- Tạo file backup ảnh hệ thống:
III.3.2 NHỮNG THÔNG TIN VỀ AN TOÀN
3. Aethia DBackup
III.3.2 NHỮNG THÔNG TIN VỀ AN TOÀN
III.3.2.1. Một số cấu trúc chung
Trên Windows 2000, tất cả các đối tượng có tên đều chịu sự giám sát của hệ thống thông qua cơ chế an toàn, kể cả một số đối tượng không có tên. Nói một cách khác, mọi đối tượng trên Windows 2000 đều được bảo vệ. Những thông tin (còn gọi là thuộc tính) về an toàn của các đối tượng này được lưu trữ trong một cấu trúc mô tả bảo mật (Security Descriptor) kèm theo đối tượng, cấu trúc này bao gồm 4 thuộc tính chuẩn được áp dụng cho hầu hết các đối tượng trên Windows 2000 (bao gồm các đối tượng có tên, những tiến trình có tên và không có tên, tiểu trình, đối tượng thẻ bài, đối tượng semaphore, đối tượng event…), 4 thuộc tính này có thể mô tả như sau:
1. Owner security ID: là số bảo mật của người dùng hay nhóm sở hữu đối tượng đó. Người chủ sở hữu đối tượng có thể thay đổi những quyền được gán trên đối tượng này.
2. Group security ID: số bảo mật của nhóm, số này chỉ áp dụng đối với hệ thống con POSIX.
3. Discretionary ACL (Access Control List - ACL): gọi là Danh sách điều khiển truy cập của chủ sở hữu. Người chủ sở hữu đối tượng có quyền thay đổi nội dung của danh sách này, phân định ai có hay không có quyền truy cập đến đối tượng. 4. System ACL: là ACL dùng để điều khiển việc phát sinh những thông báo xác nhận của hệ thống. Người quản trị mạng có thể sửa đổi danh sách này. Ví dụ: Security Descriptor và ACL đối với một file xác định:
Security Descriptor cho một đối tượng Windows 2000 có thể biểu diễn bằng 2 phương pháp: phương pháp tuyệt đối (Absolute) và phương pháp tương đối (Self- Relative).
1. Phương pháp tuyệt đối : Các thành phần của Security Descriptor là những con trỏ chỉ đến các thành phần thực sự chứa thông tin. Phương pháp này giúp cho mỗi thành phần được định vị riêng biệt, thích hợp khi có vài phần đã có sẵn.
2. Phương pháp tương đối : Các thành phần của Security Descriptor nằm trong một cấu trúc dữ liệu được sắp xếp theo một khối liên tục, các thành phần trong khối sẽ được truy xuất dựa trên độ lệch (offset) so với phần đầu khối. Phương pháp này
Giáo trình Quản trị mạng máy tính nâng cao
Security Descriptor biểu diễn bằng 2 phương pháp:
Số bảo mật (SID) là một số duy nhất được phát sinh bằng kĩ thuật băm (hash) dùng để phân biệt một người dùng (hoặc nhóm người dùng) với một người dùng khác đồng thời dùng để định danh người đó với hệ thống. Nội dung của SID được phát sinh dựa trên những thông tin như: tên máy tính, thông tin về người dùng, thông tin về vùng (domain), ngày, giờ hệ thống…
Cấu trúc của SID có thể nhìn thấy dưới dạng sau: S - R - X - Y1 - ... – Yn Trong đó: S là kí hiệu (Series of digits) phân định SID; R chỉ cấp độ tham khảo đến (Revision level); X chỉ giá trị Identifier Authority, Y1...Yn là các giá trị SubAuthority. Giá trị Identifier Authority là thông tin quan trọng nhất trong SID, thường là định danh của tổ chức phát hành SID. Ví dụ: SID có dạng S-1-4138-86 chỉ mức độ tham khảo lần 1, giá trị Identifier Authority là 4138, một SubAuthority là 86.
Access Control List là một danh sách liên kết mà mỗi phần tử của danh sách này là một Access Control Entry (ACE), mỗi ACE có chứa một Số bảo mật (SID) duy nhất phân biệt một người dùng hay nhóm người dùng và một danh sách quy định người dùng được hay không được phép truy cập đến đối tượng (còn gọi là mặt nạ truy cập – Access Mask). ACE có thể có 3 loại, hai loại dành cho Discretionary access control (điều khiển truy cập tùy nghi) và một dành cho System security. Discretionary ACE gồm AccessAllowed and AccessDenied, ám chỉ việc cho phép hay không truy cập của người dùng hay nhóm người dùng đến đối tượng. System ACE (SystemAudit) được dùng để mô tả các sự kiện về an toàn (chẳng hạn như ai truy cập vào đối tượng gì) và để phát sinh những thông báo xác nhận an toàn.
