- Mức 4: Mô tả các công cụ điều khiển truy nhập tới mạng vật lý.
CHƯƠNG 3: ĐI SÂU TÌM HIỂU VẤN ĐỀ AN NINH, AN TOÀN CỦA HỆ ĐIỀU HÀNH WINDOWS
3.3.2.6. Hoạch định để gán permission trên các thư mục được chia sẻ
Cũng như việc chia sẻ, việc gán permission trên các thư mục được chia sẻ đến từng đối tượng, từng nhóm sử dụng cũng là một công việc đòi hỏi sự hoạch định và tính toán kỹ lưỡng. Sau đây là các gợi ý:
• Xác định nhóm nào có nhu cầu truy cập tới các tài nguyên gì và mức độ truy cập cần thiết đối với họ.
• Tạo ra các nhóm cục bộ (local group) đối với các tài nguyên được chia sẻ. Nếu các thư mục được chia sẻ nằm trên các máy chủ thành viên hay máy chạy Windows NT Workstation thì nhóm cục bộ đối với các tài nguyên được chia sẻ sẽ được tạo trên chính các máy đó. Nếu tài nguyên nằm trên các máy điều khiển vùng thì nhóm cục bộ có thể tạo ra trên bất kỳ máy nào có chạy User Manager for Domains.
• Chỉ gán permission cho những nhóm thực sự có nhu cầu truy cập tới tài nguyên.
• Gán giấy phép hạn chế nhất cho nhóm cục bộ trên các tài nguyên, song phải đảm bảo cho phép đến mức để họ có thể thực hiện được công việc của mình. Chẳng hạn, nếu người sử dụng chỉ có nhu cầu đọc các tệp trên một thư mục thì chỉ nên gán giấy phép Read cho họ.
• Để đảm bảo tính bảo mật cao, hãy xoá bỏ giấy phép Full control của nhóm Everyone. Nếu muốn mọi người sử dụng đều có thể truy cập được tài nguyên, tốt nhất nên sử dụng nhóm Users. Trong một vùng nhóm Users chỉ bao gồm các tài khoản người sử dụng vùng mà chúng ta tạo ra. Trong một nhóm công tác, Users chứa mọi người sử dụng cục bộ.
Ngoài ra, tuỳ theo tính chất của từng loại tài nguyên được chia sẻ (chương trình ứng dụng hay dữ liệu), chúng ta cần có chiến lược gán permission một cách phù hợp hơn.
Đối với các mạng lớn, có thể có một hay nhiều máy chủ giữ vai trò lưu giữ các chương trình. Khi đó chúng ta cần:
• Tạo một thư mục được chia sẻ dùng để lưu các chương trình
• Gán giấy phép Full control cho nhóm Administrators để họ có thể truy cập và quản trị các chương trình.
• Xoá bỏ giấy phép Full control của nhóm Everyone và gán giấy phép Read cho nhóm Users để đảm bảo tính bảo mật cao.
• Gán giấy phép Change cho nhóm những người chịu trách nhiệm nâng cấp hay giải quyết các vấn đề về phần mềm.
• Với các thư mục chứa dữ liệu công cộng cũng như các dữ liệu nhạy cảm chúng ta cũng cần phải có những hoạch định tương tự. Thiết lập chia sẻ tới mức tệp chỉ có trong NTFS mà chúng ta sẽ xem ở phần sau.
3.4. NTFS
Trong phần này, em chỉ đề cập đến các tính năng của hệ thống tệp NTFS, các ưu điểm và nhược điểm của nó.