Zabezpieczenia i Uprawniwnia.pdf

Laboratorium 4

Zabezpieczenia zasobów

Bardzo ważną kwestią w przypadku administracji systemem Windows 2000 jest właściwe

zabezpieczenie zasobów przed nieautoryzowanym dostępem. Mechanizmem zapewniającym

takie zabezpieczenia są uprawnienia NTFS. Pozwalają one określić, którzy użytkownicy lub

grupy mają dostęp do danego folderu lub pliku. Oczywiście w ten sposób można

zabezpieczać zarówno całe foldery, jak i pojedyncze pliki.

Uprawnienia NTFS są dostępne wyłącznie na dyskach z systemem NTFS, nie są dostępne

natomiast na partycjach sformatowanych z użyciem systemu plików FAT16 i FAT32.

Uprawnienia do folderów

Uprawnienia do folderów pozwalają na kontrolę dostępu do folderów oraz do znajdujących

się w nich plików i podfolderów. Tabela 1 zawiera listę standardowych uprawnień do

folderów wraz z ich opisem.

Tabela 1. Standardowe prawa dostępu do folderów

Uprawnienie

Opis

Odczyt (Read)

przeglądanie zawartości katalogów oraz odczyt atrybutów i uprawnień

Wyświetlanie zawartości

folderu (List Folder Contents)

Odczyt + możliwość przechodzenia przez folder, nawet gdy użytkownik nie

ma uprawnień do folderów, przez które chce przechodzić

Zapis (Write)

tworzenie nowych plików i podfolderów w danych folderze oraz zmiana

atrybutów folderu

Zapis i Wykonanie

(Write & Execute)

Zapis + Wyświetlanie zawartości folderu

Modyfikacja (Modify)

Zapis i Wykonanie + możliwość usuwania danego folderu oraz odczytu

uprawnień

Pełna kontrola (Full Control)

Modyfikacja + możliwość usuwania podfolderów i plików, zmiany

uprawnień do folderu oraz przejęcia go na własność

Uprawnienia do plików

Uprawnienia do plików pozwalają kontrolować dostęp do plików. Tabela 2 zawiera listę

standardowych uprawnień do plików z opisem.

Tabela 2. Standardowe prawa dostępu do plików

Uprawnienie

Opis

Odczyt (Read)

odczyt zawartości plików, podgląd jego atrybutów oraz uprawnień

Zapis (Write)

zapis oraz dołączanie danych do pliku, zmiana jego atrybutów

Zapis i Wykonanie

(Write and Execute)

Odczyt + Zapis + możliwość uruchomienia pliku oraz dodatkowo odczyt

uprawnień

Modyfikacja (Modify)

Zapis i Wykonanie + możliwość usuwania danego pliku oraz odczytu

uprawnień

Pełna kontrola (Full Control)

Modyfikacja + możliwość zmiany uprawnień do pliku oraz przejęcia go na

własność

Edycja 2005/2006

W przypadku partycji sformatowanych z użyciem NTFS domyślnie do głównego katalogu

przypisywane jest uprawnienie Pełna kontrola dla grupy Wszyscy . Grupa Wszyscy ma więc

dostęp do wszystkich folderów oraz plików, tworzonych w katalogu głównym. Aby dostęp do

plików i folderów mieli tylko autoryzowani użytkownicy, należy zmienić domyślne

uprawnienia do tworzonych plików i folderów.

Lista kontroli dostępu

System plików NTFS wraz z każdym plikiem i folderem przechowuje na dysku listę kontroli

dostęp ( ACL – A ccess C ontrol L ist ). Lista ta zawiera spis wszystkich kont użytkowników i

grup, które mają nadany dostęp do plików i folderów oraz typ dostępu, jaki został im nadany.

