CÁCH LÀM THẾ NÀO ĐỂ BẢO VỆ CÁC MÁY TÍNH CỦA MỘT TỔ CHỨC

Chia sẻ: Nguyen Van Hiep | Ngày: | Loại File: DOC | Số trang:13

0
136
lượt xem
85
download

CÁCH LÀM THẾ NÀO ĐỂ BẢO VỆ CÁC MÁY TÍNH CỦA MỘT TỔ CHỨC

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

NTFS là một kiểu định dạng (file system) mới được sử dụng trong Win2k. NTFS cũng là một trong những tính năng làm tăng khả năng bảo mật. NTFS có những điểm khác so với FAT hoặc FAT32 ở những điểm sau:bảo mật tốt hơn, tăng khả năng nén đĩa và hỗ trợ đĩa cứng lên đến 2TetraBytes(2*1024 GigaBytes).

Chủ đề:
Lưu

Nội dung Text: CÁCH LÀM THẾ NÀO ĐỂ BẢO VỆ CÁC MÁY TÍNH CỦA MỘT TỔ CHỨC

  1. Cách phân quyền trong NTFS Cách phân quyền Permission folder trong NTFS : Các loại permission (nằm trong tab Security trong properties của 1 folder) Full control : Có toàn quyền trên folder. Modify : Có quyền sửa chữa như tạo, xoá, sửa folder Read and Execute : Quyền đọc (bào hàm cả việc gọi các phương thức, các file ứng dụng chạy ngầm) List folder content : Read : Quyền đọc Write : Quyền ghi kik edit◊ Special Permission : Quyền đặc biệt (Kik nút advance ngay dưới)  Trong phần đặc quyền chỉ chi tiết các quyền của 1 đối tượng đối với folder. Ví dụ 1 số quyền : Traverse Folder / Excute File : Quyền nhảy cóc và thực thi file (Cái này sẽ nói ở phần dưới). Read Attribute : Quyền đọc Read Extend Attribute : Quyền đọc những phần được thêm vào. Create Folder / Append Data : Tạo Folder và nối dữ liệu thêm vào cuối Write Attribute : Ghi thêm thuộc tính Take Ownership : Quyền sở hữu folder (có thể cướp quyền admin đối với folder 1 cách tạm thời) … Ta tiến hành Permission như sau: Trước hết bạn phải hiểu thế này : 1 user khi truy cập trên 1 server mặc định thuộc group Interactive, Domain Users. Còn khi truy cập từ xa đến server thì thuộc nhóm Network, Domain Users. Right-kik vào folder, chọn mục sharing and sercurity . Hộp thoại Properties hiện lên. Như đã nói ở trên, Permission áp dụng cho các máy ở xa sẽ sử dụng cả việc sharing; Nếu user từ xa truy cập, hãy sharing folder này (Chọn option Sharing this folder). Quyền của user máy trạm này = Quyền sharing + Quyền Security : - Quyền Sharing : Chọn Permission trong tab Sharing.♣ Hộp thoại Permission hiện lên. Ở đây bạn có thể add đối tượng để áp♣ dụng quyền Sharing, đó có thể là 1 group, hay 1 user. Sau đó chọn quyền bằng cách tick các option ở phía dưới. - Quyền Sercurity : Chọn tab Security Cũng như việc phân quyền trong tab Sharing♣ Tuy nhiên, phần Security phân quyền rõ ràng hơn nhiều. (Hãy chọn♣ Advance để xem chúng ta có những gì để gọi là "advanced" ) : • Tab Permission: o Permission entries : Các đối tượng phân quyền – chúng ta có thể thêm hoặc xoá các đối tượng này với add và remove button ngay phía dưới. o Note : 2 option phía dưới : Allow inheritable permission from parent … : Cho phép kế thừa quyền♣ từ thư mục cha. Ta có thể kiểm tra, trong properties của thư mục con, các quyền của cha được tick và ko thể thay đổi.
  2. Muốn có thể thay đổi ta huỷ dấu tick trong option này đi. Hộp thoại mới xuất hiện. Nhấn Copy nếu muốn giữ nguyên các đối tượng mặc định được áp dụng Permission. Chọn Remove để bỏ quyền thừa kế, và chỉ giữ lại những đối tượng đã được định nghĩa quyền thừa kế trước đó. • Tab Effective Permission : sử dụng để kiểm tra Pemission của 1 đối tượng cụ thể. Bấm Change sau đó Add đối tượng. • Tab Owner : là sử dụng với mục đích khi áp dụng chức năng Take Ownership. So sánh giữa NTFS, FAT32, FAT... NTFS là một kiểu định dạng (file system) mới được sử dụng trong Win2k. NTFS cũng là một trong những tính năng làm tăng khả năng bảo mật. NTFS có những điểm khác so với FAT hoặc FAT32 ở những điểm sau:bảo mật tốt hơn, tăng khả năng nén đĩa và hỗ trợ đĩa cứng lên đến 2TetraBytes(2*1024 GigaBytes). Một điểm nữa, khi bạn cài đặt nhiều hệ điều hành trên một máy. Ví dụ Win98(FAT32) trên ổ đĩa C, Win2k(NTFS) trên ổ đĩa D. Khi khởi động Win98 thì bạn không thể truy xuất vào ổ đĩa D (NTFS partitions ). Hiểu môn na là ổ D đã bị ẩn đi. Điều đó giúp bạn dễ dàng hơn trong việc kiểm soát những files hệ thống và tăng thêm tính năng bảo mật của Win2k. Trước khi cài đặt, Windows XP luôn đòi hỏi format lại đĩa cứng theo định dạng FAT32 hoặc NTFS. Sử dụng các chương trình format đời mới hiện nay nó cũng đưa ra lựa chọn giữa FAT32 và NTFS. Vậy hệ thống FAT32 và NTFS trên đĩa cứng là gì, tác dụng của nó thế nào, nên chọn loại nào cho máy tính? Khái niệm về FAT và NTFS FAT16: Với HĐH MS-DOS, hệ thống tập tin FAT (FAT16 – để phân biệt với FAT32) được công bố vào năm 1981 đưa ra một cách thức mới về việc tổ chức và quản lý tập tin trên đĩa cứng, đĩa mềm. Tuy nhiên, khi dung lượng đĩa cứng ngày càng tăng nhanh, FAT16 đã bộc lộ nhiều hạn chế. Với không gian địa chỉ 16 bit, FAT16 chỉ hỗ trợ đến 65.536 liên cung (clusters) trên một partition, gây ra sự lãng phí dung lượng đáng kể (đến 50% dung lượng đối với những ổ đĩa cứng trên 2 GB). FAT32: Được giới thiệu trong phiên bản Windows 95 Service Pack 2 (OSR 2), được xem là phiên bản mở rộng của FAT16. Do sử dụng không gian địa chỉ 32 bit nên FAT32 hỗ trợ nhiều cluster trên một partition hơn, do vậy không gian đĩa cứng được tận dụng nhiều hơn. Ngoài ra với khả năng hỗ trợ kích thước của phân vùng từ 2GB lên 2TB và chiều dài tối đa của tên tập tin được mở rộng đến 255 ký tự đã làm cho FAT16 nhanh chóng bị lãng quên. Tuy nhiên, nhược điểm của FAT32 là tính bảo mật và khả năng chịu lỗi (Fault Tolerance) không cao. NTFS (New Technology File System): Được giới thiệu cùng với phiên bản Windows NT đầu tiên (phiên bản này cũng hỗ trợ FAT32). Với không gian địa chỉ 64 bit, khả năng thay đổi kích thước của cluster độc lập với dung lượng đĩa cứng, NTFS hầu như đã loại trừ được những hạn chế về số cluster, kích thước tối đa của
  3. tập tin trên một phân vùng đĩa cứng. NTFS sử dụng bảng quản lý tập tin MFT (Master File Table) thay cho bảng FAT quen thuộc nhằm tăng cường khả năng lưu trữ, tính bảo mật cho tập tin và thư mục, khả năng mã hóa dữ liệu đến từng tập tin. Ngoài ra, NTFS có khả năng chịu lỗi cao, cho phép người dùng đóng một ứng dụng “chết” (not responding) mà không làm ảnh hưởng đến những ứng dụng khác. Tuy nhiên, NTFS lại không thích hợp với những ổ đĩa có dung lượng thấp (dưới 400 MB) và không sử dụng được trên đĩa mềm. So sánh giữa FAT32 và NTFS NTFS là hệ thống file tiên tiến hơn rất nhiều so với FAT32. Nó có đầy đủ các đặc tính của hệ thống file hiện đại và FAT32 không hề có. Bạn nên dùng NTFS để thay thế cho FAT32 vì các lý do sau: - FAT32 không hỗ trợ các tính năng bảo mật như phần quyền quản lý, mã hoá.. như NTFS. Vấn đề này đặc biệt hiệu quả đối với Windows. Với NTFS, bạn có thể không cần sử dụng các tiện ích mã hoá hay đặt mật khẩu giấu thư mục v.v, vì đây là đặc tính đã có sẵn của NTFS, chỉ cần bạn biết khai thác. Việc xài các tiện ích không nằm sẵn trong hệ điều hành để thao tác trực tiếp với đĩa vẫn có ít nhiều rủi ro. - FAT32 có khả năng phục hồi và chịu lỗi rất kém so với NTFS. Có một số ý kiến cho rằng NTFS không tương thích nhiều với các chương trình kiểm tra đĩa hay sửa đĩa mà người dùng đã quen thuộc từ lâu, như vậy sẽ vô cùng bất tiên trong trường hợp đĩa bị hư sector. Nên yên tâm vì NTFS là hệ thống file có khả năng ghi lai được cac hoat đông mà hệ điêu hanh đã và đang thao tac ̣ ́ ̣ ̣ ̀ ̀ ́ trên dữ liêu, nó có khả năng xac đinh được ngay những file bị sự cố mà không cân phai quet lai ̣ ́ ̣ ̀ ̉ ́ ̣ toan bộ hệ thông file, giup quá trinh phuc hôi dữ liêu trở nên tin cây và nhanh chong hơn. Đây là ̀ ́ ́ ̀ ̣ ̀ ̣ ̣ ́ ưu điểm mà FAT 32 hoàn toàn không có. Khi mà mất điện đột ngột thì Windows 98, 2000, XP… đều phải quét lại đĩa khi khởi động lại nếu đĩa đó được format bằng chuẩn FAT32. Trong khi format đĩa cứng bằng NTFS thì lại hoàn toàn không cần quét đĩa lại, bởi vì hệ thống dùng NTFS có được những thông tin về tính toàn vẹn dữ liệu ghi trên đĩa và nó mất rất ít thời gian để biết được về mặt logic đĩa của mình có lỗi hay không và nếu có thì hệ thống cũng tự phục hồi một cách cực kỳ đơn giản và nhanh chóng. Với FAT32 thì nó phải rà quét toàn bộ lâu hơn nhiều. Một hệ thống Windows 2000, XP sẽ ổn định hơn nhiều nếu cài trên phân vùng được format bằng NTFS. Ngoài ra NTFS còn được trang bị công cụ kiểm tra và sửa đĩa rất tốt của Microsoft. - NTFS có khả năng truy cập và xử lý file nén ngon lành hệt như truy cập vào các file chưa nén, điều này không chỉ tiết kiệm được đĩa cứng mà còn gia tăng được tuổi thọ của đĩa cứng. - Nhiều người phàn nàn rằng không thể truy cập vào các đĩa cứng được format bằng NTFS khi đang ở DOS, Windows 98 hoặc WinME… Thực ra thì DOS, Windows 98 và Windows ME đã quá cũ và các phần mềm còn hữu dụng của chúng cũng không còn bao nhiêu. - NTFS đặt được quota sử dụng cho người dùng, vô cùng tiện dụng cho các hệ thống máy ở công ty. Đặc biệt tiện dụng khi “âm thầm” cấm được con cái sao chép những phim ảnh độc hại vào các thư mục “bí mật” của chúng trong đĩa cứng.
