Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 25 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
25
Dung lượng
1,04 MB
Nội dung
Học Viện Cơng Nghệ Bưu Chính Viễn Thơng Cơ Sở Tại TP HCM -o0o - Đề tài Báo Cáo Tìm hiểu Access Control List GVHD: Thầy Lê Phúc Nhóm: Vũ Tiến Sỹ Vũ Thế Luân Nguyễn Hữu Lâm LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Báo Cáo Đồ Án Bảo Mật Hệ Thống Thông Tin Contents Tổng quan Giới thiệu Những nguyên tắc bảo mật: .3 2.1 Availability .4 2.2 Integrity 2.3 Confidentiality 2.4 Non-repudiation : Các nhân tố bảo mật thông tin: Các phương pháp kiểm soát truy cập 4.1 Mandatory Access Control (MAC): 4.2 Discretionary Access Control (DAC) 4.3 Role Based Access Control (RBAC): 10 II ACCESS CONTROL LIST TRONG WINDOW 10 Quản lý đối tượng (Object Manager): 10 Cơ chế bảo mật (SRM - Security Reference Monitor): 11 Cơ chế an toàn File thư mục Windows NT 12 Các thuộc tính File thư mục 14 Chia sẻ thư mục mạng 15 Thiết lập quyền truy cập cho người hay nhóm sử dụng 18 NTFS Permission 20 I 17/11/2009 Page LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Báo Cáo Đồ Án Bảo Mật Hệ Thống Thông Tin I Tổng quan Giới thiệu Kiểm soát truy cập tính bảo mật mà kiểm sốt người dùng, hệ thống liên lạc, tương tác với hệ thống tài nguyên khác Chúng bảo vệ hệ thống tài nguyên từ truy cập trái phép thành phần có tham gia việc xác định mức độ cấp phép, thẩm quyền sau thủ tục xác thực thành công hoàn thành Mặc dù thường nghĩ người sử dụng thực thể mà yêu cầu truy cập vào thông tin, tài nguyên mạng Nhưng thật có nhiều loại khác yêu cầu truy cập gọi chung subject Điều quan trọng hiểu định nghĩa subject object làm việc access control Truy cập luồng thông tin subject object Một subject thực thể chủ động (active) yêu cầu truy cập vào object liệu object subject người sử dụng (user), chương trình(program), trình truy cập subject để thực nhiệm vụ Khi chương trình truy cập tập tin (file), chương trình subject tập tin object Một object thực thể thụ động (passive) chứa thông tin Một object máy tính, sở liệu, tập tin, chương trình, thư mục, trường chứa bảng sở liệu Khi bạn tìm kiếm thơng tin sở liệu, bạn subject hoạt động sở liệu object Access control thuật ngữ rộng bao gồm số loại hình khác chế thi hành tính kiểm sốt truy cập vào hệ thống máy tính, mạng, thơng tin Access control vấn đề quan trọng tảng việc đấu tranh chống truy cập trái phép vào hệ thống tài nguyên mạng Khi tên người dùng mật dùng để truy cập vào máy, điểu khiển truy cập Một người sử dụng truy cập vào máy sau cố gắng truy cập đến tập tin, tập tin có danh sách người dùng nhóm có quyền truy cập Nếu người dùng khơng có danh sách này, người sử dụng bị từ chối Đây hình thức kiểm sốt truy cập Kiểm sốt truy cập cho tổ chức, khả kiểm soát, hạn chế, giám sát, bảo vệ nguồn tài nguyên sẵn có, toàn vẹn, bảo mật Những nguyên tắc bảo mật: Có ngun tắc cho điều khiển bảo mật là: 17/11/2009 Page LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Báo Cáo Đồ Án Bảo Mật Hệ Thống Thông Tin Availability (tính sẵn có) Integrity ( tính tồn vẹn) Confidentiality ( tính tin cậy) 2.1 Availability Hey, tơi sẵn có Nhưng khơng muốn bạn Thơng tin, hệ thống, tài nguyên cần phải có sẵn cho người dùng cách kịp thời nên suất không bị ảnh hưởng Hầu hết thông tin cần phải tiếp cận sẵn cho người dùng yêu cầu để họ thực nhiệm vụ thực trách nhiệm họ Truy cập thông tin khơng quan trọng khơng thể tiếp cận Kinh nghiệm người quản trị tập tin máy chủ hay mức cao sử dụng sơ liệu gặp vấn đề lý Fault tolerance recovery áp dụng để đảm bảo tính liên tục sẵn có nguồn lực Năng suất người sử dụng bị ảnh hưởng lớn yêu cầu liệu không sẵn sàng Thơng tin có thuộc tính khác nhau, độ xác, thích hợp, kịp thời tính riêng tư Nó quan trọng mơi giới chứng khốn để có thơng tin xác kịp thời, để mua bán chứng khoán thời điểm thích hợp mơi giới chứng khốn không cần thiết phải quan tâm riêng tư thơng tin này, cần sẵn có Một cơng ty nước giải khát phụ thuộc vào cơng thức chế biến mà quan tâm đến tính riêng tư bí mật thương mại, chế bảo mật nơi cần bí mật 17/11/2009 Page LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Báo Cáo Đồ Án Bảo Mật Hệ Thống Thông Tin 2.2 Integrity Thơng tin phải xác, đầy đủ, bảo vệ khỏi thay đổi trái phép Khi chế bảo đảm cung cấp tồn vẹn, bảo vệ liệu, tài nguyên khỏi thay đổi trái phép Nếu loại sử đổi bất hợp pháp xảy chế bảo đảm phải cảnh bào cho người sử dụng Ví dụ: người dùng gửi yêu cầu vào tài khoản ngân hàng trực tuyến để trả tiền nước bà $24.56 Ngân hàng cần phải bảo đảm tính tồn vẹn giao dịch đo khơng thay đơi qua trình trao đổi thơng tin Tồn vẹn liệu quan trọng Điều email mật gửi từ trưởng nhà nước cho Tổng Thống Hoa Kỳ ngăn chặn thay đổi mà khơng có chế an ninh với khơng cho phép hay cảnh báo chủ tịch rằng: thông tin bị thay đổi, thay nhận thông điệp bị thay đổi 2.3 Confidentiality Điều bí mật tơi bạn khơng thể có Trả lời: Tơi khơng muốn Confidentiality đảm bảo thông tin không tiết lộ trái phép cho cá nhân, chương trình, quy trình Một số thông tin nhạy cảm thông tin khác đòi hỏi mức độ bảo mật cao Cơ chế kiểm soát cần thực để biết người truy cập liệu subject làm Những sách cần kiểm sốt, kiểm tra, quản lý Ví dụ: thơng tin bí mật hồ sơ y tế, thơng tin tài khoản tài chính, hồ sơ hình sự, mã nguồn, bí mật kinh doanh, hay chiến thuật, kế hoạch quân Một số chế cung cấp confidentiality mã hóa, điều khiển truy cập vật lý, logic, giao thức truyền dẫn, view sở liệu kiểm soát lưu lượng Một mục tiêu quan trọng bảo mật thông tin bảo đảm riêng tư liệu Điều có nghĩa liệu hay thơng tin người người biết người khác không quyền can thiệp vào Trong thực tế, thường thấy phát lương ngồi bì thư hay đề chữ Confidentiality nhằm khơng cho nhân viên biết mức lương để tránh đố kỵ, so sánh họ Hoặc khu vực riêng quan hay tổ chức nhằm ngăn chặn người lạ xâm nhập với bảng cấm “khơng phận miễn vào” hình thức bảo vệ tính riêng tư Đối với liệu truyền để bảo vệ tính riêng tư (confidentiality) liệu thường mã hóa hay sử dụng giao thức truyền thơng an tịan SSH 17/11/2009 Page LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Báo Cáo Đồ Án Bảo Mật Hệ Thống Thông Tin 2.4 Non-repudiation : Đây mục tiêu thứ cấp mục tiêu CIA q trình bảo mật thông tin Non-repudation tinh chối bỏ, nhằm bảo đảm xác nhận nguồn gốc thông điệp Nếu bạn hay download chương trình mạng thấy nhà cung cấp hay kèm theo chuỗi số hàm băm MD5 hay SHA dùng để xác nhận có phải bạn download chương trình từ nhà cung câp hay khơng Vì chương trình khác attacker/hacker đưa lên chắn có thay đổi nội dung giá trị MD5/SHA bị thay đổi, khác với giá trị mà nhà cung cấp đưa Còn ngược lại, giá trị MD5/SHA giống giá trị mà nhà cung cấp đưa chương trình nha 2cung cấp no gây tác hại nài học khơng quyền chố bỏ trách nhiệm cách nói rằngchương trình khơng phải họ viết Các nhân tố bảo mật thông tin: Vậy để đạt mục tiêu CIA cần phải thực điều gì? Đó nhân tố bảo mật thông tin sau đây: Authentication: Xác thực, trình xác nhận đặc điểm nhận biết người dùng qua định quyền truy nhập sở liệu khả thực giao dịch người Việc xác thực thường thơng qua tên truy nhập mật phương pháp 17/11/2009 Page LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Báo Cáo Đồ Án Bảo Mật Hệ Thống Thông Tin phức tạp chứng thực số Ví dụ bạn đăng nhập hệ thống máy tính tiến trình xác thực diễn bạn nhập vào tài khỏan bao gồm username password hình logon Authorization : tiến trình kiểm tra quyền hạn người dùng sau đăng nhập hệ thống Ví dụ người dùng sau đăng nhập hệ thống cần phải trải qua tiến trình Authorization, sau người dùng phép truy cập vào máy chủ hay liệu tùy thuộc vào quyền hạn mà có tiến trình Access control : q trình kiểm sốt truy cập có chức gán quyền cho người dùng hay xác nhận quyền hạn người dùng Khi bạn tạo tập tin thư mục chia cho nhân viên khác thướng gán quyền phép đọc, ghi …Quá trình gọi kiểm sóat truy cập (Access control) Auditing hay accounting: trình ghi nhật ký hệ thống để lưu giữ lại hành động diễn đối tượng hay liệu Thông thường thường hay ghi log file lần user đăng nhập thành cơng hay thất bại hệ thống mình, sau đăng nhập có thao tác gì, trình gọi Auditing hay accounting Các phương pháp kiểm soát truy cập Theo danh sách mục tiêu Comptia đề xuất phần có tên là” Nhận Dạng Và Giải Thích Các Mơ Hình Điều Khiển Truy Cập” Vậy mơ hình điều khiển truy cập gì? Đó phương pháp hay kỹ thuật dùng phép hay không cho phép người dùng sử dụng dịch vụ hay liệu hệ thống Ví dụ với mơ hình điều khiển truy cập DAC, bạn gán quyền cho người dùng thuộc nhóm Sale phép Read/Write thư mục liệu Sale Info, cịn người khác cơng ty Read mà khơng phép thay đổi Điều khiển truy cập bước sau tiến trình xác thực (authentication) hồn tất Điều giống ngơi nhà có tiện ích sử dụng phòng ngủ 1,2,3 Một người dùng muốn sử dụng phòng ngủ X họ (access control) trước tiên họ phải phép vào ngơi nhà ví dụ phải có thẻ vào, hay có chìa khóa để vào nhà – q trình gọi xác thực Và mục tiêu trình xác thực & điều khiển truy cập 17/11/2009 Page LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Báo Cáo Đồ Án Bảo Mật Hệ Thống Thông Tin ngăn ngừa trường hợp truy cập, sử dụng trái phép tài ngun hệ thống, yếu tố bảo mật thông tin Các hệ thống điều khiển truy cập cung cấp dịch vụ thiết yếu dịch vụ nhận dạng xác minh (identification and authentication - I&A), dịch vụ ủy quyền (authorization) dịch vụ quy trách nhiệm (accountability) người dùng quy trình Trong dịch vụ nhận dạng xác minh nhằm xác định người đăng nhập vào hệ thống, dịch vụ ủy quyền xác định mà người dùng xác thực thi hành, dịch vụ quy trách nhiệm nhận dạng chứng thực hành vi hay hoạt động mà người dùng thi hành họ sử dụng hệ thống Các mơ hình điều khiển truy cập sau: Mandatory Access Control (MAC) Discretionary Access Control (DAC) Role Based Access Control (RBAC) Các mơ hình thường phối hợp sử dụng hệ thống để gia tăng mức độ an toàn 4.1 Mandatory Access Control (MAC): Là mơ hình xây dựng dựa tảng ứng dụng hệ điều hành hay nói cách khác xây dựng tảng độc tài Hề điều hành điều khiển thứ kể phần cứng hay phần mềm mà kiểm sốt giống ơng vua làm thứ mà ơng ta muốn Mơ hình mơ hình xây dựng theo cấu trúc phân tầng, lớp Mỗi tầng, lớp có quyền xác định mà tất quyền hạn tập trung hệ điều hành hệ điều hành bị lỗi hệ thồng bị sụp đổ nên mơ hình MAC phân level khác để quản lý Các level MAC thường gồm có: bảo mật tối cao, bảo mật, bình thường, quảng bá, nhạy cảm MAC phân quyền theo chế có chủ liệu người quản trị tối cao có tồn quyền với liệu cịn người dùng khác khơng có quyền với liệu thơng tin 17/11/2009 Page LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Báo Cáo Đồ Án Bảo Mật Hệ Thống Thông Tin Về tính bảo mật MAC cao khả phục hồi liệu sau công thấp MAC áp dụng với thông tin, liệu tuyệt mật mà khơng thể biết trừ người nắm quyền liệu Điều khiển truy cập bắt buộc (mandatory access control - MAC) sách truy cập không cá nhân sở hữu tài nguyên định, mà hệ thống định MAC dùng hệ thống đa tầng cấp, hệ thống xử lý loại liệu nhạy cảm, thông tin phân hạng mức độ bảo mật phủ quân đội Một hệ thống đa tầng cấp hệ thống máy tính chịu trách nhiệm xử lý bội số phân loại nhiều tầng cấp chủ thể đối tượng Nhãn hiệu nhạy cảm (sensitivity label): Trong hệ thống dùng điểu khiển truy cập bắt buộc, hệ thống định nhãn hiệu cho chủ thể đối tượng hệ thống Nhãn hiệu nhạy cảm chủ thể xác định mức tin cẩn cần thiết để truy cập Để truy cập đối tượng đấy, chủ thể phải có mức độ nhạy cảm (tin cẩn) tương đồng cao mức độ đối tượng yêu cầu Xuất nhập liệu (Data import and export): Điều khiển việc nhập nội thông tin từ hệ thống khác xuất ngoại thông tin sang hệ thống khác (bao gồm máy in) chức trọng yếu hệ thống sử dụng điều khiển truy cập bắt buộc Nhiệm vụ việc xuất nhập thông tin phải đảm bảo nhãn hiệu nhạy cảm giữ gìn cách đắn nhiệm vụ phải thực cho thông tin nhạy cảm phải bảo vệ tình 4.2 Discretionary Access Control (DAC) DAC mô hình quản lý truy cập dựa tình phụ thuộc vào người tạo liệu Mơ hình có tình tùy chọn nên tạo thoải mái cho người dùng vấn đề phân quyền cho người dùng vấn đề mà người quản trị phải quan tâm chặt chẽ DAC xây dựng sở thực tiễn ứng dụng nhiều vào thực tế giả dụ ta có trang Web trang web bắt buộc phải public internet người dùng đọc thơng tin khơng thể chỉnh sửa thơng tin khơng cho phép Phân quyền DAC sử dụng Access Control List(ACL) mơ hình quản trị Windows hỗ trợ rõ 17/11/2009 Page LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Báo Cáo Đồ Án Bảo Mật Hệ Thống Thông Tin 4.3 Role Based Access Control (RBAC): RBAC mộ hình xây dựng vai trị người dùng tương tự DAC mức độ phức tạp khó DAC dựa vào vai trị tác vụ người dùng RBAC thường sử dụng việc quản lý doanh nghiệp lớn vừa cấp độ phịng ban hay chi nhánh Một cơng ty lớn thường quản trị theo mơ hình với lí dễ quản lý dễ phân trách nhiệm cho người quản trị chình mà hệ thống thơng tin phân cấp theo vai trị người dùng cơng ty Mơ hình thay MAC số trường hợp khơi phục lại sau bị công dễ dàng MAC RBAC thường áp dụng nhóm có chức giống người dùng nhóm có quyền giống Trong Windows, Linux, Unix hỗ trợ việc cầu hình quyền hạn nhóm (hay RBAC) II ACCESS CONTROL LIST TRONG WINDOW Quản lý đối tượng (Object Manager): Tất tài nguyên hệ điều hành thực thi đối tượng Một đối tượng đại diện trừu tượng tài ngun Nó mơ tả trạng thái bên tham số tài nguyên tập hợp phương thức (method) sử dụng để truy cập điều khiển đối tượng Ví dụ đối tượng tập tin có tên tập tin, thơng tin trạng thái file danh sách phương thức, tạo, mở,đóng xóa, đối tượng mơ tả thao tác thực đối tượng file Bằng cách xử lý toàn tài nguyên đối tượng Windows NT thực phương thức giống như: tạo đối tượng, bảo vệ đối tượng, giám sát việc sử dụng đối tượng (Client object) giám sát tài nguyên sử dụng đối tượng Việc quản lý đối tượng (Object Manager) cung cấp hệ thống đặt tên phân cấp cho tất đối tượng hệ thống Do đó, tên đối tượng tồn phần không gian tên toàn cục sử dụng để theo dõi việc tạo sử dụng đối tượng 17/11/2009 Page 10 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Báo Cáo Đồ Án Bảo Mật Hệ Thống Thông Tin Sau số ví dụ loại đối tượng Windows NT : Đối tượng Directory (thư mục) Đối tượng File (tập tin) Đối tượng kiểu object Đối tượng Process (tiến trình) Đối tượng thread (luồng) Đối tượng Section and segment (mô tả nhớ) Đối tượng Port (cổng) Đối tượng Semaphore biến cố Đối tượng liên kết Symbolic (ký hiệu) Cơ chế bảo mật (SRM - Security Reference Monitor): Được sử dụng để thực vấn đề an ninh hệ thống Windows NT Các yêu cầu tạo đối tượng phải chuyển qua SRM để định việc truy cập tài nguyên cho phép hay không SRM làm việc với hệ thống bảo mật chế độ user Hệ thống sử dụng để xác nhận user login vào hệ thống Windows NT Để kiểm soát việc truy cập, đối tượng Windows NT có danh sách an tồn (Access Control List - ACL) Danh sách an toàn đối tượng gồm phần tử riêng biệt gọi Access Control Entry (ACE) Mỗi ACE chứa SecurityID (SID: số hiệu an tồn) người sử dụng nhóm Một SID số bên sử dụng với máy tính Windows NT mơ tả người sử dụng nhóm máy tính Windows NT Ngoài SID, ACE chứa danh sách hành động (action) cho phép bị từ chối user nhóm Khi người sử dụng đăng nhập vào mạng Windows NT, sau việc nhận dạng thành công, Security Access Token (SAT) tạo cho người dùng SAT chứa SID người dùng SID tất nhóm người dùng thuộc mạng Windows NT Sau SAT hoạt động "passcard" (thẻ chuyển) cho phiên làm việc người dùng sử dụng để kiểm tra tất hoạt động người dùng Khi người dùng tham gia mạng truy cập đối tượng, Security Reference Monitor kiểm tra mô tả bảo mật đối tượng xem SID liệt kê SAT có phù hợp với giá trị ACE không Nếu phù hợp, quyền an ninh liệt ACE áp dụng cho người dùng 17/11/2009 Page 11 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Báo Cáo Đồ Án Bảo Mật Hệ Thống Thông Tin Hình 10.2: Ví dụ danh sách an tồn (Access Control List) Cơ chế an toàn File thư mục Windows NT Quá trình truy cập tập tin (File thư mục) Windows NT: Khi người sử dụng muốn truy cập tập tin tất thơng tin phương thức phục hồi giao dịch phục hồi giao dịch bị lỗi đăng ký Log File Server Nếu giao dịch thành cơng, tập tin truy xuất được, ngược lại giao dịch phục hồi Nếu có lỗi q trình giao dịch, tiến trình giao dịch kết thúc Việc truy xuất tập tin (File thư mục) quản lý thông qua quyền truy cập (right), quyền định truy xuất truy xuất đến tập tin với mức độ giới hạn Những Quyền Read, Execute, Delete, Write, Set Permission, Take Ownership Trong đó: Read (R): Được đọc liệu, thuộc tính, chủ quyền tập tin Execute (X): Được chạy tập tin Write (W): Được phép ghi hay thay đổi thuộc tính Delete (D): Được phép xóa tập tin Set Permission (P): Được phép thay đổi quyền hạn tập tin Take Ownership (O): Được đặt quyền chủ sở hữu tập tin 17/11/2009 Page 12 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Báo Cáo Đồ Án Bảo Mật Hệ Thống Thơng Tin Để đảm bảo an tồn truy xuất đến tập tin (File thư mục), gán nhiều mức truy cập (permission) khác đến tập tin thông qua quyền gán tập tin Có mức truy cập định nghĩa trước liên quan đến việc truy xuất tập tin (File thư mục) là: No Access, Read, Change, FullControl, Special Access Special Access tạo người quản trị cho việc chọn đặt kết hợp R, X, W, D, P, O Những người có quyền hạn Full Control, P, O họ có quyền thay đổi việc gán quyền hạn cho Special Access Khi người quản trị mạng định dạng partition Windows NT, hệ thống mặc định có cấp cho quyền Full Control tới partition cho nhóm Everyone Điều có nghĩa khơng hạn chế truy xuất tất người dùng Tùy thuộc yêu cầu