ПРАКТИКУМ З ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

УПРАВЛІННЯ ДОСТУПОМ ДО ФАЙЛІВ НА NTFS

Мета роботи.

Набуття практичних навичок настройки дозволів па доступ до файлів в операційних системах сімейства Windows.

Програмні засоби.

Комп'ютер або віртуальна машина з встановленою ОС Windows 7 або Windows Server 2008. Для виконання роботи необхідно мати права адміністратора.

Теоретичні відомості.

Операційні системи сімейства Windows NT, в яке входять і Windows 7 і 8, мають досить розвиненими вбудованими механізмами захисту інформації. При відповідній настройці вони можуть бути ефективно використані для досягнення різних цілей безпеки.

Завдання аутентифікації користувачів і разфаніченія доступу до даних взаємопов'язані: ефективного разфаніченія доступу не може бути без надійної аутентифікації. ОС Windows дозволяє створювати облікові записи користувачів і групи в локальній базі безпеки, а якщо комп'ютер включений в домен, то з'являється можливість використовувати і доменні облікові записи і фупп, які зберігаються в базі Active Directory.

Припустимо, комп'ютер з ім'ям С0МР1 включений в домен KAFEDRA. Тоді повне ім'я облікового запису User, якщо вона є локальною, буде COMPlUser, якщо доменної - KAFEDRAUser. Починаючи з Windows 2000, став підтримуватися і формат, що розділяє ім'я користувача і повне ім'я домену символом «@». Нехай повне ім'я домену буде KAFEDRA.mydomain. ru, тоді ім'я користувача може бути записано як Ця адреса електронної пошти приховується від різних спамерських пошукових роботів. Щоб побачити її потрібно активувати Ява-скрипт. '; document.write( '' ); document.write( addy_text93554 ); document.write( '<\/a>' ); //-->\n Ця адреса електронної пошти приховується від різних спамерських пошукових роботів. Щоб побачити її потрібно активувати Ява-скрипт. В ОС Windows імена користувачів і доменів не чутливі до регістру: імена облікового запису user, User і USER будуть рівнозначні. Значення пароля чутливе до регістру.

Користувачі, групи користувачів і комп'ютери в домені Windows мають унікальні ідентифікатори безпеки - SID (Security ID). SID має унікальне значення в межах домену і формується під час створення користувача або групи, або коли комп'ютер реєструється в домені. SID збережеться і в тому випадку, якщо обліковий запис перейменувати. Разом з ним збережуться і всі призначені дозволу (див. Далі). А ось видалення облікового запису і створення нової з тим же ім'ям призведе до зміни SID.

Коли користувач при вході в систему вводить ім'я і пароль, ОС виконує перевірку правильності пароля і, якщо вона проходить, створює маркер доступу для користувача. Маркер включає в себе SID користувача і всі SID'bi груп, в які цей користувач входить.

Для об'єктів, які підлягають захисту, таких як файли і папки, создаегся дескриптор безпеки. З ним пов'язується список управління доступом (англ. Access Control List - ACL), який містить інформацію про те, яким суб'єктам дані ті чи інші права на доступ до даного об'єкта. Щоб визначити, чи можна надати запитуваний суб'єктом тип доступу до об'єкта, ОС порівнює SID в маркері доступу суб'єкта з ідентифікаторами, що містяться в ACL.

Для кожного з доступних дозволів доступу до файлу або папці (читання, запис і т. Д.) Користувачеві або групі може бути встановлено «дозволити» (англ, allow), «заборонити» (англ, deny) або дозвіл може бути не встановлено. Дозволи підсумовуються. Наприклад, якщо у користувача є право на читання, а у ipynribi, куди він входить - на запис, то чинне (або ефективне) дозвіл включатиме читання і запис. Явна заборона (deny) більш пріоритетно, ніж аналогічний дозвіл: наприклад, якщо у користувача є дозвіл на операцію, а однією з груп, в які він входить, ця операція явно заборонена, користувачеві цю операцію виконати не можна. Виконати дію можна тільки в тому випадку, якщо воно дозволено, тобто відсутність дозволу в підсумковому ( «ефективному») наборі дозволів користувача призведе до того, що він не зможе виконати відповідну дію.

Якщо говорити про файлах і папках, то механізми захисту на рівні файлової системи підтримуються тільки па дисках з файловою системою NTFS. Файлова система FAT (і се різновид - FAT32) Не передбачається наявність атрибутів безпеки файлу або пов'язаного з файлом ACL. Відповідно, не можна встановити дозволу на файл або папку, що знаходиться на диску з FAT.

План лабораторної роботи.

Лабораторна робота виконується під обліковим записом, що володіє правами локального адміністратора на комп'ютерах в навчальному класі. Вправи виконуються на диску з файловою системою NTFS.

1. У зазначеному викладачем каталозі ( «папці») на локальному диску або диску віртуальної машини створіть новий каталог для виконання даної лабораторної роботи. Там створіть текстовий файл з довільним змістом. Перегляньте його дозволу на вкладці «Безпека» (англ. Security) у властивостях файлу (клацання правою клавішею миші на файлі, в випадаючому меню - «Властивості», англ. Properties). Ви побачите картинку, аналогічну представленої на рис. 5.1.

Закладка «Безпека» у властивостях файлу

Мал. 5.1. Закладка «Безпека» у властивостях файлу

Зверніть увагу, що спочатку в списку можуть з'являтися номера, потім вони замінюються іменами користувачів і груп. Ці номери і є ідентифікатори SID, які потім, якщо це можливо, вирішуються в імена. На рис. 5.1 в ACL знаходиться ідентифікатор віддаленої облікового запису, який не може бути вирішений в ім'я користувача (англ. Account Unknown - невідома обліковий запис).

Проаналізуйте поточні дозволу на створений вами файл, наявні у різних груп і користувачів. Ці дозволи успадковані вашим файлом від об'єкта більш високого рівня, тобто від каталогу, в якому він знаходиться. Переконайтеся в цьому.

Для редагування ACL натисніть кнопку Edit. Спробуйте виконати наступні дії:

  • - додати в ACL новий обліковий запис, давши їй дозволу на зміну файлу (англ. Modify);
  • - прибрати групу Users зі списку доступу на свій файл.

У зв'язку з тим, що використовується успадковані ACL, другу частину завдання виконати відразу не вдасться: спочатку потрібно створити для об'єкта власний ACL. Для цього натисніть кнопку Advanced (рис. 5.1) і у вікні Advanced Security Settings (Додаткові параметри безпеки) - кнопку Change Permissions (Змінити дозволи). Відмовитися від використання успадкованих дозволів можна, прибравши позначку Include inheritable permissions from this object's parent (переносити успадковані від батьківського об'екга дозволу на цей об'єкт), див. Рис. 5.2. При цьому буде запропоновано додати в свій ACL об'єкта дозволу з батьківського списку (англ. Add) або повністю прибрати їх (англ. Remove). Краще вибрати перший варіант, а потім вже відредагувати список так, як потрібно.

Вікно редагування дозволів

Мал. 5.2. Вікно редагування дозволів

Прибравши групу Users (Користувачі) з ACL вашого файлу, спробуйте відкрити його від імені іншого облікового запису, нс має явних дозволів і яка не входить ні в одну з решти в ACL груп (при необхідності створіть таку обліковий запис). Якщо все зроблено правильно, зайшовши під подібної обліковим записом Ви не отримаєте доступу до файлу.

За замовчуванням, локальна група Users (Користувачі) включає всіх локальних і доменних імен користувачів (якщо комп'ютер входить в домен Windows). Ознайомтеся з довідкою або номер статті TechNet з іншими стандартними локальними групами.

http://technet.microsoft.com/ru-ru/library/cc771990.aspx.

2. За довідкою або статті http://technet.microsoft.com/ru- ru / library / cc732880.aspx ознайомтеся з дозволами, які можна давати на папку або файл в Windows. Підготуйте відповіді на наведені нижче питання.

Як можна переглянути набір елементарних дозволів (з яких складено, наприклад, дозвіл «змінити»), що є у користувача на файл або папку?

Чим складене дозвіл «Змінити» (Modify) відрізняється від дозволу «Повний доступ» (Full Control)?

Чи дає дозвіл па запис в папку право переглядати її вміст?

3. Ефективні або діючі дозволу (Effective Permissions) - це підсумкові дозволу, що складаються з дозволів, даних користувачеві і групам, які і визначають, можна або не можна даному суб'єкту отримати доступ до даного об'єкта. Для вибраного облікового запису їх можна дізнатися на вкладці Effective Permissions вікна Advanced Security Settings, яке ми вже використовували при виконанні завдання 1. Подивіться діючі дозволу на ваш файл для однієї з існуючих облікових записів.

Щоб краще розібратися правилами призначення дозволів, виконайте наведені нижче завдання.

При необхідності створіть локальну групу (назвемо її Students) і включену в неї обліковий запис (Student). Можна скористатися вже існуючої записом. Групі Students дайте дозвіл на читання створеного вами файлу. Перевірте, щоб користувач Student огсугствовал в переліку дозволів на файл. Зайдіть під цим обліковим записом. Чи може цей користувач прочитати файл?

Повторіть експеримент, додатково вказавши на вкладці «Безпека», що користувачеві Student заборонено читання файлу. Чи зможе користувач прочитати файл чи ні? Адже, з одного боку, він в групі, якій дозволено читання, з іншого боку - йому самому читання заборонено.

  • 4. Подивіться дозволу на папку Program Files. Опишіть в звіті, яким групам які дозволи даються на цю папку, куди за замовчуванням встановлюються програми.
  • 5. У об'єктів файлової системи, таких як файли, папки і томи, є власники. За замовчуванням власником об'єкта стає його творець. Власник завжди може змінювати дозволи для об'єкта, навіть при відсутності доступу до нього.

Болес детальну інформацію з цього приводу можна отримати з довідки або наведеної нижче статті TechNet.

http://tcchnct.microsoft.com/ru-ru/library/cc732983.aspx.

Ознайомтеся з цими матеріалами. Підготуйте відповіді на питання.

Хто може стати новим власником об'єкта (які дозволи для цього потрібні)?

Як змінити власника об'єкта?

Запропонуйте і виконайте експеримент, який ілюструє можливості власника файлу, що відрізняють його від інших користувачів.

6. Керувати дозволами на файли і папки можна нс тільки з графічного інтерфейсу Windows, але і з командного рядка. Для цього рекомендується використовувати утиліту icacls.exe (також для сумісності підтримується утиліта cads.exe). З можливостями цієї утиліти можна ознайомитися за довідкою або зі статті TechNet. http://technet.microsoft.com/ru-ru/library/cc753525.aspx.

За допомогою утиліти виконайте такі дії.

  • - збережіть поточний ACL обраного вами файлу в текстовий файл;
  • - надайте користувачеві Student дозвіл на зміну даного файлу (modify);
  • - перевірте роботу зроблених налаштувань;
  • - відновіть вихідний ACL з копії, зробленої на початку виконання завдання.
  • 7. При копіюванні і переміщенні файлів на NTFS треба враховувати наступне:
    • - ACL файлу або папки (і відповідно, всі дозволи) зберігається при переміщенні об'єкта в межах одного тому NTFS;
    • - при інших операціях (переміщення між томами або копіювання в будь-яких варіантах) ACL замінюється на успадкований від нового батьківського контейнера.

Запропонуйте і реалізуйте експеримент, що дозволяє перевірити виконання цих правил.

 
Переглянути оригінал
< Попер   ЗМІСТ   ОРИГІНАЛ   Наст >