Cấu trúc dữ liệu của ACE:
Mặt nạ truy cập (Access Mask) trong ACE là một tập hợp các quyền mà người dùng được phép hay không được phép áp dụng trên một đối tượng. Access Mask chứa 3 loại thông tin truy cập: kiểu truy cập xác định (Specific), kiểu truy cập chuẩn (Standard – kiểu này áp dụng cho mọi đối tượng) và kiểu chung (Generic – được ánh xạ đến 2 kiểu trên).
Mỗi đối tượng có thể có đến 16 kiểu truy cập xác định, có được khi một định nghĩa kiểu của đối tượng.
Ví dụ: Một đối tượng file có thể có các kiểu truy cập sau: 1. ReadData – Đọc dữ liệu.
5. WriteEA (Extended Attribute) – Viết với các thuộc tính mở rộng. 6. Execute – Thi hành.
7. ReadAttributes – Đọc các thuộc tính. 8. WriteAttributes – Gán các thuộc tính.
Ngoài những kiểu truy cập trên, mỗi đối tượng còn có các kiểu truy cập chuẩn (standard types) bao gồm:
1. SYNCHRONIZE: dùng để đồng bộ việc truy cập và cho phép một tiến trình chờ một đối tượng để được đưa vào trạng thái báo hiệu đánh thức (Signal). Kiểu này được áp dụng khi có nhiều tiến trình người dùng cùng truy cập đến một đối tượng mà trong một thời điểm chỉ cho phép một tiến trình sử dụng.
2. WRITE_OWNER: dùng để gán cho người viết dữ liệu.
3. WRITE_DACL: dùng để phân phối hoặc ngăn cấm quyền Viết lên Danh sách điều khiển truy cập ACL.
4. READ_CONTROL: dùng để phân phối hoặc ngăn cấm quyền Đọc lên bảng mô tả an toàn (security descriptor) hay chủ sở hữu.
5. DELETE: dùng để phân phối hoặc ngăn cấm việc xóa một đối tượng.
III.3.2.2. Quản lý tài khoản người dùng
Tài khoản là nơi chứa những thông tin nhằm giúp xác nhận người dùng vào hệ thống và quản lý việc truy cập của người dùng đó đến các đối tượng trong hệ thống. Tài khoản người dùng thường được lưu trong cơ sở dữ liệu Security Account Manager (SAM).
Trong Windows 2000, tài khoản có thể chia làm 2 loại: cục bộ (local account) và toàn cục (global/domain account) mà sự khác nhau giữa 2 loại này là ở khả năng và quyền hạn đối với các đối tượng, tài nguyên. Đối với local account, phạm vi hoạt động là nội bộ trong một trạm Windows 2000 do đó nó thích hợp khi cần những truy cập đến tài nguyên trong nội bộ một trạm (trên Windows 2000 Server, nếu kiểu
Giáo trình Quản trị mạng máy tính nâng cao
đơn giản hóa công việc điều hành hệ thống và có thể được phân phối những quyền hạn (permissions) truy cập đến tài nguyên. Do đó, khi một người dùng là thành viên của một nhóm thì tài khoản người đó cũng được thừa hưởng những quyền hạn mà tài khoản nhóm có.
Một số ưu điểm của việc dùng tài khoản nhóm: (adsbygoogle = window.adsbygoogle || []).push({});
1. Quyền hạn có thể được phân phối cho một lúc tất cả các thành viên trong nhóm. 2. Quyền hạn có thể được thu hồi từ tất cả các thành viên trong nhóm.
3. Quyền hạn của một người dùng tự động bị thu hồi khi người đó không còn là thành viên của nhóm.
4. Khi có nhiều người cùng gia nhập nhóm thì những quyền hạn cần thiết sẽ được phân phối cho những người đó mà không cần phải phân quyền cho từng cá nhân với cùng một loại quyền hạn.
Một số nhóm cài sẵn (built-in) mang tính cục bộ trên một Windows 2000 Domain controller: Administrators, Backup Operators, Account Operators, Guests, Print Operators, Replicator, Server Operators, Users. Và một số nhóm toàn cục trên domain như: Domain Admins, Domain Guests, Domain Users. Ngoài ra, có một số nhóm trên Windows 2000 Workstation và Server không thuộc domain như: Administrators, Backup Operators, Power Users, Guests, Replicators, Users. Và có 5 nhóm ngầm định tồn tại trên mọi máy tính NT (domain controller, server, workstation):
1. INTERACTIVE: ám chỉ mọi người dùng tham gia một cách cục bộ. 2. NETWORK: mọi người dùng tham gia thông qua mạng.