например, из-за того, что группа SYSTEM была удалена из свойств папок по причине активности вирусов. Если папка содержит файлы пользователя, то он может получить невозможность доступа к ней, а если папка является системной, то Windows может перестать функционировать корректно. Это связано с тем, что при запуске программы или файла управление передается ОС, после чего она выполняет инструкцию пользователя. Если ОС доступ закрыт, то она откажется выполнить запрос пользователя, особенно, если был дан запрет на папку, в которой находится сама ОС, в этом случае система не загрузится. Для того чтобы восстановить группу SYSTEM в ее свойствах и реанимировать ОС, можно загрузиться с другой ОС Windows XP. При этом следует учесть, что если обновления, поставленные на другую ОС, будут отличаться от тех, которые стояли на данной системе, то возможны различные проблемы. Однако если на не желающей загружаться ОС стоят более ранние обновления, чем на ОС, которая используется для восстановления, то проблем быть не должно. Это связано с тем, что выполняется условие обратной совместимости, поддерживаемое компанией Microsoft во всех ее продуктах линейки Windows NT. Пользователь получит доступ ко всем файлам, включая сжатые, исключением являются только зашифрованные данные. Если необходимо получить доступ к ним, то нужно иметь специальную криптографическую информацию, которую необходимо передать новой ОС. После того как была произведена загрузка с другой ОС Windows XP, необходимо дать команду на добавление доступа к этой папке группы SYSTEM. После перезагрузки в оригинальной ОС, можно провести окончательную проверку или настройку. Случай гораздо проще, если был запрещен доступ группы SYSTEM к пользовательской папке. Для устранения этой проблемы достаточно обеспечить наследование прав от папки уровнем выше, а потом дать системе команду, из того же окна наследования прав, на замещение предыдущих свойств наследуемыми свойствами. Вторая специфическая группа: СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ представляет собой специальную запись, в которую помещается идентификатор пользователя, который является владельцем этого объекта файловой системы, в случае наследования прав. По аналогии с этим, ГРУППА-СОЗДАТЕЛЬ представляет собой запись группы, в которую помещается первичная группа пользователя, который является владельцем этого объекта файловой системы в случае наследования прав. Остальными группами, имеющими доступ, являются: Администратор, Опытный пользователь, Пользователь, что означает наличие доступа у администраторов системы, опытных пользователей и простых пользователей, соответственно. В ОС все или почти все пользователи должны входить в состав группы Пользователи (Users), в крайнем случае, можно присвоить 12 права группы Опытный пользователь (Power Users), но никогда не следует давать права группы Администратор (Administrators). Для группы Пользователи имеется ряд прав, помеченных флажком для работы с папкой Windows (рис.1.9.). Поля: Разрешить и Запретить означают разрешен ли доступ или запрещен, соответственно, в зависимости от того, в каком столбце стоит флажок для данного права доступа объекта. В зависимости от установленных прав определяется, может пользователь совершать операцию или нет. Пользователь может сам менять права расстановкой/отменой флажка. Если флажки неактивны (темный цвет флажкового поля) и пользователь не может вносить изменения, то, следовательно, у него недостаточно прав на операцию. Рисунок 1.9. Права группы Пользователи Разрешения для пользователя (рис.1.9.): - полный доступ – пользователь, принадлежащий к указанной группе, может выполнять любые операции над папкой; - изменить – означает возможность модификации файлов или папки, в зависимости от того, чем является защищаемый объект; - чтение и выполнение – возможность чтения и исполнения файлов папки; - список содержимого папки – доступ к списку содержимого папки; - чтение – доступ на чтение содержимого папки; - запись – разрешение на запись означает возможность, изменять или создавать новые файлы, а если такое право доступа стоит для одного файла, то и возможность записи в него группе пользователей или одному пользова- 13 телю, для которого рядом с этим правом доступа стоит флажок; - особые разрешения – используются для уточнения набора прав, которым может обладать пользователь, для их редактирования следует нажать кнопку Дополнительно, выбрать из списка требуемого пользователя, а потом нажать кнопку Изменить. Администраторы имеют полные права на доступ к системной папке Windows. Аналогичные права имеет и пользователь SYSTEM, так как от его имени работает сама ОС Windows XP (рис.1.10.). Рисунок 1.10. Права группы System Права пользователей группы Опытные пользователи отличаются от прав групп System и Администратор только отсутствием пункта Полный доступ. 1.7. Механизм наследования прав объектами файловой системы Для продолжения исследования системы прав доступа файловой системы NTFS в окне вкладки Безопасность (рис.1.10) следует нажать кнопку Дополнительно (рис.1.11.). В появившемся окне отображен список объектов – пользователей и групп, которые имеют различные права к данному объекту файловой системы. Данное окно повторяет окно свойств систем безопасности файловой системы, изображенной на рис.1.10, с двумя исключениями. Во-первых, появился новый пункт списка Унаследовано от, что означает, есть ли у прав пользователей или их групп, приведенных в списке, наследование от предыдущих объектов файловой системы и если да, то откуда. При использовании механизма наследования все каталоги и файлы, создаваемые внутри другого внешнего каталога, от которого ведется наследование, будут создаваться с аналогичными правами. Если папка C:\WINDOWS 14 (рис.1.10) имеет определенный набор свойств безопасности файловой системы (прав доступа), то и папка C:\WINDOWS\inf будет иметь те же права, которые унаследованы от папки C:\WINDOWS (рис.1.12.). Рисунок 1.11. Расширенные настройки системы безопасности файловой системы для папки C:\WINDOWS Рисунок 1.12. Окно расширенных свойств безопасности для папки C:\WINDOWS\inf 15 Наследование файловых прав доступа происходит, так как стоит флажок в режиме Наследовать от родительского объекта применимые к дочерним разрешения, добавляя их к явно заданным в этом окне (рис.1.12.). Строка C:\WINDOWS\ в столбце Унаследовано представляет собой путь объекта, от которого происходит наследование. Далеко не все объекты файловой системы из папки C:\WINDOWS наследуют ее свойства, например, свойства папки C:\WINDOWS\java (рис.1.13.). Рисунок 1.13. Окно расширенных свойств безопасности для папки C:\WINDOWS\java Данная папка не использует механизма наследования файловой системы, так как в списке объектов, использующих права доступа, указано <не унаследовано>, а также по тому, что не стоит флажок в режиме Наследовать от родительского объекта применимые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне. 1.8. Особые разрешения Во вкладке Разрешения кнопки Добавить и Удалить (рис.1.13.) ответственны, соответственно, за добавление и удаление пользовательских прав как отдельных пользователей, так и их групп. Кнопка Изменить позволяет проводить более точную раздачу пользователям и их группам прав файловой системы. Это важно для профессиональных системных администраторов и экспертов по компьютерной безопасности. Для просмотра полного набора прав, которыми обладает файловый объект следует выбрать пользователя или группу пользователей и нажать кнопку Изменить (рис.1.14). Появится новое окно Объект с расширенными правами: 16 Рисунок 1.14. Расширенные права доступа для папки C:\WINDOWS\java - режим Полный доступ означает, что выбранный пользователь или группа будут иметь все права над данным файловым объектом; - режим Обзор папок / Выполнение файлов означает, что данному пользователю или группе разрешено перемещаться по каталогу, если это каталог, и выполнять данный файл, если это файл; - режим Содержание папки / Чтение данных означает возможность для пользователя группы производить просмотр каталога, если данный объект каталог и читать данные, если это файл; - режимы Чтение атрибутов и Чтение дополнительных атрибутов означают разрешение на просмотр атрибутов (свойств файлов: скрытый, только чтение и пр.) и расширенных атрибутов (определяемых конкретными программами), соответственно; - режимы Дальнейшие права файловой системы, Создание файлов / Запись данных и Создание папок / Дозапись данных управляют возможностью пользователя или группы создавать файлы и записывать в них информацию, создавать папки и дозаписывать информацию в файлы, соответственно; - режимы Запись атрибутов и Запись дополнительных атрибутов означают, соответственно, возможность записи или изменения пользователями или группами пользователей атрибутов или расширенных атрибутов файловой системы; - режим Удаление подпапок и файлов означает возможность пользователя или группы удалять файлы и папки, даже если право Удаление не указано для этого файла или папки; 17 - режим Удаление позволяет разрешить пользователю или группе удалить данный файл или папку, если в данном праве не стоит флажок, то можно удалить файл, если предоставлено право Удаление подпапок и файлов; - режим Чтение разрешений дает возможность чтения пользователем или группой пользователей прав данного файла или папки, таких как Полный доступ, Чтение и Запись; - режим Смена разрешений позволяет изменять пользователю или пользовательской группе права доступа у данного файла или папки, такие как Полный доступ, Чтение и Запись; - режим Смена владельца позволяет данному пользователю или группе стать владельцем данного файлового объекта, в качестве владельца данный пользователь или группа получит возможность всегда изменять права доступа, вне зависимости от того, какие разрешения указанны для этого файлового объекта. Для установки или удаления любого из перечисленных пользовательских прав доступа файловой системы необходимо поставить флажок рядом с ним в столбце Разрешить или Запретить, соответственно, для разрешения или запрещения данного права пользователю или группе и нажать кнопку ОК. Последней опцией данного окна является флажок внизу окна Применять эти разрешения к объектам и контейнерам только внутри этого контейнера. Если данный флажок установлен, происходит применение выбранных прав доступа только к выбранному объекту. В противном случае, изменения будут распространяться на все дерево объектов, ниже текущего уровня. 1.9. Владельцы объектов файловой системы Для определения владельца файловой системы в окне Дополнительные параметры безопасности следует открыть вкладку Владелец (рис.1.15.). Рисунок 1.15. Вкладка Владелец окна Дополнительные параметры безопасности C:\WINDOWS\java 18 Владельцами данного объекта являются пользователи группы администраторов. В окне приводится список пользователей, которые могут быть сделаны владельцами файлового объекта. Для того чтобы сделать выбор среди этих пользователей и групп, нужно выбрать владельца и нажать кнопку ОК. В нижней части окна находится специальное флажковое поле Заменить владельца субконтейнеров и объектов. При его активации в случае смены владельца файлового объекта происходит замена новых владельцев во всех объектах, которые находятся ниже по дереву папок. 1.9. Эффективные права пользователей и групп Вкладка Действующие разрешения (рис.1.16.) окна Дополнительные параметры безопасности предназначена для проверки тех прав, которые получат пользователи после всех настроек и оптимизаций, которые можно провести в системе. Для проверки установленных прав следует: - перейти во вкладку Действующие разрешения окна Дополнительные параметры безопасности и нажать кнопку Выбрать (рис.1.16.); - в появившемся новом окне нажать кнопку Типы объектов (рис.1.17.); - из списка выбрать объект (Пользователь, Группа) и нажать кнопку ОК; - в окне Выбор: Пользователь или группа нажать кнопку Дополнительно; - появится новое окно Выберите тип объекта (рис.1.17.); - нажать кнопку Поиск (рис.1.18.); - из раскрывшегося списка выбрать пользователя или группу и нажать ОК; - появится окно с выбранным объектом, нажать кнопку ОК; - появится список действующих разрешений для выбранного пользователя или выбранной группы (рис.1.19.). 19 Рисунок 1.16. Окно анализа эффективных прав пользователя Рисунок 1.17. Окно выбора типа объекта Рисунок 1.18. Дополнительное диалоговое окно выбора пользователя 20 Рисунок 1.19. Действующие разрешения выбранного пользователя В результате выполненных действий ОС покажет, какие права имеет данный пользователь по отношению к данному объекту файловой системы (рис.1.19.). Для системы безопасности файловой системы нет особой разницы между Файлами и папками. Описанные выше действия применимы и к файлам. Механизм наследования разрабатывался для быстрого, удобного, эффективного и безопасного управления файлами. Так как файлов в больших системах может быть десятки тысяч, то было очень утомительно заниматься каждым файлом отдельно. Это заставило компанию Microsoft разработать и внедрить в файловую систему NTFS более мощную и совершенную систему для управления правами доступа. Специалисты компании выбрали систему наследования прав, т.к. учет механизма наследования делает возможным сделать надежнее и безопаснее распределение прав на файлы и папки даже еще на стадии проектирования системы, до фазы ее развертывания. Данная система предоставляет возможность задать общие права для всех файлов, исправляя их на другие лишь в случаях необходимости. Но есть и еще один случай, когда может пригодиться механизм наследования. Допустим, при установке нового приложения файл, который приложение копирует в определенную папку, не получает правильно выставленных прав безопасности. В итоге запущенный вирус или какая-либо вредоносная программа может получить непосредственный доступ к этому файлу, а через него и к операционной системе. Такая ситуация случается если данный модуль является частью драйвера и загружается операционной системой на стадии инициализации и загрузки ОС. Использование механизма наследования с заранее продуманными правами доступа полностью устранит возникновение подобных ситуаций. Преимущества механизма наследования очевидны. 2. Практическая часть 2.1. Вопросы по разделу 1. Что, по Вашему мнению, представляет собой файловая система? 2. Перечислите типы файловых систем, используемых линейкой Windows. 3. Опишите строение файловой системы FAT. 4. Перечислите существенные различия между видами файловых систем под общим названием FAT. 5. Почему файловой системе FAT необходимо постоянное обслуживание? 6. Какие еще функции следует периодически выполнять в файловой системе FAT и почему? 7. Какие средства управления файловой системой FAT Вы знаете? 8. Какие программы для ускорения доступа к диску Вы знаете? Опишите одну из них. 21 9. Перечислите недостатки файловой системы FAT. Какой самый основной недостаток? 10. Опишите механизм проникновения вирусов в файловую систему FAT? 11. Чем отличается файловая система NTFS от файловой системы FAT? 12. Каким механизмом обеспечивается устойчивость к сбоям файловой системы NTFS? 13. Опишите механизм, обеспечивающий устойчивость к сбоям файловой системы NTFS? 14. Какой механизм позволяет пользователям сохранять свои данные и информацию в файловой системе NTFS? 15. Как определить тип файловой системы, используемой ОС? 16. Опишите назначение команды Очистка диска. 17. Опишите назначение команды Сжимать диск для экономии места. 18. Какое программное обеспечение позволяет не обращать внимания на права доступа и работать с NTFS также прозрачно и небезопасно, как с FAT? 19. Опишите порядок развертывания файловой системы NTFS на компьютере с установленной файловой системой FAT. 20. В каком случае можно проводить операцию развертывания файловой системы NTFS? 21. Каким образом можно настроить приложение Проводник для эффективной работы с файловой системой NTFS? В качестве примера приведите копии окон своего ПК. 22. Как определить права пользователя к объектам файловой системы? Приведите примеры в виде копии окон своего ПК. 23. Какое соглашение в файловой системе действует в новейших ОС? 24. Какое соглашение в файловой системе действует в старых ОС? 25. Опишите различия в соглашениях, приняты в файловых системах. 26. С какими правами рекомендуется работать с файловой системой NTFS и почему? 27. Что случиться с ОС Windows XP, если группа пользователей SYSTEM будет удалена? 28. Опишите действия, которые следует предпринять для восстановления (реанимации) ОС Windows XP? 29. Что произойдет, если был запрещен доступ группы SYSTEM к пользовательской папке? Как устранить эту проблему? 30. Перечислите типы групп пользователей и их различия. 31. Перечислите известные Вам разрешения (права) для пользователя. 32. Каким образом определяются/устанавливаются права пользователя? 33. Опишите, что означает, по Вашему мнению, «механизм наследования прав объектами файловой системы». 34. Как определить список объектов – пользователей и групп, которые имеют различные права к выбранному объекту файловой системы NTFS? 35. Что означает пункт списка Унаследовано от в окне вкладки Разрешения программы Свойства папки (файла)? 22 36. Как определить расширенные настройки системы безопасности для выбранной папки (файла)? 37. В каком случае производится наследование файловых прав доступа? 38. Что определяет строка в столбце Унаследовано в окне Разрешения? 39. Что нужно сделать для просмотра полного набора прав, которыми обладает выбранный файловый объект? 40. Перечислите расширенные права выбранного файлового объекта (без описания). 41. Что означает опция вкладки Объект программы Свойства папки (файла) «Применять эти разрешения к объектам и контейнерам только внутри этого контейнера»? 42. Как определить владельца файловой системы NTFS? 43. Что произойдет при активизации режима Заменить владельца субконтейнеров и объектов во вкладке Владелец программы Свойства папки (файла)? 44. Как проверить права, которые получат пользователи после всех настроек и оптимизаций по отношению к выбранной папке (файлу)? 45. Перечислите отличия для системы безопасности в файловой системе между Файлами и папками? 46. Какую возможность предоставляет в файловой системе учет механизма наследования? 47. Какая ситуация может произойти при отсутствии механизма наследования во время установки нового приложения на ПК? 2.2. Упражнение 1 1.Определить тип файловой системы, используемой ОС. 2.В случае необходимости развернуть файловую систему NTFS на своем компьютере. 3.Произвести настройки приложения Проводник для эффективной работы с NTFS. 4.Определить права доступа пользователей к объектам файловой системы. 5.Установить (изменить) новые права доступа пользователей к объектам файловой системы. 6.Изучить механизм наследования прав объектами файловой системы. 2.3. Порядок отчетности и форма контроля выполнения работы Контроль выполнения задания производится по окончании занятия и на консультациях в форме защиты выполненной работы, предоставленной в электронном и в бумажном виде в форме «Отчет по лабораторной работе …». 23