بخشی از مقاله
ايمني NTFS و مجوز (اجازه ورود)
ايمني NTFS و مجوزها (اجازه كاربر خاص براي دستيابي به منابع اشتراكي يا فضايي از ديسك)
- مفاهيم عمومي NTFS
- سيستمهاي كنترل دسترسي (ACLS) و ورودي هاي كنترل دسترسي (ACES)
- گروههاي اجازه كاربري استاندارد
- اعمال مالكيت و اجازه
- انتقال اجازه ايستاده نياز به تعيين ندارد
- انتقال اجازه ديناميك (نيازدارد بهنگام شود) و كنترل انتقال پيشرفته
- وضوح و دقت اجازه ورود
- بررسي كارهاي انجام شده توسط سيستم
{راهنماي PC. راهنماي مرجع سيستم هاي و قطعات، درايورهاي هارد ديسك، ساختاريها منطقي هارد ديسك و فايل سيستم ها}
ايمني NTFS و اجازه كاربرد براي دستيابي به منابع اشتراكي
يكي از مهمترين امتيازاتي كه در هنگام انتخاب فايل سيستم NTFS به جاي فايل هاي سيستمي قديمي تر مثل FAT بدست مي آوريد، كنترل وسيعتر بر اين است كه چه كسي مي تواند چه عملياتهايي را روي داده هاي متنوع از طريق فايل سيستم انجام دهد.
FAT در دوره كامپيوترهاي شخصي تك كاربره طراحي شد و واقعا هيچ ايمني درون ساختي يا ويژگيهاي مديريت دسترسي را دارا نيست.
و اين باعث مي شود براي محيط هايي تجاري چند كاربره مناسب نباشد. مي توانيد تصور كنيد كه در محيط تجاري كار مي كنيد كه هر كاربري در شركت آزاد است، كه در بين فايل سيستم ها پرسه بزند و هر سندي را كه پيدا مي كند باز كند؟
اين براي مديريت يك SERVER راه عاقلانه اي نيست! بر خلاف FAT و NTFS محيط امن و كنترل راحتي را بر آنچه كه توسط هر كاربر قابل دسترسي است ارائه مي دهد، تا به تعداد بسيار زيادي از كاربران امكان متصل شدن به يكديگر را بدهد به گونه اي كه هر كدام بتواند تنها به اطلاعات مورد نظر خودش دست پيدا كند.
در اين بخش نگاه دقيقي به ويژگيهاي امنيتي NTFS و چگونگي عملكرد آن خواهيم داشت. با اين بحث كلي از مفاهيم امنيتي NTFS آغاز مي كنيم. سپس اجازه هاي ورود متنوع NTFS و اجازه هاي گروهي را كه مي توانند به اهداف فايل سيستمي متنوع اعمال شوند توضيح مي دهيم.
در رابطه با مالكيت و اينكه چگونه اعمال مي شوند صحبت كرده و همچنين درباره چگونگي انتقال اين اجازه ها توضيح مي دهيم.
از آنجا كه ويندوز NT و ويندوز 2000 محدوديت متفاوتي را براي كاربران قائل مي شود هر جا كه مناسب است بين مدلهاي ايمني آنها تفاوت قائل مي شويم.
توجه: مسائل اجازه كاربري و ايمني NTFS تا حدي باور نكردني به خصوصيات و جنبه هاي سيستم عامل مربوطه اند و با مسائل مربوط به شبكه بندي ويندوز NT\2000 نيز در تماس اند.
يك بحث كامل از قلمرو هاي (Domain) ويندوز NT يا ويندوز 2000 سرويس هاي دايركتوري، گروهها، فرايندهاي login و غيره بسيارفراتر از دامنه بحث ما از NTFS هست و درباره همه اينها بحث نخواهيم كرد. بنابر اين، سعي داريم خودمان را به توصيف چگونگي عملكرد ايمني در خود NTFS محدود كنيم حتي باز هم ممكن است زياد به جزئيات سيستم عامل پرداخته باشم.
من به طور كل ايمني windows NT\2000 را توضيح نخواهم داد، و ممكن است اگر نياز به جزئيات ممكن است اگر نياز به جزئيات بيشتري درباره ايمني سيستم عامل، مديريت كاربري و خصوصيات كنترل و دسترسي داشته باشيد بخواهيد به مرجع وسيعتر از NT\2000 مراجعه كنيد.
در واقع NTFS قابليت پيچيده تر شدن را خودش دارد، خصوصا تحت ويندوز 2000 با محيط هاي ايمني وسيعتر و پيچيده ترش اگر شما مي خواهيد هم وروديها و خروجيهاي اجازه هاي كنترل كننده را بشناسيد بايد به يك مرجع سيستم عامل ويندوز NT يا ويندوز 2000 مراجعه كنيد.
مفاهيم عمومي ايمني NTFS
ايمني NTFS فقط در واقع بخشي از يك تصوير بزرگتر است. اگر بگوئيم يكي از مهمترين جوانب سيستم عامل ويندوز NT، 2000 است، اغراق نكرده ايم.
ايمني كه شامل كنترل دسترسي به سيستم و منابع مختلف آن است، موضوعي است كه در هر سيستم 2000 يا NT مورد توجه بسيار واقع مي شود. مديريت مسائل ايمني مثل account كاربرد گروهها بخش بزرگي از حرفه هر مجري سيستم 2000 يا ويندوز NT است.
ايمني در NTFS مثل ايمني در خود سيستم هاي عامل 2000 يا ويندوز NT، حول و حوش مفهوم يكسوي احقاق حق به كاربران خاص يا گروههاي كاربري مي چرخد. يك شبكه كه شامل سرور ويندوز NT يا ويندوز 2000 است را در نظر بگيريد كه ماشين هاي پردازشگر متفاوتي در يك شبكه به آن متصل اند. هر كاربري كه پشت يكي از اين ماشين هاي پردازشگر (كامپيوتر) مي نشيند مي تواند به سرور متصل شود، اما بايد براي دسترسي به هر يك از اين منابع كه شامل حجم هايي از NTFS مي باشد به سرور login شود. در واقع با فرض اينكه دستگاه سرور پيكر بندي مناسب شده است، كسي كه از خود دستگاه سرور به طور مستقيم استفاده مي كند هم بايد ثبت (log) شود.
مدير سرور براي هر كس كه از شبكه استفاده مي كند يك account كاربري مي گذرد.
Account هاي گروهي نيز كه به آنها ليست كاربران فردي هم اضافه شده است را معين مي كند. اين گروههاي حقوقي را به چند كاربر كه در چيزي مشتركند مي دهد، مثلا ممكن است همه آنها در يك بخش يا زير مجموعه سازمان باشند. كسي كه در شبكه account كاربري ندارد مي تواند از يك account مهمان استفاده كند، ولي به دلايل واضحي حقوقي كه به اين كاربر تعلق مي گيرد بسيار محدود و ناچيز است. اگر كسي حتي كلمه رمز account مهمان را نداشته باشد خيلي زود در مي يابد كه نمي تواند هيچ كاري روي سرور انجام دهد.
حقوق دسترسي براي فايل ها و دايركتوريهاي روي حجم هاي NTFS بر اساس همين آكانتهاي كاربري يا گروهي تعيين مي شود. وقتي كاربري به يك شبكه ويندوز NT يا 2000 وارد مي شود. اكانتي كه استفاده مي شود كليدي است به سوي آنچه كه شخص مي خواهد دست يابد و اينها شامل اهداف NTFS است.
سيستم با ديدن اسم account مورد استفاده براي login شدن در شبكه، تشخيص مي دهد كه آن شخص چه كسي است و عضو كدام گروههاست و بر همين مبنا حقوقي را قائل مي شود. كاربر مي تواند همزمان عضو چند گروه باشد (درست مثل «زندگي واقعي») چندين گروه از پيش تعريف شده هم توسط پيش فرض سيستم معين شده است كه حقوق دسترسي خاصي دارند. يكي از اينها گروه مجريان است كه اعضايش به بسياري از چيزها دسترسي دارند. گروههاي ديگري كه معين شده اند بستگي به نقشي دارند كه كامپيوتر بازي مي كند: مثلا آيا كامپيوتر يك كنترل كننده(domain) يا قلمرو است يا خير. (اينجا كم كم داريم از NTFS به سمت عموميت هاي NT/2000 و شبكه داري منحرف مي شويم. پس تصميم دارم متوقف شوم)
به عنوان مثال يك شركت كوچك 20 نفره را با سروري كه شامل اطلاعات متنوعي است در نظر بگيريد ممكن است روي درايو D يك پوشه باشد كه موسوم به D:\Budget باشد كه شامل اطلاعات بودجه بندي كمپاني است. اينها اطلاعات حساسي هستند كه فقط بايد در دسترس رئيس و معاون رئيس و مشاورين اجرائي آنها باشد. تحت NTFS، با قائل شدن اجازه هاي خاص، دستيابي به آن پوشه، فقط براي account آن اشخاص راحت است.
در واقع، مرتب كردن مجوزهاي پوشه راحت است، يعني، رئيس و معاون مي توانند فايل هاي اين پوشه را بخوانند يا تغيير دهند، اما دستيار فقط مي تواند فايل ها را بخواند و از دسترسي بقيه اعضاي شركت، به راحتي ممانعت مي شود. بحث كاملي از چگونگي عملكرد اجازه ها در صفحات توضيح دهنده مجوز NTFS و گروههاي مجوز استاندارد آورده شده است.
مفهوم مهم ديگر در ايمني NTFS وجود دارد: مالكيت شئ، انتقال اجازه و بررسي كارهاي انجام شده توسط سيستم. مالكيت يك ويژگي خاص است كه براي مقاصد NTFS به مالكين فايل ها اين توانايي را مي دهد كه اجازه ورود را به ديگران منتقل كند.
اين ويژگي انتقال مجوز اين امكان را مي دهد كه مجوز به طور خودكار به گروههايي از اشياء و مقاصد منتقل شود. همچنين باعث مي شود مجوزها به طور اتومات براي فايل هاي جديدي كه از طريق ساختار دايركتوري قبلي ايجاد شده اند بكار روند.
NTFS 5.0 بركنترل جريان سرور و كاربران در رابطه با انتقال مجوز افزوده است. در پايان بررسي كارهاي انجام شده توسط سيستم به مجريان اين امكان را مي دهد كه بر تغييرات انجام شده در فايلها يا دايركتوريها نظارت داشته باشند.