Zabezpieczenia w systemie plików NTFS
14
Zabezpieczenia w systemie plików NTFS
description
Zabezpieczenia w systemie plików NTFS. NTFS - (ang. New Technology File System , w wolnym tłumaczeniu "system plików nowej generacji") to standardowy system plików systemu Microsoft Windows NT i jego następców (Windows 2000, Windows XP i Windows Server 2003). - PowerPoint PPT Presentation
Transcript of Zabezpieczenia w systemie plików NTFS
Zabezpieczenia w systemie plików NTFS
• NTFS - (ang. New Technology File System, w wolnym tłumaczeniu "system plików nowej generacji") to standardowy system plików systemu Microsoft Windows NT i jego następców (Windows 2000, Windows XP i Windows Server 2003).
• NTFS - pochodzi od HPFS, który został opracowany przez Microsoft i IBM dla systemu OS/2 na miejsce starszego FATu, używanego w MS-DOS. HPFS posiada kilka ulepszeń w porównaniu do FATu, takich jak wsparcie dla metadanych, użycie zaawansowanych struktur w celu polepszenia, wiarygodności i wydajności (zarówno w odniesieniu do szybkości jak i wymaganej pojemności dyskowej). NTFS zawiera wszystkie te ulepszenia oraz dodatkowo listy kontroli dostępu (ACL) i dziennik operacji dyskowych (journal).
System plików - W systemie operacyjnym jest to ogólna struktura, w której pliki są zapisywane i organizowane oraz są im nadawane nazwy. NTFS, FAT i FAT32 to rodzaje systemów plików.
System plików NTFS - Zaawansowany system plików zapewniający wydajność, bezpieczeństwo, niezawodność i zaawansowane funkcje niespotykane w żadnej wersji systemu FAT. Na przykład dzięki standardowemu rejestrowaniu transakcji i technikom odzyskiwania danych system NTFS gwarantuje spójność woluminów. W przypadku awarii system NTFS wykorzystuje plik dziennika i informacje kontrolne do przywrócenia spójności systemu plików. W systemie Windows 2000 i Windows XP system NTFS udostępnia ponadto wiele zaawansowanych funkcji, na przykład udzielanie uprawnień do plików i folderów, szyfrowanie, przydzielanie miejsca na dyskach i kompresję.
System NTFS został zaprojektowany przede wszystkim pod kątem pracy w systemie dla wielu użytkowników, stąd możliwości jakie on posiada: - prawa dostępu do plików, katalogów, - system zarządzania zapisem i odczytem danych (system transakcyjny), - możliwość szyfrowania danych, - możliwość kompresji danych, - możliwość przydzielania przestrzeni dla danych każdemu użytkownikowi osobno, - możliwość obsługi bardzo dużych partycji (2^64) i plików (16 Terabajtów),
Partycja w systemie NTFS składa się podobnie jak w FAT z czterech obszarów, - boot sector partycji, - Master File Table, - pliki systemowe NTFS, - przestrzeń plikowa,
Boot sector zawiera informacje na temat wielkości sektora, rozmiaru klastra oraz miejsce umieszczenia MFT. MFT to najważniejsza część systemu NTFS ponieważ trzymane są w niej pliki mniejsze niż 1 KB w całości, a o większych plikach trzymane są dane o nazwie, położeniu itp.. pliku.
System plików NTFS oferuje możliwość kontroli dostępu do zasobów (zabezpieczenie nawet pojedynczego pliku nie stanowi problemu). Dzięki szerokiej możliwości nadawania/odbierania uprawnień dostępu do zasobów dla grup/użytkowników można je znakomicie zabezpieczać. Co więcej przynależność do kilku grup nie oznacza automatycznie dziedziczenia wszystkich uprawnień przynależnych tym grupą. Może się zdarzyć, że użytkownik nie ma prawa dostępu do folderu/pliku/zasobu pomimo tego, że wszyscy inni użytkownicy należący do jego grupy takie prawo posiadają. Standardowe uprawnienia NTFS (odczyt, zapis, wykonywanie, kasowanie, własność i zmiana uprawnień) zapewniają wszystkie rodzaje kontroli, potrzebne do zabezpieczenia zasobów, jednak czasami trzeba nadać uprawnienia specjalne , które zapewniają specyficzny poziom dostępu do zasobów.
Hierarchia uprawnień
•Uprawnienia jawne - dołączane bezpośrednio do obiektu lub jednostki organizacyjnej (OU), która może obejmować uprawnienia do plików i folderów. •Uprawnienia dziedziczone - propagowane od obiektu nadrzędnego do obiektu podrzędnego.
Rodzaje uprawnień specjalnychRodzaje uprawnień specjalnych
Przechodzenie poprzez folder/Wykonanie pliku - Uprawnienie Przechodzenie poprzez folder zezwala lub zabrania na dostęp do pliku w sytuacji, gdy użytkownik ten nie posiada odpowiednich uprawnień do zawierającego ten plik katalogu, ale posiada je w stosunku do samego pliku. Prawo to można stosować tylko do folderów. Uprawnienie to ma zastosowanie tylko w stosunku do tych użytkowników i grup, którym poprzez zasady grup nie przyznano prawa Pomijanie sprawdzania przebiegu. (domyślnie grupa Wszyscy otrzymuje prawo Pomijanie sprawdzania przebiegu). Ustawienie dla folderu uprawnienia Przechodzenie poprzez folder nie powoduje automatycznego ustawienia Wykonanie pliku. Uprawnienie Wykonanie pliku przyznaje lub odmawia użytkownikowi prawa do uruchamiania plików zawierających programy. Prawo to stosuje się jedynie do plików.
