2015-05-15
480
Операционная система Windows NT 4.0 поддерживает файловые системы FAT (File Allocation Table) и NTFS (New Technology File System). Напомним, что первая поддерживается такими известными операционными системами, как MS-DOS, Windows 3.X, Windows 95/98 и OS/2, вторая — только Windows NT. У FAT и NTFS различные характеристики производительности, разный спектр предоставляемых возможностей и т.д. Основное отличие файловой системы NTFS от других (FAT, VFAT (Virtual File Allocation Table), HPFS) состоит в том, что только она одна удовлетворяет стандарту безопасности C2, в частности, NTFS обеспечивает защиту файлов и каталогов при локальном доступе.Защиту ресурсов с использованием FAT можно организовать с помощью прав доступа: Чтение, Запись, Полный.
Таким образом, можно рекомендовать создавать дисковые разделы NTFS вместо FAT. Если все же необходимо использовать раздел FAT, то его надо сделать отдельным разделом для приложений MS-DOS и не размещать в нем системные файлы Windows NT. Поскольку файлы и каталоги в Windows NT являются объектами, контроль безопасности осуществляется на объектном уровне. Дескриптор безопасности любого объекта в разделе NTFS содержит два списка контроля доступа (ACL):
- дискреционный (discretionary ACL (DACL));
- системный (system ACL (SACL)).
В операционной системе Windows NT управление доступом к файлам и каталогам NTFS возлагается не на администратора, а на владельца ресурса и контролируется системой безопасности с помощью маски доступа (access mask), содержащейся в записях списка контроля доступа ACL.
Маска доступа включает стандартные (Synchronize, Write_Owner, Write_Dac, Read_Control, Delete), специфические (Read (Write) _Data, Append_Data, Read (Write)_Attributes, Read (Write)_ExtendedAttributes, Execute) и родовые (Generic_Read (Write), Generic_Execute) права доступа. Все эти права входят в дискреционный список контроля доступа (DACL). Вдобавок маска доступа содержит бит, который соответствует праву Access_System_Security. Это право контролирует доступ к системному списку контроля доступа (SACL).
В списке DACL определяется, каким пользователям и группам разрешен или запрещен доступ к данному ресурсу. Именно этим списком может управлять владелец объекта. Список SACL задает определенный владельцем тип доступа, что заставляет систему генерировать записи проверки в системном протоколе событий. Только системный администратор управляет этим списком. На самом же деле для администрирования используются не отдельные права доступа, а разрешения (permissions) NTFS.
Разрешения подразделяются на:
- Индивидуальные — набор прав, позволяющий предоставлять пользователю доступ того или иного типа;
- Стандартные — наборы индивидуальных разрешений для выполнения над файлами или каталогами действий определенного уровня;
- Специальные — комбинация идивидуальных разрешений, не совпадающие ни с одним стандартным набором.
По умолчанию при инсталляции Windows NT и файловой системы NTFS устанавливаются довольно "свободные" разрешения, позволяющие обычным пользователям получать доступ к ряду системных файлов и каталогам. Например: Каталоги %systemroot% и %systemroot%\system32 имеют по умолчанию разрешение Change для группы Everyone. Если после установки Windows NT FAT впоследствии был преобразован в NTFS, то данное разрешение для этой группы устанавливается на все файлы и подкаталоги каталога %systemroot%. Защита данных каталогов заключается в грамотной установке разрешений. Вместо группы Everyone необходимо создать группу Users и использовать именно ее.
Существует несколько файлов операционной системы, расположенных в корневой директории системного раздела, которые также необходимо защитить, назначив необходимые разрешения. Имейте в виду, что такие разрешения затруднят пользователям установку программного обеспечения. Также будет невозможна запись в.ini файлы в системном каталоге. Количество пользователей с правами администратора рекомендуется свести к минимуму. Учетную запись Guest лучше вообще удалить, хотя она при установке (по умолчанию) и так отключена, а вместо этой учетной записи создать для каждого пользователя свою временную учётную запись с соответствующими разрешениями и правами.
