Kiến thứccơbảnvề mạng: Phần20–CácđiềukhoảnmứcFile
Ngu
ồ
n:quantrimang.com
Phần 1: Các thiết bị phần cứng mạng
Phần 2: Router
Phần 3: DNS Server
Phần 4: Workstation và Server
Phần 5: Domain Controller
Phần 6: Windows Domain
Phần 7: Giới thiệu về FSMO Role
Phần 8: Tiếp tục về FSMO Role
Phần 9: Thông tin về Active Directory
Phần 10: Các tên phân biệt
Phần 11: Active Directory Users và Computers Console
Phần 12: Quản lý tàikhoản người dùng
Phần 13: Tạo các nhóm
Phần 14: Các nhóm bảo mật
Phần 15: Universal Groups & Group Nesting
Phần 16: Kết nối mạng hệ điều hành Windows
Phần 17: Mô hình OSI
Phần 18: Chia sẻ tài nguyên
Phần 19: Cácđiềukhoảnmức chia sẻ
Brien M. Pose
y
Trong phần trước của loạt bài này, chúng tôi đã giới thiệu vềcác thư mục
chia sẻ có thể được bảo vệ bằng cách sử dụng cácđiềukhoảnmức chia
sẻ hoặc điềukhoản NTFS. Trong bài đó, chúng tôi cũng đã giới thiệu cách
sử dụng cácđiềukhoảnmức chia sẻ, nhưng nó có liên quan nhiều đến
chia sẻ file an toàn bằng cácđiềukhoản NTFS, chính vì vậy trong ph
ần này
chúng tôi sẽ giới thiệu tiếp cho cácbạnvềcácđiềukhoản này.
Lệnh chuyển đổi (Convert)
Như chúng tôi đã giải thích nhiều lần trước đây, bạn chỉ có thể sử dụng bảo mật
mức file cho cácphân vùng được định dạng bằng hệ thống file NTFS. Nếu phân
vùng được định dạng bằng FAT hoặc FAT32 thì bạn sẽ bị hạn chế trong việc s
ử
dụng cácđiềukhoảnmức chia sẻ. Tuy nhiên bạn lại có thể chuyển đổi giữa FAT
hoặc phân vùng FAT32 thành NTFS mà không cần phải định dạng lại phân vùng.
Thực hiện thao các chuyển đổi như vậy bằng lệnh Convert. Nếu phân vùng mà
bạn quan tâm về vấn đề bảo mật đã được định dạng NTFS thì có thể bỏ qua
phần này.
Lệnh chuyển đổi này sử dụng rất đơn giản. Trong biểu mẫu đơn giản nhất của
nó, bạn chỉ cần chỉ định ký tự ổ đĩa được gán cho phân vùng muốn chuyển đổi,
hệ thống file mà bạn muốn sử dụng (trong trường hợp này là NTFS). Ví dụ, nếu
bạn muốn chuyển đổi ổ D: thành NTFS, cấu trúc lệnh sẽ như dưới đây:
CONVERT D: /FS:NTFS
Dù cú pháp cơbản này luôn làm việc nhưng bên cạnh đó còn có hai khóa
chuyển đổi bổ sung mà chúng tôi khuyên cácbạn nên sử dụng cùng với lệnh
này. Khóa chuyển đổi đầu tiên nên sử dụng là /X. Khóa chuyển đổi này bắt buộc
phân vùng được gỡ ra trước khi quá trình chuyển đổi diễn ra. Lý do tạo sao bạn
nên sử dụng khóa chuyển đổi này là vì nó sẽ tránh được tình trạng hỏng cácfile
mở trong suốt quá trình chuyển đổi. Rõ ràng một tác động thứ y
ếu ở đây là việc
quản lý cácfile mở đều sẽ bị hủy kết nối.
Một khóa chuyển đổi khác nữa là /NoSecurity. Khóa chuyển đổi này lệnh cho
Windows rằng bạn muốn để lại mọi thứ trên phân vùng để mọi người đều có khả
năng truy cập sau khi quá trình chuyển đổi được hoàn tất. Rõ ràng, việc áp dụng
khóa chuyển đổi đã đi ngược lại toàn bộ mục
đích chuyển đổi phân vùng ban
đầu. Tuy vậy, chúng tôi vẫn thích ở khóa chuyển đổi này vì nó cho bạncó thể
chọn việc thi hành tất cả các thiết lập bảo mật từ một vụ tấn công nào đó thay
cho phải xử lý với các thiết lập bảo mật mặc định của Windows. Khi cả hai
chuyển đổi này được áp dụng, lệnh sẽ giống như bên dưới đây:
CONVERT D: /FS:NTFS /X /NoSecurity
Các điều khoả
n NTFS
Với hầu hết các phần, cácđiềukhoản NTFS là điềukhoản rất dễ dàng trong thiết
lập. Chỉ cần kích chuột phải vào một thư mục và chọn lệnh Properties. Bạncó
thể gán cácđiềukhoản NTFS cho thư mục trên tab Security của trang thuộc
tính như thể hiện trong hình A bên dưới.
Hình A: Cácđiềukhoản NTFS được gán thông qua tab Security của trang thuộc
tính
Như những gì bạncó thể thấy trên hình, phần trên của tab gồm có một danh
sách các user và group. Bạncó thể sử dụng các nút Add và Remove để bổ
sung hoặc remove user và group ra khỏi danh sách này. Bên cạnh đó cũng có
thể thiết lập cácđiềukhoản cho người dùng hoặc nhóm bằng cách chọn user
hoặc group từ danh sách, sau đó sử dụng các hộp kiểm trong phần bên d
ưới
tab.