  4. Ngoài ra, NTFS còn có rất nhiều tiện ích tuyệt chiêu chuyên sâu khác cho giới người dùng cao cấp khác như “mount partition”, tạo “hard link” tới một file, hỗ trợ dùng RAID v.v - Nếu bạn đã thực sự quyết định chọn NTFS làm “duyên giai ngẫu” thì bạn có thể từ bỏ hẳn FAT 32 kể từ nay. Hiện có rất nhiều tiện ích chuyển đổi từ FAT 32 sang NTFS tùy bạn lựa chọn. Tiện hơn cả là dùng bộ tiện ích có sẵn trong các đĩa CD khởi động bằng Hirenboot đang rất phổ biến hiện nay. Tuy thế, FAT32 vẫn còn tỏ ra hữu dụng trên các máy tính cấu hình quá yếu ớt, chỉ có thể chạy được Windows 98. FAT16 và FAT32 vẫn được dùng để định dạng cho các loại thẻ nhớ, vì các thiết bị chấp nhận thẻ nhớ như máy ảnh số, máy nghe nhạc vẫn chưa thấy loại nào tương thích với NTFS cả. FAT16 luôn là lựa chọn hàng đầu khi bạn muốn copy dữ liệu của mình từ một máy tính chạy Windows sang máy chạy hệ điều hành khác như Mac chẳng hạn. Hầu hết các máy Mac hiện nay đều không thể nhận dạng các thẻ nhớ USB được định dạng bằng FAT32. Bổ sung: - Mỗi loại FAT có một con số để chỉ ra số lượng bit mà hệ thống file sử dụng để nhận dạng các cluster trên đĩa . VD : FAT 12 sủ dụng 12 bit để định danh các cluster , do đó với FAT 12 hệ thống quản lý được 4096 ( 2^12= 4096) cluster - Trên các hệ thống FAT 16 , windown cho phép kích thước cluster đi từ 512 byte đến 64 KB , do vậy FAT 16 có thể quản lý không gian đĩa lên đến 4 Gb - NTFS ( NT Files System ) là hệ thống File dành riêng cho windownNT/2000 - NTFS dùng 64 bit để định danh các cluster , nên theo lý thuyết nó có thể quản lý các ỗ đĩa có dung lượng lên đến 16 Exabyte ( 16 tỉ Gb ) . Nhưng trong thực tế thì windownsNT/ 2000 chỉ sử dụng 32 bit để định danh các cluster và kích thước mỗi cluster này là 64KB nên NTFS chỉ có thể quản lý được các ổ đĩa có dung lượng lên đến 128 TB mà thôi. LÀM THẾ NÀO ĐỂ BẢO VỆ CÁC MÁY TÍNH CỦA MỘT TỔ CHỨC Phần 2: Chính sách an toàn Account cho Computer (Security Account Policies ) Ở phần trước tôi đã giới thiệu những phương thức chung để bảo vệ máy tính của một tổ chức. Phần tiếp theo này tôi sẽ trình bày những phương thức cụ thể theo trình tự, từ quá trình setup hệ thống, vận hành hệ thống dựa trên những chính sách an toàn từ basic cho đến những kĩ năng advance mà các Security Admin cần quan tâm để áp dụng vào việc xây dựng các quy trình an toàn thông tin cho tổ chức. Phần trình bày này tôi xin đề cập đến vấn đề an ninh account (account security) và cách thức tạo account an toàn nhằm đối phó với những kiểu tấn công rất phổ biến và hiệu quả dưới sự trợ giúp của những công cụ phù thủy… Chính sách về account và cách thức tạo account nghèo nàn là con đường dễ dàng nhất cho attacker, như vậy những hình thức bảo mật khác được áp dụng vào hệ thống như trang bị các công cụ chống maleware (prevent virus, worm, spyware, ad-ware..), triển khai hệ thống phòng thủ Mạng (Firewall) cũng sẽ không có tác dụng nào đáng kể, vì Admin quá thờ ơ trong cách thức
  5. tạo account và đưa ra chính sách tạo account chứa đựng nhiều rủi ro này. Yêu cầu xác định các chính sách tạo password mạnh và đưa ra được chiến lược an toàn account áp dụng vào an toàn thông tin của tổ chức là vấn đề mang tính cấp bách. A. Làm thế nào để tạo và quản lý Account an toàn Những yếu tố dưới đây sẽ cho chúng ta thấy cách thức tạo và quản lý Account sao cho an toàn Account phải được bảo vệ bằng password phức hợp ( password length, password complexity) Chủ sở hữu account chỉ được cung cấp quyền hạn truy cập thông tin và dịch vụ cần thiết (không thiếu quyền hạn mà cũng không thể để thừa) Mã hóa account trong giao dịch trên Mạng (kể cả giao dịch trong Mạng nội bộ) Lưu trữ account an toàn ( nhất định database lưu giữ tai khoản phải được đặt trên những hệ thống an toàn và được mã hóa) Huấn luyện nhân viên, những người trực tiếp sử dụng Computer cách thức bảo mật account tránh rò rĩ (attacker có thể lợi dụng mối quan hệ với nhân viên hoặc giả danh bộ phận kĩ thuật hỗ trợ xử lí sự cố hệ thống từ xa để khai thác ), hướng dẫn cách thức thay đổi password khi cần thiết và tránh tuyệt đối việc ghi lại account trên các stick-notes rồi gián bừa bãi trên Monitorhoặc Keyboard..), Khóa (lock) ngay Computer khi không sử dụng, mặc định trên các máy tính thường cũng có chính sách tự động lock computer sau môt thời gian không sử dụng, để giúp cho những nhân viên hay quên tránh được lỗi bảo mật sơ đẳng (lỗi này giống như việc ra khỏi nhà mà không khóa cửa) Những người tạo và quản lý account (đặc biệt là những account hệ thống – System accounts, và account vận hành, kiểm soát các dịch vụ - service accounts) cho toàn bộ tổ chức là những người được xem là AN TOÀN TUYỆT ĐỐI. Disable những account tạm thời chưa sử dụng, delete những account không còn sử dụng. Tránh việc dùng chung Password cho nhiều account Khóa (lock) account sau một số lần người sử dụng log-on không thành công vào hệ thống. Có thể không cho phép một số account quản trị hệ thống và dịch vụ, không được log-on từ xa (remote location log-on), vì những hệ thống và dịch vụ này rất quan trọng và thông thường chỉ cho phép được kiểm soát từ bên trong (internal Network), nếu có nhu cầu quản trị và support từ xa Security Admin vẫn dễ dàng thay đổi chính sách để đáp ứng nhu cầu. Các Security admin khi log-on vào Server chỉ nên dùng account có quyền hạn thấp, khi cần quản trị hay vận hành các dịch vụ, mới nên dùng account System hoặc Service (ví dụ Microsoft Windows hỗ trợ command run as thông qua run as service để cho phép độc lập quản trị các thành phần của hệ thống, các dịch vụ mà không cần phải log-on vào máy ban đầu bằng account admin). Điều này giúp chúng ta tránh được các chương trình nguy hiểm đã lọt vào máy tính chạy với quyền admin, khi đó các admin thật sự của Computer sẽ gặp nhiều rắc rối. Vá tất cả những lỗ hỗng hệ thống để ngăn chặn các kiểu tấn công “đặc quyền leo thang” (bắt đầu lọt vào hệ thống với account thông thường và sau đó leo thang đến quyền cao nhất) Trên đây là những phần trực quan nhất mà Admin Security cần hình dung cụ thể khi thiết kế chính sách bảo mật account (account security policies). Một trong những chính sách bảo vệ hệ thống cần phải xem xet kĩ lưỡng nhất nhưng thông thường dễ lơ là thậm chí là coi nhẹ, mà sự thực hầu hết các con đường xâm nhập vào hệ thống đều qua khai thác Credentials (có được thông tin account), attacker nắm được vulnerabilities ( yếu điểm ) này, nên lợi dụng khai thác rất hiệu quả. B. Phân tích và thiết kế các chính sách an toàn cho account.
