تحقیق درباره ايمني NTFS و مجوز (اجازه ورود)

ايمني NTFS و مجوزها (اجازه كاربر خاص براي دستيابي به منابع اشتراكي يا فضايي از ديسك)

-         مفاهيم عمومي NTFS

-         سيستمهاي كنترل دسترسي (ACLS) و ورودي هاي كنترل دسترسي (ACES)

-         گروههاي اجازه كاربري استاندارد

-         اعمال مالكيت و اجازه

-         انتقال اجازه ايستاده نياز به تعيين ندارد

-         انتقال اجازه ديناميك (نيازدارد بهنگام شود) و كنترل انتقال پيشرفته

-         وضوح و دقت اجازه ورود

-         بررسي كارهاي انجام شده توسط سيستم

{راهنماي PC. راهنماي مرجع سيستم هاي و قطعات، درايورهاي هارد ديسك، ساختاريها منطقي هارد ديسك و فايل سيستم ها}

ايمني NTFS و اجازه كاربرد براي دستيابي به منابع اشتراكي

يكي از مهمترين امتيازاتي كه در هنگام انتخاب فايل سيستم NTFS به جاي فايل هاي سيستمي قديمي تر مثل FAT بدست مي آوريد، كنترل وسيعتر بر اين است كه چه كسي مي تواند چه عملياتهايي را روي داده هاي متنوع از طريق فايل سيستم انجام دهد.

FAT در دوره كامپيوترهاي شخصي تك كاربره طراحي شد و واقعا هيچ ايمني درون ساختي يا ويژگيهاي مديريت دسترسي را دارا نيست.

و اين باعث مي شود براي محيط هايي تجاري چند كاربره مناسب نباشد. مي توانيد تصور كنيد كه در محيط تجاري كار مي كنيد كه هر كاربري در شركت آزاد است، كه در بين فايل سيستم ها پرسه بزند و هر سندي را كه پيدا مي كند باز كند؟

اين براي مديريت يك SERVER راه عاقلانه اي نيست! بر خلاف FAT و NTFS محيط امن و كنترل راحتي را بر آنچه كه توسط هر كاربر قابل دسترسي است ارائه مي دهد، تا به تعداد بسيار زيادي از كاربران امكان متصل شدن به يكديگر را بدهد به گونه اي كه هر كدام بتواند تنها به اطلاعات مورد نظر خودش دست پيدا كند.

در اين بخش نگاه دقيقي به ويژگيهاي امنيتي NTFS و چگونگي عملكرد آن خواهيم داشت. با اين بحث كلي از مفاهيم امنيتي NTFS آغاز مي كنيم. سپس اجازه هاي ورود متنوع NTFS و اجازه هاي گروهي را كه مي توانند به اهداف فايل سيستمي متنوع اعمال شوند توضيح مي دهيم.

در رابطه با مالكيت و اينكه چگونه اعمال مي شوند صحبت كرده و همچنين درباره چگونگي انتقال اين اجازه ها  توضيح مي دهيم.

از آنجا كه ويندوز NT و ويندوز 2000 محدوديت متفاوتي را براي كاربران قائل مي شود هر جا كه مناسب است بين مدلهاي ايمني آنها تفاوت قائل مي شويم.

توجه: مسائل اجازه كاربري و ايمني NTFS تا حدي باور نكردني به خصوصيات و جنبه هاي سيستم عامل مربوطه اند و با مسائل مربوط به شبكه بندي ويندوز NT\2000 نيز در تماس اند.

يك بحث كامل از قلمرو هاي (Domain) ويندوز NT يا ويندوز 2000 سرويس هاي دايركتوري، گروهها، فرايندهاي login و غيره بسيارفراتر از دامنه بحث ما از NTFS هست و درباره همه اينها بحث  نخواهيم كرد. بنابر اين، سعي داريم خودمان را به توصيف چگونگي عملكرد ايمني در خود NTFS محدود كنيم حتي باز هم ممكن است زياد به جزئيات سيستم عامل پرداخته باشم.

 من به طور كل ايمني windows NT\2000 را توضيح نخواهم داد، و ممكن است اگر نياز به جزئيات ممكن است اگر نياز به جزئيات بيشتري درباره ايمني سيستم عامل، مديريت كاربري و خصوصيات كنترل و دسترسي داشته باشيد بخواهيد به مرجع وسيعتر از NT\2000 مراجعه كنيد. در واقع NTFS قابليت پيچيده تر شدن را خودش دارد، خصوصا تحت ويندوز 2000 با محيط هاي ايمني وسيعتر و پيچيده ترش اگر شما مي خواهيد هم وروديها و خروجيهاي اجازه هاي كنترل كننده را بشناسيد بايد به يك مرجع سيستم عامل ويندوز NT يا ويندوز 2000 مراجعه كنيد.

مفاهيم عمومي ايمني NTFS

ايمني NTFS فقط در واقع بخشي از يك تصوير بزرگتر است. اگر بگوئيم يكي از مهمترين جوانب سيستم عامل ويندوز NT، 2000است، اغراق نكرده ايم.

ايمني كه شامل كنترل دسترسي به سيستم و منابع مختلف آن است، موضوعي است كه در هر سيستم 2000يا NT مورد توجه بسيار واقع مي شود. مديريت مسائل ايمني مثل account كاربرد گروهها بخش بزرگي از حرفه هر مجري سيستم 2000 يا ويندوز NT است.

ايمني در NTFS مثل ايمني در خود سيستم هاي عامل 2000 يا ويندوز NT، حول و حوش مفهوم يكسوي احقاق حق به كاربران خاص يا گروههاي كاربري مي چرخد. يك شبكه كه شامل سرور ويندوز NT يا ويندوز 2000 است را در نظر بگيريد كه ماشين هاي پردازشگر متفاوتي در يك شبكه به آن متصل اند. هر كاربري كه پشت يكي از اين ماشين هاي پردازشگر (كامپيوتر) مي نشيند مي تواند به سرور متصل شود، اما بايد براي دسترسي به هر يك از اين منابع كه شامل حجم هايي از NTFS  مي باشد به سرور login شود. در واقع با فرض اينكه دستگاه سرور پيكر بندي مناسب شده است، كسي كه از خود دستگاه سرور به طور مستقيم استفاده مي كند هم بايد ثبت (log) شود.

مدير سرور براي هر كس كه از شبكه استفاده مي كند يك account كاربري مي گذرد.

Account هاي گروهي نيز كه به آنها ليست كاربران فردي هم اضافه شده است را معين مي كند. اين گروههاي حقوقي را به چند كاربر كه در چيزي مشتركند مي دهد، مثلا ممكن است همه آنها در يك بخش يا زير مجموعه سازمان باشند. كسي كه در شبكه account كاربري ندارد مي تواند از يك account مهمان استفاده كند، ولي به دلايل واضحي حقوقي كه به اين كاربر تعلق مي گيرد بسيار محدود و ناچيز است. اگر كسي حتي  كلمه رمز account مهمان را نداشته باشد خيلي زود در مي يابد كه نمي تواند هيچ كاري روي سرور انجام دهد.

حقوق دسترسي براي فايل ها و دايركتوريهاي روي حجم هاي NTFS بر اساس همين آكانتهاي كاربري يا گروهي تعيين مي شود. وقتي كاربري به يك شبكه ويندوز NT يا 2000 وارد مي شود. اكانتي كه استفاده مي شود كليدي است به سوي آنچه كه شخص مي خواهد دست يابد و اينها شامل اهداف NTFS است. سيستم با ديدن اسم account مورد استفاده براي login شدن در شبكه، تشخيص مي دهد كه آن شخص چه كسي است و عضو كدام گروههاست و بر همين مبنا حقوقي را قائل مي شود. كاربر مي تواند همزمان عضو چند گروه باشد (درست مثل «زندگي واقعي») چندين گروه از پيش تعريف شده هم توسط پيش فرض سيستم معين شده است كه حقوق دسترسي خاصي دارند. يكي از اينها گروه مجريان است كه اعضايش به بسياري از چيزها دسترسي دارند. گروههاي ديگري كه معين    شده اند بستگي به نقشي دارند كه كامپيوتر بازي مي كند: مثلا آيا كامپيوتر يك كنترل كننده(domain) يا قلمرو است يا خير. (اينجا كم كم داريم از NTFS به سمت عموميت هاي NT/2000 و شبكه داري منحرف مي شويم. پس تصميم دارم متوقف شوم)

به عنوان مثال يك شركت كوچك 20 نفره را با سروري كه شامل اطلاعات متنوعي است در نظر بگيريد ممكن است روي درايو D يك پوشه باشد كه موسوم به D:\Budget باشد كه شامل اطلاعات بودجه بندي كمپاني است. اينها اطلاعات حساسي هستند كه فقط بايد در دسترس رئيس و معاون رئيس و مشاورين اجرائي آنها باشد. تحت NTFS، با قائل شدن اجازه هاي خاص، دستيابي به آن پوشه، فقط براي account آن اشخاص راحت است.

در واقع، مرتب كردن مجوزهاي پوشه راحت است، يعني، رئيس و معاون مي توانند فايل هاي اين پوشه را بخوانند يا تغيير دهند، اما دستيار فقط مي تواند فايل ها را بخواند و از دسترسي بقيه اعضاي شركت، به راحتي ممانعت مي شود. بحث كاملي از چگونگي عملكرد اجازه ها در صفحات توضيح دهنده مجوز NTFS و گروههاي مجوز استاندارد آورده شده است.

مفهوم مهم ديگر در ايمني NTFS وجود دارد: مالكيت شئ، انتقال اجازه و بررسي كارهاي انجام شده توسط سيستم. مالكيت يك ويژگي خاص است كه براي مقاصد NTFS به مالكين فايل ها اين توانايي را مي دهد كه اجازه ورود را به ديگران منتقل كند.

اين ويژگي انتقال مجوز اين امكان را مي دهد كه مجوز به طور خودكار به گروههايي از اشياء و مقاصد منتقل شود. همچنين باعث مي شود مجوزها به طور اتومات براي فايل هاي جديدي كه از طريق ساختار دايركتوري قبلي ايجاد شده اند بكار روند.

NTFS 5.0 بركنترل جريان سرور و كاربران در رابطه با انتقال مجوز افزوده است. در پايان بررسي كارهاي انجام شده توسط سيستم به مجريان اين امكان را مي دهد كه بر تغييرات انجام شده در فايلها يا دايركتوريها نظارت داشته باشند.

ليستهاي كنترل دسترس (ACLS) و ورديهاي كنترل دسترسي (ACES)

مديريت ايمني و دسترسي به موضوعات NTFS از همان جايي شروع مي شود كه هر چيز ديگري در NTFS شروع مي شود : در جدول فايل اصلي (MFT). ركورد MFT براي هر فايل و دايركتوري روي حجمي از NTFS داراي يك نشان توضيح دهنده ايمني است (SD)‌. نام اين نشانه نسبتا روشن مي كند كه شامل چه چيزي است: اطلاعاتي كه مربوط به ايمني است و مجوزهايي براي مقاصد مرتبط.

يكي از مهمترين عناصر در توضيح دهنده ايمني براي هر منظوري سري ليستهاي آن است كه نشان مي دهد كدام كاربران مي توانند به آن منظور (شي) دست پيدا كنند و به چه طريقي. اينها ليستهاي كنترل دسترسي يا ACLS ناميده مي شوند. هر چيزي در پارتيشن NTFS دو نوع ليست كنترل متفاوت دارد.

-              ليست كنترل دسترسي سيستم (SACL) اين ACL توسط سيستم اداره شده و براي كنترل تلاشهاي انجام شده براي دستيابي به فايل استفاده مي شود.

-              ليست كنترل دسترسي اختياري (DACL): اين يك ACL واقعي است. اين چيزي است كه بيشتر مردم با ان سروكار دارند، زيرا اين جايي است كه مجوزها ذخيره مي شود و كنترل مي كند كدام كاربر و گروههاي كاربري اجازه دارند به چه نوع فايل هايي دسترسي پيدا كنند. اگر شنيديد كسي به تنهايي سراغ ACL فايل رفت منظور همين است.

هر ورودي در يك ACL و روي كنترل دسترسي يا ACE ناميده مي شود. هر ACE شامل يك لگ ID‌است  كه كاربر يا گروهي كه ACE براي آن بكار مي رود را مشخص كرده و همچنين شامل اطلاعاتي است درباره محيط هاي اجازه خاص كه براي آن كاربر يا گروه بكار مي رود.

بسياري از ACE ها مي توانند در يك ليست قرار بگيرند كه مي توانند دسترسي يا عدم دسترسي بسياري از گونه ها را براي كاربران يا گروههاي متفاوت مشخص كنند.

بعضي گروهها معناي خاص دارند مثل گروه خود آشكار كه گروه «همگان» ناميده مي شود.

ACL براي هر فايلي تركيبي از محيط هاي كنترل دستابي متفاوتي است كه در ACE هاي متفاوت موجود است. يك فايل معمولي ممكن است تعداد متفاوتي اجازه ورود براي كاربران متفاوت يا گروههاي كاربري داشته باشد. در واقع، بعضي مجوزها ممكن است با يكديگر متناقض داشته باشند، زيرا كاربران مي توانند در بيشتر از يك گروه عضو باشند، و گروهها هم اجازه هاي متفاوتي داشته باشند. زيرا كاربران مي توانند در بيشتر از يك گروه عضو باشند وقتي يك چيز ارزيابي      مي شود، يك فرآيند توانايي نمايش (resolutioon) اجازه اتفاق مي افتد كه مشخص مي كند كه هم مجوزها ارجح هستند و بنابر اين، با هر تلاش براي دستيابي آيا بايد موافقت شود يا مخالفت گردد.

ACL همچنين تحت تأثير روش انتقالي هستند كه توسط سيستم معادل انجام شده است.

Window NT از يك روش ثابت انتقالي استفاده مي كند كه ACL براي فايل جديد را از همان ACL پوشه مادر (parent folder) مي گيرد. ويندوز 2000 از روش انتقال پيچيده تري استفاده      مي كند كه كنترل بيشتري برچگونگي عملكرد بر يك فايل ايجاد مي كند و اين امكان را مي دهد كه زير پوشه ها (sub folder) و فايل ها به طور اتومات ACL هاي خود را زمانيكه ACL پوشه اصلي تغيير مي كند در كل كنترل بهتري را ايجاد مي كنند اين كارايي پيشرفته تر مي تواند براي نصب ويندوز NT 4  نيز با استفاده از pack 4 service  و مديريت پيكربندي ايمني (SCM) بكار برود.

مجوزهاي NTFS                                            NTFES PERMISSIONS

ليستهاي كنترل دسترسي (ACLS) براي اين كار مي روند كه نشان دهند كدام كاربران يا گروههاي كاربري مجازند تا به فايل هاي مختلف و پوشه هايي كه در حجم NTFS وجود دارند دست پيدا كنند. اين ACL ها شامل وروديهايي هستند كه مشخص مي كند هر كاربر يا گروهي چه حقي نسبت به فايل يا مسئله مورد بحث دارد.

وقتي ويندوز NT  ساخته شد، شش نوع اجازه ورود مختلف براي اهداف و فايلهاي NTFS ايجاد شده. هر نوع اجازه ورودي نوع متفاوتي از دسترسي به يك فايل را كنترل مي كند و هر كدام يك حرف اختصاري دارند. اين انواع اجازه ورود بعضي اوقات «اجازه هاي خاص» ناميده مي شوند تا آنها را از گروههاي اجازه استاندارد كه براي سطح بالاتري بكار مي رود متمايز كند.

در بعضي موارد، معناي اجازه ورود براي فايل ها و دايركتوريها (پوشه ها) يكي است، و در بعضي موارد بسته به اين كه اجازه براي پوشه بكار مي رود يا فايل، اين معنا متفاوت است.

توجه: يك نوع اجازه ورود ديگر نيز وجود دارد: و آن پاك كردن زير پوشه ها و فايل هاست. اين اجازه، وقتي براي يك پوشه مادر (پاوشه اصلي) بكار مي رود به كاربر اين اجازه را مي دهد كه فايل ها و زير پوشه ها را پاك كنند، حتي اگر اجازه ورود به آن فايل ها و زير پوشه ها را پاك نكرده باشند.

تحت ويندوز NT اين نوع اجازه منحصرا نمي تواند براي پوشه ها بكار رود و فقط به عنوان بخشي از گروه اجازه استاندارد « تمام كنترل» موجود است.

تا زمانيكه ويندوز 2000 آمد، اين 6 اجازه ورود اوليه پائين ترين سطحي بودند كه يك كاربر NTFS مي توانست به آن دست پيدا كند. زمانيكه ويندوز 2000 معرفي شد، اين 6 نوع اجازه ورود به 13 اجازه ورود مختلف تجزيه شدند كه براي انواع مختلف دستيابي «كنترل سازگارتري» ايجاد كند. در حاليكه بعضي مردم معتقدند اين تجزيه، بخشي از ويندوز 2000 بوده، ولي در واقع اين 13 اجازه هميشه در NTFS حضور داشته اند.

فقط تحت ويندوز NT آنها زير آن 6 نوع اجازه ورود مستقر بودند. جدول زير اجزاء مختلف اجازه ورود را ليست كرده و نشان مي دهد كه چگونه با آن 6 نوع اجازه ويندوز NT مرتبط اند: