Zabezpieczanie plików i folderów – lista kontroli dostępu (ACL)
System plików NTFS posiada rozbudowany system uprawnień, które dają możliwość dokładnego ustalenia jakie czynności można wykonać na systemie plików. Każdy kto korzysta z systemu operacyjnego loguje się na określone konto, a Windows na podstawie listy uprawnień skojarzonych z danym plikiem decyduje czy zezwalać na określone operacje podejmowane przez użytkownika.
Każdy plik/katalog na partycji NTFS posiada listę ACL (Access Control List) zawierającą uprawnienia przyznane użytkownikom i grupom użytkowników.
Każda z list kontroli dostępu posiada wpisy ACE (Access Control Entry), a każdy taki wpis zawiera kod użytkownika lub grupy i spis uprawnień.
W nowych wersjach NTFS wyróżnić możemy dwie grupy uprawnień: standardowe i specjalne
Do uprawnień standardowych należą:
- pełna kontrola
- modyfikacja
- zapis i wykonanie (powinno być: odczyt i wykonanie – błąd w tłumaczeniu, w Viście poprawiony)
- wyświetlanie zawartości folderu (dla folderów)
- odczyt
- zapis
| UPRAWNIENIA | DOZWOLONE DZIAŁANIA NA PLIKACH | DOZWOLONE DZIAŁANIA NA KATALOGACH |
|---|---|---|
| PEŁNA KONTROLA | WSZYSTKO | WSZYSTKO |
| MODYFIKACJA | WSZYSTKO Z WYJĄTKIEM ZMIANY UPRAWNIEŃ, ZMIANY WŁAŚCICIELA | WSZYSTKO Z WYJĄTKIEM ZMIANY UPRAWNIEŃ, ZMIANY WŁAŚCICIELA |
| ODCZYT I WYKONANIE | OTWIERANIE I CZYTANIE PLIKÓW, URUCHAMIANIE | PRZEGLĄDANIE PLIKÓW W DANYM KATALOGU, URUCHAMIANIE |
| WYŚWIETLANIE ZAWARTOŚCI FOLDERU | NIE DOTYCZY | PRZEGLĄDANIE ZAWARTOŚCI FOLDERU |
| ODCZYT | OTWIERANIE I CZYTANIE PLIKÓW | PRZEGLĄDANIE ZAWARTOŚCI FOLDERU, ODCZYT PLIKÓW |
| ZAPIS | ZMIANA LUB DOPISYWANIE DANYCH DO PLIKU | TWORZENIE PLIKÓW LUB FOLDERÓW |
Uprawnienia specjalne to niestandardowy zestaw uprawnień. Dzięki nim można dostosować uprawnienia dotyczące plików i folderów, wybierając pojedyncze składniki ze standardowych zestawów uprawnień.
Dostajemy się do nich poprzez przycisk ZAAWANSOWANE, a następnie EDYTUJ lub DODAJ
Ćwiczenie
Sprawdź jakie mają uprawnienia do folderu Windows oraz Program Files grupy: użytkownicy, użytkownicy zaawansowani i administratorzy
Dziedziczenie
Są dwa typy uprawnień: jawne – ustawione w wyniku akcji użytkownika związanej z utworzeniem obiektu oraz uprawnienia dziedziczne – propagowane (rozchodzące się) do obiektu z obiektu nadrzędnego
Uprawnienia dziedziczone ułatwiają zarządzanie uprawnieniami i zapewniają spójność uprawień we wszystkich obiektach z wybranego katalogu. Obiekty tworzone w katalogu domyślnie dziedziczą uprawnienia z tego katalogu (np. po utworzeniu folderu Muzyka wszystkie podfoldery i pliki tworzone w folderze Muzyka automatycznie dziedziczą uprawnienia z tego folderu – folder Muzyka ma uprawnienia jawne, podczas gdy wszystkie pliki i podfoldery znajdujące się w nim mają uprawnienia dziedziczne).
UWAGA: Jawne uprawnienia mają wyższy priorytet od uprawnień odziedziczonych (nawet odziedziczonych uprawnień odmów)
Ćwiczenie:
Utwórz na pulpicie folder TEST i przekopiuj do niego kilka plików. Wyłącz dziedziczenie. Ustaw do niego dostęp tak, aby mogli go przeglądać użytkownicy należący do grupy użytkownicy bez możliwości dokonywania w nim jakichkolwiek zmian
Uprawnienia się kumulują – jeżeli ten sam użytkownik jest członkiem kilku grup, uprawnienia wynikowe będą sumą uprawnień poszczególnych grup (np. jeżeli użytkownik należy do grupy mającej prawa do odczytu pliku i jednocześnie do grupy, która ma prawa do zapisu, to wynikowe uprawnienia użytkownika do tego pliku będą do odczytu i zapisu)
Uprawnienia efektywne
Ponieważ użytkownik może należeć do wielu grup, które posiadają różne wpisy uprawnień do danego obiektu (zezwolenia się kumulują, a odmowa ma priorytet) określenie jakie efektywne uprawnienia ma dany użytkownik do obiektu nie jest łatwe
Aby sprawdzić jakie uprawnienia do obiektu posiada dany użytkownik należy sprawdzić jego uprawnienia czynne do tego obiektu.
Klikamy przycisk ZAAWANSOWANE, wybieramy zakładkę CZYNNE UPRAWNIENIA i za pomocą przycisku WYBIERZ określamy dla kogo chcemy sprawdzić uprawnienia
Ćwiczenie:
Utwórz na pulpicie folder TEST1 i przekopiuj do niego kilka plików. Wyłącz dziedziczenie. Ustaw dla konta administrator dostęp do tego folderu tak by mógł go tylko przeglądać.