Bản thân cácđiềukhoản này rất rễ hiểu, chính vì vậy chúng tôi sẽ không đi vào
cụ thể những gì trong mỗi điềukhoản đó. Chỉ có hai thứ mà bạn cần biết về tab
này đó là: trước tên bạncó thể chọn “allowing permission”, “denying permission”,
hoặc “not doing either”. Cần lưu ý rằng tùy chọn “denying permission” luôn ghi đè
một điềukhoản trước đó. Bạn cũng cần nhận ra rằng nế
u không thiết lập một
điều khoản thì bạncó thể sẽ không nhận được điềukhoản thông qua sự thừa
kế. Chúng tôi sẽ nói thêm về vấn đề thừa kế này trong phần dưới.
Một thứ khác cần biết về tab này đó là, mặc dù bạncó thể thiết lập cácđiều
khoản trên những người dùng hoặc nhóm người dùng riêng biệt nhưng với
những người dùng riêng lẻ thì thường được gán cho những điềukhoản kiểu
poor (kém hơn). Nếu bạn gán những điềukhoản cho người dùng riêng biệt thì sẽ
thiếu một số thứ và có thể khiến bạn khá không hài lòng. Chính vì vậy bạn nên
gán điềukhoản cho các nhóm.
Một điểm nữa mà bạncó thể thấy đượ
c trong hình trên đó chính là nút
Advanced. Do đây là bài dành cho những người mới bắt đầu về vấn đề mạng
nên chúng tôi không muốn tốn nhiều thời gian nói về những khái niệm nâng cao
nhưng có hai khía cạnh rất quan trọng của cácđiềukhoản NTFS mà bạn cần
phải biết.
Bếu kích vào nút Advanced, bạn sẽ thấy trang thuộc tính của Advanced
Security Settings, thể hiện trong hình B bên dưới. Hãy quan sát hai hộp kiểm
phía dưới của tab Permissions
.
Hình B: Hai hộp kiểm ở phần dưới của tab Permissions cho phép bạn kiểm soát
sự thừa kế
Hệ thống file NTFS sử dụng một khái niệm đó là sự thừa kế. Khái niệm này có
nghĩa khi bạn thiết lập một điềukhoản thì điềukhoản đó sẽ áp dụng cho bất cứ
file hoặc thư mục con nào nằm bên dưới nó. Hộp kiểm đầu tiên trong tab
Permissions được tích một cách mặc định. Nó cho phép kế thừa để áp dụng cho
các thư mục đã chọn và thư mục con bên trong nó.
Hộp kiểm thứ hai cho phép bạn thay thế bất cứ điều khoả
n đang tồn tại nào trên
các file và thư mục con bằng cácđiềukhoản được thể hiện trong danh sách
trên.
Như những gì bạncó thể hình dung, các hộp kiểm này đều có tác động rất mạnh
và việc sử dụng chúng sai có thể gây hậu quả lớn. Chính vì vậy chúng tôi
khuyên cácbạn đừng bao giờ sử dụng chúng và trong thực tế Microsoft cũng
khuyên như vậy.
Những mâu thuẫn
Có một trong những thứ v
ề cách làm việc của hệ thống file NTFS và cách làm
việc của hệ thống bảo mật Windows nói chung, đôi khi xảy ra những vấn đề mâu
thuẫn trong bảo mật. Ví dụ, một người dùng có thể là một thành viên của hai
nhóm khác nhau với cácđiềukhoản mâu thuẫn nhau. Khi điều này xảy ra, sẽ có
một tập toàn bộ các rule có thể được áp dụng để chỉ ra cácđiềukhoản nào có
ưu tiên cao hơn.
Vì loạt bài này
được viết dành cho những người mới bắt đầu, nên chúng tôi sẽ
không đi sâu vào những vấn đề phức tạp của các rule. Một thứ mà chúng tôi
muốn nói với cácbạn ở đây là tuyên bố phủ nhận sẽ luôn ghi đè lên cácđiều
khoản khác. Thay cho phải dùng một giới thiệu khác vềphần còn lại của các
rule, chúng tôi muốn giới thiệu cho cácbạn một công cụ có thể sử dụng để xác
đị
nh cácđiềukhoảncó hiệu lực.
Chúng tôi đã giới thiệu cho cácbạnvề trang thuộc tính của Advanced Security
Settings, nhưng hãy xem xét đến tab Effective Permissions của nó, thể hiện
trong hình C bên dưới. tab này cho phép bạn nhập vào tên của người dùng và
nhóm. Thông qua đó nó sẽ thể hiện cácđiềukhoảncó hiệu lực cho người dùng
hoặc nhóm đó.
Hình C: Tab Effective Permissions cho phép bạn thấy được cácđiềukhoản
NTFS
có hiệu lực đối với một số người dùng hoặc nhóm nào đó
Kết luận
Đây sẽ là phần cuối cùng trong loạt bài này, lý do chúng tôi muốn dừng bài viết
bởi vì mục đích của loạt bài này là dành cho những người mới làm quen với
mạng. Chính vì vậy những giới thiệu chuyên sâu sẽ làm cho cácbạn khó hiểu.
Tuy nhiên trong tương lai chúng tôi sẽ cung cấp thêm cho các b
ạn những kiến
thức sâu hơn về chủ đề này, mong cácbạn hãy đón đọc cũng như gửi các ý kiến
phản hồi.
. Kiến thức cơ bản về mạng: Phần 20 – Các điều khoản mức File
Ngu
ồ
n:quantrimang.com
Phần 1: Các thiết bị phần cứng mạng
Phần 2: Router
Phần. vệ bằng cách sử dụng các điều khoản mức chia
sẻ hoặc điều khoản NTFS. Trong bài đó, chúng tôi cũng đã giới thiệu cách
sử dụng các điều khoản mức chia