Zabezpieczenia w systemie plików NTFS • NTFS - (ang. New Technology File System, w wolnym tłumaczeniu "system plików nowej generacji") to standardowy system.
Download ReportTranscript Zabezpieczenia w systemie plików NTFS • NTFS - (ang. New Technology File System, w wolnym tłumaczeniu "system plików nowej generacji") to standardowy system.
Slide 1
Zabezpieczenia w
systemie plików NTFS
Slide 2
• NTFS - (ang. New Technology File System, w wolnym
tłumaczeniu "system plików nowej generacji") to
standardowy system plików systemu Microsoft Windows
NT i jego następców (Windows 2000, Windows XP i
Windows Server 2003).
• NTFS - pochodzi od HPFS, który został opracowany
przez Microsoft i IBM dla systemu OS/2 na miejsce
starszego FATu, używanego w MS-DOS. HPFS posiada
kilka ulepszeń w porównaniu do FATu, takich jak wsparcie
dla metadanych, użycie zaawansowanych struktur w celu
polepszenia, wiarygodności i wydajności (zarówno w
odniesieniu do szybkości jak i wymaganej pojemności
dyskowej). NTFS zawiera wszystkie te ulepszenia oraz
dodatkowo listy kontroli dostępu (ACL) i dziennik
operacji dyskowych (journal).
Slide 3
System plików - W systemie operacyjnym jest to ogólna
struktura, w której pliki są
zapisywane i organizowane oraz
są im nadawane nazwy. NTFS, FAT i FAT32 to rodzaje
systemów plików.
System plików NTFS - Zaawansowany system plików
zapewniający wydajność, bezpieczeństwo, niezawodność i
zaawansowane funkcje niespotykane w żadnej wersji systemu
FAT. Na przykład dzięki standardowemu rejestrowaniu
transakcji i technikom odzyskiwania danych system NTFS
gwarantuje spójność woluminów. W przypadku awarii system
NTFS wykorzystuje plik dziennika i informacje kontrolne do
przywrócenia spójności systemu plików. W systemie Windows
2000 i Windows XP system NTFS udostępnia ponadto wiele
zaawansowanych funkcji, na przykład udzielanie uprawnień do
plików i folderów, szyfrowanie, przydzielanie miejsca na
dyskach i kompresję.
Slide 4
System NTFS został zaprojektowany przede wszystkim pod kątem pracy w
systemie dla wielu użytkowników, stąd możliwości jakie on posiada:
- prawa dostępu do plików, katalogów,
- system zarządzania zapisem i odczytem danych (system transakcyjny),
- możliwość szyfrowania danych,
- możliwość kompresji danych,
- możliwość przydzielania przestrzeni dla danych każdemu użytkownikowi osobno,
- możliwość obsługi bardzo dużych partycji (2^64) i plików (16 Terabajtów),
Partycja w systemie NTFS składa się podobnie jak w FAT z czterech obszarów,
- boot sector partycji,
- Master File Table,
- pliki systemowe NTFS,
- przestrzeń plikowa,
Boot sector zawiera informacje na temat wielkości sektora, rozmiaru klastra oraz
miejsce umieszczenia MFT. MFT to najważniejsza część systemu NTFS ponieważ
trzymane są w niej pliki mniejsze niż 1 KB w całości, a o większych plikach
trzymane są dane o nazwie, położeniu itp.. pliku.
Slide 5
System plików NTFS oferuje możliwość kontroli dostępu do
zasobów (zabezpieczenie nawet pojedynczego pliku nie stanowi
problemu). Dzięki szerokiej możliwości nadawania/odbierania
uprawnień dostępu do zasobów dla grup/użytkowników można
je znakomicie zabezpieczać. Co więcej przynależność do kilku
grup nie oznacza automatycznie dziedziczenia wszystkich
uprawnień przynależnych tym grupą. Może się zdarzyć, że
użytkownik nie ma prawa dostępu do folderu/pliku/zasobu
pomimo tego, że wszyscy inni użytkownicy należący do jego
grupy takie prawo posiadają. Standardowe uprawnienia NTFS
(odczyt, zapis, wykonywanie, kasowanie, własność i zmiana
uprawnień) zapewniają wszystkie rodzaje kontroli, potrzebne do
zabezpieczenia zasobów, jednak czasami trzeba nadać
uprawnienia specjalne , które zapewniają specyficzny poziom
dostępu do zasobów.
Slide 6
Hierarchia uprawnień
•Uprawnienia jawne - dołączane bezpośrednio do
obiektu lub jednostki organizacyjnej (OU), która
może obejmować uprawnienia do plików i folderów.
•Uprawnienia dziedziczone - propagowane od
obiektu nadrzędnego do obiektu podrzędnego.
Slide 7
Rodzaje uprawnień specjalnych
Przechodzenie poprzez folder/Wykonanie pliku - Uprawnienie
Przechodzenie poprzez folder zezwala lub zabrania na dostęp do pliku
w sytuacji, gdy użytkownik ten nie posiada odpowiednich uprawnień do
zawierającego ten plik katalogu, ale posiada je w stosunku do samego
pliku.
Prawo to można stosować tylko do folderów. Uprawnienie to ma
zastosowanie tylko w stosunku do tych użytkowników i grup, którym
poprzez zasady grup nie przyznano prawa Pomijanie sprawdzania
przebiegu. (domyślnie grupa Wszyscy otrzymuje prawo Pomijanie
sprawdzania przebiegu). Ustawienie dla folderu uprawnienia
Przechodzenie poprzez folder nie powoduje automatycznego
ustawienia Wykonanie pliku. Uprawnienie Wykonanie pliku przyznaje
lub odmawia użytkownikowi prawa do uruchamiania plików
zawierających programy. Prawo to stosuje się jedynie do plików.
Slide 8
Odczyt atrybutów - Zezwala lub odmawia przeglądania atrybutów
pliku lub folderu takich jak Tylko do odczytu lub Ukryty
Odczyt atrybutów rozszerzonych - Zezwala bądź odmawia
przeglądania rozszerzonych atrybutów pliku bądź folderu. Niektóre
rozszerzone atrybuty definiują same aplikacje we właściwy dla siebie
sposób. Należą do nich również dwa atrybuty NTFS - kompresji i
szyfrowania.
Tworzenie plików/Zapis danych - Zezwala bądź odmawia prawa do
tworzenia plików wewnątrz folderu. Zapis danych zezwala bądź
odmawia prawa do dokonywania zmian w plikach i nadpisywania ich
bieżącej zawartości. Prawo to stosuje się jedynie do plików.
Tworzenie folderów/Dołączanie danych - Zezwala bądź odmawia
prawa tworzenia podkatalogów wewnątrz folderu. Dołączanie danych
zezwala bądź odmawia do dopisywania danych na końcu istniejącego
pliku, lecz nie do zmiany, usuwania lub nadpisywania istniejących już
w nim danych.
Slide 9
Zapis atrybutów - Zezwala bądź odmawia prawa do zmieniania
atrybutów pliku lub folderu takich jak Tylko do odczytu, Ukryty
Zapis rozszerzonych atrybutów - Zezwala bądź odmawia prawa do
zmieniania rozszerzonych atrybutów pliku lub folderu.
Usuwanie podfolderów i plików - Zezwala bądź odmawia prawa do
usuwania znajdujących się wewnątrz folderu plików zabezpieczeń
podkatalogów, nawet jeżeli użytkownik nie posiada uprawnienia
Usuwanie do usuwanego pliku lub podkatalogu.
Usuwanie - Zezwala bądź odmawia prawa do usuwania plików i
katalogów. Jeżeli użytkownik nie posiada uprawnienia Usuwanie do
pliku lub katalogu, ciągle może je usunąć o ile posiada uprawnienie
Usuwanie podfolderów i plików w stosunku do folderu
nadrzędnego.
Odczyt uprawnień - Zezwala bądź odmawia prawa do
odczytywania uprawnień zastosowanych do pliku lub folderu, takich
jak Pełna kontrola, Zapis, Odczyt.
Slide 10
Zmiana uprawnień - Zezwala bądź odmawia prawa do zmieniania
uprawnień zastosowanych do pliku lub folderu takich jak Pełna
kontrola, Zapis, Odczyt.
Przejęcie na własność- Zezwala bądź odmawia prawa do przejęcia
pliku lub folderu na własność.
Właściciel pliku lub folderu może zawsze zmienić jego uprawnienia,
niezależnie od tego, jakie zastosowano uprawnienia w celu jego
ochrony.
Synchronizacja - Zezwala bądź odmawia prawa do tego, aby różne
wątki mogły oczekiwać na zwolnienie uchwytu do pliku
zabezpieczeń w ten sposób synchronizować się z innymi,
sygnalizującymi to wątkami.
Ten rodzaj uprawnienia ma zastosowanie jedynie dla programów
wielowątkowych i wieloprocesorowych.
Slide 11
Ważną funkcją systemu plików NTFS jest journaling zabezpieczający ten
system przed niestabilnością związaną z powstawaniem błędów w skutek nie
właściwie przerwanej zmianie logicznej struktury danych.
Journaling (księgowanie) - metoda zabezpieczania systemu plików
przed utratą spójności w wyniku awarii zasilania. Jeżeli dokonywanie
zmian w logicznej strukturze danych zostanie przerwane, wówczas
niedokończenie zapisu może spowodować powstanie i niekontrolowane
szerzenie się błędów (np. skrzyżowanie plików). Przy użyciu journalingu
zmiany dokonywane w systemie plików są najpierw zapisywane w tzw.
kronice lub dzienniku (ang. journal), a dopiero później na dysku. Jeśli
awaria zasilania nastąpiła w trakcie ostatecznego zapisu na dysk, to
zostanie on dokończony po ponownym starcie systemu. Jeśli prądu
zabraknie w czasie edycji dziennika, to system plików nie zostanie w
ogóle naruszony.
Slide 12
Szyfrowanie systemu plików mechanizmem EFS
EFS (Encrypted File System) – pozwala na szyfrowanie danych na dysku,
co uniemożliwia odczytanie danych przez innych użytkowników lub danych
z dysku na innym komputerze.
Funkcja EFS pozwala na szyfrowanie poszczególnych plików i folderów.
Mechanizm ten jest oparty o szyfrowanie przy użyciu klucz publicznego.
Funkcja EFS może korzystać z algorytmu szyfrowania Data Encryption
Standard (DESX) lub Triple-DES (3DES).
Pliki mogą być odszyfrowywane tylko przez upoważnionych użytkowników
i wyznaczone osoby zajmujące się odzyskiwaniem danych. Inne konta
systemowe z uprawnieniami dla danego pliku, nawet konto z uprawnieniami
Przejęcie na własność, nie pozwalają na otwarcie pliku bez upoważnienia.
Pliku nie można otworzyć nawet przy użyciu konta administratora, jeśli nie
jest ono wyznaczone jako agent odzyskiwania danych. W przypadku próby
otwarcia zaszyfrowanego pliku przez nieuprawnionego użytkownika nastąpi
odmowa dostępu.
Slide 13
Quota – podział dysku
Quota – jest to wydzielona dla użytkownika przestrzeń na dysku. Quotę można
dowolnie konfigurować a na jej wielkość wpływają pliki utworzone przez
użytkownika jak i współdzielone z innymi.
Mechanizm quoty działa na dwa sposoby:
•Przekroczenie przydzielonego obszaru dysku może być jedynie odnotowane w
dziennikach systemowych
•Przekroczenie przydzielonego obszaru dysku spowoduje brak możliwości
dalszego zapisu danych
Slide 14
Kompresja
Kompresja w NTFS pozwala pracować z
plikami i folderami tak jakby nie były
skompresowane. Pliki takie są wyróżnione w
Eksploatorze niebieską czcionką.
Zabezpieczenia w
systemie plików NTFS
Slide 2
• NTFS - (ang. New Technology File System, w wolnym
tłumaczeniu "system plików nowej generacji") to
standardowy system plików systemu Microsoft Windows
NT i jego następców (Windows 2000, Windows XP i
Windows Server 2003).
• NTFS - pochodzi od HPFS, który został opracowany
przez Microsoft i IBM dla systemu OS/2 na miejsce
starszego FATu, używanego w MS-DOS. HPFS posiada
kilka ulepszeń w porównaniu do FATu, takich jak wsparcie
dla metadanych, użycie zaawansowanych struktur w celu
polepszenia, wiarygodności i wydajności (zarówno w
odniesieniu do szybkości jak i wymaganej pojemności
dyskowej). NTFS zawiera wszystkie te ulepszenia oraz
dodatkowo listy kontroli dostępu (ACL) i dziennik
operacji dyskowych (journal).
Slide 3
System plików - W systemie operacyjnym jest to ogólna
struktura, w której pliki są
zapisywane i organizowane oraz
są im nadawane nazwy. NTFS, FAT i FAT32 to rodzaje
systemów plików.
System plików NTFS - Zaawansowany system plików
zapewniający wydajność, bezpieczeństwo, niezawodność i
zaawansowane funkcje niespotykane w żadnej wersji systemu
FAT. Na przykład dzięki standardowemu rejestrowaniu
transakcji i technikom odzyskiwania danych system NTFS
gwarantuje spójność woluminów. W przypadku awarii system
NTFS wykorzystuje plik dziennika i informacje kontrolne do
przywrócenia spójności systemu plików. W systemie Windows
2000 i Windows XP system NTFS udostępnia ponadto wiele
zaawansowanych funkcji, na przykład udzielanie uprawnień do
plików i folderów, szyfrowanie, przydzielanie miejsca na
dyskach i kompresję.
Slide 4
System NTFS został zaprojektowany przede wszystkim pod kątem pracy w
systemie dla wielu użytkowników, stąd możliwości jakie on posiada:
- prawa dostępu do plików, katalogów,
- system zarządzania zapisem i odczytem danych (system transakcyjny),
- możliwość szyfrowania danych,
- możliwość kompresji danych,
- możliwość przydzielania przestrzeni dla danych każdemu użytkownikowi osobno,
- możliwość obsługi bardzo dużych partycji (2^64) i plików (16 Terabajtów),
Partycja w systemie NTFS składa się podobnie jak w FAT z czterech obszarów,
- boot sector partycji,
- Master File Table,
- pliki systemowe NTFS,
- przestrzeń plikowa,
Boot sector zawiera informacje na temat wielkości sektora, rozmiaru klastra oraz
miejsce umieszczenia MFT. MFT to najważniejsza część systemu NTFS ponieważ
trzymane są w niej pliki mniejsze niż 1 KB w całości, a o większych plikach
trzymane są dane o nazwie, położeniu itp.. pliku.
Slide 5
System plików NTFS oferuje możliwość kontroli dostępu do
zasobów (zabezpieczenie nawet pojedynczego pliku nie stanowi
problemu). Dzięki szerokiej możliwości nadawania/odbierania
uprawnień dostępu do zasobów dla grup/użytkowników można
je znakomicie zabezpieczać. Co więcej przynależność do kilku
grup nie oznacza automatycznie dziedziczenia wszystkich
uprawnień przynależnych tym grupą. Może się zdarzyć, że
użytkownik nie ma prawa dostępu do folderu/pliku/zasobu
pomimo tego, że wszyscy inni użytkownicy należący do jego
grupy takie prawo posiadają. Standardowe uprawnienia NTFS
(odczyt, zapis, wykonywanie, kasowanie, własność i zmiana
uprawnień) zapewniają wszystkie rodzaje kontroli, potrzebne do
zabezpieczenia zasobów, jednak czasami trzeba nadać
uprawnienia specjalne , które zapewniają specyficzny poziom
dostępu do zasobów.
Slide 6
Hierarchia uprawnień
•Uprawnienia jawne - dołączane bezpośrednio do
obiektu lub jednostki organizacyjnej (OU), która
może obejmować uprawnienia do plików i folderów.
•Uprawnienia dziedziczone - propagowane od
obiektu nadrzędnego do obiektu podrzędnego.
Slide 7
Rodzaje uprawnień specjalnych
Przechodzenie poprzez folder/Wykonanie pliku - Uprawnienie
Przechodzenie poprzez folder zezwala lub zabrania na dostęp do pliku
w sytuacji, gdy użytkownik ten nie posiada odpowiednich uprawnień do
zawierającego ten plik katalogu, ale posiada je w stosunku do samego
pliku.
Prawo to można stosować tylko do folderów. Uprawnienie to ma
zastosowanie tylko w stosunku do tych użytkowników i grup, którym
poprzez zasady grup nie przyznano prawa Pomijanie sprawdzania
przebiegu. (domyślnie grupa Wszyscy otrzymuje prawo Pomijanie
sprawdzania przebiegu). Ustawienie dla folderu uprawnienia
Przechodzenie poprzez folder nie powoduje automatycznego
ustawienia Wykonanie pliku. Uprawnienie Wykonanie pliku przyznaje
lub odmawia użytkownikowi prawa do uruchamiania plików
zawierających programy. Prawo to stosuje się jedynie do plików.
Slide 8
Odczyt atrybutów - Zezwala lub odmawia przeglądania atrybutów
pliku lub folderu takich jak Tylko do odczytu lub Ukryty
Odczyt atrybutów rozszerzonych - Zezwala bądź odmawia
przeglądania rozszerzonych atrybutów pliku bądź folderu. Niektóre
rozszerzone atrybuty definiują same aplikacje we właściwy dla siebie
sposób. Należą do nich również dwa atrybuty NTFS - kompresji i
szyfrowania.
Tworzenie plików/Zapis danych - Zezwala bądź odmawia prawa do
tworzenia plików wewnątrz folderu. Zapis danych zezwala bądź
odmawia prawa do dokonywania zmian w plikach i nadpisywania ich
bieżącej zawartości. Prawo to stosuje się jedynie do plików.
Tworzenie folderów/Dołączanie danych - Zezwala bądź odmawia
prawa tworzenia podkatalogów wewnątrz folderu. Dołączanie danych
zezwala bądź odmawia do dopisywania danych na końcu istniejącego
pliku, lecz nie do zmiany, usuwania lub nadpisywania istniejących już
w nim danych.
Slide 9
Zapis atrybutów - Zezwala bądź odmawia prawa do zmieniania
atrybutów pliku lub folderu takich jak Tylko do odczytu, Ukryty
Zapis rozszerzonych atrybutów - Zezwala bądź odmawia prawa do
zmieniania rozszerzonych atrybutów pliku lub folderu.
Usuwanie podfolderów i plików - Zezwala bądź odmawia prawa do
usuwania znajdujących się wewnątrz folderu plików zabezpieczeń
podkatalogów, nawet jeżeli użytkownik nie posiada uprawnienia
Usuwanie do usuwanego pliku lub podkatalogu.
Usuwanie - Zezwala bądź odmawia prawa do usuwania plików i
katalogów. Jeżeli użytkownik nie posiada uprawnienia Usuwanie do
pliku lub katalogu, ciągle może je usunąć o ile posiada uprawnienie
Usuwanie podfolderów i plików w stosunku do folderu
nadrzędnego.
Odczyt uprawnień - Zezwala bądź odmawia prawa do
odczytywania uprawnień zastosowanych do pliku lub folderu, takich
jak Pełna kontrola, Zapis, Odczyt.
Slide 10
Zmiana uprawnień - Zezwala bądź odmawia prawa do zmieniania
uprawnień zastosowanych do pliku lub folderu takich jak Pełna
kontrola, Zapis, Odczyt.
Przejęcie na własność- Zezwala bądź odmawia prawa do przejęcia
pliku lub folderu na własność.
Właściciel pliku lub folderu może zawsze zmienić jego uprawnienia,
niezależnie od tego, jakie zastosowano uprawnienia w celu jego
ochrony.
Synchronizacja - Zezwala bądź odmawia prawa do tego, aby różne
wątki mogły oczekiwać na zwolnienie uchwytu do pliku
zabezpieczeń w ten sposób synchronizować się z innymi,
sygnalizującymi to wątkami.
Ten rodzaj uprawnienia ma zastosowanie jedynie dla programów
wielowątkowych i wieloprocesorowych.
Slide 11
Ważną funkcją systemu plików NTFS jest journaling zabezpieczający ten
system przed niestabilnością związaną z powstawaniem błędów w skutek nie
właściwie przerwanej zmianie logicznej struktury danych.
Journaling (księgowanie) - metoda zabezpieczania systemu plików
przed utratą spójności w wyniku awarii zasilania. Jeżeli dokonywanie
zmian w logicznej strukturze danych zostanie przerwane, wówczas
niedokończenie zapisu może spowodować powstanie i niekontrolowane
szerzenie się błędów (np. skrzyżowanie plików). Przy użyciu journalingu
zmiany dokonywane w systemie plików są najpierw zapisywane w tzw.
kronice lub dzienniku (ang. journal), a dopiero później na dysku. Jeśli
awaria zasilania nastąpiła w trakcie ostatecznego zapisu na dysk, to
zostanie on dokończony po ponownym starcie systemu. Jeśli prądu
zabraknie w czasie edycji dziennika, to system plików nie zostanie w
ogóle naruszony.
Slide 12
Szyfrowanie systemu plików mechanizmem EFS
EFS (Encrypted File System) – pozwala na szyfrowanie danych na dysku,
co uniemożliwia odczytanie danych przez innych użytkowników lub danych
z dysku na innym komputerze.
Funkcja EFS pozwala na szyfrowanie poszczególnych plików i folderów.
Mechanizm ten jest oparty o szyfrowanie przy użyciu klucz publicznego.
Funkcja EFS może korzystać z algorytmu szyfrowania Data Encryption
Standard (DESX) lub Triple-DES (3DES).
Pliki mogą być odszyfrowywane tylko przez upoważnionych użytkowników
i wyznaczone osoby zajmujące się odzyskiwaniem danych. Inne konta
systemowe z uprawnieniami dla danego pliku, nawet konto z uprawnieniami
Przejęcie na własność, nie pozwalają na otwarcie pliku bez upoważnienia.
Pliku nie można otworzyć nawet przy użyciu konta administratora, jeśli nie
jest ono wyznaczone jako agent odzyskiwania danych. W przypadku próby
otwarcia zaszyfrowanego pliku przez nieuprawnionego użytkownika nastąpi
odmowa dostępu.
Slide 13
Quota – podział dysku
Quota – jest to wydzielona dla użytkownika przestrzeń na dysku. Quotę można
dowolnie konfigurować a na jej wielkość wpływają pliki utworzone przez
użytkownika jak i współdzielone z innymi.
Mechanizm quoty działa na dwa sposoby:
•Przekroczenie przydzielonego obszaru dysku może być jedynie odnotowane w
dziennikach systemowych
•Przekroczenie przydzielonego obszaru dysku spowoduje brak możliwości
dalszego zapisu danych
Slide 14
Kompresja
Kompresja w NTFS pozwala pracować z
plikami i folderami tak jakby nie były
skompresowane. Pliki takie są wyróżnione w
Eksploatorze niebieską czcionką.