  6. Phân tích những rủi ro và xác định các mối đe dọa đối với account: Account cho một User sẽ xác định những hành động mà User đó có thể thực hiện. Việc phân loại account sẽ chỉ ra những cấp độ bảo vệ thích hợp khác nhau. Loại account Độ tin cậy Ví dụ Người dùng bên ngoài Thấp User truy cập Web server (anonymous user), đối tác kinh doanh (business partners).. Nhân viên nội bộ Vừa phải Nhân viên hợp đồng, nhân viên chính thức.. Nhóm Administrator Cao Quyền quản trị hệ thống, dịch vụ, dữ liệu tổ chức… Các account trên hệ thống sẽ nhận được 2 loại quyền cơ bản: User rights (Quyền hệ thống): Là loại đặc quyền mà User được hệ thống cho phép thực thi những hành động đặc biệt (ví dụ: Quyền Backup Files Và Folders, thay đổi thời gian hệ thống, shutdown hệ thống…) Trên Windows các bạn có thể type command secpol.msc tại RUN, để open Local Security Settings\ local policies\ User rights assignment là nơi xác lập các User rights của hệ thống Permissions (Quyền truy cập): Được kiểm soát bởi DACLs (Discretionary access control lists) của hệ thống, được phép truy cập vào các File/Folder hay Active Directory objects (trong Domain) (ví dụ User A được quyền Read/Modify đối với Folder C:\Data, User B được Full Control đối với OU Business..) Chú ý trong việc cấp phát Permission cho account, nên đưa account vào Group để dễ kiểm soát, tránh việc phân quyền mang tính cá nhân cho một account nào đó. Điều này tăng cường khả năng kiểm soát account, vì khi số lượng account của hệ thống (Local hay Domain) tăng lên thì việc tổ chức này tạo sự an toàn và dễ kiểm soát hơn. Những kẽ hở từ Account có thể tạo cơ hội cho attacker: Password: Password quá yếu (độ dài password quá ngắn, các kí tự đơn giản, lấy ngày tháng năm sinh, tên những bộ phim, địa danh, nhân vật nổi tiếng , đặt cho password). Dùng cùng password cho nhiều account. password được dán bừa bãi lên Monitor/Keyboard, hoặc lưu password vào một text file không bảo vệ. Chia sẽ password hệ thống của mình cho bạn đồng nghiệp…
  7. Cấp phát đặc quyền: Cấp phát đặc quyền Administrator cho các User. Các services của hệ thống không dùng Service account. Cấp phát User right không cần thiết cho account. Việc sử dụng account: Log-on vào máy với account Administrators khi thi hành những tác vụ thông thường. Tạo những User account cho phép quyền quản trị các tài khoản khác. Kích hoạt những tài khoản không còn được sử dụng (ví dụ nhân viên đã nghỉ việc, tài khỏan vẫn được lưu hành trên hệ thống..) Thiết kế chính sách tạo Password đáp ứng bảo mật cho Account: Chính sách tạo password sao cho an toàn thực sư là một trong những yếu tố chính để bảo vệ tài khoản. Chính sách này bao gồm các yếu tố chính như sau: Thời gian tối đa sử dụng password (maximum password age): Hạn sử dụng tối đa của password trước khi user phải thay đổi password. Thay đổi password theo định kì sẽ giúp tăng cường an toàn cho tài khoản Thời gian tối thiểu password phải được sử dụng trước khi có thể thay đổi (minimum password age). Admin có thể thiết lập thờigian này khoảng vài ngày, trước khi cho phép user thay đổi password của họ. Thực thi password history: Số lần các password khác biệt nhau phải sử dụng qua, trước khi quay lại dùng password cũ. Số Password history càng cao thì độ an toàn càng lớn. Chiều dài password tối thiểu (minimum password length) cần phải đặt. Càng dài càng an toàn Password phải đạt yêu cầu phức hợp: không chỉ về độ dài mà còn về độ phức hợp của các kí tự đặt password (ví dụ bạn có thể thấy sự khác biệt giữa password và P@ssW0rd) Khi dùng password phức hợp cần quan tâm: Không sử dụng họ và tên Chứa ít nhất 6 kí tự Có thể đan xen chữ hoa,(A..Z) thường (a..z), và các kí tự đặc biệt như: !@#$%^&*() Account lockout: Sẽ bị khóa tài khoản trong một thời gian nhất định, nếu như sau một số lần log-on không thành công vào hệ thống. Mục đích của chính sách này nhằm ngăn chặn các cuộc tấn công dạng brute force vào account để dò password. Trên đây là những vấn đề cốt lõi trong việc tạo và quản lý Account sao cho an toàn, nhằm đáp ứng các yêu cầu khắt khe trong chính sách an toàn thông tin của tổ chức và đối với các Security Admin thiết nghĩ vấn đề này không nên chễnh mãng hoặc thờ ơ, vì đây là “ngõ vào” đầu tiên mà attacker luôn ưu tiên trong việc thăm dò, khai thác yếu điểm của hệ thống. CƠ CHẾ AN TOAN TRÊN WINDOWS NT - PHẦN II ̀ Cập nhật lúc 07h31' ngày 17/11/2003 PHẦN II (Và hết) 3.Thừa kế quyên: Cac đôi tượng trên Windows NT có thể được phân lam 2 loai: ̀ ́ ́ ̀ ̣ đôi tượng container (hay đôi tượng cha) và non-container. Đôi tượng container về măt logic có thể ́ ́ ́ ̣ chứa những đôi tượng khac (chăng han như đôi tượng thư muc có thể chứa cac đôi tượng file) ́ ́ ̉ ̣ ́ ̣ ́ ́ con đôi tượng non-container thì không chứa đôi tượng khac (như đôi tượng file). Như vây, khi ̀ ́ ́ ́ ́ ̣ môt đôi tượng được tao bên trong môt đôi tượng khac thì nó sẽ được thừa hưởng những quyên ̣ ́ ̣ ̣ ́ ́ ̀
  8. han cua đôi tượng cha đo. Ví du: Khi ta tao môt thư muc con TOAN bên trong thư muc ̣ ̉ ́ ́ ̣ ̣ ̣ ̣ ̣ D:\BAITAP thì thư muc con TOAN sẽ được thừa hưởng những quyên cua thư muc D:\BAITAP ̣ ̀ ̉ ̣ Theo ngâm đinh, khi ta thay đôi những quyên trên thư muc cha thì sự thay đôi chỉ có hiêu lực đôi ̀ ̣ ̉ ̀ ̣ ̉ ̣ ́ với thư muc đó và những file bên trong nó nhưng không có hiêu lực đôi với cac thư muc con và ̣ ̣ ́ ́ ̣ nôi dung cua thư muc con đo. Tuy nhiên, ở hôp thoai Directory Permissions ta có thể lam cho ̣ ̉ ̣ ́ ̣ ̣ ̀ những thay đôi có hiêu lực băng cach chon tuy chon Replace Permissions on Subdirectory và ̉ ̣ ̀ ́ ̣ ̀ ̣ Replace Permissions on Existing File. 4. Ghi nhân hoat đông cua hệ thông: Môt trong những muc ̣ ̣ ̣ ̉ ́ ̣ ̣ tiêu rât quan trong cua Windows NT là đam bao hệ thông hoat đông môt cach có hiêu quả và độ tin ́ ̣ ̉ ̉ ̉ ́ ̣ ̣ ̣ ́ ̣ cây cao. Vì vây, Windows NT cung câp những tinh năng cho phep theo doi và ghi nhân những hoat ̣ ̣ ́ ́ ́ ̃ ̣ ̣ đông cua toan bộ hệ thông thông qua khả năng giam sat những sự kiên (Event) đang xay ra. Những ̣ ̉ ̀ ́ ́ ́ ̣ ̉ sự kiên nay bao gôm sự kiên liên quan đên an toan hệ thông và sự kiên liên quan đên người dung. ̣ ̀ ̀ ̣ ́ ̀ ́ ̣ ́ ̀ Nhờ vây, khi có bât kì sự cố nao xay ra có nguy cơ gây phương hai đên tinh an toan cua hệ thông, ̣ ́ ̀ ̉ ̣ ́ ́ ̀ ̉ ́ Windows NT sẽ đam bao viêc han chế và ngăn chăn lôi, kiêm tra và đinh vị lôi đo. Môi sự kiên ̉ ̉ ̣ ̣ ̣ ̃ ̉ ̣ ̃ ́ ̃ ̣ trong hệ thông đêu có chứa những thông tin giup phân đinh bao gôm: Event ID (đinh danh), Source ́ ̀ ́ ̣ ̀ ̣ (nơi phat sinh sự kiên), Type (kiêu sự kiên), Category (loai sự kiên) và cac thông tin khac phụ ́ ̣ ̉ ̣ ̣ ̣ ́ ́ thuôc vao loai và kiêu sự kiên. Cac sự kiên có thể phân lam 7 loai: 1. Account Management (Quan ̣ ̀ ̣ ̉ ̣ ́ ̣ ̀ ̣ ̉ lý người dung và nhom người dung): mô tả những sự kiên liên quan đên viêc thay đôi Cơ sở dữ ̀ ́ ̀ ̣ ́ ̣ ̉ liêu quan lý tai khoan người dung. Ví dụ như: User Created (tao mới người dung), Group ̣ ̉ ̀ ̉ ̀ ̣ ̀ Membership Change (thay đôi thông tin trong nhom).. 2. Detailed Tracking (Quan lý cac chương ̉ ́ ̉ ́ trinh đang chay): sự kiên liên quan đên hoat đông cua cac chương trinh như kich hoat chương ̀ ̣ ̣ ́ ̣ ̣ ̉ ́ ̀ ́ ̣ trinh, truy câp đên môt đôi tượng... 3. Logon / Logoff (Quan lý trong quá trinh đăng kí tham gia và ̀ ̣ ́ ̣ ́ ̉ ̀ thoat khoi hệ thông): cac sự kiên như: nhâp mât khâu, tên người dung, kiêu tham gia vao hệ thông ́ ̉ ́ ́ ̣ ̣ ̣ ̉ ̀ ̉ ̀ ́ (cuc bô, thông qua mang...)... 4. Object Access (Quan lý viêc truy câp file và cac đôi tượng khac): ̣ ̣ ̣ ̉ ̣ ̣ ́ ́ ́ cac sự kiên liên quan đên viêc truy câp tai nguyên, thanh công hay không thanh công. 5. Policy ́ ̣ ́ ̣ ̣ ̀ ̀ ̀ Change (Thay đôi những cach thức về an toan): chỉ những thay đôi đên cơ sở dữ liêu về an toan ̉ ́ ̀ ̉ ́ ̣ ̀ như: thay đôi những đăc quyên, khả năng đăng nhâp, xac nhân tinh hợp lệ cua đôi tượng. 6. ̉ ̣ ̀ ̣ ́ ̣ ́ ̉ ́ Privilege Use : chỉ những sự kiên liên quan đên quyên han cua người dung. 7. System Event: chỉ ̣ ́ ̀ ̣ ̉ ̀ những sự kiên có anh hưởng đên tinh an toan cua hệ thông. Để quan sat được những sự kiên xay ̣ ̉ ́ ́ ̀ ̉ ́ ́ ̣ ̉ ra trong hệ thông, Windows NT cung câp môt trinh tiên ich là Event Viewer. Event Viewer cho phep ́ ́ ̣ ̀ ̣ ́ ́ xem xet môt cach rât chi tiêt bât kì sự kiên nao xay ra trong hệ thông như mở file, đong file, hoat ́ ̣ ́ ́ ́ ́ ̣ ̀ ̉ ́ ́ ̣ đông cua cac tiên trinh cua người dung, thay đôi mât khâu, cac sự kiên xac nhân an toan... Ví dụ : ̣ ̉ ́ ́ ̀ ̉ ̀ ̉ ̣ ̉ ́ ̣ ́ ̣ ̀ Sự kiên phat sinh khi thao tac trên môt file TEST.TXT. Kiêu sự kiên trên là Success Audit tức là ̣ ́ ́ ̣ ̉ ̣ xac nhân thao tac trên file là thanh công, đinh danh Event ID là 560 tức là Object Open. Như vây, ́ ̣ ́ ̀ ̣ ̣ sự kiên trong ví dụ am chỉ viêc mở file TEST.TXT cua người dung là thanh công. Môt số Event ID ̣ ́ ̣ ̉ ̀ ̀ ̣ tham khao: 1. Quan lý viêc truy câp đên đôi tượng và file: 1. 560: Object Open : băt đâu thao tac ̉ ̉ ̣ ̣ ́ ́ ́ ̀ ́ trên đôi tượng (Mở file...) 2. 561: Handle Allocated : xac đinh đôi tượng (Kiêm tra tinh tôn tai...) ́ ́ ̣ ́ ̉ ́ ̀ ̣ 3. 562: Handle Closed : châm dứt truy câp đên đôi tượng (Đong file) 4. 592: New Process Has ́ ̣ ́ ́ ́ Been Created : môt tiên trinh mới được tao 5. 593: Process Has Exited : kêt thuc môt tiên trinh 2. ̣ ́ ̀ ̣ ́ ́ ̣ ́ ̀ Quan lý người dung 1. 624: User Account Created : tao mới tai khoan 2. 632: Global Group ̉ ̀ ̣ ̀ ̉ Member Added : thêm môt người dung vao nhom global 3. 636: Local Group Member Added : ̣ ̀ ̀ ́ thêm môt người dung vao nhom local 4. 642: User Account Changed : thay đôi trên tai khoan ̣ ̀ ̀ ́ ̉ ̀ ̉ người dung 3. Quan lý hệ thông 1. 512: Windows NT Starting Up : Wins NT băt đâu khởi đông 2. ̀ ̉ ́ ́ ̀ ̣ 514: Authentication package Loaded : tiên trinh xac nhân trong quá trinh đăng nhâp được goi (xem ́ ̀ ́ ̣ ̀ ̣ ̣ thêm quá trinh đăng nhâp cua người dung phân sau) Để có thể theo doi được những sự kiên phat ̀ ̣ ̉ ̀ ̀ ̃ ̣ ́ sinh khi thực hiên môt thao tac đoi hoi người dung phai tham gia vao hệ thông với tư cach là ̣ ̣ ́ ̀ ̉ ̀ ̉ ̀ ́ ́ Server Administrator để có thể thiêt lâp cơ chế xac nhân cac sự kiên và dung tiên ich User Manager ́ ̣ ́ ̣ ́ ̣ ̀ ̣ ́ for Domains để thiêt lâp cơ chế xac nhân băng chức năng Audit Policy: 2. ĐÔI TƯƠNG NGƯƠI ́ ̣ ́ ̣ ̀ ́ DUNG VÀ QUÁ TRINH ĐĂNG NHÂP 1. Những thông tin về người dung: Đôi tượng người ̀ ̀ ̣ ̀ ́ dung hay người dung đơn gian là những người tham gia vao hệ thông. Họ có thể tham gia vao hệ ̀ ̀ ̉ ̀ ́ ̀ thông Windows NT dưới hinh thức môt Windows NT Workstations, Server hay tham gia từ xa ́ ̀ ̣
  9. thông qua mang. Môi người dung trong hệ thông Windows NT băt buôc phai có tên (user name), tai ̣ ̃ ̀ ́ ́ ̣ ̉ ̀ khoan (account) và môt mât khâu (password) để tham gia vao tai khoan đo. Những thông tin nay sẽ ̉ ̣ ̣ ̉ ̀ ̀ ̉ ́ ̀ được người quan trị mang cung câp và sẽ được lưu trữ trong cơ sở dữ liêu tai khoan (Security ̉ ̣ ́ ̣ ̀ ̉ Accounts database - Security Policy database). Sau nay khi người dung tham gia vao hệ thông, bộ ̀ ̀ ̀ ́ phân Local Security Authority (LSA) sẽ xac nhân tinh hợp lệ cua người đó dựa trên những thông ̣ ́ ̣ ́ ̉ tin đã lưu trong cơ sở dữ liêu và những thông tin mà người dung nhâp vao trong quá trinh Logon. ̣ ̀ ̣ ̀ ̀ Tên người dung là môt chuôi dai không quá 20 kí tự không phân biêt kiêu chữ hoa hay thường và ̀ ̣ ̃ ̀ ̣ ̉ không được chứa những kí tự đăc biêt như: / \ [ ]: ; ! = , + # ? < >. Tên người dung con được dung ̣ ̣ ̀ ̀ ̀ như tên đăng nhâp (logon name) duy nhât trên môt vung (domain) và là yêu câu tôi thiêu khi tao tai ̣ ́ ̣ ̀ ̀ ́ ̉ ̣ ̀ khoan người dung. Mât khâu người dung môt chuôi dai không quá 14 kí tự có phân biêt chữ hoa ̉ ̀ ̣ ̉ ̀ ̣ ̃ ̀ ̣ hay thường, duy nhât và được mã hoa để đam bao không thể đoc được từ bât kì người nao trong ́ ́ ̉ ̉ ̣ ́ ̀ hệ thông kể cả người quan tri. Sau khi xac nhân người dung với hệ thông, LSA sẽ tao ra môt Thẻ ́ ̉ ̣ ́ ̣ ̀ ́ ̣ ̣ truy xuât bao mât (Security Access Token - SAT) cho người dung. SAT bao gôm môt Số bao mât ́ ̉ ̣ ̀ ̀ ̣ ̉ ̣ (SID), những SID cua nhom mà người dung tham gia và thêm môt số thông tin khac như tên người ̉ ́ ̀ ̣ ́ dung, tên cua cac nhom chứa người dung đo.... và khi người dung thực thi những trinh ứng dung ̀ ̉ ́ ́ ̀ ́ ̀ ̀ ̣ cua minh thì môt ban sao cua SAT cung sẽ được gởi đên cho trinh ứng dung đo. Như vây, khi ̉ ̀ ̣ ̉ ̉ ̃ ́ ̀ ̣ ́ ̣ người dung (hay trinh ứng dung cua người dung) muôn truy câp đên môt đôi tượng, Windows NT ̀ ̀ ̣ ̉ ̀ ́ ̣ ́ ̣ ́ sẽ dựa trên SID chứa trong Thẻ truy xuât bao mât và xem xet danh sach cac quyên cua người đó để ́ ̉ ̣ ́ ́ ́ ̀ ̉ đam bao viêc truy câp là hợp lê. Sơ đồ biêu diên quá trinh tham gia cua người dung vao mang ̉ ̉ ̣ ̣ ̣ ̉ ̃ ̀ ̉ ̀ ̀ ̣ Windows NT: Sơ đồ trên thể hiên 2 hinh thức tham gia cua người dung vao mang Windows NT: ̣ ̀ ̉ ̀ ̀ ̣ tham gia như môt NT Workstation (cuc bô) và tham gia từ môt mang khac. LSA