Хранение и безопасность данных в файловой системы NTFS 5.0

Назначение разрешений для файлов

Устанавливая пользователям определенные разрешения для файлов и каталогов (папок), администраторы системы могут защищать конфиденциальную информацию от несанкционированного доступа (НСД). Каждый пользователь имеет определенный набор разрешений на доступ к конкретному объекту файловой системы. Администратор может назначить себя владельцем любого объекта файловой системы (обратная передача владения невозможна).

Разрешения пользователя на доступ к объектам файловой системы работают по принципу аддитивности. Это значит, что действующие разрешения в отношении конкретного файла или каталога образуются из всех прямых и косвенных разрешений, назначенных пользователю для данного объекта с помощью логической функции или.

Для назначения пользователю или группе разрешения на доступ к некоторому файлу нужно выполнить следующие действия.

1. Щелкнуть по файлу правой кнопкой мыши, выбрать в контекстном меню команду Свойства и в открывшемся окне перейти на вкладку Безопасность (рис. 4.30).

Рис. 4.30

2. В верхней части окна Группы или пользователи отображен список пользователей и групп, которым уже предоставлены разрешения для данного файла. Для добавления или удаления пользователя нужно нажать кнопку Добавить или Удалить.

3. В новом окне (рис. 4.31) ввести имя нужного объекта (пользователя), проверить это имя, нажав кнопку Проверить имена, нажать кнопку Добавить, затем ОК, чтобы вернуться на вкладку Безопасность (рис. 4.30).

Рис. 4.31

4. Теперь можно назначить или запретить стандартные разрешения для файлов. Если нужно назначить разрешения более детально по видам возможных действий, то нужно нажать кнопку Дополнительно, после чего в новом окне (рис. 4.32) нажать кнопку Изменить и в появившемся окне выбрать нужные разрешения (рис. 4.33). Дважды нажать кнопку ОК (возвращаясь по окнам), а затем Применить и ОК.

Рис. 4.32

Рис. 4.33

Назначение разрешений для папок

Последовательность действий в этом случае практически не отличается от назначения разрешений для файлов. Для назначения разрешения на доступ к каталогу (папке) пользователю или группе нужно сделать следующее:

1. Выбрать каталог и нажать правую кнопку мыши. В контекстном меню выбрать команду Свойства, затем в появившемся окне (рис. 4.34) перейти на вкладку Безопасность.

2. Как и в случае разрешений для файлов, предоставление разрешений пользователям и группам выполняется с помощью кнопок Добавить и Удалить. Список стандартных разрешений в группе Разрешения для каталога несколько отличается от набора разрешений для файла.

Рис. 4.34

Кроме того, нужно помнить, что разрешения для каталогов распространяются на находящиеся в них файлы.

Рис. 4.35

3. В группе Разрешения можно назначить или запретить стандартные разрешения для каталогов, аналогичные разрешениям для файлов. Чтобы задать особые разрешения, нужно нажать кнопку Дополнительно.

4. В новом окне (рис. 4.35) можно установить два варианта наследования разрешений. По умолчанию каталоги наследуют разрешения пользователя на родительский каталог. Если наследование разрешений нужно запретить, то следует снять флажок Наследовать от родительского объекта применимые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне.

5. После снятия значка появляется окно (рис. 4.36), которое позволяет выбрать желаемый вид наследования.

Рис. 4.36

6. Чтобы выполнить более тонкую настройку доступа к папке, надо нажать кнопку Изменить (рис. 4.35) и в появившемся окне (рис. 4.37) установить требуемые разрешения.

Передача права владения Рис. 4.37

Пользователь может назначить себя владельцем какого-либо объекта файловой системы, если у него есть необходимые права. Для передачи владения или просмотра текущего владельца файла (папки) нужно открыть окно Свойства, перейти на вкладку Безопасность (рис. 4.34) и нажать кнопку Дополнительно.

В появившемся окне надо перейти на вкладку Владелец. Текущий владелец виден в поле Текущий владелец. В списке Изменить владельца на заданы пользователи, имеющие право получения владения данным объектом. Выбрать нужного пользователя и нажать кнопку Применить и затем ОК.

Точки соединения NTFS

Точки соединения (аналог монтирования в UNIX) позволяют отображать целевую папку (диск) в пустую папку, находящуюся в пространстве имен файловой системы NTFS 5.0 локального компьютера. Целевой папкой может служить любой допустимый путь Windows 2000. Точки соединений (поддерживаются только в NTFS 5.0) прозрачны для приложений, это означает, что приложение или пользователь, осуществляющий доступ к локальной папке NTFS, автоматически перенаправляется к другой папке.

Для работы с точками соединения на уровне томов можно использовать стандартные средства системы – утилиту Mountvol.exe и оснастку Управление дисками. Для монтирования папок нужна платная утилита Linkd (из Windows 2000 Resource Kit).

С помощью Mountvol можно выполнить следующие действия:

• отобразить корневую папку локального тома в некоторую целевую папку NTFS, т.е. подключить или монтировать том;

• вывести на экран информацию о целевой папке точки соединения NTFS, использованной при подключении тома;

• просмотреть список доступных для использования томов файловой системы;

• уничтожить точки подключения томов.

Параметры утилиты Mountvol можно получить, введя в командной строке её имя (рис. 4.38).

Рис. 4.38

Пусть на компьютере установлены тома (С: и D:), флэш-память (F:) и устройство CD-ROM (E:). Том С: отформатирован под NTFS 5.0, поэтому на нём можно расположить несколько точек соединения. Для монтирования некоторого тома нужно выполнить следующие действия:

1. В окне командной строки запустить утилиту Mountvol и просмотреть список имён устройств компьютера (рис. 4.38).

2. Создать пустые папки на диске С: (например, CD – для подключения устройства CD-ROM и MoreDisrSpace – для подключения MoreDisrSpace диска D:), как это показано на рис. 4.39. С помощью утилиты Mountvol подключить тома CD-ROM и диск D.

Рис. 4.39

3. Открыв папку Мой компьютер, можно увидеть папки CD и MoreDisrSpace в корневом каталоге диска С:, которыми можно пользоваться точно так же, как ранее дисками Е: и D: (рис. 4.40).

Рис. 4.40

4. Для удаления созданных точек соединения в командной строке нужно ввести команды, как показано на рис. 4.41.

Рис. 4.41

Оснастка Управление дисками позволяет создать точки соединения для дисков компьютера. В качестве примера рассмотрим подключение съёмного диска с файловой системой FAT. Для этого необходимо запустить оснастку (Мой компьютер ® Управление компьютером® Управление дисками), выбрать нужный диск (диск C:) и нажать правую кнопку мыши.

Рис. 4.42

Далее:

1. В контекстном меню выбрать команду Изменение буквы и пути диска. В открывшемся окне нажать кнопку Добавить (рис. 4.42).

2. Откроется окно диалога Добавление новой буквы диска или пути диска (рис. 4.43).

Рис. 4.43

3. Надо нажать кнопку Обзор и в новом окне выбрать диск (Точку соединения), например С: (рис. 4.44).

Рис. 4.44

4. Нажать кнопку Создать… и ввести её имя, например Диск Н, вместо слов Новая папка (рис. 4.45). Нажать ОК.

Рис. 4.45

5. Все окна диалога закроются, кроме оснастки Управление компьютером. Если теперь открыть окно Мой компьютер, то в корневом каталоге можно увидеть папку Диск Н (рис. 4.46).

Рис. 4.46

Для удаления точки соединения запустить оснастку Управление дисками, указать нужный том файловой системы и нажать правую кнопку мыши. Выбрать команду Изменить буквы диска и пути диска. В открывшемся окне выбрать нужный путь и нажать кнопку Удалить.

ЗАДАНИЕ ДЛЯ САМОСТОЯТЕЛЬНОЙ РАБОТЫ

1. Создать текстовый файл и разделить права владения этим файлом между пользователем, привилегированным пользователем и администратором. При этом следует задавать разрешения по видам возможных действий.

2. Создать папку, в которую поместить текстовый файл и разделить права владения папкой между пользователем, привилегированным пользователем и администратором.

3. Передать права владения другому пользователю.

4. С помощью командной строки и утилиты Mountvol создать две точки соединения для своих папок.

5. С помощью оснастки Управление дисками создать из дисков компьютера новый диск Диск Н, поместить в него свою папку и показать созданный диск в меню Мой компьютер.

6. Показать созданные диски, точки соединения, файлы, папки и разрешения преподавателю.

7. Вернуть компьютер в исходное состояние.