Гордеев А.В. Операционные системы (2-е изд., 2004) (1186250), страница 52
Текст из файла (страница 52)
Это очень важное обстояельство, и при работе с разрешениями NTFS не следует о нем забывать.Windows 2000/XP вместо ста1Гдартного разрешения No Access устанавливается запрет (deny) насоответствующее разрешение.196Глава 6. Файловые системыМы уже упоминали про списки ACL. Они могут быть у многих объектов. В NTFSу каждого файлового объекта на самом деле имеется два списка. Первый называется DACL (Discretionary ACL— дискреционный список управления доступом)Именно этот список описывает ограничения на доступ к файловому объекту, перечисляя группы и пользователей и указывая те операции, которые разрешены изапрещены.
Этот список может изменить любой пользователь, имеющий разрешение на изменение разрешений (change permissions) для данного файлового объекта. Такое разрешение обычно обозначается буквой Р (от permissions — разрешения).Второй список называется SACL (System ACL — системный список управлениядоступом).
Этот список предназначен для аудита, и его могут составлять и редактировать только администраторы системы. Изначально списки SACL пусты, но ихможно сформировать. В зависимости от того, успех или отказ в той или иной операции над файловым объектом необходимо проконтролировать, администраторформирует список SACL Элементами такого списка являются записи типа:SI0 - разрешение - успех/отказЗдесь аббревиатура SID означает Security Identifier (идентификатор безопасности).
Напомним, что во многих операционных системах для аутентификации и авторизации пользователей используются учетные записи (см. главы 1 и 11). Учетныезаписи бывают групповыми и пользовательскими. В системах класса Windows NT(2000/ХР) каждой учетной записи поставлен в однозначное соответствие ее идентификатор (в данном случае — SID).Обрабатываться элементы списка SACL будут только в том случае, если в системевключен аудит на доступ к файловым объектам. Если в системе разрешен аудитфайловых операций, то операционная система при их выполнении сравнивает записи в SACL с запросом и с записями в списке DACL и фиксирует в журналебезопасности соответствующие события.Нас, прежде всего, должны интересовать списки DACL, которые и определяютразрешения на доступ к файлам и каталогам.Каждый файловый объект имеет так называемую маску доступа (access mask).Маска доступа включает стандартные (standard), специфичные (specific) и родовые (generic) права доступа.
Мы называем их здесь правами, чтобы отличать от техразрешений, которые перечисляются в пользовательском интерфейсе,а Стандартные права доступа определяют операции, которые являются общими для всех защищенных объектов. Право Read_Control позволяет прочитатьинформацию из дескриптора безопасности объекта. Право Write_DAC даетвозможность изменить дискреционный список прав доступа. Право Write J3wnerпозволяет записать (изменить) владельца объекта.
Право Synchronize даевозможность использовать объект для синхронизации. Наконец, есть право Delete, которое позволяет удалить объект.• Специфичные права доступа указывают основные права, характерные ДЛфайловых объектов. Так, например, специфичные права Read_Data, Write_Daи Append_Data позволяют прочитать данные, записать информацию и, соответственно, добавить данные к файлу. Права Read_Attributes, Write_Attributesфайловая система NTFS197и Read_EA, Write_EA позволяют, соответственно, прочитать или записать атрибуты или расширенные атрибуты файла или каталога.
Наконец, такоеспецифичное право доступа, как Execute, позволяет запустить файл на выполнение.• Родовые права доступа используются системой; они определяют комбинации стандартных и специфичных прав. Например, родовое право доступа Generic_Read, примененное к файлу, включает в себя следующие специфичные и стандартные права: Read_Control, File_Read_Data, File_Read_Attributes,File_Read_EA, Synchronize.На основе рассмотренных выше прав доступа, которые используются при программировании, для пользователей, работающих с файлами, создан механизм разрешений.
Дело в том, что управлять доступом пользователей к файлам и каталогамна основе маски доступа, то есть путем указания соответствующих битов, неудобно. Поэтому для практического администрирования применяются разрешенияNTFS, которые позволяют скрыть от пользователя низкоуровневый механизм правдоступа.Поскольку операционные системы Windows 2000/XP нынче становятся основными для персональных компьютеров, а в дисциплинах учебного плана многие оченьважные вопросы, касающиеся практической работы в этих системах, к сожалению,не изучаются, мы изложим не только основные теоретические вопросы работы сразрешениями NTFS, но и осветим некоторые детали интерфейса.Итак, разрешения NTFS по-разному представлены в операционных системах Windows NT 4.0 и семействе систем Windows 2000/XP. Отличия эти, прежде всего,касаются интерфейса, то есть программа Проводник (Explorer) по-разному отображает те разрешения, которые на самом деле присвоены файловому объекту ввиде разрешений доступа и обрабатываются на программном уровне.
Разрешенияв Windows 2000/XP ближе к тем специфичным, стандартным и родовым правамдоступа, о которых мы говорили выше, однако для управления доступом к файламони не так удобны, как разрешения Windows NT 4.0.Для начала рассмотрим механизм разрешений NTFS для систем Windows NT 4.0.Во многих отношениях он является более простым и, соответственно, более понятным.Разрешения NTFS в Windows NT 4.0В NTFS для Windows NT 4.0 разрешения на доступ к файлам и каталогам бываютиндивидуальными, стандартными и специальными.индивидуальные разрешения. Под индивидуальными разрешениями понимаютнабор прав, позволяющий предоставлять пользователю доступ того или иного типа.& Windows NT 4.0 этих разрешений всего шесть: Read (чтение), Write (запись),execute (выполнение), Delete (удаление), Change Permissions (смена разрешений) иake Ownership (смена владельца).
В табл. 6.8 описаны разрешенные пользователю°перации с файлом или каталогом при предоставлении одного из индивидуальНЬ1ХРазрешений NTFS на файловый объект.198Глава 6. Файловые системщТаблица 6 . 8 . Индивидуальные разрешения на файлы и каталогиИндивидуальноеразрешение NTFSРазрешенные операциис каталогомРазрешенные операциис файломЧтение (R — Read)Просмотр имен каталога,файлов в нем, разрешенийна доступ к нему, атрибутовкаталога и сведенийо его владельцеПросмотр содержимого файла,разрешений на доступ к нему, егоатрибутов и сведений о еговладельцеЗапись (W — Write)Добавление в каталог файлови папок; изменение атрибутовкаталога; просмотр атрибутовкаталога, сведений о владельцеи разрешений на доступ к немуПросмотр разрешений на доступк файлу и сведений о владельце;изменение атрибутов файла;изменение и добавление данныхфайлаВыполнение(X — execute)Просмотр атрибутов каталога;изменения во вложенных папках;просмотр разрешений на доступк каталогу и сведенийо его владельцеПросмотр разрешений на доступк файлу, его атрибутов и сведенийо его владельце; запуск файла(если он является исполняемым)Удаление (D — Delete)Удаление каталогаУдаление файлаСмена разрешений(Р — changePermissions)Изменение разрешенийна доступ к каталогуИзменение разрешенийна доступ к файлуСмена владельца(О — take Ownership)Назначение себя владельцемкаталогаНазначение себя владельцемфайлаИндивидуальные разрешения по отдельности дают весьма ограниченные возможности на доступ к файлам и каталогам и управление ими в разделах NTFS.
Обычно же для выполнения над файлами или папками действий определенного уровнятребуются наборы индивидуальных разрешений. Такие наборы в файловой системе NTFS называются стандартными разрешениями. Именно они доступны в спискеType of Access (Тип доступа) диалоговых окон File Permissions и Directory Permissionsпрограммы Explorer (Проводник) в Windows NT.Стандартные разрешения.
Для того чтобы не использовать каждый раз сочетанияиндивидуальных разрешений, введены так называемые стандартные разрешенияNTFS, которыми все и пользуются в большинстве случаев. Они представляют собой наиболее применяемые (с точки зрения разработчиков Microsoft) комбинациииндивидуальных разрешений. Одновременное назначение нескольких индивидуальных разрешений для файла или каталога значительно упрощает администрирование.Приведем таблицу стандартных разрешений на файлы и каталоги системе N ГгЬ(табл.
6.9). В таблице перечислены стандартные разрешения для папок и указанысоответствующие им индивидуальные разрешения NTFS.Теперь поясним эти разрешения. Далее первыми в скобках записаны разрешенна каталог, вторыми — разрешения на файлы в этом каталоге.• List (RX, разрешения не указаны) - просмотр. Пользователь может только пр<^смотреть содержимое папки (список файлов и вложенных папок) И пере199Файловая с и с т е м а NTFSти во вложенную папку, но не может получить доступ к новым файлам, созданным в этой папке.п Add (WX, разрешения не указаны) — добавление.
Пользователь может создатьв папке новые файлы и вложенные папки, но не может просмотреть ее текущее содержимое.р Add & Read (RWX, RX) — чтение и запись. Пользователь может создавать в папкеновые файлы или вложенные папки, читать содержимое самой папки и содержащихся в ней файлов и вложенных папок, а также запускать приложения, которые находятся в этой папке, но не может изменить содержимоефайлов в этой папке.• Change (RWXD, RWXD) — изменение.
Пользователь может прочитать, создавать иудалять файлы и вложенные папки, а также запускать находящиеся в этойпапке приложения.Q Full Control (все разрешения, все разрешения) — полный доступ. Пользователь может читать, создавать и изменять файлы и вложенные папки, изменять разрешения на папку и файлы внутри нее, а также стать владельцем папки исодержащихся в ней файлов.Таблица 6 . 9 . Стандартные разрешения на файлы и каталогиСтандартные разрешенияКомбинации индивидуальных разрешенийКаталогиФайлыNo AccessНет доступаНет разрешенийНет разрешенийListПросмотр(RX)Не указаноReadЧтение(RX)(RX)AddДобавление(WX)Не указаноAdd & ReadЧтение и запись(RWX)(RX)ChangeИзменение(RWXD)(RWXD)Full ControlПолный доступВсе разрешенияВсе разрешенияРазрешение No Access (нет доступа) является самым сильным в том плане, что онозапрещает любой доступ к файлу или папке, даже если пользователь является членом группы, которой дано разрешение на доступ.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