Aby użytkownik mógł skorzystać z danego pliku lub folderu na liście ACL musi istnieć wpis

zwany Access Control Entry ( ACE ) dla niego lub grupy, do której on należy. Wpis ten musi

pozwalać na rodzaj dostępu, który jest żądany (np. odczyt) dla użytkownika, który chce ten

dostęp uzyskać. Jeśli wpis ACE nie występuje na liście ACL , wówczas użytkownik nie

będzie miał dostępu do danego zasobu.

Przypisywanie wielokrotnych uprawnień

Poprzez przypisanie różnych uprawnień dla użytkownika i dla grupy, do której on należy

może się zdarzyć, iż będzie on miał przypisane różne uprawnienia do danego zasobu. Aby

poprawnie przypisywać uprawnienia, należy zrozumieć sposoby nakładania się i

dziedziczenia uprawnień dla systemu NTFS.

Kumulowanie uprawnień

Efektywne uprawnienia dla użytkownika są kombinacją uprawnień przypisanych dla niego

samego oraz dla grupy, do której on należy. Jeśli użytkownik posiada prawo do odczytu

danego folderu (uprawnienie Odczyt ), a grupa, której jest członkiem posiada prawo na zapis

(uprawnienie Zapis ), wówczas użytkownik ma oba rodzaje uprawnień do tego katalogu

( Odczyt oraz Zapis ). Następuje więc kumulacja uprawnień dla użytkownika i dla grupy, do

której on należy. Sytuację tę ilustruje Rys. 1.

Folder A

Grupa B

Zapis

Użytkownik

Odczyt

Plik A

Grupa A

Plik B

Rys. 1. Kumulowanie uprawnień

Nadpisywanie uprawnień

Uprawnienia do plików w systemie NTFS mają wyższy priorytet niż uprawnienia do

folderów. Oznacza to, że jeśli użytkownik będzie miał odpowiednia uprawnienia do pliku, to

będzie miał do niego dostęp, nawet jeśli nie będzie miał dostępu do folderu, w którym ten plik

się znajduje. Aby skorzystać z tego pliku użytkownik musi podać pełną ścieżkę dostępu

zgodną z konwencją UNC ( U niversal N aming C onvention ) lub też lokalną ścieżkę dostępu.

Uprawnienie Odmawiaj

W systemie Windows 2000 istnieje możliwość zabronienia użytkownikowi lub grupie dostępu

do wybranego pliku lub też folderu. Aby to zrobić należy przypisać danemu zasobowi

uprawnienie Odmawiaj . Nie jest to jednak zalecany sposób kontroli dostępu do zasobów.

Edycja 2005/2006

Uprawnienie to spowoduje zablokowanie wszystkich innych uprawnień, mimo iż użytkownik

może mieć zdefiniowane uprawnienia, które pozwolą mu na dostęp do tego zasobu. Przykład

zaprezentowany na Rys. 2 wyjaśnia tę sytuację.

Folder A

Grupa B

Zapis

Użytkownik

Odczyt

Plik A

Grupa A

Odmów

zapisu dla

Plik B

Rys. 2. Działanie uprawnienia Odmawiaj

Użytkownik ma prawo Odczyt dla FolderA i jest członkiem grup: GrupaA oraz GrupaB .

GrupaB ma prawo Zapis do folderu FolderA . Równocześnie grupa GrupaA ma zabronione

prawo Zapis dla pliku PlikB . Użytkownik może czytać i zapisywać plik PlikA . Ponadto może

odczytywać plik PlikB , ale nie może zapisywać tego pliku, ponieważ jest członkiem grupy

Grupa1 , która ma zablokowane prawo Zapis dla pliku PlikB .

Uprawnienie Odmawiaj jest jedynym wyjątkiem od zasady kumulowania uprawnień.

Dlatego też tego sposobu kontroli dostępu do zasobów należy unikać. Znacznie prostszym

sposobem kontroli dostępu jest zezwalanie na dostęp do odpowiednich zasobów, tylko

wybranym użytkownikom i grupom. Należy więc tak projektować grupy oraz organizować

drzewo folderów, aby zarządzanie zasobami i dostępem do nich odbywało się poprzez

zezwalanie na dostęp, bez potrzeby korzystania z uprawnienia Odmawiaj .

