[ЗИПКС] ЛР4 ФС И ПРАВА ДОСТУПА
.pdf
1
Лабораторная работа № 4
1. Теоретическая часть: Файловая система и права доступа
1.1. Особенности файловых систем семейства FAT
Файловая система представляет собой иерархическое хранилище пользовательских и системных файлов, а также областей данных. В операционных системах существует большое количество файловых систем, но Windows XP, поддерживает только две из них: FAT (File Allocation Table, таблица распределения файлов) и NTFS (New Technology File System, файловая система новой технологии). Обе файловые системы разработаны в компании Microsoft. Файловая система FAT официально появилась в первой версии ОС MS-DOS. Файловая система NTFS, являясь журналируемой системой нового поколения, впервые возникла в ОС линейки Windows NT.
Существует большое количество файловых систем под общим названием FAT: FAT 12, FAT 16 и FAT32. Аббревиатура FAT указывает на тот факт, что в работе файловой системы используется таблица размещения файлов, разрядность которой, в зависимости от файловой системы, может быть 12-, 16- и 32-битная. Чем больше эта разрядность, тем больший объем носителя может использовать файловая система.
Файловая система FAT12 использовалась на старых жестких дисках, а также дискетах большей емкости, наиболее популярными форматами которых стали 1.2 Mb для 5.25" и 1.44 Мb Для 3.5". Файловая система FAT16 использовалась и используется в жестких дисках относительно малой емкости. Наиболее целесообразно ее использование на винчестерах до нескольких гигабайт. В н.в. используется для хранения информации на различных Flash (тип технологии, используемой в микросхемах памяти) накопителях, устройствах типа memory-stick (модули памяти к различным электронным устройствам) и др. Использование файловой системы FAT32 было популярно в Windows 98, Windows 98 SE и Windows ME. Она предназначалась для поддержки дисков большой емкости.
Строение FAT. Файловая система FAT состоит из трех областей данных:
-загрузочного сектора;
-таблицы размещения файлов;
-областей файлов и каталогов.
Загрузочный сектор1 (ВООТ-сектор, англ. BOOT – загрузка) используется для хранения ряда системных параметров, констант и переменных. Эти данные определяют параметры используемого жесткого диска или иного носителя, на котором находится файловая система, название тома, а также параметры ОС. В более общем случае, например, при использовании жесткого диска в первом его секторе, находится специальный MBR-сектор (англ. Master Boot Record, самый главный ВООТ-сектор). Данный сектор содержит по-
1 Название «сектор» пошло от правила, что все накопители разбиты на сектора, чтобы к ним было просто обращаться ОС, например, по номеру сектора.
2
мимо параметров жесткого диска еще и специальное описание виртуальных дисков (разделов) и программу загрузчик ОС.
Область размещения файлов состоит из последовательности 12-, 16или 32-разрядных чисел, в зависимости от разрядности системы, которые определяют размещение файлов и папок на компьютере. Чем больше разрядность, тем больше размер файлов и папок и, следовательно, тем большего объема диски они могут поддерживать. Область файлов и папок содержит файлы и папки, которые могут храниться не последовательно на диске, а в различных местах, так же как и информация, которая в них содержится. В таком случае говорят, что диск фрагментирован или имеет фрагментацию.
На жестком диске может быть максимум четыре раздела, один из которых активный (загрузочный). В любом из этих четырех разделов может быть произвольное количество логических дисков.
Файловой системе FAT необходимо постоянное обслуживание. Каждый раз после некорректного завершения работы компьютера, что может произойти в результате сбоя программы, ОС или электричества, ОС необходимо запускать программу проверки файловой системы, так как в ней могут остаться ошибки или потерянные данные. Такая ситуация случается, если во время записи какой-либо информации компьютер перестал нормально функционировать и информация записалась не туда, куда нужно, или записалась корректно, но ОС из-за сбоя не успела узнать об этом. Также возможно, что из-за функций кэширования информации, какой-либо файл из-за сбоя не успел записаться на диск. И информация стала безвозвратно потерянной для пользователя. Поэтому компьютер рекомендуется оборудовать системой бесперебойного питания.
Помимо проверки файловой системы FAT необходимо периодически выполнять функции дефрагментации диска, т.к. по ходу чтения файла с диска приходится постоянно перемещаться с одного места на другое в поисках следующего куска файла, что сказывается на быстродействии системы. Поэтому Microsoft включила в состав ОС программу дефрагментации.
1.2. Средства управления файловой системой
Для доступа к встроенным в систему средствам контроля диска и его дефрагментации необходимо:
-вызвать программу: Проводник (Пуск\Все программы\Стандартные\ Проводник);
-выбрать требуемый диск и вызвать контекстное меню правой кнопкой мыши;
-выбрать команду Свойства;
-откроется окно Свойства;
-щелчком выбрать вкладку Сервис (рис.1.1.);
-нажать на кнопку Выполнить проверку.
Будет проведена операция по проверке диска. При нажатии на кнопку Выполнить дефрагментацию будет проведена дефрагментация диска.
3
Дефрагментацию стоит проводить только при необходимости, что зависит от частоты работы с информацией.
Существуют и другие программы для ускорения доступа к диску. Наиболее мощным и действенным приложением является программа SpeedDisk компании Symantec. Это приложение не только значительно ускоряет доступ и работу с файлами, но и производит дефрагментацию значительно быстрее продукта Microsoft за счет использования других алгоритмов. Руководствуясь идей, что компьютер сам должен решить, когда стоит производить дефрагментацию, Symantec сделала специальный продукт, входящий в набор утилит Norton Utilities, который постоянно выполняется в системе, как фоновое задание, и в случае обнаружения слишком большого количества фрагментированных файлов начинает выполнять процесс дефрагментации файловой системы компьютера. Запускаясь автоматически, данная программа постоянно работает в системе, наблюдая за происходящими в ней процессами, что делает ее использование гораздо более простым и доступным, чем регулярный вызов обычных программ по оптимизации файловой системы.
Рис.1.1. Окно выполнения служебных операций с дисками
Нижняя кнопка Выполнить архивацию предназначена для сохранения всей информации с жесткого диска компьютера, что необходимо делать на случай, если компьютер выйдет из строя и вся информация будет утрачена.
Файловая система устроена достаточно просто и не имеет механизмов для предотвращения нежелательного доступа пользователей к папкам, файлам и системным областям диска, что порождает массу проблем.
Корень всех проблем – отсутствие разграничения доступа пользователей к файлам что означит, что любая программа, работающая с данной файло-
4
вой системой, может производить запись в любое место файловой системы, что и нужно вирусам. Вирусы могут записываться в файлы и системные области диска (ВООТ-сектор и MBR-сектор). Кроме того, вирусы, зная устройство файловой системы и учитывая отсутствие в ней возможности шифрования файлов и папок, могут использовать различные уязвимости, чтобы самим, минуя уровень по работе с FAT операционной системы, хозяйничать в файлах и папках, оставаясь практически незамеченными. Вирусы могут перехватить все действия, связанные с работой FAT, и, например, производить шифрование файлов при их записи на диск, а при чтении производить обратное декодирование и криптографический алгоритм будет известен лишь им одним. При удалении вируса из системы ОС будет вылечена, но вся информация останется недоступной.
Также если вирус проник на файловую систему FAT, то он может проникнуть в системные файлы ОС, получив возможный контроль над ней. Файловая система не остановит его, т.к. в ней все файлы равны и нет разницы, кому они принадлежат: операционной системе, прикладным программам или пользователям. FAT как и ОС не помешает вирусу пройти по всем программам и файлам пользователя, удалив или испортив их. Отсутствие разграничения доступа пользователей к файлам означает, что, сколько бы пользователей не работало в системе и какие бы надежные и изощренные пароли они не использовали, все их файлы будут видны друг другу.
В данное время система FAT морально устарела, так как она не может эффективно противостоять различным сбоям и нарушениями, не может быстро работать с информацией и не обеспечивает защиту информации пользователей.
1.3. Файловая система NTFS и разграничения прав пользователей
Файловая система NTFS (New Technology File System) является файловой системой нового поколения. При ее проектировании ставились цели сделать ее как можно более надежной, мощной, устойчивой к сбоям и безопасной. Главным отличием системы NTFS от системы FAT является устойчивость к сбоям и система разграничения доступа.
Устойчивость к сбоям файловой системы нового поколения обеспечивается за счет метода журналирования. Во избежание сбоев перед каждым изменением служебной информации файловой системы создается специальная запись, говорящая о начале такой операции. И если эта операция прошла успешно, то запись о ней удаляется из файловой системы. Если же операция не завершилась успехом, то система может сделать откат операции, зная по записи, в каком состоянии находилась система до нее. Наличие данного механизма делает ненужным наличие программ проверки дисков. Это связано с тем, что система каждый раз при перезагрузке проверяет все файловые системы на локальных накопителях жестких дисков. И если какаялибо система имеет ошибки, то они сразу и целенаправленно, исправляются, т.к. всю информацию ОС узнает из журнала операций файловой систе-
5
мы.
Разграничение доступа является второй важнейшей особенностью файловой системы NTFS. Так как данная система реализована в защищенном режиме ОС и меняется от версии к версии ОС, то узнать ее структуру или даже попытаться считать какие-либо данные в обход ядра ОС для приложений становится практически невозможно. В NTFS введена система прав, когда каждый пользователь может иметь (или не иметь) определенные права на пользование файлом (папкой): возможность чтения, записи, исполнения и пр. Для того чтобы пользователь мог просмотреть ее содержимое, необходимо, чтобы он имел на это право. Данный механизм позволяет пользователям сохранять свои данные и информацию.
Для того чтобы посмотреть или изменить права на любой файл в файловой системе NTFS, необходимо убедиться в ее наличие на жестком диске. Для этого следует:
-запустить Проводник;
-выбрать требуемый диск и вызвать контекстное меню правой кнопкой мыши;
-выбрать команду Свойства;
-появится окно Свойства: Локального диска С: (рис.1.2.).
Рис.1.2. Окно Свойства жесткого диска
Данный жесткий диск имеет файловую систему NTFS, приводится его суммарная емкость, объем занятого и свободного места. Наряду с этим система предлагает, посредством кнопки Очистка диска, вызов специальной программы для увеличения свободного места за счет удаления или перемещения редко используемых или неиспользуемых файлов, приложений и документов. Внизу окна предлагаются флажки для определения некоторых свойств данного диска, специфичных только для системы NTFS.
Режим Сжимать диск для экономии места ответственен за сжатие ин-
6
формации посредством ядра ОС при ее записи на диск. Таким образом, объем диска за счет некоторого уменьшения производительности может возрасти до полутора раз. Процесс записи при сжатии файлов и процесс их декомпрессии при чтении с диска происходит для пользователя совершенно прозрачно и незаметно. Возможность сжатия информации защищает от кракеров, т.к. разжать сжатую файловой системой информацию на другом компьютере невозможно.
В н.в. на рынке программного обеспечения существует ряд продуктов, способных к чтению файловой системы NTFS с жесткого диска Windows ХР машины. Для этого нужно загрузиться с какой-либо иной ОС, обычно с DOS- дискеты или загрузочного компакт-диска, а потом, поставив специальный драйвер, перейти к работе нужного тома с NTFS. Также можно использовать другой компьютер с установленной Windows XP. Данное программное обеспечение позволяет не обращать внимания на права доступа и работать с NTFS также прозрачно и небезопасно, как с FAT. Это означает, что вся система безопасности обходится. И человек, имеющий доступ к компьютеру, а также имеющий возможность произвести загрузку с компакт-диска или дискеты, потенциально способен на обход любой системы безопасности NTFS.
Режим Разрешить индексирование диска для быстрого поиска отвечает за работу системы поиска по файлам на диске, по умолчанию он включен.
1.4. Развертывание NTFS
Если на компьютере установлена файловая система FAT, то для установки файловой системы NTFS следует воспользоваться программойконвертером файловых систем convert.exe, входящей в стандартный комплект поставки Windows XP. Запуск этой программы производится в текстовом командном окне, например, программы cmd.exe. Программу можно запустить, указав ключ "/help" в качестве аргумента (рис. 1.3).
Рисунок 1.3. Запуск программы конвертации файловых систем
Программа предназначена для конвертации файловых систем FAT в NTFS. При конвертации в простейшем случае необходимо указать после имени программы имя (букву) диска с двоеточием, а затем ключ «/FS:NTFS». Полезно указать ключ « /V » – программа будет выводить на экран больше
7
сообщений, в результате чего можно лучше контролировать процесс конвертации и ошибки, которые могут возникнуть по ходу этого процесса. Остальные опции данной программы редко используются (рис.1.4.).
Рисунок 1.4. Помощь при работе с программой convert.exe
Для получения дополнительных советов от Microsoft по использованию данной программы по ключевому слову «» в файле помощи Windows XP (Пуск\Справка) можно найти интересующую информацию (рис. 1.5).
Рисунок 1.5. Помощь по работе с программой конвертации файловых систем
8
Программа convert.exe берет за образец для конвертирования файловую систему FAT и делает из нее NTFS. Однако в FAT нет ни системных прав, ни каких-либо других объектов данных, сопровождающих файлы и папки в файловой системе NTFS. Поэтому следует с помощью специальной программы, входящей в состав Windows XP, поставить права системы безопасности на созданной системе NTFS. Для этого нужно в текстовом командном окне выполнить следующую команду:
Secedit /configure /db С:\%SystemRoot%\temp\temp.mdb /Cfg c:\%System Distrib%\inf\defltwk.inf /areas filestore,
где: %systemRoot% – каталог, в который установлена система; %SystemDistrib% – каталог, в котором находится дистрибутив ОС
Windows XP.
Проводить такую операцию нужно из пользовательской учетной записи, имеющей права администратора системы. В результате выполнения системой данной команды восстановятся права по умолчанию для папок и файлов в каталоге, где установлена система: C:\WIND0WS и C:\Program Files. Для папки Documents and Settings следует устанавливать права вручную. После завершения данного процесса диск будет находиться под управлением файловой системы NTFS.
1.5.Настройка приложения Проводник для эффективной работы с NTFS
Для определения прав файлов и папок в NTFS следует:
-запустить программу Свойства папки: Пуск\Панель управления\ Свойства папки (рис.1.6.);
-выбрать закладку Вид;
-в разделе Дополнительные параметры будут отображены текущие свойства папок.
Рисунок 1.6. Окно настройки отображения файлов и папок
9
В открывшемся окне рекомендуется найти строку Использовать простой общий доступ и убедитесь, что флажок убран (рис.1.7.).
Примечание: для того, чтобы все программы, файлы и ссылки активировались с одного щелчка мышью, то необходимо поставить опцию Щелчки мышью в положение Открывать одним щелчком, выделять указателем
(рис.1.6.).
Рисунок 1.7. Текущие свойства папок
1.6. Права доступа пользователей к объектам файловой системы
После проделанной подготовительной работы можно приступить к изучению работы с правами файлов в NTFS. Для этого следует:
-выбрать любой файл или папку;
-щелчком правой кнопкой мыши вызвать контекстное меню;
-в контекстном меню выбрать режим Свойства;
-открыть вкладку Безопасность;
-откроется окно безопасности файла или папки (рис.1.8.).
Воткрывшейся вкладке видно, каким группам пользователей и какой именно доступ разрешен. В операционной системе и, в частности, ее файловой системе, действует правило: к файловому объекту имеют доступ только перечисленные пользователи, в соответствии с указанными им правами.
Вновейших операционных системах действует более глобальное правило: все, что явно не разрешено – запрещено. В соответствии с этим, любой пользователь, не принадлежащий к группе пользователей, указанных во вкладке Безопасность получит отказ при доступе к папке C:\Windows. В старых ОС линейки Windows 9x считалось, что запрещено только то, что явным образом запрещено – любой объект, который не имеет явного запрета в использовании, является доступным.
10
Рисунок 1.8. Окно свойств безопасности папки
Встарых ОС это означает, что каждый раз при создании какого-либо объекта пользователь должен сам вручную прописывать доступ, который к нему запрещен. Если пользователю нужно часто создавать новые объекты, то невозможно сразу на всех поставить корректные права доступа (или можно забыть запретить доступ другим пользователям). В этом случае как минимум, несколько минут или даже часов на таких файлах будет оставаться доступ для всех пользователей, т.е. с такого компьютера любой человек или программа может скопировать любую информацию или даже стереть ОС, если такая возможность не была заранее закрыта пользователем или системным администратором. Данную ситуацию используют вирусы, которые могут получить полный контроль над ОС, файлами, личной информацией.
Благодаря введению новой политики безопасности Microsoft удалось не только сократить число краж информации пользователей, но и значительно сократить число вирусов и троянских программ. Однако, даже в этом случае, любые попытки фирмы разработчика уберечь от утраты информации могут окончиться ничем, если пользователь будет работать под правами Администратора ОС. Пользователь, принадлежащий к группе системных администраторов имеет все права и ситуация становится аналогичной ситуации в линейке ОС Windows 9x. Поэтому рекомендуется работать в системе под правами обычного пользователя группы Users.
Вокне свойств системы безопасности (рис.1.8.) находятся следующие группы пользователей: SYSTEM, Администраторы, Опытные пользователи, Пользователи, СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ. В эти группы входят также специфические возможности файловой системы или группы, от имени которых работает ОС или определенные программы и сервисы. К числу послед-