sẽ so sanh những ̣ ̣ ̣ ̣ ̣ ́ ́ thông tin mà người dung nhâp vao với thông tin trong cơ sở dữ liêu. Nêu chinh xac, Thẻ truy xuât ̀ ̣ ̀ ̣ ́ ́ ́ ́ SAT sẽ được thiêt lâp cho người đo, ngược lai, viêc truy câp vao hệ thông sẽ không được châp ́ ̣ ́ ̣ ̣ ̣ ̀ ́ ́ nhân. 2. Quyên cua người dung: Môt muc tiêu cua cơ chế an toan Windows NT là giam sat và điêu ̣ ̀ ̉ ̀ ̣ ̣ ̉ ̀ ́ ́ ̀ khiên viêc truy câp cua người dung vao môt đôi tượng nao đó trên hệ thông may tinh. Để thực hiên ̉ ̣ ̣ ̉ ̀ ̀ ̣ ́ ̀ ́ ́ ́ ̣ được điêu nay, cơ chế an toan đã lưu giữ trong cơ sở dữ liêu những thông tin về an toan cua ̀ ̀ ̀ ̣ ̀ ̉ người dung, cua nhom và cua cac đôi tượng ngay khi họ được tao ra, kiêm tra tinh hợp lệ cua ̀ ̉ ́ ̉ ́ ́ ̣ ̉ ́ ̉ những yêu câu truy câp đên cac đôi tượng do người dung trực tiêp tao ra hay gian tiêp từ những ̀ ̣ ́ ́ ́ ̀ ́ ̣ ́ ́ trinh ứng dung cua ho. Ngoai ra, hệ thông con có nhiêm vụ giam sat và điêu khiên viêc truy câp cua ̀ ̣ ̉ ̣ ̀ ́ ̀ ̣ ́ ́ ̀ ̉ ̣ ̣ ̉ người dung đên moi đôi tượng bao gôm đôi tượng có thể nhin thây được như may in, file… hoăc ̀ ́ ̣ ́ ̀ ́ ̀ ́ ́ ̣ những đôi tượng tiêm ân như cac tiên trinh, name-pipe… Như vây, cơ chế an toan không những ́ ̀ ̉ ́ ́ ̀ ̣ ̀ điêu khiên viêc ra quyêt đinh ai sẽ được phep sử dung đôi tượng nao mà con điêu khiên viêc truy ̀ ̉ ̣ ́ ̣ ́ ̣ ́ ̀ ̀ ̀ ̉ ̣ câp đó sẽ diên ra ra sao. Windows NT cung quy đinh người quan trị mang (hay bât cứ ai có quyên ̣ ̃ ̃ ̣ ̉ ̣ ́ ̀ thay đôi cơ chế quyên) có toan quyên tao, gan và thay đôi cac quyên cua người dung đên môt đôi ̉ ̀ ̀ ̀ ̣ ́ ̉ ́ ̀ ̉ ̀ ́ ̣ ́ tượng, khả năng nay goi là discretionary access control. Ví du, người quan trị mang có thể đăt ̀ ̣ ̣ ̉ ̣ ̣ nhom SINHVIEN chỉ có quyên Read đôi với thư muc SOFTWARES, con nhom GIANGVIEN có ́ ̀ ́ ̣ ̀ ́ quyên Read, Write và Execute trên thư muc nay. Để có thể ap đăt quyên han cua người dung đôi ̀ ̣ ̀ ́ ̣ ̀ ̣ ̉ ̀ ́ với môt file hay thư muc, có thể dung trinh quan lý file NT Explorer, chon muc Permissons trên ̣ ̣ ̀ ̀ ̉ ̣ ̣ trinh đơn hay trên menu con khi nhân nut phai chuôt vao môt file hay thư muc. Ví du: Môt số ̀ ́ ́ ̉ ̣ ̀ ̣ ̣ ̣ ̣ quyên (Permissions) cơ ban mà người dung có thể có đôi với môt file xac đinh: đoc (Read), viêt ̀ ̉ ̀ ́ ̣ ́ ̣ ̣ ́ (Write), xoa (Delete), thay đôi quyên (Change Permission), thi hanh (Execute), lây quyên sở hữu ́ ̉ ̀ ̀ ́ ̀ (Take Ownership), câm truy câp (No Access)... Hâu hêt người dung trong Windows NT đêu thuôc ́ ̣ ̀ ́ ̀ ̀ ̣ it nhât môt nhom cai săn (built-in group) nao đó như Administrators, Guests, Users...và do đo, ́ ́ ̣ ́ ̀ ̃ ̀ ́ ngâm đinh người đó sẽ được thừa hưởng những quyên (rights) và khả năng (capabilities) thao tac ̀ ̣ ̀ ́ trên hệ thông mà nhom đó co. Ví du, nêu người dung là thanh viên cua nhom Administrators sẽ có ́ ́ ́ ̣ ́ ̀ ̀ ̉ ́ thể thực hiên cac thao tac quan trị hệ thông như tao mới tai khoan, thay đôi mât khâu người dung, ̣ ́ ́ ̉ ́ ̣ ̀ ̉ ̉ ̣ ̉ ̀ thiêt lâp quyên...Nêu người dung là thanh viên cua nhiêu nhom thì quyên cua người đó là tâp hợp ́ ̣ ̀ ́ ̀ ̀ ̉ ̀ ́ ̀ ̉ ̣ cua quyên cua tât cả cac nhom hôi lai. Trên Windows NT có 3 thuât ngữ đêu mang ý nghia thể hiên ̉ ̀ ̉ ́ ́ ́ ̣ ̣ ̣ ̀ ̃ ̣ quyên han cua người dung đôi với hệ thông đó là Permissions, User rights và Built-in capabilities ̀ ̣ ̉ ̀ ́ ́ nhưng trong thực tế chung có ý nghia khac biêt. Ta có thể giai thich như sau: 1. Permissions (sự ́ ̃ ́ ̣ ̉ ́
  10. cho phep): am chỉ quyên han cua người dung liên quan đên viêc sử dung tai nguyên bao gôm ́ ́ ̀ ̣ ̉ ̀ ́ ̣ ̣ ̀ ̀ những luât và thao tac mà người đó có hoăc không thể thực hiên trên đôi tượng tai nguyên đo. ̣ ́ ̣ ̣ ́ ̀ ́ Những quyên han loai nay được lưu trữ trong Danh sach điêu khiên truy câp ACL liên kêt với môt ̀ ̣ ̣ ̀ ́ ̀ ̉ ̣ ́ ̣ đôi tượng tai nguyên. Ví du, đôi với tai nguyên file và thư muc có cac quyên như Read, Write, ́ ̀ ̣ ́ ̀ ̣ ́ ̀ Delete... 2. User rights (Quyên cua người dung): am chỉ quyên han cua người dung liên quan đên ̀ ̉ ̀ ́ ̀ ̣ ̉ ̀ ́ những thao tac có liên quan đên viêc quan trị hệ thông như Shut down may, đăng nhâp, thay đôi ́ ́ ̣ ̉ ́ ́ ̣ ̉ thời gian hệ thông...User rights được phân phôi ngâm đinh cho cac nhom cai săn và có thể phủ lâp ́ ́ ̀ ̣ ́ ́ ̀ ̃ ́ cả Permissions. Ví du, khi người dung là thanh viên cua nhom Backup Operators người đó có ̣ ̀ ̀ ̉ ́ quyên Tao dự phong (backup) và phuc hôi dữ liêu (restore) cho dù có thể người đó không có cac ̀ ̣ ̀ ̣ ̀ ̣ ́ quyên (permissions) Read hay Write. User rights và Permission có thể được thay đôi bởi người ̀ ̉ dung thuôc nhom Administrators. 3. Built-in capabilities: am chỉ những khả năng manh liên quan ̀ ̣ ́ ́ ̣ đên viêc quan trị hệ thông cua những nhom cai săn như tao mới tai khoan, chia sẻ tai nguyên, đinh ́ ̣ ̉ ́ ̉ ́ ̀ ̃ ̣ ̀ ̉ ̀ ̣ dang đia cứng trên may server...Những khả năng nay là ngâm đinh, không thể thay đôi bởi bât cứ ̣ ̃ ́ ̀ ̀ ̣ ̉ ́ ai kể cả Administrators. Ví du: Quyên cua người dung trên may NT Server Kí hiêu trong sơ đô: ̣ ̀ ̉ ̀ ́ ̣ ̀ Admin (Administrators), SO (Server Operators), AO (Account Operators), PO (Print Operators), BO (Backup Operators), Ev (Everyone). 3. Quá trinh đăng nhâp: Trước khi người dung có thể thực ̀ ̣ ̀ hiên bât kì thao tac nao trong hệ thông Windows NT, người đó phai trai qua môt quá trinh đăng kí ̣ ́ ́ ̀ ́ ̉ ̉ ̣ ̀ thâm nhâp – đăng nhâp. Viêc đăng kí bao gôm viêc nhâp vao Tên người dung (User name), Mât ̣ ̣ ̣ ̀ ̣ ̣ ̀ ̀ ̣ khâu (Password) và Tên may tinh (Computer name / Domain). Windows NT sẽ dung Tên cho viêc ̉ ́ ́ ̀ ̣ đinh danh và Mât khâu để xac nhân và để phân phôi hay han chế quyên cua người dung sẽ dựa trên ̣ ̣ ̉ ́ ̣ ́ ̣ ̀ ̉ ̀ những thông tin đo. Ta có sơ đồ đăng nhâp cua người dung vao hệ thông: Cụ thể thể hiên qua cac ́ ̣ ̉ ̀ ̀ ́ ̣ ́ bước : 1. Người dung nhân tổ hợp phim Ctrl+Alt+Del để băt đâu quá trinh đăng ki. Ctrl+Alt+Del ̀ ́ ́ ́ ̀ ̀ ́ là tổ hợp phim đăc biêt đanh dâu viêc băt đâu tai hệ điêu hanh vao bộ nhớ và có thể tranh được ́ ̣ ̣ ́ ́ ̣ ́ ̀ ̉ ̀ ̀ ̀ ́ viêc môt số chương trinh bât hợp lệ (như virus..) có thể vao trước hệ điêu hanh đanh lừa người ̣ ̣ ̀ ́ ̀ ̀ ̀ ́ dung để lây căp Tên người dung và Mât khâu. 2. Người dung nhâp Tên và Mât khâu, tiên trinh ̀ ́ ́ ̀ ̣ ̉ ̀ ̣ ̣ ̉ ́ ̀ đăng nhâp Logon Process sẽ goi LSA. 3. LSA sẽ chay môt tiên trinh xac nhân Authentication ̣ ̣ ̣ ̣ ́ ̀ ́ ̣ package. 4. Authentication package sẽ dựa vao Tên và Mât khâu người dung để xac đinh xem tai ̀ ̣ ̉ ̀ ́ ̣ ̀ khoan cua người dung có tôn tai trong Cơ sở dữ liêu tai khoan hay không. Nêu không tôn tai, tiên ̉ ̉ ̀ ̀ ̣ ̣ ̀ ̉ ́ ̀ ̣ ́ trinh quay trở lai bước 2. 5. Nêu tai khoan tôn tai, trinh quan lý tai khoan SAM sẽ trả về môt SID ̀ ̣ ́ ̀ ̉ ̀ ̣ ̀ ̉ ̀ ̉ ̣ cua người dung và cua nhom chứa người dung cho trinh Authentication package. 6. Trinh ̉ ̀ ̉ ́ ̀ ̀ ̀ Authentication package tao ra môt logon session và gửi logon session đó với SID người dung về ̣ ̣ ̀ cho LSA. 7. Nêu viêc đăng kí bị huy, logon session cung sẽ bị huy và quay lai bước 1. Ngược lai, ́ ̣ ̉ ̃ ̉ ̣ ̣ môt Thẻ truy xuât bao mât sẽ được tao cho người dung (chứa cac SID và quyên cua người dung) ̣ ́ ̉ ̣ ̣ ̀ ́ ̀ ̉ ̀ và được gửi trở lai Tiên trinh logon đanh dâu viêc xac nhân thanh công. 8. Logon session sẽ goi ̣ ́ ̀ ́ ́ ̣ ́ ̣ ̀ ̣ Win32 subsystem để tao môt môi trường mới cho người dung. 9. Người dung băt đâu sử dung ̣ ̣ ̀ ̀ ́ ̀ ̣ Windows NT. Thẻ truy xuât bao mât (Security Access Token) được tao ra nhăm đam bao khi người ́ ̉ ̣ ̣ ̀ ̉ ̉ dung tim cach truy xuât đên những đôi tượng được bao vê, Bộ phân giam sat an toan (Security ̀ ̀ ́ ́ ́ ́ ̉ ̣ ̣ ́ ́ ̀ Reference Monotor) sẽ thi hanh môt thủ tuc để kiêm tra tinh hợp lệ cua truy xuât dựa trên thẻ truy ̀ ̣ ̣ ̉ ́ ̉ ́ xuât nay. Bât kì tiên trinh nao mà người dung tao ra cung đêu được găn thêm thẻ truy xuât bao mât ́ ̀ ́ ́ ̀ ̀ ̀ ̣ ̃ ̀ ́ ́ ̉ ̣ cua người đó và được dung để kiêm tra tinh hợp lệ khi tiên trinh đó muôn truy xuât và sử dung tai ̉ ̀ ̉ ́ ́ ̀ ́ ́ ̣ ̀ nguyên. Thẻ truy xuât bao mât chứa môt số thông tin sau: 1. Số bao mât cua người dung (Owner’s ́ ̉ ̣ ̣ ̉ ̣ ̉ ̀ Security ID) 2. Số bao mât cua nhom (Group’s Security ID) 3. Cac đăc quyên (Privileges) 4. Số bao ̉ ̣ ̉ ́ ́ ̣ ̀ ̉ ̣ ̉ mât cua nhom chinh. 5. Danh sach điêu khiên truy câp ngâm đinh (Default Access-control list ́ ́ ́ ̀ ̉ ̣ ̀ ̣ (ACL) ) 6. Nguôn cua thẻ truy xuât. 7. Kiêu cua thẻ truy xuât (thẻ chinh hay đã phân câp) 8. Mức ̀ ̉ ́ ̉ ̉ ́ ́ ́ độ phân câp hiên hanh. 9. Những thông tin khac. 4. Xac nhân viêc truy câp: Để đam bao viêc truy ́ ̣ ̀ ́ ́ ̣ ̣ ̣ ̉ ̉ ̣ câp cua người dung đên môt đôi tượng là hợp lê, Windows NT sẽ so sanh những thông tin về an ̣ ̉ ̀ ́ ̣ ́ ̣ ́ toan trong Thẻ truy xuât bao mât - SAT cua người đó với những thông tin trong bang mô tả an toan ̀ ́ ̉ ̣ ̉ ̉ ̀ cua đôi tượng. Như vây, viêc truy câp bước đâu được xem là thanh công nêu những thông tin nay ̉ ́ ̣ ̣ ̣ ̀ ̀ ́ ̀ phù hợp với nhau. Tức là những thông tin về an toan trong Danh sach điêu khiên truy câp – ACL ̀ ́ ̀ ̉ ̣ liên kêt với đôi tượng (ACE) xac nhân người dung có quyên truy câp đên no. Tâp hợp cac kiêu ́ ́ ́ ̣ ̀ ̀ ̣ ́ ́ ̣ ́ ̉
  11. truy câp mà người dung muôn thực hiên trên môt đôi tượng hinh thanh nên Măt nạ truy câp yêu ̣ ̀ ́ ̣ ̣ ́ ̀ ̀ ̣ ̣ câu (desired access mask). Măt nạ truy câp nay thường được chương trinh cua người dung tao ra ̀ ̣ ̣ ̀ ̀ ̉ ̀ ̣ và được so sanh với từng ACE trong danh sach ACL cua đôi tượng được truy câp. Quá trinh xac ́ ́ ̉ ́ ̣ ̀ ́ nhân truy câp thông qua cac bước: 1. SID trong ACE liên kêt với đôi tượng được so sanh với cac ̣ ̣ ́ ́ ́ ́ ́ SID trong Thẻ truy xuât cua người dung. Nêu không giông thì viêc so sanh chuyên qua ACE tiêp ́ ̉ ̀ ́ ́ ̣ ́ ̉ ́ theo. (Cac ACE AccessDenied được xử lý trước cac ACE AccessAllowed – Xem lai phân I. ́ ́ ̣ ̀ Những thông tin về an toan) 2. Nêu viêc truy câp bị hoan lai, hệ thông sẽ kiêm tra kiêu truy câp ̀ ́ ̣ ̣ ̃ ̣ ́ ̉ ̉ ̣ trong Măt nạ truy câp yêu câu xem có phai là READ_CONTROL hay WRITE_DAC và người ̣ ̣ ̀ ̉ muôn truy câp có phai là chủ sở hữu đôi tượng hay không (Nêu người sử dung là chủ sở hữu đôi ́ ̣ ̉ ́ ́ ̣ ́ tượng thì 2 kiêu truy câp READ_CONTROL và WRITE_DAC được gan tự đông). Nêu đung thì ̉ ̣ ́ ̣ ́ ́ quyên truy câp được phân phôi cho người đo. 3. Đôi với ACE AccessDenied, hệ thông sẽ so sanh ̀ ̣ ́ ́ ́ ́ ́ những kiêu truy câp trong ACE với Măt nạ truy câp ở trên, nêu có bât kì truy câp nao trung giữa 2 ̉ ̣ ̣ ̣ ́ ́ ̣ ̀ ̀ măt nạ nay thì truy xuât bị huỷ bo. Ngược lai sẽ so sanh đên ACE kêt tiêp. 4. Đôi với ACE ̣ ̀ ́ ̉ ̣ ́ ́ ́ ́ ́ AccessAllowed, hệ thông cung so sanh tương tự như bước 3. Nêu trung thì người dung sẽ được ́ ̃ ́ ́ ̀ ̀ phân phôi quyên truy câp, ngược lai qua ACE kế tiêp. 5. Nêu đên cuôi danh sach ACL mà Măt nạ ́ ̀ ̣ ̣ ́ ́ ́ ́ ́ ̣ truy câp yêu câu vân không trung thì viêc truy câp bị huy bo. 3. CƠ CHẾ AN TOAN TRÊN FILE ̣ ̀ ̃ ̀ ̣ ̣ ̉ ̉ ̀ VÀ THƯ MUC: Đam bao tinh an toan dữ liêu là môt trong những đăc tinh rât ưu viêt cua Windows ̣ ̉ ̉ ́ ̀ ̣ ̣ ̣ ́ ́ ̣ ̉ NT và là môt yêu câu cơ ban cua bât kì môt hệ điêu hanh mang nao. Trên Windows NT, môt đôi ̣ ̀ ̉ ̉ ́ ̣ ̀ ̀ ̣ ̀ ̣ ́ tượng dữ liêu (file, thư muc) trong cung môt thời điêm có thể có nhiêu người cung truy câp đên. ̣ ̣ ̀ ̣ ̉ ̀ ̀ ̣ ́ Viêc dung chung như vây goi là sự chia sẻ file trên mang, điêu đó dân đên viêc tinh bao mât và ̣ ̀ ̣ ̣ ̣ ̀ ̃ ́ ̣ ́ ̉ ̣ nhât quan cua dữ liêu có thể bị vi pham. Để thực hiên điêu đo, Windows NT đã cung câp những ́ ́ ̉ ̣ ̣ ̣ ̀ ́ ́ khả năng thiêt lâp cơ chế an toan trên môt đôi tượng dữ liêu như đăt quyên han, thiêt lâp những ́ ̣ ̀ ̣ ́ ̣ ̣ ̀ ̣ ́ ̣ giao tac (transaction) trên môt đôi tượng dữ liêu, khả năng giam sat viêc truy câp cua người ́ ̣ ́ ̣ ́ ́ ̣ ̣ ̉ dung...- Môt giao tac trên môt đôi tượng dữ liêu là môt tâp hợp cac thao tac truy câp đên đôi tượng ̀ ̣ ́ ̣ ́ ̣ ̣ ̣ ́ ́ ̣ ́ ́ dữ liêu đó sao cho khi thanh công môt giao tac thì cung tương ứng tât cả cac thao tac cung hoan tât ̣ ̀ ̣ ́ ̃ ́ ́ ́ ̃ ̀ ́ môt cach tron ven, ngược lai nêu giao tac không thanh công thì đam bao đôi tượng dữ liêu trở về ̣ ́ ̣ ̣ ̣ ́ ́ ̀ ̉ ̉ ́ ̣ tinh trang ban đâu luc trước khi thực hiên giao tac. An toan trên file và thư muc là môt phân trong ̀ ̣ ̀ ́ ̣ ́ ̀ ̣ ̣ ̀ cơ chế an toan chung đôi với moi đôi tượng trên Windows NT. Do đo, môt số tinh năng an toan ̀ ́ ̣ ́ ́ ̣ ́ ̀ chung cung được ap dung cho file và thư muc tương tự như cac đôi tượng khac. Ngoai ra, để có ̃ ́ ̣ ̣ ́ ́ ́ ̀ thể thực hiên cơ chế an toan đên môt đôi tượng file đoi hoi Windows NT phai được cai với hệ ̣ ̀ ́ ̣ ́ ̀ ̉ ̉ ̀ thông file NTFS, đôi với FAT an toan chỉ đên câp thư muc. 1. Đôi tượng file và viêc điêu khiên ́ ́ ̀ ́ ́ ̣ ́ ̣ ̀ ̉ môt thao tac trên file: Đôi tượng file là môt sự logic hoa môt tâp hợp dữ liêu có câu truc hoăc ̣ ́ ́ ̣ ́ ̣ ̣ ̣ ́ ́ ̣ không được lưu trữ trên thiêt bị lưu trữ. Do đo, khi thao tac trên môt đôi tượng file, có thể người ́ ́ ́ ̣ ́ sử dung không cân biêt câu truc thât sự cua file và cach mà hệ thông sử lí với