Обеспечение надежности хранения данных на дисковых накопителях с файловой системой NTF 5.0

Устанавливая пользователям определенные разрешения для файлов и каталогов (папок), администраторы системы могут защищать конфиденциальную информацию от несанкционированного доступа[1]. Каждый пользователь имеет определенный на­бор разрешений на доступ к конкретному объекту файловой системы (рис. 4.5). Администратор может назначить себя владельцем любого объекта файловой системы.

Действующие разрешения в отношении кон­кретного файла или каталога образуются из всех прямых и косвенных разрешений, на­значенных пользователю для данного объекта с помощью логической функции ИЛИ.

Пользователь может назначить себя владельцем какого-либо объекта файловой системы, если у него есть необходимые права, а также передать права владельца другому пользователю.

Точки соединения (аналог монтирования в UNIX) позволяют отображать целевую папку (диск) в пустую папку, находящуюся в пространстве имен файловой системы NTFS 5.0 локального компьютера. Целевой папкой может служить любой допустимый путь Windows 2000[2] или выше. Точки соединений прозрачны для приложений, это означает, что приложение или пользователь, осуществляющий доступ к локальной папке NTFS, автоматически перенаправляется к другой папке.

 

Рис. 4.5 – Вид окна установки разрешений на доступ к конкретному объекту файловой системы

 

Для работы с точками соединения на уровне томов можно использовать стандарт­ные средства системы — утилиту Mountvol (рис. 4.6) и оснастку «Управление дисками». Для монтирования папок нужна утилита Linkd (из Windows 2000 Resource Кit).

 

Рис. 4.6 – Вызов утилиты mountvol

 

С помощью утилиты Mountvol можно выполнить следующие действия:

- отобразить корневую папку локального тома в некоторую целевую папку NTFS, т.е. подключить или монтировать том;

- вывести на экран информацию о целевой папке точки соединения NTFS, использованной при подключении тома;

- просмотреть список доступных для использования томов файловой системы;

- уничтожить точки подключения томов.

Оснастка «Управление дисками» позволяет также создать соединения для дисков компьютера.

Шифрующая файловая система EFS (Encrypting File System). Поскольку шифрование и дешифрование выполняются автоматически, пользова­тель может работать с файлом так же, как и до установки его криптозащиты. Все ос­тальные пользователи, которые попытаются получить доступ к зашифрованному фай­лу, получат сообщение об ошибке доступа, поскольку они не владеют необходимым личным ключом, позволяющим им расшифровать файл [2].

Шифрование информации задается в окне свойств файла или папки. В окне свойств файла на вкладке Общие нужно нажать кнопку другие. Появится окно диалога «Дополнительные атрибуты». В группе «Атрибуты сжатия и шифрования» необходимо установить флажок «Шифровать содержимое для защиты данных» и нажать кнопку OK. Далее следует нажать кнопку ОК в окне свойств зашифровываемого файла или пап­ки. Появится окно, в котором надо указать режим шифрования [2].

При шифровании папки можно указать следующие режимы применения нового ат­рибута: «Только к этой папке» или «К этой папке и ко всем вложенным папкам и файлам». Для дешифрования файла или папки на вкладке «Общие» окна свойств соот­ветствующего объекта нажать кнопку «Другие» и в открывшемся окне сбросить флажок «Шифровать содержимое для защиты данных» [2].

В процессе шифрования файлов и папок система EFS формирует специальные ат­рибуты (Data Decryption Field — Поле дешифрования данных), содержащие список за­шифрованных ключей (FEK — File Encryption Кеу), что позволяет организовать доступ к файлу со стороны нескольких пользователей. Для шифрования набора FEK используется открытая часть пары ключей каждого пользователя. Информация, требуемая для дешифрования, привязывается к самому файлу. Секретная часть ключа пользователя используется при дешифровании FEK. Она хранится в безопасном месте, например на смарт-карте или устройстве высокой степени защищенности [2].

FEK применяется для создания ключей восстановления, которые хранятся в другом специальном атрибуте — DRF (Data Recovery Field — Поле восстановления данных). Сама процедура восстановления выполняется довольно редко (при уходе пользователя из организации или забывании секретной части ключа) [2].

Система EFS имеет встроенные средства восстановления зашифрованных данных в условиях, когда неизвестен личный ключ пользователя. Пользователи, которые могут восстанавливать зашифрованные данные в условиях утраты личного ключа, называ­ются агентами восстановления данных. Они обладают сертификатом (Х.509 v.3) на вос­становление данных и личным ключом, с помощью которого выполняется операция восстановления зашифрованных данных [2].

Задание на выполнение

1. Исследуйте работу диспетчера устройств.

2. Опишите структуру дисков и файловых систем на вашем компьютере.

3. Исследуйте механизм раздачи дисковых квот.

4. Исследуйте механизм надежности хранения информации.

 

Ответьте письменно на вопросы по самостоятельной подготовке:

1. Опишите структуру файловой системы NTFS.

2. Опишите преимущества и недостатки файловой системы NTFS.

 

Список литературы

1. Гриценко Ю.Б. Операционные системы : учебное пособие: в 2 ч. / Ю. Б. Гриценко. — Томск: ТМЦДО, 2009. – Ч. 2. – 230 с.

2. Назаров С.В. Операционные системы. Практикум. / С.В. Назаров, Л.П. Гудыно, А.А. Кириченко. Под ред. С.В. Назарова — М.: КУДИЦ-ПРЕСС, 2008. — 464 с.

3. Олифер В.Г. Компьютерные сети: Принципы, технологии, протоколы : учебное пособие для вузов / В. Г. Олифер, Н. А. Олифер. - 3-е изд. - СПб. : Питер, 2006. - 960 с.

 

[1] Для практического исследования данных возможностей необходимо использовать Windows Server на платформе 2000 или выше.

[2] Поддерживаются только в NTFS 5.0

⇐ Предыдущая123456

Поделиться: