Ministerul Educaiei al Republicii Moldova

Universitatea Tehnica a Moldovei Facultatea: Calculatoare Informatica si Microelectronica Catedra: Automatica i Tehnologii Informaionale

Raport
Lucrare de laborator Nr.1 la Bazele Securitii Informaionale.
Tema: Gestionarea drepturilor de acces la fiiere i dosare (Sistem de Operare Windows)

A efectuat: A verificat:

gr. SI-122 Serioghina Valeria Rostislav Calin

Chiinau 2014

Scopul lucrrii: Sistemul de fiiere NTFS Crearea unui utilizator cu drept de administrator, utilizator

Teorie:
Prezentare general NTFS (NT File System) este un sistem de fiiere dezvoltat special pentru Windows NT i mbuntit pentru Windows 2000. NTFS4 este folosit la Windows NT, n timp ce sistemul de fiiere pentru Windows 2000 este NTFS5. Windows XP Microsoft folosete o versiune uor mbuntit a NTFS5. Facilitile principale oferite de acest sistem de fiiere sunt urmtoarele: 64 folosete adrese de disc de 64 de bii i poate suporta partiii de pn la 2 bytes ; ofer posibilitatea folosirii caracterelor Unicode n numele de fiiere; permite folosirea numelor de fiiere de pn la 255 de caractere, inclusiv spaii i puncte; permite indexare general a fiierelor; ofer posibilitatea managementului dinamic al sectoarelor ; datorit compatibilitii POSIX, permite crearea hard-link-uri, face distincie ntre litere mari i mici n cadrul numelor de fiiere i pstreaz informaii de timp referitoare la fiier; permite utilizarea fiierelor cu seturi multiple de date.

Tipuri de fiiere i drepturi de acces n NTFS

n NTFS, putem identifica urmtoarele tipuri de fiiere: fiiere sistem: sunt fiierele descrise n tabelul de mai sus i conin informaii (metadata) ce sunt folosite numai de ctre sistemul de operare. fiiere cu seturi multiple de date (Alternate Data Streams - ADS): sunt fiiere care pe lng setul de date principal (i implicit), mai conin i alte seturi distincte de date. Toate aceste seturi de date sunt reprezentate prin atribute de tip Data. NTFS poate arhiva i dezarhiva fiierele on-the-fly, adic n momentul efecturii operaiilor de scriere i, respectiv citire a datelor din ele. Acest mecanism este invizibil aplicaiilor ce utilizeaz astfel de fiiere. fiiere criptate: EFS (Encrypted File System) ofer suport pentru a stoca fiiere criptate pe un volum NTFS. Criptarea este transparent fa de utilizatorii care au ncriptat fiierul. Accesul celorlali utilizatori nu este permis la aceste fiiere. fiiere rare (sparse files): sunt fiiere n care informaia scris nu se gsete ntr-o singur zon contigu, ci zonele n care s-au scris date alterneaz cu zone mari n care nu s-au scris (guri). NTFS permite setarea unui atribut special al acestor fiiere, prin care se indic sistemului de I/E s aloce spaiu pe disc numai pentru zonele efectiv scrise din fiier. fiiere de tip hard-link: sunt fiiere speciale introduse de NTFS5. Aceste fiiere permit ca un fiier s poate fi accesat prin mai multe ci fr ca datele efective s fie duplicate. Dac tergem un fiier la care exist i o alt legtur, datele nu vor fi terse de pe disc, pn cnd nu se terg toate legturile. Un fiier de tip hard-link poate fi creat folosind funcia CreateHardLink sau comanda "fsutil hardlink create" (n Windows XP).

n ceea ce privete drepturile de acces, n NTFS ele sunt gestionate prin liste de control al accesului (ACL). Aceste ACL-uri conin informaii care definesc pentru fiecare utilizator sau grup de utilizatori drepturile pe care le au asupra unui fiier. Drepturile de acces se numesc permisiuni. NTFS-ul define te 6 astfel de permisiuni de baz, numite permisiuni speciale. Urmtorul tabel enumer aceste permisiuni i explic ce efect are fiecare asupra fiierelor, respectiv a directoarelor.
Tabelul 3. Permisiuni asupra fiierelor n NTFS

Permisiune Read Write Execute Delete Change Permissions Take Ownership

Caracter R W X D P O

Drepturi acordate pt. Fiiere Citire coninut fiier Modificare coninut fiier Executare (rulare) program Stergere fiier Schimbare drepturi de acces pt. fiier Schimbare proprietar

Drepturi acordate pentru directoare Citire coninut director Modificare coninut director (creare fiiere sau subdirectoare) Traversare structur subdirectoare tergere director Schimbare drepturi de acces pt. director Schimbare proprietar

Pentru a avea un control mai fin i mai uor asupra drepturilor de acces, s-au introdus (ncepnd cu Windows 2000) nite grupuri de permisiuni, denumite componente de permisiuni. Fiecare dintre ele grupeaz una sau mai multe permisiuni speciale, dup cum urmeaz: Traverse Folder / Execute File: X List Folder / Read Data: R Read Attributes: R + X Read Extended Attributes: R Create Files / Write Data: W Create Folders / Append Data: W Write Attributes: W Write Extended Attributes: W Delete Subfolders and Files: D Delete: D Read Permissions: R + W + X Change Permissions: P Take Ownership: O Folosind interfaa grafic pentru setarea drepturilor de acces, putem s ne ntlnim i cu alte grupuri de permisii.

Efectuarea lucrrii:
Acum ajungem la partea practic a lucrrii. Acesta va fi realizata pe un computer cu Windows Server 2008. Pentru a efectua lucrarea vom avea nevoie de dou conturi - Administrator i Utilizatorul, care nu va face parte din grupul de administratori (il vom numi TestUser). De asemenea, vom avea nevoie de o grupa (TestGroup). Toate grupurile i conturile fac parte din domen, de aceea managementul lor va fi efectuat cu ajutorul echipamentului Active Directory Users and Computers.

Cream un grup de utilizatori:

Deschidei Microsoft Management Console fcnd clic pe butonul Start , tastnd mmc n caseta de

cutare, apoi apsnd Enter. Dac vi se solicit o parol de administrator sau o confirmare, tastai parola sau furnizai confirmarea. n panoul din stnga al Microsoft Management Console, facei clic pe Utilizatori i grupuri locale. Dac nu vedei Utilizatori i grupuri locale Dac nu vedei Utilizatori i grupuri locale, este posibil ca acest lucru s se datoreze faptului c utilitarul de completare snap-in nu a fost adugat la Microsoft Management Console. Pentru a-l instala, urmai aceti pai: n Microsoft Management Console, facei clic pe meniul Fiier, apoi pe Adugare/Eliminare utilitar de completare snap-in. Facei clic pe Utilizatori i grupuri locale, apoi pe Adugare. Facei clic pe Computer local, pe Terminare, apoi pe OK. Facei clic pe folderul Utilizatori. Facei clic pe Aciune, apoi pe Grup nou. Tastai informaiile potrivite n caseta de dialog, apoi facei clic pe Creare. Cnd ai terminat de creat conturile de utilizator, facei clic pe nchidere.

Fig 9.1 Cream o Grupa de utilizatori

Fig 9.2 Cream account-urile de Administrator si TestUser

Acum incepem cu faptul ca, lucrind sub contul de Admistrator, vom crea un folder nou - Test. n proprietile sale selectam meniul Security tab (Figura 9.3). Pentru a modifica autorizatiile, se face clic pe Editare, ceea ce va permite de a modifica lista de control al accesului de dosar (Figura 9.4).

Fig 9.3 Meniul Security tab

Fig. 9.4 Lista de control al accesului de dosar

Acum alegem din mulimea de useri TestUser i din Permisiuni bifm opiunile Acces total, Schimbare, Citire i executare, Lista coninutului n map, Citire, Scriere. Ne logm n contul TestUser pentru a accesa din mapa Test cu un oarecare document in ea.

Fig 9.5 Din cauza c am folosit account-ul TestUser avem restricie la fiierele din mapa dat.

Ne logm napoi in Administrator i observam c avem acces la citirea, scrierea i modificarea fiierului dat. Sub contul de Administrator permitem in lista de utilizatori accesul la fiiere din mapa test pentru TestUser si ii dam permisiunea de a modifica (modify). Incearcam din nou sa ne logam in contul TestUsersi sa accesam mapa Test cu un oarecare fisier in ea.

Fig 9.6 Permitem TestUser-ului sa modifice fisierele din mapa Test.

Fig 9.7 Accesul din account-ul TestUser a documentului L.txt din mapa Test. Din cite am vazut, putem aduga utilizatori ]n lista de acces . Acum incercam sub contul de Administrator sa tergem grupul Users. Cind incercam sa facem aceasta ne apare un mesaj de avertizare ( Figura 9.8 ) care ne anunta ca permisiunile sunt motenite de la obiectul printe . n scopul de a anula motenirea in fila Security ( Figura 9.3 ), facei clic pe Advanced . n fereastra urmtoare ( Figura 9.8) se arat c proprietatea Include inheritable permissions from this object's parent este activata . Acest lucru nseamn c obiectul motenete ACL printe , iar in ACL-ul lui propriu pot fi adaugate doar permisiunile sau restrictionarile . Dac facem clic pe butonul Edit i anulam aceasta optiune apare intrebarea ce sa facem cu lista mostenita putem sa o copiem ( Copy ) n ACL-ul obiectului sau sa o eliminam ( Remove ) . Deseori , pentrunu pierde setarile obiectului , pentru inceput se face copierea , iar apoi modificarea listei .

Fig 9.8 Optiunea Advanced din meniul Security a mapei Test

Fig 9.9 Anularea mostenirii de catre obiect a ACL-ului parintelui sau. Acum, cercetam optiunea de drept de proprietate asupra dosarul sau fiierul. Utilizatorul care a creat fiierul sau folderul devine automat proprietarul acestuia. Posesorul curent al obiectuluipoate fi vazut dac n setrile de securitate avansate (Figura 9.8), selectam fila Proprietar. Proprietarul fiierului poate schimba permisiunile de acces asupra fiierului, chiar dac lui insusi ii este interzis accesul asupra obiectului.

Fig 9.10 si 9.11 Administratorul face drept posesor al mapei Test grupul TestGroup

Fig 9.12 Permisiunile pentru fiecare din Useri si Grupe asupra accesului la foldes si documentele din el. Concluzie: Gestionarea accesul la fiierele i folderele de pe sistemul de operare Windows - nu un proces uor , pentru garantarea securitatii resurselor este nevoie de un mecanism eficient de aprare . Un astfel de mecanism este pus n aplicare n model de securitate NTFS , care ii permite administratorilor controleze eficient aciunile utilizatorului care citeste sau face orice alta modificare in fisierele sistemului . Complexitatea permisiunilor NTFS poate crea probleme serioase chiar i pentru administratorii mai experimentati in domeniu . n cazul n care acioneaz doar pe baza informaiilor generale despre NTFS , se poate de ciocnit cu o permisiunea asupra unor anumite comenzi de gestionare a folder-ilor sau a fisierelor pur si simplu nu ar da rezultatele la care se asteapta utilizatorul .