no. Môt đôi tượng ̣ ̀ ́ ́ ́ ̣ ̉ ́ ́ ́ ̣ ́ file có thể chứa những dữ liêu đăc biêt cua hệ thông hay đơn gian là dữ liêu cua người dung thông ̣ ̣ ̣ ̉ ́ ̉ ̣ ̉ ̀ thường và để đam bao viêc truy câp là hợp lê, Windows NT cho phep thiêt lâp thuôc tinh an toan ̉ ̉ ̣ ̣ ̣ ́ ́ ̣ ̣ ́ ̀ trên môt đôi tượng theo nhiêu mức độ khac nhau, han chế hoăc ngăn câm những truy câp không ̣ ́ ̀ ́ ̣ ̣ ́ ̣ được phep. Môt cach ngâm đinh, khi môt đôi tượng dữ liêu (file, thư muc) được tao ra thì nó ́ ̣ ́ ̀ ̣ ̣ ́ ̣ ̣ ̣ được gan môt số quyên ngâm đinh dung chung cho moi người dung và cac quyên danh riêng cho ́ ̣ ̀ ̀ ̣ ̀ ̣ ̀ ́ ̀ ̀ chủ sở hữu đôi tượng đo. Ngoai ra, cac quyên măc đinh trên môt đôi tượng file có thể giới han ́ ́ ̀ ́ ̀ ̣ ̣ ̣ ́ ̣ trong pham vi môt may tinh Windows NT hay như là môt tai nguyên chung trên mang. Như đã đề ̣ ̣ ́ ́ ̣ ̀ ̣ câp, cơ chế an toan trên file được ap dung như moi đôi tượng khac. Viêc tao, sửa đôi hay xoá file ̣ ̀ ́ ̣ ̣ ́ ́ ̣ ̣ ̉ cung được xử lý thông qua thanh phân thực thi Object Manager thông qua sự giam sat cua Bộ ̃ ̀ ̀ ́ ́ ̉ phân giam sat an toan (SRM). Tât cả những yêu câu thao tac trên môt đôi tượng file (bao gôm cac ̣ ́ ́ ̀ ́ ̀ ́ ̣ ́ ̀ ́ thao tac như: mở file, tao mới, xoa file...) cua người dung trước khi đên được bộ phân Object ́ ̣ ́ ̉ ̀ ́ ̣ Manager đêu phai qua quá trinh xac nhân cua SRM. SRM sẽ kiêm tra và so sanh những thông tin ̀ ̉ ̀ ́ ̣ ̉ ̉ ́ trong Thẻ truy xuât bao mât cua người dung (SAT) và trong Danh sach điêu khiên truy câp (ACL) ́ ̉ ̣ ̉ ̀ ́ ̀ ̉ ̣ cua đôi tượng đó (ACL : xin xem phân I. Những thông tin về an toan) để xac nhân xem người đó ̉ ́ ̀ ̀ ́ ̣ có quyên thao tac trên đôi tượng file đó hay không, nêu có thì gôm những quyên gi... Hinh vẽ trên ̀ ́ ́ ́ ̀ ̀ ̀ ̀ thể hiên viêc Tao môt file và cac bộ phân tham gia vao viêc thực hiên thao tac nay. Khi có ứng ̣ ̣ ̣ ̣ ́ ̣ ̀ ̣ ̣ ́ ̀
  12. dung gửi môt yêu câu đên cac dich vụ cua hệ thông yêu câu Tao môt file thì yêu câu nay sẽ được ̣ ̣ ̀ ́ ́ ̣ ̉ ́ ̀ ̣ ̣ ̀ ̀ chuyên đên bộ phân I/O Manager năm ở Kernel mode. Bộ phân I/O Manager tiêp theo sẽ gửi yêu ̉ ́ ̣ ̀ ̣ ́ câu Tao mới môt đôi tượng cho Object Manager thông qua SRM. Nêu bộ phân giam sat an toan ̀ ̣ ̣ ́ ́ ̣ ́ ́ ̀ (SRM) từ chôi yêu câu tao đôi tượng file thì yêu câu nay không đên được Object Manager và nó sẽ ́ ̀ ̣ ́ ̀ ̀ ́ thông bao trở lai cho I/O Manager biêt răng thao tac yêu câu đã bị từ chôi. Ngược lai thì yêu câu sẽ ́ ̣ ́ ̀ ́ ̀ ́ ̣ ̀ được chuyên đên Object Manager. Object Manager tao ra file và gửi môt mã trang thai về cho I/O ̉ ́ ̣ ̣ ̣ ́ Manager thông bao thao tac đã thanh công hay thât bai. Tương tự như moi đôi tượng khac, những ́ ́ ̀ ́ ̣ ̣ ́ ́ thông tin về an toan trên môt đôi tượng file được lưu trữ trong Bang mô tả an toan Security ̀ ̣ ́ ̉ ̀ Descriptor. Bang nay chứa môt số thông tin liên quan đên file như: Tên file, Thư muc chứa file, cac ̉ ̀ ̣ ́ ̣ ́ SID và cac Danh sach điêu khiên truy câp. Danh sach điêu khiên truy câp cho môt đôi tượng file ́ ́ ̀ ̉ ̣ ́ ̀ ̉ ̣ ̣ ́ goi là Danh sach điêu khiên truy câp tuy chon (tự do) Descretionary ACL chỉ ra ai có quyên truy ̣ ́ ̀ ̉ ̣ ̀ ̣ ̀ câp đên file, ai bị ngăn câm. Môi ACE trong DACL sẽ chỉ đên môt đôi tượng người dung và chứa ̣ ́ ́ ̃ ́ ̣ ́ ̀ cac quyên mà người đó có đôi với file trong Măt nạ truy câp Access Mask. Măt nạ truy câp cua ́ ̀ ́ ̣ ̣ ̣ ̣ ̉ môt đôi tượng file có chứa 3 kiêu quyên: kiêu xac đinh, kiêu chuân và kiêu chung. Kiêu xac đinh ̣ ́ ̉ ̀ ̉ ́ ̣ ̉ ̉ ̉ ̉ ́ ̣ ̀ gôm co: FILE_READ_DATA, FILE_WRITE_DATA, FILE_APPEND_DATA, FILE_READ_EA, ́ FILE_WRITE_EA, FILE_EXECUTE, FILE_READ_ATTRIBUTES, FILE_WRITE_ATTRIBUTES (xin xem phân I. Những thông tin về an toan). Kiêu chung gôm: ̀ ̀ ̉ ̀ FILE_GENERIC_READ, FILE_GENERIC_WRITE, FILE_GENERIC_EXECUTE. Có môt sự ̣ phân biêt giữa DACL rông (empty DACL) và DACL không được gan (unassigned DACL). Môt ̣ ̃ ́ ̣ DACL rông có nghia là không có quyên truy câp nao cung câp cho đôi tượng đó và không ai được ̃ ̃ ̀ ̣ ̀ ́ ́ phep truy câp, tuy nhiên, chủ sở hữu cua đôi tượng vân có thể thay đôi DACL và cung câp lai cac ́ ̣ ̉ ́ ̃ ̉ ́ ̣ ́ quyên. DACL không được gan nghia là không có sự bao vệ nao đôi với đôi tượng và moi người ̀ ́ ̃ ̉ ̀ ́ ́ ̣ đêu có quyên truy câp. 2. Quyên han trên file: a. Phân loai quyên: Cac quyên (permissions – có thể ̀ ̀ ̣ ̀ ̣ ̣ ̀ ́ ̀ goi là sự cho phep) được ap đăt đôi với file và thư muc là khac nhau và được phân phôi hay han ̣ ́ ́ ̣ ́ ̣ ́ ́ ̣ chế tuy thuôc thao tac truy câp đên đôi tượng. Môt đôi tượng dữ liêu (file, thư muc) trên Windows ̀ ̣ ́ ̣ ́ ́ ̣ ́ ̣ ̣ NT được cung câp 2 loai quyên: quyên đăc biêt và quyên chuân. Cac quyên đăc biêt gôm: 1. R ́ ̣ ̀ ̀ ̣ ̣ ̀ ̉ ́ ̀ ̣ ̣ ̀ (Read): đoc 2. W (Write): viêt 3. X (Execute): thực hiên 4. D (Delete): xoa 5. P (Change ̣ ́ ̣ ́ Permissions): thay đôi quyên 6. O (Take Ownership): lây quyên sở hữu Cac thao tac và ap dung ̉ ̀ ́ ̀ ́ ́ ́ ̣ quyên đăc biêt đôi với file : Cac thao tac và ap dung quyên đăc biêt đôi với thư muc : Cac quyên ̀ ̣ ̣ ́ ́ ́ ́ ̣ ̀ ̣ ̣ ́ ̣ ́ ̀ tiêu chuân gôm: 1. Cac quyên đôi với file: 1. Read (RX) : đoc và chay chương trinh (nêu là file ̉ ̀ ́ ̀ ́ ̣ ̣ ̀ ́ chương trinh) 2. Change (RWXD) : đoc, sửa và xoa file 3. Full Control (RWXDOP) : đoc, sửa, ̀ ̣ ́ ̣ xoa, đăt quyên han và lây quyên sở hữu. 4. No Access : câm truy câp, ngay cả khi người dung là ́ ̣ ̀ ̣ ́ ̀ ́ ̣ ̀ thanh viên cua nhom đã được câp quyên truy câp. 2. Cac quyên đôi với thư muc được biêu diên ̀ ̉ ́ ́ ̀ ̣ ́ ̀ ́ ̣ ̉ ̃ theo dang sau: (Cac quyên đôi với ban thân thư muc)(Cac quyên thừa kế cho những file trong thư ̣ ́ ̀ ́ ̉ ̣ ́ ̀ muc đo) 1. List (RX)(Không xac đinh) : người dung chỉ có quyên liêt kê file và thư muc con trong ̣ ́ ́ ̣ ̀ ̀ ̣ ̣ thư muc nay. Ngoai ra, nêu người dung có quyên có thể thay đôi thư muc nay và không thể truy ̣ ̀ ̀ ́ ̀ ̀ ̉ ̣ ̀ câp đên những file mới tao sau khi đăt quyên nay. 2. Read (RX)(RX) : đoc nôi dung cua file trong ̣ ́ ̣ ̣ ̀ ̀ ̣ ̣ ̉ thư muc và chay ứng dung trong thư muc đo. 3. Add (WX)(Không xac đinh) : có thể thêm file vao ̣ ̣ ̣ ̣ ́ ́ ̣ ̀ thư muc nhưng không thể đoc nôi dung hay thay đôi file. 4. Add & Read (RWX)(RX) : có thể thêm ̣ ̣ ̣ ̉ file, đoc nhưng không được sửa nôi dung. 5. Change (RWXD)(RWXD) : có thể thêm, đoc, sửa đôi ̣ ̣ ̣ ̉ nôi dung và xoa file trong thư muc. 6. Full Control (RWXDPO)(RWXDPO) : có thể thêm, đoc, sửa ̣ ́ ̣ ̣ đôi, xoa, đăt quyên và lây quyên sở hữu cua thư muc và cac file trong thư muc đo. 7. No Access () ̉ ́ ̣ ̀ ́ ̀ ̉ ̣ ́ ̣ ́ () : câm truy câp. Ví dụ : Môt thư muc được ap đăt quyên là (RWX)(RX) có nghia là (RWX) là ́ ̣ ̣ ̣ ́ ̣ ̀ ̃ quyên đôi với thư muc và (RX) là quyên đôi với cac file trong thư muc đo. Như vây người dung ̀ ́ ̣ ̀ ́ ́ ̣ ́ ̣ ̀ có quyên thêm file vao trong thư muc và đoc nó nhưng không được sửa đôi cac file trong thư muc ̀ ̀ ̣ ̣ ̉ ́ ̣ đo. Cac thao tac và quyên chuân đôi với file: Cac thao tac và quyên chuân đôi với thư muc: Cac ́ ́ ́ ̀ ̉ ́ ́ ́ ̀ ̉ ́ ̣ ́ thao tac và quyên chuân ngâm đinh cua những file trong thư muc: Môt số đăc điêm quan trong khi ́ ̀ ̉ ̀ ̣ ̉ ̣ ̣ ̣ ̉ ̣ thiêt lâp quyên trên môt đôi tượng file và thư muc: 1. Có thể ngăn chăn người dung truy câp đên ́ ̣ ̀ ̣ ́ ̣ ̣ ̀ ̣ ́ môt quyên băng cach không đap ứng quyên đên người đo. Nghia là không cân phai gan quyên No ̣ ̀ ̀ ́ ́ ̀ ́ ́ ̃ ̀ ̉ ́ ̀ Access đên từng người hoăc nhom mà không truy câp đên file và thư muc. 2. Quyên han có tinh ́ ̣ ́ ̣ ́ ̣ ̀ ̣ ́
  13. chât tich luy. Nghia la, nêu người dung A được gan quyên Read trên thư muc D:\BAITAP và nhom ́ ́ ̃ ̃ ̀ ́ ̀ ́ ̀ ̣ ́ mà chứa người dung A có quyên Change trên thư muc đó thì quyên tông hợp danh cho người dung ̀ ̀ ̣ ̀ ̉ ̀ ̀ là Read + Change = Change 1. Quyên han có tinh kế thừa: những thư muc con và những file được ̀ ̣ ́ ̣ tao ra trong thư muc D:\BAITAP sẽ thừa hưởng những quyên có trên thư muc D:\BAITAP. Theo ̣ ̣ ̀ ̣ quy đinh, người dung thuôc nhom Administrators và Server Operators có toan quyên thao tac viêc ̣ ̀ ̣ ́ ̀ ̀ ́ ̣ phân quyên trên file và thư muc, bao gôm cả những file và thư muc chia se. Quyên han trên file và ̀ ̣ ̀ ̣ ̉ ̀ ̣ thư muc có thể được phân phôi cho những người dung và nhom sau: 1. Người dung Domain trên ̣ ́ ̀ ́ ̀ vung có chứa server 2. Người dung Domain trên môt Trusted domain 3. Những nhom cuc bộ trên ̀ ̀ ̣ ́ ̣ vung chứa server 4. Những nhom toan cuc trên vung chứa server 5. Những nhom toan cuc trong ̀ ́ ̀ ̣ ̀ ́ ̀ ̣ môt Trusted domain 6. Cac nhom và người dung đăc biêt: Everyone, INTERACTIVE, ̣ ́ ́ ̀ ̣ ̣ NETWORK, SYSTEM, CREATOR OWNER. b. Quyên đôi với những tên chia se: Trên Windows ̀ ́ ̉ NT môt tai nguyên thư muc có thể được chia sẻ cho nhiêu người dung truy câp từ nhiêu nơi khac ̣ ̀ ̣ ̀ ̀ ̣ ̀ ́ nhau trên mang. Do đo, môt tai nguyên thư muc có thể có nhiêu tên chia sẻ và được gan những ̣ ́ ̣ ̀ ̣ ̀ ́ quyên han khac nhau ứng với môi tên chia sẻ đo. Điêu nay có lợi khi chủ sở hữu hoăc người quan ̀ ̣ ́ ̃ ́ ̀ ̀ ̣ ̉ trị muôn những nhom người dung khac nhau có những quyên truy câp khac nhau trên môt thư muc ́ ́ ̀ ́ ̀ ̣ ́ ̣ ̣ được chia se. Ngâm đinh, người dung thuôc nhom Administrators và Server Operators có thể thay ̉ ̀ ̣ ̀ ̣ ́ đôi những quyên trên môt chia se. Những quyên han trên những thư muc chia sẻ chỉ có tac dung ̉ ̀ ̣ ̉ ̀ ̣ ̣ ́ ̣ khi thư muc đó được truy câp trên mang (kiêu tai khoan là local account) và những quyên đó ap ̣ ̣ ̣ ̉ ̀ ̉ ̀ ́ đăt cho cả những file và thư muc con bên trong. Do vây, nêu người dung tham gia môt cach cuc bộ ̣ ̣ ̣ ́ ̀ ̣ ́ ̣ chỉ những quyên han trên file và thư muc có tac dung (với hệ thông file NTFS) con những quyên ̀ ̣ ̣ ́ ̣ ́ ̀ ̀ trên thư muc chia sẻ thì không. 1. Cơ chế xac nhân truy câp: Môi thao tac cua người dung đôi với ̣ ́ ̣ ̣ ̃ ́ ̉ ̀ ́ môt đôi tượng file hay thư muc đêu được hệ điêu hanh ghi nhân và thể hiên dưới dang môt sự kiên ̣ ́ ̣ ̀ ̀ ̀ ̣ ̣ ̣ ̣ ̣ (event), cho dù thao tac thanh công hay thât bai. Cac thao tac nay bao gôm: mở file, đoc nôi dung ́ ̀ ́ ̣ ́ ́ ̀ ̀ ̣ ̣ môt file, xem tên file, liêt kê danh sach file trong môt thư muc, xoa file, xoa thư muc… đêu được ̣ ̣ ́ ̣ ̣ ́ ́ ̣ ̀ liêt môt cach chi tiêt trong trinh Event Viewer. Thiêt lâp cơ chế xac nhân trên file dung chức năng ̣ ̣ ́ ́ ̀ ́ ̣ ́ ̣ ̀ Audit: KÊT LUÂN VÀ NHÂN XET Windows NT là môt hệ điêu hanh mang có tinh an toan cao và ́ ̣ ̣ ́ ̣ ̀ ̀ ̣ ́ ̀ được thiêt kế kĩ lưỡng. Cơ chế an toan trên Windows NT dựa trên nên tang là tiêu chuân an toan ́ ̀ ̀ ̉ ̉ ̀ C2 cua Bộ quôc phong My, là môt tiêu chuân rât khăt khe và là môt muc tiêu trong thiêt kế cua bât ̉ ́ ̀ ̃ ̣ ̉ ́ ́ ̣ ̣ ́ ̉ ́ kì môt hệ điêu hanh mang nao. Sự an toan thể hiên xuyên xuôt toan bộ hệ thông bao gôm nhiêu tinh ̣ ̀ ̀ ̣ ̀ ̀ ̣ ́ ̀ ́ ̀ ̀ ́ năng ưu viêt như trong quan lí người sử dung, quan lí hệ thông file và an toan dữ liêu, quan lí bộ ̣ ̉ ̣ ̉ ́ ̀ ̣ ̉ nhớ, quan lí cac môi trường con và cac thiêt bị mang … Đôi với người dung, Windows NT cung ̉ ́ ́ ́ ̣ ́ ̀ câp nhiêu khả năng trong viêc thiêt lâp, điêu khiên và giam sat những hanh vi truy câp từ khi người ́ ̀ ̣ ́ ̣ ̀ ̉ ́ ́ ̀ ̣ đó băt đâu đăng nhâp vao hệ thông đên khi kêt thuc viêc tham gia, đam bao những truy câp cua ́ ̀ ̣ ̀ ́ ́ ́ ́ ̣ ̉ ̉ ̣ ̉ người dung là hợp lệ tương ứng với những quyên han mà người đó có được khi tham gia vao hệ ̀ ̀ ̣ ̀ thông, ngăn chăn những thao tac bât hợp lệ có nguy cơ gây phương hai cho hệ thông và cho những ́ ̣ ́ ́ ̣ ́ đôi tượng khac. Đôi với an toan dữ liêu, Windows NT hỗ trợ hệ thông file an toan NTFS và nhiêu ́ ́ ́ ̀ ̣ ́ ̀ ̀ tinh năng ưu viêt về an toan file trên hệ thông file nay, bao gôm khả năng thiêt lâp quyên truy câp ́ ̣ ̀ ́ ̀ ̀ ́ ̣ ̀ ̣ đên môt đôi tượng file, giam sat những thao tac trên file, khả năng khôi phuc sau sự cô… Tât cả ́ ̣ ́ ́ ́ ́ ̣ ́ ́ những tinh năng an toan đó đam bao hệ thông Windows NT chay ôn đinh và tin cây trên moi môi ́ ̀ ̉ ̉ ́ ̣ ̉ ̣ ̣ ̣ trường ứng dung, đap ứng được những yêu câu về an toan trong thực tế và ngay cang đứng vững ̣ ́ ̀ ̀ ̀ ̀ trên thị trường hệ điêu hanh mang. Do thời gian có han nên tai liêu biên soan con nhiêu thiêu xot ̀ ̀ ̣ ̣ ̀ ̣ ̣ ̀ ̀ ́ ́ và chưa thể mô tả được hêt moi khia canh bao mât trên Windows NT. Môt số thuât ngữ không thể ́ ̣ ́ ̣ ̉ ̣ ̣ ̣ dich sat nghia Tiêng Viêt nên tôi tam dich kem với từ gôc Tiêng Anh. Trên cac hệ điêu hanh mới ̣ ́ ̃ ́ ̣ ̣ ̣ ̀ ́ ́ ́ ̀ ̀ hiên nay như 2k/XP, cơ chế an toan cung được phat triên nâng cao dựa trên nên tang Windows NT, ̣ ̀ ̃ ́ ̉ ̀ ̉ cac ban có thể dựa trên cac kiên thức cơ ban ở đây để tim hiêu nâng cao và sâu hơn trên từng hệ ́ ̣ ́ ́ ̉ ̀ ̉ thông cụ thê. Tai liêu tham khao: 1. Windows NT Server 4 Professional Reference, New Riders ́ ̉ ̀ ̣ ̉ Publishing. 2. Windows NT Resource Guide, Microsoft TechNet1997. 3. Win32 Programmer’s Reference, Microsoft Corp. 4. MSDN 5. Internet Tac gia: W_Hat (w_hat95@yahoo.com) Zorro ́ ̉ (r3v3ng3r01@yahoo.com) Phiên ban: 1.0 – 05/1999 by W_Hat 1.2 – 01/2003 by Zorro ̉
Đồng bộ tài khoản