Безопасность ресурсов в FAT и NTFS
Разделы FAT не обеспечивают локальной безопасности. Именно по этой причине для серверов Windows NT по умолчанию запрещается локальный вход для всех учетных записей, не обладающих привилегиями администратора или оператора сервера. Однако для разделов FAT могут устанавливаться общие права, связанные с общим доступом к каталогам в сети. Такая защита не помешает пользователю с локальным входом получить доступ к файлам своего компьютера, но, по крайней мере, она предотвращает неразрешенный сетевой доступ даже для файлов, находящихся в разделах FAT.
В отношении безопасности NTFS оказывается предпочтительным вариантом. Разделы NTFS могут запрещать или ограничивать доступ как удаленных, так и локальных пользователей. Следовательно, к защищенным файлам смогут обратиться лишь те пользователи, которым были предоставлены соответствующие права.
Общий доступ к каталогам и система безопасности NTFS зависят от атрибутов безопасности, связанных с общим каталогом или любым объектом файловой системы NTFS (который может представлять собой как каталог, так и отдельный файл). Пользователь может выполнить команду File > Properties или щелкнуть на имени файла правой кнопкой мыши и затем выбрать команду Properties из контекстного меню, а затем просмотреть содержимое вкладок Sharing (только для каталогов) и Security (для файлов и каталогов), показанных на рис. 3.2 и 3.3.
По умолчанию системной группе Everyone предоставляется полный доступ (Full Control) к общим каталогам и защищенным ресурсам. Только сетевой администратор, владелец или пользователь с правом изменения разрешений (Change Pennissions) сможет изменить уровень доступа к общим ресурсам и объектам NTFS.
Права доступа к ресурсам
Один пользователь может принадлежать сразу к нескольким группам Windows NT. Уровень доступа к ресурсам устанавливается для групп или отдельных пользователей. Следовательно, отдельные пользователь или группа могут обладать различными уровнями доступа к конкретному ресурсу. Предположим, пользователь А входит в две группы: в одной ему предоставляется право доступа для чтения (Read), а в другой — право изменения (Change). О том, как разрешаются подобные конфликты, рассказано в последующих разделах.
Рис. 3.2. Для каталогов отображаются обе вкладки (Sharing и Security)
Права доступа к общим каталогам
Создание общего ресурса для каталога позволяет подключаться к нему по сети. Ниже перечислены различные уровни прав доступа к общим каталогам, назначаемые в среде Windows NT:
• Отсутствие доступа (No Access).
Пользователь видит имя каталога, но не может обратиться к его содержимому.
• Право чтения (Read). Пользователь может видеть имя каталога, может читать и выполнять находящиеся в нем файлы, но не может изменять их.
• Право изменения (Change).
Пользователь может читать, записывать и удалять содержимое каталога, но не может изменить права доступа к каталогу или находящимся в нем файлам.
• Полный доступ (Full Control).
Пользователь может читать, записывать и удалять содержимое каталога, удалить сам каталог, изменить права доступа к каталогу и находящимся в нем файлам, если только право доступа к содержимому не было ограничено ранее.
Для пользователей, принадлежащих нескольким группам, действует принцип поглощения. Исключение составляет отсутствие доступа, отменяющее все остальные права. Иначе говоря, если среди этих прав нет отсутствия доступа, то во всех ситуациях применяется право с наименее жесткими ограничениями; если отсутствие доступа есть, оно всегда «побеждает».
Предположим, пользователь А принадлежит группам 1 и 2. Существующий каталог ForEveryone используется под тем же общим именем. Наконец, предположим, что члены группы 1 обладают правом чтения, а члены группы 2 — правом изменения для общего каталога ForEveryone.
В этой ситуации пользователь А обладает правом чтения (как член группы 1) и правом изменения (как член группы 2) к общему каталогу ForEveryone. Поскольку право изменения обладает более широкими возможностями по сравнению с правом чтения, пользователю А для общего каталога ForEveryone предоставляется право изменения.
Предположим, группе 1 будет запрещен доступ к ForEveryone. Даже несмотря на то, что группа 2 наделяет пользователя правом изменения, из-за существующего запрета ему не будет разрешен доступ к содержимому общего каталога ForEveryone.
Права доступа в NTFS
NTFS рассматривает каталоги (папки) и файлы как разнотипные объекты и ведет отдельные (хотя и перекрывающиеся) списки прав доступа для каждого типа. Ниже перечислены права NTFS, назначаемые папкам (соответствующие права для файлов приведены ниже:
• Нет доступа (No Access) (None)(HeT).
• Полный доступ (Full Control) (A11)(A11) (Bce)(Bce).
• Право чтения (Read) (RX)(RX) (чтение)(чтение).
• Право добавления (Add) (WX)(Not Specified) (запись/выпол нение^ Не указано).
• Право добавления и чтения (Add & Read) (RWX)(RX) (чтение/запись/выполнение)(чтение/выполнение).
• Право просмотра (List) (RX)(Not Specified) (чтение/вьшолне- ние)(Не указано).
• Право изменения (Change) (RWXD)(RWXD) (чтение/запись/ выполнение/удаление) (чтение/запись/выполнение/удаление).
Внимание
Обратите внимание на два выражения в скобках, указанные после имени права доступа. Первое выражение относится к самой папке, а второе — ко всем файлам, которые могут быть созданы внутри нее. Например, при полном доступе для папки разрешаются любые действия, однако пользователь с полным доступом к папке также будет обладать полным правом доступа ко всем созданным в ней файлам (если только права доступа к файлу не были изменены его владельцем или администратором). Другими словами, в NTFS файлы и папки по умолчанию наследуют права доступа, установленные для их родительской папки, однако эти права могут быть изменены любым пользователем, которому разрешено изменять права доступа для соответствующих объектов NTFS.
Файлы в NTFS могут обладать следующими правами:
• Полный доступ (Full Control) (All) (Все).
• Нет доступа (No Access) (None) (Нет).
• Право изменения (Change) (RWXD) (чтение/запись/выполнение/удаление).
• Право чтения (Read) (RX) (чтение/выполнение).
Для прав доступа NTFS, как и для прав общих каталогов, действует принцип поглощения. Исключение составляет отсутствие доступа, отменяющее действие всех остальных прав. При сетевом подключении пользователей права NTFS могут вступить в конфликт с правами общих каталогов. В такой ситуации применяется право доступа с наиболее жесткими ограничениями.
Например, в NTFS на вкладке Security пользователю А был предоставлен полный доступ к папке ForEveryone. Однако на вкладке Sharing пользователю А для той же папки было предоставлено право чтения.
Следовательно, если пользователь А попытается подключиться к папке ForEveryone по сети, он будет обладать лишь правом чтения, потому что из двух прав (NTFS и общего каталога) именно право чтения обладает наиболее жесткими ограничениями. Однако, если пользователь А обратится к папке с того компьютера, на котором находятся файлы, ему будет предоставлено право полного доступа. Это объясняется тем, что права доступа общих каталогов действуют лишь для сетевого доступа.
Совет
Для удаленных пользователей применяются как права NTFS, так и права общих каталогов (из которых выбирается право с наиболее жесткими ограничениями). Для локальных пользователей применяются только права NTFS (выбирается право с наименее жесткими ограничениями). Но помните о том, что отсутствие доступа всегда обладает наивысшим приоритетом. Поскольку в Windows NT для NTFS по умолчанию действует право полного доступа, локальный доступ к компьютеру с Windows NT Server обычно разрешается только администраторам и операторам сервера.
