Лекции по "Администрированию сетей"

Механизм применения разрешений

Каждый файл представляет собой набор атрибутов. Атрибут, который содержит информацию об NTFS-разрешения, называется списком управления доступом (ACL, Access Control List). Структура ACL приведена в табл. Каждая запись в ACL называется элементом управления доступом (ACE, Access Control Entry).

ACL		Идентификаторы безопасности	Разрешения
	ACE1	SID1	Разрешения для SID2
	ACE2	SID1	Разрешения для SID2
	ACE3	SID1	Разрешения для SID3
	…	…	…
	ACEn	SIDn	Разрешения для SIDn

В таблице перечислены  идентификаторы безопасности учетных  записей пользователей, групп или  компьютеров (SID) и соответствующие  разрешения для них.

При входе пользователя в  сеть (при его регистрации в  домене) в текущую сессию пользователя на компьютере контроллер домена пересылает маркер доступа, содержащий SID-ы самого пользователя и групп, членом которых  он является. Когда пользователь пытается выполнить какое-либо действие с  папкой или файлом (и при этом запрашивает определенный вид доступа  к объекту), система сопоставляет идентификаторы безопасности в маркере  доступа пользователя и идентификаторы безопасности, содержащиеся в ACL объекта. При совпадении тех или иных SID-ов пользователю предоставляются соответствующие  разрешения на доступ к папке или  файлу.

Когда администратор изменяет членство пользователя в группах (включает пользователя в новую группу или  удаляет из какой-либо группы), то маркер доступа пользователя при этом автоматически  НЕ изменяется. Для получения нового маркера доступа пользователь должен выйти из системы и снова войти  в нее. Тогда он получит от контроллера  домена новый маркер доступа, отражающий смену членства пользователя в группах

Порядок применения разрешений

Принцип применения NTFS-разрешений на доступ к файлу или папке  тот же, что и для сетевых  разрешений:

• сначала проверяются запреты на какие-либо виды доступа (если есть запреты, то данный вид доступа не разрешается);
• затем проверяется набор разрешений (если есть разные виды разрешений для какого-либо пользователя и групп, в которые входит данный пользователь, то применяется суммарный набор разрешений).

Но для разрешений NTFS схема  немного усложняется. Разрешения применяются  в следующем порядке:

• явные запреты;
• явные разрешения;
• унаследованные запреты;
• унаследованные разрешения.

Если SID пользователя или SID-ы  групп, членом которых является данный пользователь, не указаны ни в явных, ни в унаследованных разрешениях, то доступ пользователю будет запрещен.

Владение папкой или  файлом

Пользователь, создавший папку или файл, является Владельцем данного объекта. Владелец объекта обладает правами изменения NTFS-разрешений для этого объекта, даже если ему запрещены другие виды доступа.

Администратор системы может сменить владельца объекта, выбрав нового владельца из предлагаемого в данном окне списка или из полного списка пользователей (нажав кнопку " Иные пользователи или группы "). Эта возможность предоставлена администраторам для того, чтобы восстановить доступ к объекту в случае утери доступа по причине неправильно назначенных разрешений или удаления учетной записи, имевшей исключительный доступ к данному объекту (например, уволился единственный сотрудник, имевший доступ к файлу, администратор удалил его учетную запись, вследствие этого был полностью потерян доступ к файлу, восстановить доступ можно единственным способом — передача владения файла администратору или новому сотруднику, исполняющему обязанности уволившего сотрудника).

Совместное использование  сетевых разрешений и разрешений NTFS

При доступе по сети к файловым ресурсам, размещенным на томе NTFS, к  пользователю применяется комбинация сетевых разрешений и разрешений NTFS.

При доступе через сеть сначала вычисляются сетевые  разрешения (путем суммирования разрешений для пользователя и групп, в которые  входит пользователь). Затем также  путем суммирования вычисляются  разрешения NTFS. Итоговые действующие  разрешения, предоставляемые к данному  конкретному объекту, будут представлять собой минимум из вычисленных сетевых и NTFS-разрешений.

1. Управление доступом с помощью групп

Группы  пользователей созданы специально для того, чтобы более эффективно управлять доступом к ресурсам. Если назначать права доступа к  каждому ресурсу для каждого  отдельного пользователя, то, во-первых, это очень трудоемкая работа, и  во-вторых, затрудняется отслеживание изменений в правах доступа при  смене каким-либо пользователем  своей должности в подразделении  или переходе в другое подразделение.

Для более  эффективного управления доступом рекомендуется  следующая схема организации  предоставления доступа:

1. Учетные записи пользователей (accounts) включаются в глобальные доменные группы (global groups) в соответствии со штатной структурой компании/организации и выполняемыми обязанностями;
2. Глобальные группы включаются в доменные локальные группы или локальные группы на каком-либо сервере (domain local groups, local groups) в соответствии с требуемыми правами доступа для того или иного ресурса;
3. Соответствующим локальным группам назначаются необходимые разрешения (permissions) к конкретным ресурсам.

Данная  схема по первым буквам используемых объектов получила сокращенное название AGLP ( A ccounts \to G lobal groups \to L ocal groups \to P ermissions). При такой схеме, если пользователь повышается или понижается в должности  или переходит в другое подразделение, то нет необходимости просматривать  все сетевые ресурсы, доступ к  которым необходимо изменить для  данного пользователя. Достаточно изменить соответствующим образом членство пользователя в глобальных группах, и права доступа к сетевым  ресурсам для данного пользователя изменятся автоматически.

Добавим, что  в основном режиме функционирования домена Active Directory (режимы " Windows 2000 основной " или " Windows 2003 ") с появлением вложенности групп и универсальных  групп схема AGLP модифицируется в  схему AGG…GULL…LP.

Аудит доступа к ресурсам

Файловая система NTFS позволяет  осуществлять аудит доступа к файловым ресурсам, т.е. отслеживать и регистрировать события, связанные с получением или неполучением доступа к тому или иному объекту.

Для того, чтобы включить аудит, необходимо выполнить два  действия:

• включить политику аудита доступа к объектам в домене или том ОП, в котором размещен файловый сервер;
• после применения политики включить аудит доступа на самом объекте — папке или файле.

Включать аудит большого количества файловых ресурсов следует с большой осторожностью. При большом количестве пользователей и обрабатываемых ими файлов, если включить аудит доступа к файлам, в журнале безопасности будет создаваться очень много событий. В случае какого-либо инцидента, например, при несанкционированном доступе к закрытой информации, найти нужную запись будет очень трудно. Поэтому, прежде чем включить аудит доступа, его необходимо очень тщательно спланировать. Необходимо определить:

• доступ к какой информации необходимо отслеживать;
• какие виды доступа ( Чтение, Модификация, Удаление, Изменение разрешений и т.д.);
• типы событий ( успешный и неуспешный доступ);
• для каких пользователей необходимо отслеживать доступ;
• как часто будет просматриваться журнал безопасности;
• по какой схеме будут удаляться "старые" события из журнала.

Сжатие и шифрование информации

2. Сжатие информации

Для экономии дискового пространства можно какие-либо папки или файлы  сделать сжатыми. Процесс сжатия выполняется драйвером файловой системы NTFS. При открытии файла в  программе файловая система распаковывает  файл, после внесения изменений в  файл при сохранении на диск файл снова  сжимается. Делается это совершенно прозрачно для пользователя и  не доставляет пользователю никаких  хлопот.

Сжимать целесообразно файлы, которые при сжатии сильно уменьшаются  в размере (например, документы, созданные  программами из пакета MS Office). Не следует  сжимать данные, которые по своей  природе являются сжатыми — например, файлы графических изображений  в формате JPEG, видеофайлы в формате MPEG-4, файлы, упакованные программами-архиваторами (ZIP, RAR, ARJ и другие).

Ни в коем случае не рекомендуется  сжимать папки с файл-серверными базами данных, т.к. такие БД содержат большое количество файлов и при  их совместном использовании многими  пользователями могут возникать  ощутимые задержки, неизбежные при  распаковке открываемых и сжатии сохраняемых файлов.

Шифрование

Системы семейства Windows 2000/XP/2003 и более поздние позволяют  шифровать данные, хранящиеся на томе с системой NTFS.

Шифрование является надежным средством предотвращения несанкционированного доступа к информации, даже если будет похищен компьютер с  этой информацией или жесткий  диск из компьютера. Если данные зашифрованы, то доступ к ним имеет (с небольшим  исключением) только тот пользователь, который выполнил шифрование, независимо от установленных разрешений NTFS. Шифрование производится компонентой " Шифрованная файловая система " (EFS, Encrypted File System), являющейся составной частью файловой системой NTFS.