Dziedziczenie uprawnień

Domyślnie uprawnienia, które przypisywane są do folderów nadrzędnych są dziedziczone

przez podfoldery i pliki w nim zawarte. Przypisanie uprawnień do danego folderu spowoduje

przypisanie takich samych uprawnień do wszystkich w nim istniejących, jak i nowo

tworzonych, plików i folderów.

Istnieje jednak możliwość zablokowanie dziedziczenia uprawnień. Zablokowanie

dziedziczenia uprawnień spowoduje, że wyłączone zostanie przekazywanie uprawnień z

folderu macierzystego do podfolderów i pliku w nim zawartych. Aby wyłączyć ten

mechanizm należy w podfolderach i plikach usunąć wszystkie odziedziczone uprawnienia,

pozostałe uprawnienia pozostawiając.

Folder, dla którego zablokowano mechanizm dziedziczenia uprawnień staje się teraz nowym

folderem nadrzędnym i jego uprawnienia będą teraz dziedziczyły jego podfoldery i pliki.

Przypisywanie i modyfikowanie uprawnień

Użytkownicy z grupy Administratorzy lub z prawem Pełna kontrola oraz właściciele plików i

folderów mogą przypisywać uprawnienia dla grup i użytkowników. W tym celu należy

kliknąć na wybranym pliku lub folderze i wybrać polecenie Właściwości , a następnie wybrać

zakładkę Zabezpieczenia . Wygląd zakładki Zabezpieczenia został przedstawiony na Rys. 3.

Na zakładce tej dostępne są następujące opcje:

Nazwa – pole to zawiera listę grup lub użytkowników, którzy mają przypisane

uprawnienia do danego zasobu.

Uprawnienia – lista wszystkich praw, które można ustawić dla danego zasobu.

Dodaj – przycisk ten wyświetla okno dialogowego Wybieranie: Użytkownicy,

Komputery lub Grupy , w którym będzie można wybrać użytkowników lub grupy,

którym chcemy przypisać odpowiednie uprawnienia.

Edycja 2005/2006

Usuń – przycisk ten usuwa wybranego użytkownika lub grupę oraz uprawnienia dla

danego pliku lub folderu.

Zaawansowane – przycisk ten otwiera okno Ustawienia kontroli dostępu , w którym

można ustawiać dodatkowe uprawnienia do danego zasobu.

Rys. 3. Wygląd zakładki Zabezpieczenia dla folderu

Jeżeli pole wyboru uprawnienia jest wyszarzone, oznacza to, że dane uprawnienie zostało

odziedziczone z folderu nadrzędnego.

Wyłączanie dziedziczenia uprawnień

Domyślnie podfoldery oraz pliki dziedziczą uprawnienia, które są przypisane do ich folderu

nadrzędnego. Opcja Zezwalaj na propagowanie uprawnień dziedziczonych obiektu

nadrzędnego do tego obiektu znajduje się na zakładce Zabezpieczenia ( Rys. 3 ). W celu

wyłączenia dziedziczenia uprawnień, należy tę opcję odznaczyć. Zostanie wówczas

wyświetlony dialog przedstawiony na Rys. 4.

Rys. 4. Okno wyświetlone w momencie wyłączenia dziedziczenia uprawnień

Opcje dostępne w tym oknie to:

· Kopiuj – opcja ta pozwala na skopiowanie uprawnień z folderu nadrzędnego do

bieżącego folderu, a następnie blokuje dziedziczenie uprawnień z folderu

nadrzędnego.

· Usuń – opcja ta powoduje, że uprawnienia które są odziedziczone z folderu

nadrzędnego zostają usunięte z podfolderów i plików, a pozostają tylko uprawnienia

przypisane bezpośrednio do plików lub podfolderów.

· Anuluj – przycisk ten powoduje anulowanie wprowadzanych zmian.

W celu wyłączenia domyślnego przypisywania uprawnienia Pełna kontrola dla grupy

Wszyscy dla nowych zasobów, należy usunąć dziedziczenie uprawnień dla głównego katalogu

lub też odpowiednio zmodyfikować uprawnienia dla tego katalogu.

Uprawnienia specjalne

Standardowe uprawnienia NTFS dają użytkownikom systemu Windows 2000 wystarczające

sposoby do kontroli i zabezpieczania dostępu do zasobów. Może jedna wystąpić sytuacja,

kiedy administrator systemu nie będzie w stanie określić poziomu dostępu do zasobów,

jakiego wymagają użytkownicy. W takim przypadku należy skorzystać ze specjalnych

uprawnień systemu NTFS. W systemie Windows 2000 dostępnych jest 13 takich uprawnień.

Uprawnienia standardowe są kombinacją uprawnień specjalnych. Przykładowo, uprawnienie

standardowe Odczyt jest kombinacją uprawnień specjalnych: Odczyt danych , Odczyt

uprawnień , Odczyt atrybutów oraz Odczyt rozszerzonych atrybutów . Jeżeli przypisujemy

Edycja 2005/2006

specjalne uprawnienia do folderu, możemy wybrać czy uprawnienia będą odziedziczone przez

podfoldery i pliki znajdujące się w tym folderze.

Tabela 3. Uprawnienia specjalne oraz odpowiadające im uprawnienia standardowe

Uprawnienia

specjalne

Pełna

kontrola

Modyfikacja

Zapis i

wykonanie

Wyświetlanie

zawartości

folderu (tylko

foldery)

Odczyt

Zapis

Przechodzenie przez

folder/ Wykonywanie

pliku

X X

Wyświetlanie

zawartości

folderu/Odczyt

danych

X X

Odczyt atrybutów X X

X X

Odczyt atrybutów

rozszerzonych

X X

Tworzenie plików/

Zapis danych

X X

Tworzenie folderów/

Dołączanie danych

X X

Zapis atrybutów X X

Zapis atrybutów

rozszerzonych

X X

Usuwanie

podfolderów i plików

Usuwanie X X

Odczyt uprawnień X X

X X

Zmiana uprawnień X

Przejęcie na własność X

Uprawnienie Zmiana uprawnień

Uprawnienie to pozwala administratorowi lub użytkownikowi na przypisanie lub zmianę

uprawnień dla danego pliku lub folderu, bez przypisanego uprawnienia Pełny dostęp . W ten

sposób, użytkownik lub administrator nie może skasować lub zapisać pliku lub folderu, ale

będzie mógł przypisać uprawnienia do pliku lub folderu. Aby administratorzy systemu mogli

zmieniać uprawnienia dla danego zasobu, należy grupie Administratorzy przypisać

uprawnienie Zmiana uprawnień .

Uprawnienie Przejęcie na własność

Uprawnienie to pozwala innemu użytkownikowi, grupie lub Administratorowi na przejęcie na

własność pliku lub folderu. Przy przejmowaniu zasobu na własność obowiązują następujące

zasady:

· Użytkownik z prawem Pełny dostęp może przypisać prawo Pełny dostęp lub

Przejęcie na własność innemu użytkownikowi lub grupie. Pozwoli to użytkownikowi

lub członkowi tej grupy na przejęcie danego pliku lub folderu na własność.

· Właściciel pliku lub folderu zawsze może kontrolować i modyfikować uprawnienia

swoich plików i folderów, nawet jeśli nie ma jawnie przypisanego prawa Pełny dostęp

lub Zmiana uprawnień (uprawnienie zaawansowane).

· Administrator może przejąć na własność folder lub plik bez względu na przypisane do

niego uprawnienia. Jeśli administrator przejmie folder lub plik na własność,

Edycja 2005/2006

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: