- Tạo file backup ảnh hệ thống:
III.3.1 CƠ CHẾ AN TOÀN TRÊN WINDOWS
3. Aethia DBackup
III.3.1 CƠ CHẾ AN TOÀN TRÊN WINDOWS
Như đã đề cập ở trên, kiến trúc hệ điều hành Windows 2000 được phân thành những đơn thể (còn gọi là thành phần), các đơn thể này được phân thành hai nhóm hoạt động ở hai chế độ: User mode và Kernel mode. Ở chế độ Kernel mode, các đơn thể có toàn quyền truy cập đến phần cứng ở dưới bao gồm khả năng sử dụng không hạn chế các chỉ thị CPU và các tài nguyên hệ thống…; các đơn thể của Windows 2000 thi hành ở chế độ này bao gồm Executive Services, Kernel, Hardware Abstraction Layer (HAL). Những hệ thống con (Subsystem) chịu trách nhiệm làm các môi trường ảo hỗ trợ cho các ứng dụng DOS/Win16, OS/2, POSIX… hoạt động ở chế độ User mode, ở chế độ này các chương trình không trực tiếp truy cập đến phần cứng mà phải thông qua các đơn thể ở Kernel mode. Việc đặt các hệ thống con ở chế độ User mode giúp cho các nhà thiết kế dễ dàng hơn trong việc thay đổi, bổ sung các thành phần mà không làm ảnh hưởng đến thành phần khác ở Kernel mode.
Trong môi trường Windows 2000, các ứng dụng chia sẻ với nhau các tài nguyên hệ thống bao gồm bộ nhớ, những thiết bị nhập xuất, file, bộ xử lí… dưới sự giám sát chặt chẽ của hệ điều hành thông qua một cơ chế an toàn rất đáng tin cậy, đảm bảo các ứng dụng không thể truy cập đến những tài nguyên không được phép. Về mặt nội bộ, Windows 2000 xem tất cả các tài nguyên hệ thống, bao gồm cả tập tin (file) là những đối tượng. Việc tạo, đặt tên và hủy đối tượng thông qua một thành phần thực thi thuộc Kernel mode gọi là Object Manager - trình quản lý đối tượng. Ngoài ra Object Manager còn có nhiệm vụ bảo vệ đối tượng khỏi xự xâm phạm của các đối tượng khác, giám sát ai đang sử dụng đối tượng đó và đối tượng đó đang dùng những tài nguyên gì. Như vậy, khi một đối tượng được tạo ra nó được gán tên và kèm theo là những thông tin về an toàn áp đặt trên đối tượng đó, các thông tin này được lưu trữ trong những cấu trúc xác định và được gắn kèm với đối tượng đó. Một cách tổng quát, tất cả các đối tượng được bảo vệ (các tài nguyên hệ thống, người dùng...) trên Windows 2000 dùng chung những phương thức thiết lập và xác nhận việc truy cập. Điều đó đảm bảo rằng khi có một người cố truy cập đến một file trên đĩa hay đến một tiến trình trong bộ nhớ thì một bộ phận của hệ thống sẽ thực hiện việc kiểm tra tính hợp lệ và phân định kiểu đối tượng sẽ được truy cập đến, việc kiểm tra này dựa trên những thông tin về an toàn của đối tượng đó và của bản thân người truy cập.
hệ thống file tiên tiến, mang nhiều đặc tính nổi bật so với nhiều hệ thống file khác như: tốc độ các thao tác trên file nhanh, độ tin cậy và an toàn cao. Ngoài ra NTFS còn cung cấp cơ chế điều khiển việc truy cập dữ liệu, phân định quyền truy cập… đặc biệt là khả năng Recoverable tức là khả năng khôi phục dữ liệu nếu có sự cố bất ngờ xảy ra. Những đặc điểm này giúp tăng độ tin cậy của hệ thống, rất thích hợp với những môi trường cộng tác nhiều người dùng.
Cơ chế an toàn Windows 2000 bao gồm một số thành phần chính sau:
1. Tiến trình đăng nhập (Logon Proccess): hoạt động ở chế độ User mode, chịu trách nhiệm nhận yêu cầu đăng nhập từ người dùng, bao gồm việc thể hiện hộp thoại thông báo đăng nhập có tên người dùng và mật khẩu của người đó.
2. Local Security Authority (LSA): đảm bảo người dùng có quyền đăng nhập vào hệ thống hay không. LSA là thành phần trung tâm của Hệ thống an toàn con của Windows 2000 (Security Subsystem), nó tạo nên Thẻ truy xuất bảo mật (Security Access Token) (giống như một giấy chứng nhận xuất nhập cảnh - sẽ được trình bày ở phần sau), điều khiển những hành vi an toàn cục bộ, cung cấp những dịch vụ xác nhận tính hợp lệ của người dùng tương tác. LSA còn xác nhận những thông báo kiểm tra do Bộ phận giám sát an toàn (Security Reference Monitor) tạo ra
3. Bộ phận giám sát an toàn (The Security Reference Monitor - SRM) là bộ phận chịu trách nhiệm giám sát các hành vi truy cập thông qua cơ chế an toàn nội bộ. Nói một cách khác, mọi yêu cầu tạo mới hay truy cập đến một đối tượng đều phải thông qua SRM. Nó cung cấp những dịch vụ phục vụ cho việc thiết lập truy cập đến các đối tượng, phân quyền và phát sinh những thông báo cần thiết.
4. Bộ phận quản lý tài khoản người dùng (Security Account Manager - SAM): lưu trữ cơ sở dữ liệu chứa các thông tin về tài khoản của tất cả người dùng và nhóm người dùng. SAM còn cung cấp những dịch vụ cho LSA sử dụng trong việc xác lập tính hợp lệ của người dùng.
Tất cả những thành phần này hoạt động phối hợp với nhau, hình thành Hệ thống an toàn con (Security Subsystem). Hệ thống an toàn con này có trách nhiệm thực hiện các thao tác an toàn trên toàn bộ hệ điều hành Windows 2000. Windows 2000 Security Components
Như vậy, cơ chế an toàn trên một hệ thống Windows 2000 áp dụng chủ yếu trong việc quản lý người dùng và quản lý đối tượng (các đối tượng ở đây có thể được xem như các tài nguyên hệ thống). Cụ thể gồm 2 phần chính: Kiểm soát đối tượng truy cập và Kiểm soát việc truy cập dữ liệu. Kiểm soát đối tượng truy cập là quản lý
Giáo trình Quản trị mạng máy tính nâng cao
nguyên của người đó bằng cách dùng các cơ chế quyền áp dụng trên các đối tượng được truy cập, phân loại tài nguyên truy cập, giám sát truy cập…