Odczyt atrybutów - Zezwala lub odmawia przeglądania atrybutów pliku lub folderu takich jak Tylko do odczytu lub Ukryty
Odczyt atrybutów rozszerzonych - Zezwala bądź odmawia przeglądania rozszerzonych atrybutów pliku bądź folderu. Niektóre rozszerzone atrybuty definiują same aplikacje we właściwy dla siebie sposób. Należą do nich również dwa atrybuty NTFS - kompresji i szyfrowania.
Tworzenie plików/Zapis danych - Zezwala bądź odmawia prawa do tworzenia plików wewnątrz folderu. Zapis danych zezwala bądź odmawia prawa do dokonywania zmian w plikach i nadpisywania ich bieżącej zawartości. Prawo to stosuje się jedynie do plików.
Tworzenie folderów/Dołączanie danych - Zezwala bądź odmawia prawa tworzenia podkatalogów wewnątrz folderu. Dołączanie danych zezwala bądź odmawia do dopisywania danych na końcu istniejącego pliku, lecz nie do zmiany, usuwania lub nadpisywania istniejących już w nim danych.
Zapis atrybutów - Zezwala bądź odmawia prawa do zmieniania atrybutów pliku lub folderu takich jak Tylko do odczytu, Ukryty Zapis rozszerzonych atrybutów - Zezwala bądź odmawia prawa do zmieniania rozszerzonych atrybutów pliku lub folderu.
Usuwanie podfolderów i plików - Zezwala bądź odmawia prawa do usuwania znajdujących się wewnątrz folderu plików zabezpieczeń podkatalogów, nawet jeżeli użytkownik nie posiada uprawnienia Usuwanie do usuwanego pliku lub podkatalogu.
Usuwanie - Zezwala bądź odmawia prawa do usuwania plików i katalogów. Jeżeli użytkownik nie posiada uprawnienia Usuwanie do pliku lub katalogu, ciągle może je usunąć o ile posiada uprawnienie Usuwanie podfolderów i plików w stosunku do folderu nadrzędnego.
Odczyt uprawnień - Zezwala bądź odmawia prawa do odczytywania uprawnień zastosowanych do pliku lub folderu, takich jak Pełna kontrola, Zapis, Odczyt.
Zmiana uprawnień - Zezwala bądź odmawia prawa do zmieniania uprawnień zastosowanych do pliku lub folderu takich jak Pełna kontrola, Zapis, Odczyt.
Przejęcie na własność- Zezwala bądź odmawia prawa do przejęcia pliku lub folderu na własność. Właściciel pliku lub folderu może zawsze zmienić jego uprawnienia, niezależnie od tego, jakie zastosowano uprawnienia w celu jego ochrony.
Synchronizacja - Zezwala bądź odmawia prawa do tego, aby różne wątki mogły oczekiwać na zwolnienie uchwytu do pliku zabezpieczeń w ten sposób synchronizować się z innymi, sygnalizującymi to wątkami. Ten rodzaj uprawnienia ma zastosowanie jedynie dla programów wielowątkowych i wieloprocesorowych.
Ważną funkcją systemu plików NTFS jest journaling zabezpieczający ten system przed niestabilnością związaną z powstawaniem błędów w skutek nie właściwie przerwanej zmianie logicznej struktury danych.
Journaling (księgowanie) - metoda zabezpieczania systemu plików przed utratą spójności w wyniku awarii zasilania. Jeżeli dokonywanie zmian w logicznej strukturze danych zostanie przerwane, wówczas niedokończenie zapisu może spowodować powstanie i niekontrolowane szerzenie się błędów (np. skrzyżowanie plików). Przy użyciu journalingu zmiany dokonywane w systemie plików są najpierw zapisywane w tzw. kronice lub dzienniku (ang. journal), a dopiero później na dysku. Jeśli awaria zasilania nastąpiła w trakcie ostatecznego zapisu na dysk, to zostanie on dokończony po ponownym starcie systemu. Jeśli prądu zabraknie w czasie edycji dziennika, to system plików nie zostanie w ogóle naruszony.
Szyfrowanie systemu plików mechanizmem EFS
EFS (Encrypted File System) – pozwala na szyfrowanie danych na dysku, co uniemożliwia odczytanie danych przez innych użytkowników lub danych z dysku na innym komputerze.
Funkcja EFS pozwala na szyfrowanie poszczególnych plików i folderów. Mechanizm ten jest oparty o szyfrowanie przy użyciu klucz publicznego. Funkcja EFS może korzystać z algorytmu szyfrowania Data Encryption Standard (DESX) lub Triple-DES (3DES).
Pliki mogą być odszyfrowywane tylko przez upoważnionych użytkowników i wyznaczone osoby zajmujące się odzyskiwaniem danych. Inne konta systemowe z uprawnieniami dla danego pliku, nawet konto z uprawnieniami Przejęcie na własność, nie pozwalają na otwarcie pliku bez upoważnienia. Pliku nie można otworzyć nawet przy użyciu konta administratora, jeśli nie jest ono wyznaczone jako agent odzyskiwania danych. W przypadku próby otwarcia zaszyfrowanego pliku przez nieuprawnionego użytkownika nastąpi odmowa dostępu.
Quota – podział dysku
Quota – jest to wydzielona dla użytkownika przestrzeń na dysku. Quotę można dowolnie konfigurować a na jej wielkość wpływają pliki utworzone przez użytkownika jak i współdzielone z innymi.
Mechanizm quoty działa na dwa sposoby:
•Przekroczenie przydzielonego obszaru dysku może być jedynie odnotowane w dziennikach systemowych
•Przekroczenie przydzielonego obszaru dysku spowoduje brak możliwości dalszego zapisu danych
Kompresja
Kompresja w NTFS pozwala pracować z plikami i folderami tak jakby nie były skompresowane. Pliki takie są wyróżnione w Eksploatorze niebieską czcionką.