Процесс шифрования производится по следующей схеме:

• при назначении файлу атрибута " Зашифрованный " драйвер системы EFS генерирует " Ключ шифрования файла " (FEK, File Encryption Key);
• блоки данных файла последовательно шифруются по симметричной схеме (одним из алгоритмов симметричного шифрования, встроенных в систему);
• ключ шифрования файла (FEK) шифруется по асимметричной схеме открытым ключом агента восстановления ( RA, Recovery Agent );
• зашифрованный ключ шифрования файла сохраняется в атрибуте файла, называемом " Поле восстановления данных " ( DRF, Data Recovery Field ).

Поле восстановления данных необходимо для защиты от потери доступа  к зашифрованной информации в  том случае, если будет удалена (вместе с ключом шифрования данных) учетная  запись пользователя, зашифровавшего эти данные. Агент восстановления — это специальная учетная  запись, для которой EFS создает т.н. " сертификат агента восстановления ", в состав которого входят открытый и закрытый ключи этого агента. особенность асимметричного шифрования заключается в том, что для  шифрования и дешифрования данных используются два ключа — одним ключом данные шифруются, другим дешифруются. Открытый ключ агента восстановления доступен любому пользователю, поэтому, если пользователь шифрует данные, то в зашифрованных  файлах всегда присутствует поле восстановления данных. Закрытый ключ агента восстановления доступен только учетной записи этого  агента. Если войти в систему с  учетной записью агента восстановления зашифрованных данных, то при открытии зашифрованного файла сначала расшифровывается закрытым ключом агента восстановления хранящийся в DRF ключ шифрования данных, а затем уже извлеченным ключом шифрования дешифруются сами данные.

По умолчанию агентом  восстановления на каждом отдельно взятом компьютере является локальная учетная  запись Администратор данного компьютера. В масштабах домена можно установить службу сертификатов, сгенерировать  для определенных доменных учетных  записей соответствующие сертификаты, назначить эти учетные записи агентами восстановления (с помощью  групповых политик) и установить эти сертификаты на тех файловых серверах, на которых необходимо шифровать  данные. При использовании в масштабах  корпоративной сети технологии шифрования данных следует предварительно спланировать все эти действия (развертывание  служб сертификатов, выдача и хранение сертификатов, назначение агентов восстановления, процедуры восстановления данных в  случае удаления учетной записи, с  помощью которой данные были зашифрованы).

Кроме того, во многих ситуациях  необходимо также учитывать требования законодательства РФ об использовании  только разрешенных на территории России алгоритмов шифрования данных. В таких  случаях может потребоваться  приобрести соответствующие разрешенные  модули шифрования и встроить их в  систему.

Следует также помнить, что  данные хранятся в зашифрованном  виде только на жестком диске. При  передаче по сети данные передаются с  сервера на ПК пользователя в открытом виде (если не включены политики IPSec).

Квоты

Квоты — это механизм ограничения  доступного пользователям пространства на файловом сервере. Если в файловых хранилищах отсутствует механизм квот, то пользователи очень быстро засоряют доступное дисковое пространство файлами, не имеющими отношения к работе, или различными версиями и копиями  одних и тех же документов.

В системах Windows Server используется механизм квотирования " На том/На пользователя " ( Per volume/Per user ). Т.е нельзя установить квоты на отдельные папки тома или для групп пользователей. Размер использованного пользователем места на диске вычисляется по атрибуту " Владелец файла ".

Дефрагментация

В процессе использования  файловых ресурсов возникает фрагментация дискового пространства. Возникает  она из-за того, что при удалении файлов в образовавшееся свободное  место записываются новые файлы. Если в освободившемся месте новый  файл целиком не помещается, то файловая система выделяет файлу кластеры в другом свободном участке. Считывание такого фрагментированного файла с  диска требует большего времени. При длительном использовании тома/раздела  степень фрагментации увеличивается, производительность службы доступа  к файлам снижается, поэтому время  от времени требуется производить дефрагментацию тома/раздела, которая заключается в том, что кластеры, выделенные файлам, перераспределяются на томе так, чтобы каждый файл занимал смежные кластеры.