arm predavanje 9 2015
DESCRIPTION
server 2012TRANSCRIPT
-
IX Deljenje i bezbednost datoteka
S A D R A J
9.1 Deljenje datoteka
9.2 Upravljanje dozvolama
9.3 NTFS dozvole
9.4 Atomske dozvole
9.5 Molekularne dozvole
9.6 Obezbeivanje fajl sistema
-
9.1 Deljenje datoteka Serverski OS u celoj Windows familiji, kontrolie mogunost servera
da deli fajlove i resurse za tampanje.
Sama injenica da imate podignut server ne znai da imate bilo ta
raspoloivo za vae korisnike.
Microsoft je jo u svom starom mrenom OS, Windows 2000 Server,
ubacio mnoge nove servise, karakteristike i funkcije ija je osnovna
namena bila da se obezbedi dobar fajl server.
Windows Server OS je preuzeo solidne mogunosti za deljenje fajlova
od Windowsa NT, proirio ih sa distribuiranim fajl sistemom (Distributed
File System) i uveo dozvole i deljenje koje se lake kontrolie
Osnovna namena bilo kog mrenog servera jeste da omogui
nesmetano korienje resursa na mrei koju kontrolie.
Da bi bilo ko od njih dobio pristup resursima servera, resurse morate
da uinite deljivim (shared) tj. vidljivim za korisnike sa mree.
Kao primer posluie direktorijum na lokalnom drajvu I, pod nazivom
APPS, sa 3 aplikacije u poddirektorijumima, kao to je prikazano na slici
-
9.1 Deljenje datoteka
-
9.1 Deljenje datoteka
Ako za deljenje direktorijuma APPS sa servera na klijentu koristite
oznaku M: taj drajv M: identian je direktorijumu na serveru I:\APPS
Kada direktorijum delimo preko mree klijenti na svojim raunarima
mogu da mapiraju direktorijum I:\APPS sa novom oznakom drajva.
-
9.1 Deljenje datoteka Da biste mogli da kreirate deljeni direktorijum, morate da imate
odgovarajua prava a to znai da ste ili administrator ili Power User.
Deljene direktorijume moete da kreirate na nekoliko naina: preko
Explorera, upravljakom konzolom ili korienjem Server Manager-a
Kreiranje deljenih direktorijuma iz Explorera
Ako sedite za serverom, Explorer omoguava jednostavno i direktno
kreiranje i kontrolu svih svojstava deljenih direktorijuma.
Potrebno je da desnim tasterom oznaimo eljeni direktorijum (APPS)
koji elimo da delimo i iz menija izaberemo opciju Sharing and Security
Ovo otvara novu stranicu sa svojstvima direktorijuma APPS, sa ve
prikazanom karticom Sharing.
Za deljenje ovog direktorijuma preko mree kliknite radio dugme
Share This Folder.
Opcija Share Name predstavlja najznaajniji podatak na ovoj stranici
jer e ime koje ovde date biti vidljivo svim korisnicima mree
Polje Description omoguava unos detaljnijih opisnih informacija o
ovom direktorijumu i ono nema neki znaaj na serveru ili klijentu.
-
9.1 Deljenje datoteka
User Limit konfiguriete broj korisnika koji istovremeno mogu da
koriste deljeni direktorijum vai za kompletan direktorijum
Kada direktorijum uinite deljivim, ponovo moete da posetite stranicu
sa svojstvima, desnim klikom i biranjem opcije Sharing and Security.
Iako izgleda kao i prethodna stranica sa svojstvima, sada nudi jo jednu
opciju, dugme New Share, koja moe da dodeli direktorijumu drugo ime
Izborom Permissions moete da definiete razliite dozvole za deljenje
-
9.2 Upravljanje dozvolama Potrebno je zatititi deljene resurse od neovlaenog pristupa
Postoje razni naini, pomou rutera ili firewala, ali znatno vee
mogunosti imamo ako se koristimo dozvolama za rad sa reursima
Postoje dve vrste dozvola: dozvole za rad sa deljenim direktorijumima
i dozvole za rad sa fajlovima i direktorijumima (NTFS dozvole).
Pomou ovih dozvola moemo da kontroliemo ko ima pristup naim
podacima i ta moe da radi sa njima.
Dozvole za rad sa deljenim direktorijumima
Dozvole za rad sa deljenim direktorijumima predstavljaju jednostavan
oblik kontrole pristupa kada radite sa Windows Serverom OS.
Ove dozvole imaju efekat samo kada raunaru pristupamo preko mree
Definisanjem dozvola za deljene direktorijume moemo da definiemo
nivo pristupa za sve korisnike jo na samom ulazu u fajl sistem
Nivo dozvole predstavlja samo maksimalni nivo pristupa koji dobijate
kada dospete u unutranjost a to znai da dalja ogranienja unutar
direktorijuma moete da postignete dozvolama na nivou fajla (NTFS)
kojima dobijamo punu kontrolu nad direktorijumom
-
9.2 Upravljanje dozvolama Prikazano je polje Group or User Names koje navodi listu korisnika i
grupa dodeljenih deljenom direktorijumu
Kada se selektuje korisnik ili grupa, prikazuju se i njima dodeljene
dozvole.
Moemo postaviti sledee dozvole:
1.Full Control - grupa moe da
izvrava sve funkcije nad svim
fajlovima i direktorijumima u okviru
deljenog direktorijuma.
2.Change - Dodeljena grupa moe da
ita i izvrava, kao i da menja i brie
fajlove i direktorijume u okviru
deljenog direktorijuma.
3.Read - Dodeljena grupa moe da ita
i izvrava fajlove i direktorijume, ali ne
moe da menja ili brie bilo ta to se
nalazi u okviru direktorijuma
-
9.2 Upravljanje dozvolama Razumevanje opcija Allow i Deny
Administrator moe da odobri ili zabrani pristup za bilo koga, ili moe
da izbrie obe opcije, i Allow i Deny, ostavljajui korisnika i bez
doputenja i bez zabrane konkretne dozvole.
Ako korisnik nema dozvolu, ni odobrenje ni zabranu, onda uopte nema
nikakav pristup objektu.
Ako je kod dozvole potvrena opcija Allow, korisnik moe da isproba
dozvolu; ako je potvrena opcija Deny, ne moe.
Objekti mogu da imaju vie pridruenih dozvola za iste direktorijume.
OS trai sve ACL ulaze za nalog i izraunava ih na sledei nain:
1. najpre se ignoriu svi ulazi bez potvrenih opcija
2. trai sve potvrene opcije Allow i ako ih nema, nema pristupa resursu
3. trae se sve potvrene opcije Deny i ako se pronae makar jedna,
pristup rsursu je zabranjen.
Pristup resursu se dobija samo ako ima barem jedna potvrena opciju
Allow, bez potvrenih opcija Deny.
Ako je potvrena bar jedna opcija Deny pristup resursu je zabranjen
-
9.3 NTFS dozvole za rad sa fajlovima Ako imamo 1000 korisnika koji su hteli da privatizuju podatke u
okviru direktorijuma, morali ste da kreirate 1000 deljenih direktorijuma
NTFS dozvole - dozvole koje su se mogle dodeljivati direktno za
specifine fajlove i direktorijume obezbeene neograniene mogunosti
-
9.3 NTFS dozvole za rad sa fajlovima Dozvole koje vidite na slici formirane su od dozvola nieg nivoa.
Na primer, dozvola vieg nivoa List Folder Contents sadri pet
dozvola nieg nivoa:
1. Traverse Folder/Execute File,
2. List Folder/Read Data,
3. Read Attributes,
4. Read Extended Attributes
5. Read Permissions.
Sve dozvole moemo podeliti na "molekularne" i "atomske" dozvole.
NTFS ima 13 atomskih dozvola.
Ostale vrste objekata mogu da imaju manji ili vei broj atomskih
dozvola; na primer, bilo koji objekat AD (korisniki nalog, nalog maine,
OJ, objekat grupne polise i td.) ima vie od 35 atomskih dozvola.
Svi AD objekti dele isti skup atomskih dozvola.
Na sledeoj slici pokazano je kako se grupisanjem atomskih dozvola
kreiraju molekularne dozvole.
-
9.3 NTFS dozvole za rad sa fajlovima
-
9.4 Atomske dozvole Traverse Folder/Execute File - omoguuje preskakanje nekoliko nivoa
zatite da bi doli do ciljnog direktorijuma gde dozvole stvarno vae a
Execute File izvravanje fajla.
List Folder/Read Data - Dozvola List Folder omoguava prikazivanje
naziva fajlova i direktorijuma u okviru datog direktorijuma a dozvola
Read Data omoguava prikazivanje sadraja fajla.
Read Attributes omoguava prikaz osnovnih atributa fajla kao to su
Read-Only, Hidden, System i Archive.
Read Extended Attributes - odreeni programi za svoje tipova fajlova
ukljuuju neke druge atribute koji se razlikuju od programa do programa
Write Attributes - omoguava izmenu osnovnih atributa fajla.
Write Extended Attributes - omoguava izmenu dodatnih atributa fajla.
Create Files/Write Data - Create Files omoguava postavljanje novih
fajlova u okviru direktorijuma a Write Data omoguava prepisivanje
postojeih podataka u okviru fajla.
-
9.4 Atomske dozvole
Create Folders/Append Data - Create Folders omoguava kreiranje
direktorijuma u okviru postojeeg direktorijuma a Append Data
omoguava dodavanje podataka na kraj postojeeg fajla.
Delete Subfolders and Files - brisanje poddirektorijuma i fajlova
Delete - omoguava brisanje objekta.
Read Permissions - omoguava prikazivanje svih NTFS dozvola
dodeljenih fajlu ili direktorijumu, ali bez mogunosti za promenu
Change Permissions - Ova atomska dozvola omoguava promenu
dozvola koje su dodeljene fajlu ili direktorijumu.
Take Ownership - Ova atomska dozvola omoguava preuzimanje
vlasnitva nad fajlom. Kada postanete vlasnik, nasleujete prava za
promenu dozvola za rad sa fajlom. Podrazumeva se da administratori
uvek mogu da preuzmu vlasnitvo nad fajlom ili direktorijumom.
-
9.5 Molekularne dozvole Read - omoguava prikazivanje sadraja, dozvola i atributa dodeljenih
objektu. Ako je re o fajlu, moete da prikaete fajl, a ako je re o
direktorijumu, dozvola omoguava prikazivanje sadraja direktorijuma.
Write dozvola za direktorijum omoguava kreiranje novog
poddirektorijuma u okviru datog direktorijuma a za promenu fajla, pored
dozvole Write morate imati i dozvolu Read.
Read and Exccute Dozvola Read and Execute je identina dozvoli
Read, ali dodaje atomsku privilegiju prolaska do direktorijuma.
Modify - kombinacija dozvola Read and Execute i Write.
Full Control - predstavlja kombinaciju prethodno pominjanih dozvola,
sa mogunou da menjate dozvole i preuzimate vlasnitvo
List Folder Contents - slina prava kao i dozvola Read and Execute, ali
vai samo u sluaju direktorijuma.
Special Permissions - je jednostavno prilagoena grupa atomskih prava
koju kreirate kada neka od standardnih atomskih dozvola nije prikladna
za datu situaciju.
-
9.6 Obezbeivanje fajl sistema Windows Server OS sve svoje podatke smeta u fajl sistem, tj. svi
korisniki podaci, podaci aplikacije i fajlovi OS nalaze se u fajl sistemu.
Da bi fajl sistem bio bezbedan, ovi fajlovi se moraju obezbediti.
Spoljanje pretnje mrei, sluajno brisanje fajl sistema ili pristup neke
od neovlaenih internih grupa mogu rezultirati gubitkom podataka
Blokiranje fajl sistema preko NTFS-a - NTFS je predstavljao veliku
prekretnicu u odnosu na FAT fajl sistem, u mnogim oblastima.
Podravanje veih diskova, podravanje nestandardnih veliina bloka za
dodeljivanje memorije i mogunost definisanja bezbednosti na nivou
fajla ili direktorijuma - sve su to velike prednosti NTFS-a.
Blokiranje grupnog lanstva - Jedan od najbitnijih naina za
bezbednost mree je da se korisnicima ne garantuje lanstvo u grupama
koje bi im obezbedile vie prava nego to im je zaista neophodno.
Dranje korisnika dalje od sistemskih fajlova - Korumpiranje ili
brisanje sistemskih fajlova vrlo brzo moe da onesposobi server. Ako ne
raunamo bezbednosne zakrpe, ne postoji nijedan drugi razlog da
administrator ima pravo upisivanja za sistemske fajlove.
-
9.6 Obezbeivanje fajl sistema
Odravanje tajnosti fajlova pomou EFS-a - Encrypting File System
na NTFS volumenima omoguava korisniku da ifruje fajl tako da samo
on moe da mu pristupi. Kada pone da koristi EFS za ifrovanje fajla,
korisniku se dodeljuje par kljueva (javni i privatni klju). Kljuevi se
generiu pomou servisa sertifikata ili ih EFS samostalno potpisuje, u
zavisnosti od toga da li je CA prisutan.
Samostalna upotreba EFS-a - Windows Server ima sposobnost da
generie sopstveni par kljueva za EFS ukoliko nemaju na raspolaganju
sertifikat na nivou domena. EFS na maini koja ne pripada domenu se
dosta razlikuje od onog na maini koja je lan domena. Ako korisnik
ifruje fajl i izgubi oba spremita sertifikata, korisnikog i lokalnog
DRA-a, nee moi da deifruje fajl. Slino tome, usled nedostatka
centralne baze podataka kljueva za korisnike EFS-a na raunaru koji ne
pripada domenu, korisnik moe namerno da izbrie DRA sertifikat i
spremite sertifikata, pa e takvi fajlovi biti neupotrebljivi.
-
9.7 NTFS File i Folder dozvole
To configure NTFS permission
for folder or file, open the
properties of the object. Then
select Security tab. Under Group
or user names, select or add user
or group. Under permissions,
allow or deny permissions. There
are two types of NTFS
permission, standard and
advanced. Those permissions
displayed under permissions area
in Test folder properties is
standard NTFS permissions.
http://www.mustbegeek.com/wp-content/uploads/2013/07/Folder-Properties.png -
9.7 NTFS File i Folder dozvole Advanced permission is configured by clicking the Advanced button
under permissions area. You can add new user or groups to apply NTFS
settings. You can select the user or group and click Edit to configure
advanced NTFS permission settings.
http://www.mustbegeek.com/wp-content/uploads/2013/07/Advanced-Option.png -
9.7 NTFS File i Folder dozvole You will see following windows after clicking Edit option by selecting
the object. Configure some advanced NTFS permissions and click OK to
apply the permission.
http://www.mustbegeek.com/wp-content/uploads/2013/07/Edit-Advanced-Permission.png -
9.7 NTFS File i Folder dozvole Select the auditing tab in advanced NTFS settings window. This option
allows you to logs success or failure of folder access by users or groups.
Click Add to configure the setting.
http://www.mustbegeek.com/wp-content/uploads/2013/07/Advanced-Auditing.png -
9.7 NTFS File i Folder dozvole You will see following screen as shown below after clicking Add button.
Click select a principal to configure auditing option for user or group.
On type, select All to log both success and failure of the folder access
by the user AJones. Click OK to apply the settings.
http://www.mustbegeek.com/wp-content/uploads/2013/07/Advanced-Auditing-Option.png -
9.7 NTFS File i Folder dozvole Now lets play with Effective access option. Effective access is a very
quick and handy method to test or check the NTFS permission of user or
group for accessing files and folders. Click Effective Access tab on
advanced NTFS permission window. Here, you can test the permission
effects for each user or group. To check the effective permission for user
AJones, click select a user and add user AJones. Then click View
effective access. You can see the effective access of user AJones for this
Test folder. Here, user AJones doesnt have full control of the folder, but
the user can read and list items of the folder.
http://www.mustbegeek.com/wp-content/uploads/2013/07/Effective-Access.png -
Hvala na panji !!!
Pitanja
? ? ?