IX Deljenje i bezbednost datoteka

S A D R A J

9.1 Deljenje datoteka

9.2 Upravljanje dozvolama

9.3 NTFS dozvole

9.4 Atomske dozvole

9.5 Molekularne dozvole

9.6 Obezbeivanje fajl sistema

9.1 Deljenje datoteka Serverski OS u celoj Windows familiji, kontrolie mogunost servera

da deli fajlove i resurse za tampanje.

Sama injenica da imate podignut server ne znai da imate bilo ta

raspoloivo za vae korisnike.

Microsoft je jo u svom starom mrenom OS, Windows 2000 Server,

ubacio mnoge nove servise, karakteristike i funkcije ija je osnovna

namena bila da se obezbedi dobar fajl server.

Windows Server OS je preuzeo solidne mogunosti za deljenje fajlova

od Windowsa NT, proirio ih sa distribuiranim fajl sistemom (Distributed

File System) i uveo dozvole i deljenje koje se lake kontrolie

Osnovna namena bilo kog mrenog servera jeste da omogui

nesmetano korienje resursa na mrei koju kontrolie.

Da bi bilo ko od njih dobio pristup resursima servera, resurse morate

da uinite deljivim (shared) tj. vidljivim za korisnike sa mree.

Kao primer posluie direktorijum na lokalnom drajvu I, pod nazivom

APPS, sa 3 aplikacije u poddirektorijumima, kao to je prikazano na slici

9.1 Deljenje datoteka

9.1 Deljenje datoteka

Ako za deljenje direktorijuma APPS sa servera na klijentu koristite

oznaku M: taj drajv M: identian je direktorijumu na serveru I:\APPS

Kada direktorijum delimo preko mree klijenti na svojim raunarima

mogu da mapiraju direktorijum I:\APPS sa novom oznakom drajva.

9.1 Deljenje datoteka Da biste mogli da kreirate deljeni direktorijum, morate da imate

odgovarajua prava a to znai da ste ili administrator ili Power User.

Deljene direktorijume moete da kreirate na nekoliko naina: preko

Explorera, upravljakom konzolom ili korienjem Server Manager-a

Kreiranje deljenih direktorijuma iz Explorera

Ako sedite za serverom, Explorer omoguava jednostavno i direktno

kreiranje i kontrolu svih svojstava deljenih direktorijuma.

Potrebno je da desnim tasterom oznaimo eljeni direktorijum (APPS)

koji elimo da delimo i iz menija izaberemo opciju Sharing and Security

Ovo otvara novu stranicu sa svojstvima direktorijuma APPS, sa ve

prikazanom karticom Sharing.

Za deljenje ovog direktorijuma preko mree kliknite radio dugme

Share This Folder.

Opcija Share Name predstavlja najznaajniji podatak na ovoj stranici

jer e ime koje ovde date biti vidljivo svim korisnicima mree

Polje Description omoguava unos detaljnijih opisnih informacija o

ovom direktorijumu i ono nema neki znaaj na serveru ili klijentu.

9.1 Deljenje datoteka

User Limit konfiguriete broj korisnika koji istovremeno mogu da

koriste deljeni direktorijum vai za kompletan direktorijum

Kada direktorijum uinite deljivim, ponovo moete da posetite stranicu

sa svojstvima, desnim klikom i biranjem opcije Sharing and Security.

Iako izgleda kao i prethodna stranica sa svojstvima, sada nudi jo jednu

opciju, dugme New Share, koja moe da dodeli direktorijumu drugo ime

Izborom Permissions moete da definiete razliite dozvole za deljenje

9.2 Upravljanje dozvolama Potrebno je zatititi deljene resurse od neovlaenog pristupa

Postoje razni naini, pomou rutera ili firewala, ali znatno vee

mogunosti imamo ako se koristimo dozvolama za rad sa reursima

Postoje dve vrste dozvola: dozvole za rad sa deljenim direktorijumima

i dozvole za rad sa fajlovima i direktorijumima (NTFS dozvole).

Pomou ovih dozvola moemo da kontroliemo ko ima pristup naim

podacima i ta moe da radi sa njima.

Dozvole za rad sa deljenim direktorijumima

Dozvole za rad sa deljenim direktorijumima predstavljaju jednostavan

oblik kontrole pristupa kada radite sa Windows Serverom OS.

Ove dozvole imaju efekat samo kada raunaru pristupamo preko mree

Definisanjem dozvola za deljene direktorijume moemo da definiemo

nivo pristupa za sve korisnike jo na samom ulazu u fajl sistem

Nivo dozvole predstavlja samo maksimalni nivo pristupa koji dobijate

kada dospete u unutranjost a to znai da dalja ogranienja unutar

direktorijuma moete da postignete dozvolama na nivou fajla (NTFS)

kojima dobijamo punu kontrolu nad direktorijumom

9.2 Upravljanje dozvolama Prikazano je polje Group or User Names koje navodi listu korisnika i

grupa dodeljenih deljenom direktorijumu

Kada se selektuje korisnik ili grupa, prikazuju se i njima dodeljene

dozvole.

Moemo postaviti sledee dozvole:

1.Full Control - grupa moe da

izvrava sve funkcije nad svim

fajlovima i direktorijumima u okviru

deljenog direktorijuma.

2.Change - Dodeljena grupa moe da

ita i izvrava, kao i da menja i brie

fajlove i direktorijume u okviru

deljenog direktorijuma.

3.Read - Dodeljena grupa moe da ita

i izvrava fajlove i direktorijume, ali ne

moe da menja ili brie bilo ta to se

nalazi u okviru direktorijuma

9.2 Upravljanje dozvolama Razumevanje opcija Allow i Deny

Administrator moe da odobri ili zabrani pristup za bilo koga, ili moe

da izbrie obe opcije, i Allow i Deny, ostavljajui korisnika i bez

doputenja i bez zabrane konkretne dozvole.

Ako korisnik nema dozvolu, ni odobrenje ni zabranu, onda uopte nema

nikakav pristup objektu.

Ako je kod dozvole potvrena opcija Allow, korisnik moe da isproba

dozvolu; ako je potvrena opcija Deny, ne moe.

Objekti mogu da imaju vie pridruenih dozvola za iste direktorijume.

OS trai sve ACL ulaze za nalog i izraunava ih na sledei nain:

1. najpre se ignoriu svi ulazi bez potvrenih opcija

2. trai sve potvrene opcije Allow i ako ih nema, nema pristupa resursu

3. trae se sve potvrene opcije Deny i ako se pronae makar jedna,

pristup rsursu je zabranjen.

Pristup resursu se dobija samo ako ima barem jedna potvrena opciju

Allow, bez potvrenih opcija Deny.

Ako je potvrena bar jedna opcija Deny pristup resursu je zabranjen

9.3 NTFS dozvole za rad sa fajlovima Ako imamo 1000 korisnika koji su hteli da privatizuju podatke u

okviru direktorijuma, morali ste da kreirate 1000 deljenih direktorijuma

NTFS dozvole - dozvole koje su se mogle dodeljivati direktno za

specifine fajlove i direktorijume obezbeene neograniene mogunosti

9.3 NTFS dozvole za rad sa fajlovima Dozvole koje vidite na slici formirane su od dozvola nieg nivoa.

Na primer, dozvola vieg nivoa List Folder Contents sadri pet

dozvola nieg nivoa:

1. Traverse Folder/Execute File,

2. List Folder/Read Data,

3. Read Attributes,

4. Read Extended Attributes

5. Read Permissions.

Sve dozvole moemo podeliti na "molekularne" i "atomske" dozvole.

NTFS ima 13 atomskih dozvola.

Ostale vrste objekata mogu da imaju manji ili vei broj atomskih

dozvola; na primer, bilo koji objekat AD (korisniki nalog, nalog maine,

OJ, objekat grupne polise i td.) ima vie od 35 atomskih dozvola.

Svi AD objekti dele isti skup atomskih dozvola.

Na sledeoj slici pokazano je kako se grupisanjem atomskih dozvola

kreiraju molekularne dozvole.

9.3 NTFS dozvole za rad sa fajlovima

9.4 Atomske dozvole Traverse Folder/Execute File - omoguuje preskakanje nekoliko nivoa

zatite da bi doli do ciljnog direktorijuma gde dozvole stvarno vae a

Execute File izvravanje fajla.

List Folder/Read Data - Dozvola List Folder omoguava prikazivanje

naziva fajlova i direktorijuma u okviru datog direktorijuma a dozvola

Read Data omoguava prikazivanje sadraja fajla.

Read Attributes omoguava prikaz osnovnih atributa fajla kao to su

Read-Only, Hidden, System i Archive.

Read Extended Attributes - odreeni programi za svoje tipova fajlova

ukljuuju neke druge atribute koji se razlikuju od programa do programa

Write Attributes - omoguava izmenu osnovnih atributa fajla.

Write Extended Attributes - omoguava izmenu dodatnih atributa fajla.

Create Files/Write Data - Create Files omoguava postavljanje novih

fajlova u okviru direktorijuma a Write Data omoguava prepisivanje

postojeih podataka u okviru fajla.

9.4 Atomske dozvole

Create Folders/Append Data - Create Folders omoguava kreiranje

direktorijuma u okviru postojeeg direktorijuma a Append Data

omoguava dodavanje podataka na kraj postojeeg fajla.

Delete Subfolders and Files - brisanje poddirektorijuma i fajlova

Delete - omoguava brisanje objekta.

Read Permissions - omoguava prikazivanje svih NTFS dozvola

dodeljenih fajlu ili direktorijumu, ali bez mogunosti za promenu

Change Permissions - Ova atomska dozvola omoguava promenu

dozvola koje su dodeljene fajlu ili direktorijumu.

Take Ownership - Ova atomska dozvola omoguava preuzimanje

vlasnitva nad fajlom. Kada postanete vlasnik, nasleujete prava za

promenu dozvola za rad sa fajlom. Podrazumeva se da administratori

uvek mogu da preuzmu vlasnitvo nad fajlom ili direktorijumom.

9.5 Molekularne dozvole Read - omoguava prikazivanje sadraja, dozvola i atributa dodeljenih

objektu. Ako je re o fajlu, moete da prikaete fajl, a ako je re o

direktorijumu, dozvola omoguava prikazivanje sadraja direktorijuma.

Write dozvola za direktorijum omoguava kreiranje novog

poddirektorijuma u okviru datog direktorijuma a za promenu fajla, pored

dozvole Write morate imati i dozvolu Read.

Read and Exccute Dozvola Read and Execute je identina dozvoli

Read, ali dodaje atomsku privilegiju prolaska do direktorijuma.

Modify - kombinacija dozvola Read and Execute i Write.

Full Control - predstavlja kombinaciju prethodno pominjanih dozvola,

sa mogunou da menjate dozvole i preuzimate vlasnitvo

List Folder Contents - slina prava kao i dozvola Read and Execute, ali

vai samo u sluaju direktorijuma.

Special Permissions - je jednostavno prilagoena grupa atomskih prava

koju kreirate kada neka od standardnih atomskih dozvola nije prikladna

za datu situaciju.

9.6 Obezbeivanje fajl sistema Windows Server OS sve svoje podatke smeta u fajl sistem, tj. svi

korisniki podaci, podaci aplikacije i fajlovi OS nalaze se u fajl sistemu.

Da bi fajl sistem bio bezbedan, ovi fajlovi se moraju obezbediti.

Spoljanje pretnje mrei, sluajno brisanje fajl sistema ili pristup neke

od neovlaenih internih grupa mogu rezultirati gubitkom podataka

Blokiranje fajl sistema preko NTFS-a - NTFS je predstavljao veliku

prekretnicu u odnosu na FAT fajl sistem, u mnogim oblastima.

Podravanje veih diskova, podravanje nestandardnih veliina bloka za

dodeljivanje memorije i mogunost definisanja bezbednosti na nivou

fajla ili direktorijuma - sve su to velike prednosti NTFS-a.

Blokiranje grupnog lanstva - Jedan od najbitnijih naina za

bezbednost mree je da se korisnicima ne garantuje lanstvo u grupama

koje bi im obezbedile vie prava nego to im je zaista neophodno.

Dranje korisnika dalje od sistemskih fajlova - Korumpiranje ili

brisanje sistemskih fajlova vrlo brzo moe da onesposobi server. Ako ne

raunamo bezbednosne zakrpe, ne postoji nijedan drugi razlog da

administrator ima pravo upisivanja za sistemske fajlove.

9.6 Obezbeivanje fajl sistema

Odravanje tajnosti fajlova pomou EFS-a - Encrypting File System

na NTFS volumenima omoguava korisniku da ifruje fajl tako da samo

on moe da mu pristupi. Kada pone da koristi EFS za ifrovanje fajla,

korisniku se dodeljuje par kljueva (javni i privatni klju). Kljuevi se

generiu pomou servisa sertifikata ili ih EFS samostalno potpisuje, u

zavisnosti od toga da li je CA prisutan.

Samostalna upotreba EFS-a - Windows Server ima sposobnost da

generie sopstveni par kljueva za EFS ukoliko nemaju na raspolaganju

sertifikat na nivou domena. EFS na maini koja ne pripada domenu se

dosta razlikuje od onog na maini koja je lan domena. Ako korisnik

ifruje fajl i izgubi oba spremita sertifikata, korisnikog i lokalnog

DRA-a, nee moi da deifruje fajl. Slino tome, usled nedostatka

centralne baze podataka kljueva za korisnike EFS-a na raunaru koji ne

pripada domenu, korisnik moe namerno da izbrie DRA sertifikat i

spremite sertifikata, pa e takvi fajlovi biti neupotrebljivi.

9.7 NTFS File i Folder dozvole

To configure NTFS permission

for folder or file, open the

properties of the object. Then

select Security tab. Under Group

or user names, select or add user

or group. Under permissions,

allow or deny permissions. There

are two types of NTFS

permission, standard and

advanced. Those permissions

displayed under permissions area

in Test folder properties is

standard NTFS permissions.

http://www.mustbegeek.com/wp-content/uploads/2013/07/Folder-Properties.png

9.7 NTFS File i Folder dozvole Advanced permission is configured by clicking the Advanced button

under permissions area. You can add new user or groups to apply NTFS

settings. You can select the user or group and click Edit to configure

advanced NTFS permission settings.

http://www.mustbegeek.com/wp-content/uploads/2013/07/Advanced-Option.png

9.7 NTFS File i Folder dozvole You will see following windows after clicking Edit option by selecting

the object. Configure some advanced NTFS permissions and click OK to

apply the permission.

http://www.mustbegeek.com/wp-content/uploads/2013/07/Edit-Advanced-Permission.png

9.7 NTFS File i Folder dozvole Select the auditing tab in advanced NTFS settings window. This option

allows you to logs success or failure of folder access by users or groups.

Click Add to configure the setting.

http://www.mustbegeek.com/wp-content/uploads/2013/07/Advanced-Auditing.png

9.7 NTFS File i Folder dozvole You will see following screen as shown below after clicking Add button.

Click select a principal to configure auditing option for user or group.

On type, select All to log both success and failure of the folder access

by the user AJones. Click OK to apply the settings.

http://www.mustbegeek.com/wp-content/uploads/2013/07/Advanced-Auditing-Option.png

9.7 NTFS File i Folder dozvole Now lets play with Effective access option. Effective access is a very

quick and handy method to test or check the NTFS permission of user or

group for accessing files and folders. Click Effective Access tab on

advanced NTFS permission window. Here, you can test the permission

effects for each user or group. To check the effective permission for user

AJones, click select a user and add user AJones. Then click View

effective access. You can see the effective access of user AJones for this

Test folder. Here, user AJones doesnt have full control of the folder, but

the user can read and list items of the folder.

http://www.mustbegeek.com/wp-content/uploads/2013/07/Effective-Access.png

Hvala na panji !!!

Pitanja

? ? ?