bảo mật cho tập người quản lý cân nhắc việc xóa bỏ nhóm Everyone danh sách quyền hạn sau định dạng hay hạn chế nhóm Everyone với quyền Read Nếu hạn chế cần thiết, người quản trị nên cấp quyền hạn Full Control cho nhóm Administrators tới partition gốc Ở quyền truy cập gán cho người sử dụng nhóm người sử dụng quyền truy cập người sử dụng tính quyền hạn người nhóm mà người thành viên Khi người dùng truy xuất tài nguyên, quyền hạn người dùng tính theo lối sau: Những quyền hạn người dùng nhóm trùng Nếu quyền No Access quyền hạn chung No Access Nếu quyền hạn yêu cầu liệt kê không rõ ràng danh sách quyền hạn, yêu cầu truy xuất không chấp nhận 17/11/2009 Page 13 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Báo Cáo Đồ Án Bảo Mật Hệ Thống Thông Tin Một người sử dụng thuộc hai nhóm, nhóm quyền hạn người dùng No Access, ln liệt kê danh sách Access Control List Quyền sở hữu tập tin: Người tạo tập tin cho nhóm khác hay người dùng khác khả làm quyền sở hữu Administrator ln có khả làm quyền sở hữu tập tin Nếu thành viên nhóm Administrator có quyền sở hữu tập tin nhóm Aministrator trở thành chủ nhân Nếu người dùng khơng phải thành viên nhóm Administrator có quyền sở hữu người dùng chủ nhân Những chủ nhân tập tin có quyền điều khiển tập tin ln thay đổi quyền hạn Trong File Manager, Security Menu, sau xuất hộp thoại Owner, lựa chọn tập tin, chủ nhân thời nhấn nút Take Ownership, cho phép lập quyền sở hữu cấp quyền Để có quyền sở hữu tập tin cần điều kiện sau: Có quyền Full Control Có quyền Special Access bao gồm Take Ownership Là thành viên nhóm Administrator Các thuộc tính File thư mục Archive: Thuộc tính gán hệ điều hành định File sửa đổi từ Backup Các phần mềm Backup thường xóa thuộc tính lưu trữ Thuộc tính lưu trữ định File thay đổi thực thi việc Backup Compress: Chỉ định File hay thư mục nén hay nên nén Thông số sử dụng partition loại NTFS Hidden: Các File thư mục có thuộc tính thường khơng xuất danh sách thư mục Read Only: Các File thư mục có thuộc tính khơng thể bị xóa hay sửa đổi System: Các File thường cho thuộc tính hệ điều hành hay chương trình OS setup Thuộc tính sửa đổi người quản trị mạng hay User Ngoài File hệ thống thư mục cịn có hai thuộc tính đọc ẩn Lưu ý: Việc gán thuộc tính nén cho File hay thư mục mà ta muốn Windows NT nén xảy chế độ ngầm (background) Việc nén làm giảm vùng không gian đĩa mà File 17/11/2009 Page 14 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Báo Cáo Đồ Án Bảo Mật Hệ Thống Thơng Tin chiếm chỗ Có vài thao tác chịu việc xử lý chậm File nén phải giải nén trước sử dụng Tuy nhiên việc nén File thường xảy thường xuyên File liệu lớn mà có nhiều người dùng chia sẻ Chia sẻ thư mục mạng Không có người sử dụng truy xuất File hay thư mục mạng cách đăng nhập vào mạng khơng có thư mục chia se Việc chia sẻ làm việc với bảng FAT NTFS file system Để nâng cao khả an toàn cho việc chia sẻ, cần phải gán mức truy cập cho File Thư mục Khi chia sẻ thư mục, chia sẻ tất File Thư mục Nếu cần thiết phải hạn chế việc truy xuất tới phần thư mục, phải sử dụng việc cấp quyền cho user hay nhóm Thư mục File Để chia sẻ Thư mục, ta phải Login thành viên nhóm quản trị mạng hay nhóm điều hành server Tất thủ tục chia sẻ thư mục thực thi Windows NT Explorer Để chia sẻ thư mục ta phải thực bước sau: Right-click lên thư mục Windows NT Explorer Hiện menu sau Click Properties Menu Hiện hộp đối thoại 17/11/2009 Page 15 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Báo Cáo Đồ Án Bảo Mật Hệ Thống Thông Tin Chọn Sharing tab hộp đối thoại sau: 17/11/2009 Page 16 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Báo Cáo Đồ Án Bảo Mật Hệ Thống Thông Tin Chọn Shared As để kích hoạt việc chia sẻ Đưa tên cần chia sẻ vào hộp Share name Mặc nhiên tên Thư mục chọn Đưa dòng ghi liên quan đến việc chia sẻ thư mục vào hộp Comment Thiết lập giới hạn số lượng user cách gỏ số vào hộp Allow Nếu muốn hạn chế việc truy xuất click Permissions button Click OK Sau thư mục chia sẻ Icon cho thư mục có bàn tay định thư mục chia sẻ Nếu muốn thêm chia sẻ với thư mục chia sẻ (có thể với hai chia sẻ có hai quyền truy cập khác nhau), ta thực bước sau: Right-click vào thư mục chia sẻ Windows NT Explorer Click Properties Menu rút gọn, hộp đối thoại Properties Click Sharing tab 17/11/2009 Page 17 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Báo Cáo Đồ Án Bảo Mật Hệ Thống Thông Tin Click button New Share để tạo chia sẻ mới, hộp đối thoại sau Mỗi lần tạo chia sẻ phải đưa tên lời thích việc chia sẻ cho sử dụng Thiết lập quyền truy cập cho người hay nhóm sử dụng Để thiết lập quyền truy cập thư mục chia sẻ cho người sử dụng hay nhóm ta thực hiện: 17/11/2009 Page 18 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Báo Cáo Đồ Án Bảo Mật Hệ Thống Thông Tin Right-click lên thư mục Windows NT Explorer Click Properties menu rút gọn Chọn Sharing tab để tính chất thư mục Click button Permissions sharing tab Hiện Cửa sồ The Access Through Share Permissions Chọn button Add, cửa sổ Add User and group Chọn tên hộp Names click button OK Kết tên đưa vào hộp Names Chọn quyền truy xuất hộp Permission cho tên chọn Click button OK Khi tạo chia sẻ mới, quyền truy cập cho nhóm Everyone đầy đủ (Full Control) Giả sử gán giá trị cho quyền truy cập thư mục File Khi cần thiết hạn chế việc truy xuất tới thư mục Ở có vài ý: Các người sử dụng thường có quyền đọc thư mục chứa chương trình ứng dụng họ không cần phải sửa đổi File Trong vài trường hợp, chương trình ứng dụng địi hỏi user chia sẻ thư mục cho File tạm thời Nếu thư mục nằm thư mục chứa trình ứng dụng, cho phép user tạo hay xóa File thư mục việc gán quyền Change Thông thường người sử dụng cần quyền Change thư mục chứa Files liệu thư mục cá nhân ho có đầy đủ quyền truy cập Để sửa đổi quyền truy cập thư mục chia sẻ ta thực hiện: 17/11/2009 Page 19 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Báo Cáo Đồ Án Bảo Mật Hệ Thống Thông Tin Right-click lên thư mục chia sẻ Windows NT Explorer Click Properties Click Sharing tab Click button Permissions cửa sổ Permissions for “name” sau: Cửa sổ Permission bạn thấy hình cịn có tên gọi khác Access Control List (ACL), phần xác định User quyền, cửa sổ bên xác định quyền User gì? Chọn tên hộp Name Chọn quyền khác hộp Permission of name mà ta muốn gán Click OK Thông qua việc chia sẻ thư mục cho user hay nhóm góp phần vào việc bảo đảm an tồn cho thư mục khơng cho user khác hay nhóm khác truy xuất thư mục NTFS Permission NTFS Permission tác dụng lên tài nguyên chứa NTFS Partition Nói đến Permission nhắc đến ACL bao gồm User với quyền Resource ACL 17/11/2009 Page 20 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Báo Cáo Đồ Án Bảo Mật Hệ Thống Thông Tin NTFS Permission lưu Resource NTFS Partition nên giữ lại Permission cho dù Hệ điều hành thay đổi Mọi tập tin, thư mục NTFS Partition có ACL kèm theo Users muốn truy cập vào File Folder phải qua cho phép ACL tức phải có tên ACL quyền truy cập, khơng, User bị thơng báo Access Denied Cấu hình NTFS Permission Properties Resource cần cấu hình Permission NTFS, chọn Tab Security ACL NTFS Permission tương tự Share Permission Phần User Account, phần Permission User đó, quyền làm gì, Allow Deny Tương tự Share Permission, Admin thử gán quyền NTFS Modify cho User “abc” hệ thống 17/11/2009 Page 21 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Báo Cáo Đồ Án Bảo Mật Hệ Thống Thông Tin Quyền NTFS ta thấy nhiều Share Permission nhiều, đặc biệt cấu hình chi tiết Share Permission Phần Permission ta thấy bên “phần nổi” NTFS Permission Admin cấu hình chi tiết cách vào Advanced… Trong cửa sổ cấu hình nhiều thứ từ Permission, Auditing, Ownership… NTFS Permission chi tiết từ quyền Delete Delete SubFolder and Files… Quyền Full Control gán cho User, tối đa cấu hình quyền Modify Trong ACL NTFS sử dụng Group thay cho User Account để đơn giản hóa việc cấu hình Permission Cấu hình Group, gán cho Group quyền sử dụng Một User cần quyền tương tự User có sẵn Group đó, cần mang User Account Group có quyền tương tự ALLOW DENY Access Control List User khơng có tên danh sách ACL xem khơng có quyền Resource Allow – cho phép Deny - cấm tuyệt đối Một User có mặt nhiều ACL nhiều Resource, ACL Resource chứa nhiều User Account (có thể trùng lặp, với điều kịên User phải nằm Group đó) SID Number - Object Windows(mơi trường Local hay Domain) mang số với giá trị tối đa 128 bit (2128) Những số SID cấp phát cho Object tạo ra, khơng bị xóa hay dùng lại Object bị xóa Sử dụng cơng cụ User2SID để xem SID User hệ thống 17/11/2009 Page 22 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Báo Cáo Đồ Án Bảo Mật Hệ Thống Thông Tin Và LAB nhỏ để thấy ACL quản lý UserAccount Username hay SID Number Add User vào ACL NTFS Permission Ta add User abc hệ thống vào ACL NTFS Permission Thử xóa User account sau Add xong Và quay lại kiểm tra ACL lần xem có tượng xảy hay khơng? User Account abc khơng cịn, cịn lại “bộ xương số” chằng chịt với tên Account Unknown Lúc Windows UserName Account tên bị xóa Nhưng SID cịn “dính” lại ACL có tác dụng, User có quyền truy cập Resource 17/11/2009 Page 23 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Báo Cáo Đồ Án Bảo Mật Hệ Thống Thông Tin Tiếp theo, tạo thử User Account tên abc, password giống 100% với User Account abc bị xóa sau Add vào ACL NTFS Permission thư mục OK, Add User abc vào ACL, User abc liệu có khác với User abc bị xóa hay không? thử xem SID User abc có khác với User abc bị xóa công cụ User2SID 17/11/2009 Page 24 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Báo Cáo Đồ Án Bảo Mật Hệ Thống Thông Tin Tài liệu tham khảo: Tài liệu MMT Trung Tâm Phát Triển CNTT – Đào tạo từ xa Bài viết tin học http://www.hvtc.edu.vn/forum/index.php?showforum=10 Tài liệu Security Tiếng Việt (VNExperts Network academy) CISSP All – in – one Exam guide(Mc-Graw Hill) Và số trang web khác 17/11/2009 Page 25 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ... 4.1 Mandatory Access Control (MAC): 4.2 Discretionary Access Control (DAC) 4.3 Role Based Access Control (RBAC): 10 II ACCESS CONTROL LIST TRONG WINDOW ... Mandatory Access Control (MAC) Discretionary Access Control (DAC) Role Based Access Control (RBAC) Các mơ hình thường phối hợp sử dụng hệ thống để gia tăng mức độ an toàn 4.1 Mandatory Access Control. .. Access Control List( ACL) mơ hình quản trị Windows hỗ trợ rõ 17/11/2009 Page LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Báo Cáo Đồ Án Bảo Mật Hệ Thống Thông Tin 4.3 Role Based Access