Средства разграничения доступа в ОС Windows

Права доступа к файлам. NTFS

При разработке систем Windows большое внимание уделялось средствам разграничения доступа. Эти средства совершенствовались с каждой новой ОС.

Система Windows XP имеет развитые средства ограничения доступа.

Возможность задания разных прав доступа к файлам для разных пользователей связана с использованием файловой системы NTFS.

Файловая система NTFS обладает характеристиками защищённости, поддерживая контроль доступа к данным и привилегии владельца, играющие исключительно важную роль в обеспечении целостности жизненно важных конфиденциальных данных. Папки и файлы NTFS могут иметь назначенные им права доступа вне зависимости от того, являются они общими или нет. NTFS позволяет назначать права доступа к отдельным файлам. Однако, если файл будет скопирован из раздела NTFS в раздел FAT, все права доступа и другие уникальные атрибуты, присущие NTFS, будут утрачены. NTFS обеспечивает такое сочетание производительности, надёжности и эффективности, какого невозможно добиться с помощью FAT.

Основными целями разработки NTFS являлись обеспечение скоростного выполнения стандартных операций над файлами (включая чтение, запись) и предоставление дополнительных возможностей, включая сжатие и восстановление повреждённых файлов. Помимо разграничения доступа, NTFS поддерживает шифрование файлов с помощью EFS (Encrypting File System).

Для каждого пользователя или группы можно назначить или запретить стандартные разрешения для файлов: полный доступ (full control), изменение (modyfy), чтение и выполнение (read & execute), чтение (read) и запись (write). Для установок разрешения или отказа служат флажки Разрешить (Allow) и Запретить (Deny).

Для папок разрешения устанавливается аналогичным образом.

Учетные записи

Чтобы "понять", имеет ли определённый пользователь права доступа по отношению к конкретному объекту, система должна каким - либо образом идентифицировать каждого пользователя. Для этого используются учётные записи пользователей и групп. Создание учётных записей занимает важное место в обеспечении безопасности Windows XP, поскольку, назначая им права доступа, администратор получает возможность ограничить пользователей в доступе к конфиденциальной информации, разрешать или запрещать выполнение определённых действий. Для регистрации пользователя в системе Windows XP в обязательном порядке требуется наличие пользовательской учётной записи (user account). Причём пользователь идентифицируется не по входному имени и паролю (login/password), а по идентификатору безопасности (Security ID, SID). Большинство идентификаторов безопасности являются уникальными для каждого пользователя (в том числе и для пользовательских учётных записей в разных системах). Исключение составляют только так называемые "хорошо известные" SID, например, такие как встроенная группа Everyone (Все).

Сразу после установки системы Windows XP автоматически создаются встроенные учётные записи:

·        Administrator (Администратор) - используется при установке рабочей станции или сервера, являющегося членом домена. Эта запись не может быть уничтожена, блокирована или удалена из группы Администратора

·        Guest (Гость) - учётная запись для регистрации в системе без специально созданной учётной записи. она не требует ввода пароля и по умолчанию заблокирована

·        HepAssistaint - используется при работе средства Remote Assistance; по умолчанию заблокирована

·        Support - 38894500 – зарезервирована для поддержки справочной службы Microsoft; по умолчанию заблокирована

Автоматически создаются также встроенные группы:

·        Administrators (Администраторы) - обладают полным доступом ко всем ресурсам системы

·        BackupOperations (Операторы архива) - могут восстанавливать и архивировать файлы

·        Guests (Гости) - могут зарегистрироваться в системе и получать ограниченные права

·        PowerUsers (Опытные пользователи) - обладают большими правами, чем члены групп Guests и Users

·        Replicators (Репликатор) - специальная группа для работы в сети

·        Users (Пользователи) - могут выполнять большинство пользовательских функций

·        А также:

·        Network Configuration Operatons (Операторы настройки сети),

·        Remote Desktop Users (Удаление пользователей рабочего стола),

·        Help Services Group (Группа Служб Поддержки).

В процессе работы в системе могут создаваться новые группы и пользовательские учётные записи; может меняться  членство пользователей в локальных группах.

Аудит

Система Windows XP имеет также средства аудита. После включения аудита система начинает отслеживать события, связанные с безопасностью. Полученную в результате информацию (журнал Security) можно просмотреть с помощью специальной программы. В процессе настройки аудита необходимо указать, какие события должны отслеживаться. Например, регистрация в системе, попытка создания объекта файловой системы, получения к нему доступа или удаления. Информация о них помещается в журнал событий. Каждая запись журнала хранит данные о типе выполняемого действия, пользователе, выполнившем его, а также дате и времени действия. Аудит позволяет отслеживать как успешные, так и неудачные попытки выполнения определённого действия.

Следует учитывать, что аудит несколько снижает производительность системы, поэтому по умолчанию он отключён.

Таким образом система Windows XP имеет развитые средства управления доступом, что обеспечивает безопасность информации, хранящейся на компьютере.