Czy faktycznie administrator nie może w tym folderze nic zmodyfikować? Dlaczego tak jest? Sprawdź uprawnienia efektywne dla administratora
Nadawanie i odbieranie uprawnień
Dla każdego z praw można ustawić wartość zezwalaj (allow) lub odmów (deny). trybutu Atrybut odmów jest „silniejszy” od atrybutu zezwalaj. Jeśli np. użytkownik należy do dwóch grup i jednej z nich przyznano prawo do odczytu pliku a drugiej odmówiono, wówczas jego efektywne prawo jest odmów
Ćwiczenie
Utwórz folder TEST2 i przekopiuj do niego kilka plików. Wyłącz dziedziczenie. Ustaw dla konta administracyjnego (administrator) odmowę przeglądania i odczytu tego folderu.
Pomimo, że grupa administratorzy ma pełne uprawnienia do katalogu, administrator nie może go przeglądać. Jak myślisz, czy może kopiować do niego pliki? Sprawdź swoje przypuszczenia.
Każdy plik i katalog ma swojego właściciela, który może ustawiać uprawnienia. Aby przejąć plik innego użytkownika (który np. zapomniał hasła do swojego konta, a chce odzyskać pliki) należy mieć uprawnienia do przejmowania własności (standardowo administrator).
Klikamy przycisk ZAAWANSOWANE, wybieramy zakładkę WŁAŚCICIEL i określamy nowego właściciela, pamiętając by ewentualnie (np. gdy jest to folder) zmienić właściciela dla podfolderów.
Ćwiczenie
Zaloguj się na konto kursant i na pulpicie utwórz plik tekstowy PLIK.TXT. Przeloguj się na konto administracyjne. Sprawdź kto jest właścicielem pliku PLIK.TXT. Zmień właściciela tego pliku (kursant) na administrator.
Uwaga: podczas kopiowania, przenoszenia uprawnienia mogą ulec zmianie (w zależności od miejsca docelowego, np. ta sama partycja, partycja FAT, inna partycja, inny dysk)
Ćwiczenia - Stosowanie zabezpieczeń NTFS do folderów i plików
1. Utwórz na dysku C: folder DANE, który będzie dostępny dla grupy użytkownicy wraz z wszystkimi podfolderami i plikami (utworzonymi bądź skopiowanymi później) na zasadach tylko do odczytu, a dla grupy administratorzy na pełnych prawach z wyjątkiem zmiany uprawnień. Nikt poza tymi grupami nie powinien mieć dostępu do tego folderu
2. Utwórz na dysku C: folder DANE1, który będzie dostępny dla grupy użytkownicy zaawansowani wraz z wszystkimi podfolderami i plikami (utworzonymi bądź skopiowanymi później) w ten sposób, że będą oni mogli w tym folderze m.in. modyfikować zawartość plików i tworzyć nowe foldery ale nie kasować istniejących. Dla grupy administratorzy ustal prawa do obiektów w tym folderze takie, aby mogli oni w nim wykonywać wszystkie operacje na plikach, ale nie mogli zmienić uprawnień. Nikt poza tymi grupami nie powinien mieć dostępu do tego folderu
3. Utwórz na dysku C: folder DANE2 i skopiuj do niego kilka plików, w tym plik programu Paint oraz utwórz jakiś podkatalog. Ustaw uprawnienia tak aby wszyscy mogli zaglądnąć do tego katalogu, ale nie mogli otworzyć żadnego pliku ani uruchomić programu
4. Utwórz na dysku C: tzw. folder prywatny (to taki folder, do którego ma pełny dostęp tylko określony użytkownik) o nazwie kursant dla użytkownika kursant.
5. Ustaw uprawnienia do programu Total Commander tak, aby mogli go uruchamiać tylko użytkownicy zaawansowani i administratorzy
6. Utwórz na dysku C: folder WSPÓLNY, a w nim podfoldery COS1, COS2, COS3. W folderze WSPÓLNY umieść pliki tekstowe o nazwie TELEFONY.TXT, PLIK2.TXT, PLIK3.TXT
Do folderu WSPÓLNY mają mieć dostęp wszyscy użytkownicy, tak aby mogli tylko przeglądać jego zawartość (bez możliwości odczytu zawartości plików), za wyjątkiem pliku TELEFONY.TXT, który wszyscy mogą odczytać.
Do podfolderów COS1, COS2,COS3 mają mieć dostęp użytkownicy zaawansowani, którzy będą mogli tam przeglądać, odczytywać, tworzyć nowe pliki i je modyfikować ale nie będą mogli ich kasować.
Do pdfolderów COS2 i COS3 będzie też mieć dostęp grupa użytkownicy mogąca w nich odczytywać pliki, uruchamiać programy i modyfikować zawartość istniejących plików.
7. Utwórz na dysku C: folder TAJNE, do którego wszyscy użytkownicy będą mogli kopiować pliki, ale nie będą mogli zaglądnąć do środka i zobaczyć co w nim się znajduje.
8. Zaloguj się jako użytkownik kursant i utwórz na dysku C: folder NICZYJE a w nim plik PLIK00.TXT. Usuń wszystkich użytkowników z listy ACL folderu NICZYJE pozostawiając tylko użytkownika kursant (z prawami do poziomu modyfikacji). Przeloguj się na administratora. Przyjmij, że konto kursant jest już niedostępne (użytkownik zapomniał hasła, konto zostało skasowane). Twoim zadaniem jest odzyskanie pliku PLIK00.TXT