Zabezpieczanie plików i folderów - lista kontroli dostępu (ACL)

System plików NTFS posiada rozbudowany system uprawnień, które dają możliwość dokładnego ustalenia jakie czynności można wykonać na systemie plików. Każdy kto korzysta z systemu operacyjnego loguje się na określone konto, a Windows na podstawie listy uprawnień skojarzonych z danym plikiem decyduje czy zezwalać na określone operacje podejmowane przez użytkownika.

Każdy plik/katalog na partycji NTFS posiada listę ACL (Access Control List) zawierającą uprawnienia przyznane użytkownikom i grupom użytkowników.

Każda z list kontroli dostępu posiada wpisy ACE (Access Control Entry), a każdy taki wpis zawiera kod użytkownika lub grupy i spis uprawnień.

Pojedynczy wpis ACE:

użytkownik

administrator:

spis uprawnień

dla użytkownika

administrator

W nowych wersjach NTFS wyróżnić możemy dwie grupy uprawnień: standardowe i specjalne

Do uprawnień standardowych należą:

- pełna kontrola

- modyfikacja

- zapis i wykonanie (powinno być: odczyt i wykonanie - błąd w tłumaczeniu, w Viście poprawiony)

- wyświetlanie zawartości folderu (dla folderów)

- odczyt

- zapis

UPRAWNIENIA	DOZWOLONE DZIAŁANIA NA PLIKACH	DOZWOLONE DZIAŁANIA NA KATALOGACH
PEŁNA KONTROLA	WSZYSTKO	WSZYSTKO
MODYFIKACJA	WSZYSTKO Z WYJĄTKIEM ZMIANY UPRAWNIEŃ, ZMIANY WŁAŚCICIELA	WSZYSTKO Z WYJĄTKIEM ZMIANY UPRAWNIEŃ, ZMIANY WŁAŚCICIELA
ODCZYT I WYKONANIE	OTWIERANIE I CZYTANIE PLIKÓW, URUCHAMIANIE	PRZEGLĄDANIE PLIKÓW W DANYM KATALOGU, URUCHAMIANIE
WYŚWIETLANIE ZAWARTOŚCI FOLDERU	NIE DOTYCZY	PRZEGLĄDANIE ZAWARTOŚCI FOLDERU
ODCZYT	OTWIERANIE I CZYTANIE PLIKÓW	PRZEGLĄDANIE ZAWARTOŚCI FOLDERU, ODCZYT PLIKÓW
ZAPIS	ZMIANA LUB DOPISYWANIE DANYCH DO PLIKU	TWORZENIE PLIKÓW LUB FOLDERÓW

Uprawnienia specjalne to niestandardowy zestaw uprawnień. Dzięki nim można dostosować uprawnienia dotyczące plików i folderów, wybierając pojedyncze składniki ze standardowych zestawów uprawnień.

Dostajemy się do nich poprzez przycisk ZAAWANSOWANE, a następnie EDYTUJ lub DODAJ

Ćwiczenie

Sprawdź jakie mają uprawnienia do folderu Windows oraz Program Files grupy: użytkownicy, użytkownicy zaawansowani i administratorzy

Dziedziczenie

Są dwa typy uprawnień: jawne - ustawione w wyniku akcji użytkownika związanej z utworzeniem obiektu oraz uprawnienia dziedziczne - propagowane (rozchodzące się) do obiektu z obiektu nadrzędnego

Uprawnienia dziedziczone ułatwiają zarządzanie uprawnieniami i zapewniają spójność uprawień we wszystkich obiektach z wybranego katalogu. Obiekty tworzone w katalogu domyślnie dziedziczą uprawnienia z tego katalogu (np. po utworzeniu folderu Muzyka wszystkie podfoldery i pliki tworzone w folderze Muzyka automatycznie dziedziczą uprawnienia z tego folderu - folder Muzyka ma uprawnienia jawne, podczas gdy wszystkie pliki i podfoldery znajdujące się w nim mają uprawnienia dziedziczne).

UWAGA: Jawne uprawnienia mają wyższy priorytet od uprawnień odziedziczonych (nawet odziedziczonych uprawnień odmów)

Ćwiczenie:

Utwórz na pulpicie folder TEST i przekopiuj do niego kilka plików. Wyłącz dziedziczenie. Ustaw do niego dostęp tak, aby mogli go przeglądać użytkownicy należący do grupy użytkownicy bez możliwości dokonywania w nim jakichkolwiek zmian

Uprawnienia się kumulują - jeżeli ten sam użytkownik jest członkiem kilku grup, uprawnienia wynikowe będą sumą uprawnień poszczególnych grup (np. jeżeli użytkownik należy do grupy mającej prawa do odczytu pliku i jednocześnie do grupy, która ma prawa do zapisu, to wynikowe uprawnienia użytkownika do tego pliku będą do odczytu i zapisu)

Uprawnienia efektywne

Ponieważ użytkownik może należeć do wielu grup, które posiadają różne wpisy uprawnień do danego obiektu (zezwolenia się kumulują, a odmowa ma priorytet) określenie jakie efektywne uprawnienia ma dany użytkownik do obiektu nie jest łatwe

Aby sprawdzić jakie uprawnienia do obiektu posiada dany użytkownik należy sprawdzić jego uprawnienia czynne do tego obiektu.

Klikamy przycisk ZAAWANSOWANE, wybieramy zakładkę CZYNNE UPRAWNIENIA i za pomocą przycisku WYBIERZ określamy dla kogo chcemy sprawdzić uprawnienia

Ćwiczenie:

Utwórz na pulpicie folder TEST1 i przekopiuj do niego kilka plików. Wyłącz dziedziczenie. Ustaw dla konta administrator dostęp do tego folderu tak by mógł go tylko przeglądać.

Czy faktycznie administrator nie może w tym folderze nic zmodyfikować? Dlaczego tak jest? Sprawdź uprawnienia efektywne dla administratora

Nadawanie i odbieranie uprawnień

Dla każdego z praw można ustawić wartość zezwalaj (allow) lub odmów (deny). trybutu Atrybut odmów jest „silniejszy” od atrybutu zezwalaj. Jeśli np. użytkownik należy do dwóch grup i jednej z nich przyznano prawo do odczytu pliku a drugiej odmówiono, wówczas jego efektywne prawo jest odmów

Ćwiczenie

Utwórz folder TEST2 i przekopiuj do niego kilka plików. Wyłącz dziedziczenie. Ustaw dla konta administracyjnego (administrator) odmowę przeglądania i odczytu tego folderu.

Pomimo, że grupa administratorzy ma pełne uprawnienia do katalogu, administrator nie może go przeglądać. Jak myślisz, czy może kopiować do niego pliki? Sprawdź swoje przypuszczenia.

Każdy plik i katalog ma swojego właściciela, który może ustawiać uprawnienia. Aby przejąć plik innego użytkownika (który np. zapomniał hasła do swojego konta, a chce odzyskać pliki) należy mieć uprawnienia do przejmowania własności (standardowo administrator).

Klikamy przycisk ZAAWANSOWANE, wybieramy zakładkę WŁAŚCICIEL i określamy nowego właściciela, pamiętając by ewentualnie (np. gdy jest to folder) zmienić właściciela dla podfolderów.

Ćwiczenie

Zaloguj się na konto cosinus i na pulpicie utwórz plik tekstowy PLIK.TXT. Przeloguj się na konto administracyjne. Sprawdź kto jest właścicielem pliku PLIK.TXT. Zmień właściciela tego pliku (cosinus) na administrator.

Uwaga: podczas kopiowania, przenoszenia uprawnienia mogą ulec zmianie (w zależności od miejsca docelowego, np. ta sama partycja, partycja FAT, inna partycja, inny dysk)

Ćwiczenia - Stosowanie zabezpieczeń NTFS do folderów i plików

1. Utwórz na dysku C: folder DANE, który będzie dostępny dla grupy użytkownicy wraz z wszystkimi podfolderami i plikami (utworzonymi bądź skopiowanymi później) na zasadach tylko do odczytu, a dla grupy administratorzy na pełnych prawach z wyjątkiem zmiany uprawnień. Nikt poza tymi grupami nie powinien mieć dostępu do tego folderu

2. Utwórz na dysku C: folder DANE1, który będzie dostępny dla grupy użytkownicy zaawansowani wraz z wszystkimi podfolderami i plikami (utworzonymi bądź skopiowanymi później) w ten sposób, że będą oni mogli w tym folderze m.in. modyfikować zawartość plików i tworzyć nowe foldery ale nie kasować istniejących. Dla grupy administratorzy ustal prawa do obiektów w tym folderze takie, aby mogli oni w nim wykonywać wszystkie operacje na plikach, ale nie mogli zmienić uprawnień. Nikt poza tymi grupami nie powinien mieć dostępu do tego folderu

3. Utwórz na dysku C: folder DANE2 i skopiuj do niego kilka plików, w tym plik programu Paint oraz utwórz jakiś podkatalog. Ustaw uprawnienia tak aby wszyscy mogli zaglądnąć do tego katalogu, ale nie mogli otworzyć żadnego pliku ani uruchomić programu

4. Utwórz na dysku C: tzw. folder prywatny (to taki folder, do którego ma pełny dostęp tylko określony użytkownik) o nazwie COSINUS dla użytkownika cosinus

5. Ustaw uprawnienia do programu Total Commander tak, aby mogli go uruchamiać tylko użytkownicy zaawansowani i administratorzy

6. Utwórz na dysku C: folder WSPÓLNY, a w nim podfoldery COS1, COS2, COS3. W folderze WSPÓLNY umieść pliki tekstowe o nazwie TELEFONY.TXT, PLIK2.TXT, PLIK3.TXT

Do folderu WSPÓLNY mają mieć dostęp wszyscy użytkownicy, tak aby mogli tylko przeglądać jego zawartość (bez możliwości odczytu zawartości plików), za wyjątkiem pliku TELEFONY.TXT, który wszyscy mogą odczytać.

Do podfolderów COS1, COS2,COS3 mają mieć dostęp użytkownicy zaawansowani, którzy będą mogli tam przeglądać, odczytywać, tworzyć nowe pliki i je modyfikować ale nie będą mogli ich kasować.

Do pdfolderów COS2 i COS3 będzie też mieć dostęp grupa użytkownicy mogąca w nich odczytywać pliki, uruchamiać programy i modyfikować zawartość istniejących plików.

Określ jakie uprawnienia czynne do folderu COS1 mają użytkownicy oraz jakie uprawnienia do pliku TELEFONY.TXT mają administratorzy

7. Utwórz na dysku C: folder TAJNE, do którego wszyscy użytkownicy będą mogli kopiować pliki, ale nie będą mogli zaglądnąć do środka i zobaczyć co w nim się znajduje.

8. Zaloguj się jako użytkownik cosinus i utwórz na dysku C: folder NICZYJE a w nim plik PLIK00.TXT. Usuń wszystkich użytkowników z listy ACL folderu NICZYJE pozostawiając tylko użytkownika cosinus (z prawami do poziomu modyfikacji). Przeloguj się na administratora. Przyjmij, że konto cosinus jest już niedostępne (użytkownik zapomniał hasła, konto zostało skasowane). Twoim zadaniem jest odzyskanie pliku PLIK00.TXT

L

i

s

t

a

ACL

---