Выполнение индивидуального задания




1.) Создаем в разделе NTFS папку test_folder

Для задания ACL файловых объектов существует графический интерфейс операционной системы. Для этого, выбран в контекстном меню файла пункт "Свойства", необходимо перейти на вкладку "Безопасность".

Если такая вкладка отсутствует, то необходимо выполнить следующие действия

  • Открыть папку "Мой компьютер".
  • В меню «Сервис» выбрать команду «Свойства папки» и перейти на вкладку «Вид».
  • В списке «Дополнительные параметры» снять флаг «Использовать простой общий доступ к файлам (рекомендуется)» и нажать кнопку «ОК».

 

 

 

Рассмотрим права администратора.

 

Открываем окно дополнительных параметров безопасности для созданного каталога.

На вкладке «Разрешения» снимаем флаг наследования. В появившемся окне выбираем пункт «Удалить»

 

То есть если мы не ограничили доступ к папке в целом, мы можем ограничить его к какому-то конкретному файлу.

 

Мы зашли в систему под пользователем «Администратор». Чтобы убедиться, что именно мы являемся владельцем данной папки перейдем на вкладку владелец.

 

 

Далее проверим фактические права текущего пользователя, для этого перейдем на вкладку «Действующие разрешения»

 

2.) Описание структуры ACL для исследуемого объекта в виде схемы списка ACE.

Список ACE для групп «Администраторы», «Пользователи», «Политех»

Рассмотрим следующую ситуацию: пользователь «Студент» находится в группах «Пользователи» и «Политех».

Из представленной выше схемы видно, что ему будут доступны следующие действия:

  • Чтение
  • Запись
  • Чтение и выполнение
  • Список содержимого папки

 

Но может быть такая ситуация, когда ACE для группы противоречит ACE для пользователя, в связи с этим производится вычисление эффективных прав, определяемого на множестве ACE.

 

3.) Описание расчета эффективных прав пользователя:

 

Ø Из всех разрешающих АСЕ для данного пользователя составить разрешенное множество прав, которое может быть пустым множеством.

Ø Из всех запрещающих ACE для данного пользователя составить запрещающее множество прав, которое может быть пустым множеством.

Ø Результирующее множество прав определяется путем вычитания множества запрещенных прав из множества разрешенных.

 

4.) Модификации ACL, изменения в структуре ACL

Так как пользователь «Студент» находится в группах «Пользователи» и «Политех», то если для одной из групп оставить права только на чтение, а другой разрешить запись, то «Студенту» можно будет только просматривать файл, т.к. запрещающие ACE обладают большим приоритетом, чем разрешающие.

 

3.2. Ответы на контрольные вопросы

1.) Если пользователь не является администратором, то он не будет иметь какие-либо права к файлу, если администратор наложит соответствующие запреты на его имя.

2.) Множество допустимых прав – это множество операций, которые определяются для субъектов доступа (например, пользователей, групп) по отношению к объектам доступа (например, файлам, каталогам).

3.) Система безопасности могла бы осуществлять проверку разрешений каждый раз, когда процесс использует объект. Но список ACL состоит из многих элементов, процесс в течение своего существования может иметь доступ ко многим объектам, и количество активных процессов в каждый момент времени также велико. Поэтому проверка выполняется только при каждом открытии, а не при каждом использовании объекта.

4.) Да, администратору можно запретить доступ к какому-либо файлу, но может обойти это ограничение став его владельцем.

Для этого зайдем в систему под именем «студент», создадим папку «от студенда», откроем вкладку безопасность и удалим всех, в том числе группу «Администраторы».

Появится предупреждение:

Отменим наследование на вкладке «Разрешения»

Далее сделаем «студента» владельцем папки, получим предупреждение:

Нажимаем «да»

 

Потом зайдем в систему под именем «Администратор» и попробуем открыть папку «от студента», удедимся, что у администратора нет доступа.

Когда пробуем открыть вкладку «Безопасность» появляется предупреждение

Изменяем параметры аудита, отменив наследование

Теперь администратор имеет полный доступ к папке.

 

 

5.) Изменение владельца файла в ОС Windows

  • Щелкните правой кнопкой значок папки, владельца которой необходимо сменить, и выберите команду Свойства.
  • Откройте вкладку Безопасность.
  • Нажмите кнопку Дополнительно и перейдите на вкладку Владелец.
  • В столбце Имя выделите свое имя пользователя, запись Администратор (если вход в систему был выполнен с помощью учетной записи «Администратор») или группу Администраторы. Чтобы стать владельцем содержимого папки, установите флажок Заменить владельца субконтейнеров и объектов.
  • Нажмите кнопку OК, а после появления сообщения подтверждения смены владельца - кнопку Да.
  • Нажмите кнопку ОК и настройте параметры безопасности для папки и ее содержимого.

Администратор всегда может стать владельцем любого файла.

 

Выводы

Таким образом, список записей ACE в списке ACL должен быть упорядочен должным образом. Стандартный (канонический) порядок – сперва однозначные запреты, затем однозначные допуски, общие (групповые) запреты и групповые допуски. Если канонический порядок не используется, могут произойти непредвиденные запреты или допуски.

 

Важно помнить, что если для пользователя или группы не установлено прав, то доступ запрещен. НО если для пользователя или группы не определен ACL, то это эквивалентно разрешению всех видов доступа.

Права доступа к установленным программам, файлам данных аудита и рабочим каталогам должны быть определены корректно!



Поделиться:




Поиск по сайту

©2015-2024 poisk-ru.ru
Все права принадлежать их авторам. Данный сайт не претендует на авторства, а предоставляет бесплатное использование.
Дата создания страницы: 2016-04-27 Нарушение авторских прав и Нарушение персональных данных


Поиск по сайту: