Защита ресурсов с помощью ntfs

Название	Защита ресурсов с помощью ntfs
Дата	11.04.2022
Размер	33.09 Kb.
Формат файла
Имя файла	1.docx
Тип	Документы #463625

Халелова Е.Н.

Практическая работа № 1

Тема: «Защита ресурсов с помощью NTFS»

Цель: Научиться назначать разрешения файлов и папок NTFS учетным записям и группам.

Ход работы:

Теоретическая часть:

Разрешения NTFS позволяют определить круг пользователей и групп, обладающих доступом к файлам и папкам, а также права этих пользователей и групп в отношении данных файлов и папок. Разрешения папок отличаются от разрешений файлов.
Таблица №1 Разрешения папок NTFS

Разрешения папок NTFS	Позволяет:
Read (Чтение)	просматривать файлы и подпапки, просматривать владельца, разрешения и атрибуты папки, например, Read-Only (Только чтение), Hidden (Скрытый), Archive (Архивный) и System (Системный);
Write (Запись)	создавать новые файлы и подпапки, изменять атрибуты папки и просматривать сведения о владельце папки и разрешениях;
List Folder Contents (Список содержимого папки)	просматривать имена файлов и подпапок;
Read & Execute (Чтение и выполнение)	перемещаться через папку для доступа к другим файлам и папкам, даже при отсутствии у пользователя соответствующих разрешений, в том числе и на выполнение действий, допускаемых разрешениями Read и List Folder Contents;
Modify (Изменить)	удалять папки и выполнять действия, допускаемые разрешениями Write и Read & Execute;
Full Control (Полный доступ)	изменять разрешения, получать права владельца файла (папки), удалять подпапки и файлы, а также выполнять действия, допустимые любыми другими разрешениями папок NTFS.

Чтобы запретить доступ к папке, необходимо отменить разрешение Full Control (полный доступ).
Таблица №2 Разрешения файлов NTFS

Разрешение файлов NTFS	Позволяет:
Read (Чтение)	читать файл, просматривать сведения о владельце, разрешениях и атрибутах файла;
Write (Запись)	перезаписывать файл, изменять атрибуты, читать файл, просматривать сведения о владельце и разрешениях файла;
Read & Execute (Чтение и выполнение)	запускать приложения и выполнять действия, допустимые разрешением Read;
Modify (Изменить)	изменять и удалять файл, а также выполнять, действия, допустимые разрешениями Write и Read & Execute;
Full Control (Полный доступ)	изменять разрешения и получать права владельца файла, и выполнять действия, допустимые любыми другими разрешениями файлов NTFS.

Администраторы, владельцы файлов или папок, а также пользователи, обладающие разрешением Full Control (Полный доступ), могут назначать пользователям и группам разрешения NTFS в целях управления доступом к файлам и папкам.

NTFS ведет список управления доступом (access control list, ACL), где перечислены все файлы и папки тома NTFS. В ACL указаны все учетные записи (группы), обладающие доступом к файлу или папке, а также тип предоставленного доступа. Чтобы пользователь мог получить доступ к ресурсу, в ACL должна присутствовать запись управления доступом (access control entry, АСЕ), для его учетной записи или группы, членом которой он является. Запись должна обеспечивать требуемый тип доступа, например, Read. При отсутствии в ACL соответствующей записи ACE. пользователь не сможет обратиться к ресурсу.

Учетной записи пользователя и каждой группе, членом которой он является, можно назначить несколько разрешений. Для назначения разрешений необходимо знать правила и приоритеты, касающиеся порядка назначения и совмещения разрешений NTFS, а кроме того, разбираться в наследовании разрешений NTFS.

Эффективныеразрешения(effective permissions) доступа пользователя к ресурсу — это сумма разрешений NTFS, назначенных

отдельной учетной записи пользователя и всем группам, в которых он состоит. Если у пользователя имеется разрешение Read для папки, и он является членом группы, обладающей разрешением Write для той же самой папки, у него будут оба разрешения.

NTFS-разрешения для файлов приоритетнее разрешений для папок. Пользователь, обладающий разрешениями файла, сможет обратиться к требуемому файлу даже при отсутствии разрешений доступа к папке, содержащей этот файл. Пользователь может открывать файлы, для которых у него имеются соответствующие разрешения, используя универсальныеправила именования (universal naming convention, UNC) или локальный путь, даже при отсутствии разрешения доступа к папке, в которой находится файл, и даже если папка для него невидима. Иначе говоря, при отсутствии разрешения доступа к папке, содержащей нужный файл, достаточно помнить полный путь к нему.

Можно заблокировать разрешение доступа к определенному файлу для учетной записи (группы). Но использовать такой способ контроля доступа к ресурсам не рекомендуется. Отмена разрешения перекрыв все остальные унаследованные разрешения, включая разрешения члена группы (рис1).

Рисунок 1- правила назначения разрешений

Разрешения NTFS суммируются.
Разрешения файлов приоритетнее разрешений папок.
Отмена перекрывает другие разрешения.

Hа рисунке 1 проиллюстрирована следующая ситуация. Пользователь обладает разрешением Read для папки А и является членом групп А и В. Группа В обладает разрешением Write для папки А. .Для группы А было аннулировано разрешение Write для доступа к File2. Теперь пользователь может считывать и записывать File1, а также считывать. Перезапись File2 невозможна, поскольку пользователь является членом группы А, для которой было отменено разрешение Write для доступа к этому файлу.

По умолчанию разрешения родительской папки наследуются и распространяются на содержащиеся в ней файлы и подпапки. Но наследование разрешений можно предотвратить.

По умолчанию при форматировании тома NTFS группе Everyone (Все) назначается разрешение Full Control (Полный доступ). В целях управления доступом пользователей к ресурсам это разрешение следует сменить и назначить другие разрешения NTFS.

Администраторы, пользователи с разрешением Full Control и владельцы файлов (папок) могут назначать разрешения учетным записям и группам. Для назначения или смены разрешений доступа откройте окно свойств файла (папки) и перейдите на вкладку Security (Безопасность)
Таблица3 Элементы вкладки Security (Безопасность)

Элемент	Описание
Name (Имя)	Позволяет выбрать учетную запись или группу, для которой требуется изменить разрешения или которую необходимо удалить из списка.
Permissions (Разрешения)	Для предоставления разрешения пометьте флажок Allow (Разрешить). Чтобы отменить разрешение, пометьте флажок Deny (Отменить).
Add (добавить)	Открывает диалоговое окно Select Users, Computers, Or Groups (Выбор: Пользователи, Компьютеры или Группы), где можно выбрать учетные записи и группы для добавления в список Name.
Delete (Удалить)	Удаляет выбранную учетную запись или группу и связанные с ней разрешения доступа к файлу или папке,
Advanced (Дополнительно)	Открывает для выбранной папки окно Access Control Settings (Параметры управления доступом), где можно предоставить или отменить дополнительные разрешения.

Предотвращение наследования разрешений

По умолчанию подпапки и файлы наследуют разрешения родительской папки. Порядок наследования файлов регулируется в диалоговом окне свойств папки на вкладке Security флажком Allow Inheritable Permissions From Parent To Propagate To This Object (Переносить наследуемые от родительского объекта разрешения на этот объект).

Таблица4 Параметры блокирования наследования разрешений

Параметр	Описание
Copy (Копировать)	Распространить разрешения родительской папки на текущую папку, затем блокировать последующее наследование разрешений.
Delete (Удалить)	Удалить унаследованные разрешения родительской папки и сохранить разрешения, явно назначенные файлу или папке.
Cancel (Отмена)	Закрыть диалоговое окно и не сбрасывать флажок Allow Inheritable Permissions From Parent To Propagate To This Object

Практическая часть:

Задание 1 Планирование разрешений NTFS

Спланируйте разрешения доступа к папкам и файлам. Затем реализуйте разрешения NTFS для файлов и папок вашего компьютера, а затем, проверьте назначенные разрешения NTFS и убедитесь, что они работают должным образом

Перед выполнением упражнений создайте следующие учетные записи и группы:

User8l (нет пароля) — член группы Managers;
User82 (нет пароля) — член группы Accounting;
User83 (нет пароля) — член группы Managers и группы Accounting;
User84 (нет пароля) — не является членом групп Accounting и Managers.

Создайте следующие папки:

C:\Public;
C:\Public\Library;
C:\Public\Manuals;
C:\Public\Library\Misc.

Можно использовать и свою структуру объектов, имеющихся на вашем компьютере.

Спланируйте назначение разрешений NTFS для файлов и папок на основе приведенного далее сценария

Сценарий

По умолчанию группе Everyone (Все) назначено разрешение Full Control (Полный доступ) для всех файлов и папок:

Рисунок 2- Структура файловой системы

Изучите следующие условия безопасноcти и запишите изменения, которые надо внести в разрешения файлов (папок) NTFS для обеспечения их соответствия этим условиям.

Для планирования разрешений NTFS определите

группы, которые требуется создать, и встроенные группы, которые будут использоваться;
Необходимые пользователям разрешения доступа к папкам и файлам;
необходимость блокировки наследования разрешений для папок пли файлов.

Помните:

разрешения NTFS, назначенные папке, наследуются всеми ее подпапками (файлами); чтобы назначить разрешения всем подпапкам (файлам) папки Apps, назначьте этой папке разрешение NTFS;
чтобы назначить папке или файлу жесткие разрешения, следует либо отменить нежелательные разрешения, либо блокировать наследование разрешений, сняв флажок Allow Inheritable Permissions Parent To Propagate To This Object (Переносить наследуемые от родительского объекта разрешения на этот объект)

Задайте следующие критерии:

Назначьте группе Administrators (Администраторы) разрешение Full Control (Полный доступ) для доступа ко всем папкам и файлам.
Все пользователи будут запускать программы в папке WordProcessing, но не должны иметь возможности изменять файлы в этой папке.
Пусть возможностью читать документы в папках приложений SpreadSheet и Database, запуская соответствующие программы для работы с электронными таблицами, обладают лишь члены групп

Асcounting, Managers и Executives. Но у них не должно быть возможности изменять файлы в этих папках.

Все пользователи должны иметь право считывать и создавать файлы в папке Public.
Никто не должен иметь возможность изменять файлы в папке Public \Library.
Возможность изменять и удалять файлы в папке Public\Manuals может иметь лишь пользователь User81.

Какое разрешение NTFS по умолчанию следует удалить приназначениипользовательскихразрешений файлуили папке?

Заполните следующую таблицу, чтобы спланировать и записать разрешения:

Таблица 5 Спланированные разрешения NTFS

Путь	Учетная запись пользователя или группы	Разрешения NTFS	Блокирование наследования (да или нет)
Apps
Apps\Word Processing
Apps\Spreadsheet
Apps\Database
Public
Public\Library
Public\Manuals

Задание 2: назначение разрешений NTFS для папки Public

Назначьте разрешения доступа к папке Public, основываясь на следующем сценарии.

Сценарий

Задайте следующие условия:

все пользователи должны иметь возможность считывать документы и файлы в папке Public;
все пользователи должны иметь возможность создавать документы в папке Public;
все пользователи должны иметь возможность изменять содержание, свойства и разрешения документов, создаваемых ими в папке Public.

назначьте группе Users разрешение доступа к папке Public
назначьте группе CREATOR OWNER разрешения доступа к папке Public

Какие разрешения назначены группе CREATOR OWNER и на файлы и папки они распространяются?

Пользователь, создающий новый файл или папку, получает paзрешения, назначенные группе CREATOR OWNER для родительской папки.

проверьте разрешения, назначенные папке Public

Задание 3: назначение разрешений NTFS

Назначьте разрешения доступа к папкам Public, Library, Manuals и Misc разрешения NTFS Read&Execute (Чтение и выполнение), Full Control (Полный доступ) и Modify (Изменить), основываясь на приведенном ниже сценарии (см. таблица 6).
Таблица 6 Сценарий для назначения разрешений

Имя папки	Группа	Разрешения
Public	Users Administrators	Read & Execute Full Control
Public\Library	Users Administrators Manager	Read & Execute Full Control Modify
Public\Library\Misc	Users Administrators User82	Read & Execute Full Control Modify
Public\Manuals	Users Administrators Accounting	Read & Execute Full Control Modify

Задание 4: проверка разрешений NTFS

Зарегистрируйтесь в системе под разными учетными записями и проверьте разрешения NTFS.
проверьте разрешения доступа к папке Misc для пользователя User81
проверьте разрешения доступа к папке Misc для пользователя User82
Зарегистрируйтесь в системе как User82 и откройте папку Public\Library\Misc.

Попробуйте создать файл в папке Misc. Удалосьлиэто?Почему?

проверьте разрешения доступа к папке Manuals для пользователя Administrator

Попробуйте создать файл в папке Manuals. Удалосьлиэто?Почему?

проверьте разрешения доступа к папке Manuals для пользователя User81

Попробуйте создать файл в папке Manuals. Удалосьлиэто?Почему?

проверьте разрешении доступа к папке Manuals для пользователя User82

Попробуйте создать файл в папке Manuals. Удалосьлиэто?Почему?

Контрольные вопросы:

Какое разрешение задано по умолчанию, когда том отформатирован под NTFS? Кто имеет доступ?
Если пользователь имеет разрешение Write (Запись) для папки и является также членом группы с разрешением Read (Чтение) для той же папки, какими разрешениями он обладает?
Пользователь имеет разрешение Modify (Изменить) для папки и разрешение Read для файла. Файл копируется в эту папку. Какое разрешение для файла будет иметь пользователь?