Nghiên cứu một số vấn đề bảo mật và an toàn thông tin cho các mạng dùng giao thức liên mạng máy tính IP - An ninh, an toàn của mạng máy tính - An ninh của các hệ điều hành họ Microsoft Windows

tr×nh KiÓm so¸t tham chiÕu b¶o mËt (Security Reference Monitor) vµ tr×nh Qu¶n lý ®èi t−îng (Object Manager) ®−îc ®Æt ë mode kernel. 2.2.2 ThiÕt kÕ h−íng ®èi t−îng Windows NT ®−îc thiÕt kÕ d−íi d¹ng mét tËp hîp ®èi t−îng cã quan hÖ qua l¹i víi nhau, cung cÊp dÞch vô cña H§H. Nhê vµo thiÕt kÕ h−íng ®èi t−îng mµ nã cã thÓ cung cÊp ®é tin cËy trong b¶o mËt. C¸c ®èi t−îng lµ ch×a kho¸ cung cÊp mét cÊp b¶o mËt cao trong hÖ ®iÒu hµnh Windows NT. §èi t−îng nh− mét chiÕc hép chøa th«ng tin vµ c¸c chøc n¨ng ®Ó ®iÒu t¸c th«ng tin ®ã. ViÖc b¶o mËt ®−îc thùc hiÖn nh− sau. Tr−íc tiªn, c¸c ®èi t−îng che giÊu d÷ liÖu cña chóng víi bªn ngoµi vµ chØ cung cÊp th«ng tin theo mét sè c¸ch nhÊt ®Þnh. §iÒu nµy ng¨n cÊm c¸c tiÕn tr×nh bªn ngoµi trùc tiÕp truy cËp c¸c d÷ liÖu bªn trong. Së dÜ Windows NT ®¹t ®−îc c¸c cÊp b¶o mËt cao ®ã lµ nhê kh«ng bao giê nã cho phÐp c¸c ch−¬ng tr×nh trùc tiÕp truy cËp c¸c ®èi t−îng. Mäi hµnh ®éng trªn mét ®èi t−îng ®Òu ®−îc cÊp quyÒn vµ ®−îc thùc hiÖn bëi hÖ ®iÒu hµnh. 2.2.3 HÖ con b¶o mËt Windows NT HÖ con b¶o mËt cung cÊp mét hÖ thèng ®¬n lÎ th«ng qua ®ã mäi truy cËp ®Õn c¸c ®èi t−îng, kÓ c¶ c¸c tËp tin trªn ®Üa, c¸c tiÕn tr×nh trong bé nhí, hoÆc c¸c cæng ra c¸c thiÕt bÞ bªn ngoµi ®Òu ®−îc kiÓm tra ®Ó kh«ng cã øng dông hay ng−êi sö dông nµo cã thÓ truy cËp mµ kh«ng cã quyÒn h¹n ®óng ®¾n. C¸c thµnh phÇn hÖ con b¶o mËt bao gåm: ThÈm quyÒn b¶o mËt côc bé (Local Security Authority - LSA). §©y lµ thµnh phÇn trung t©m cña hÖ con b¶o mËt. LSA cã tr¸ch nhiÖm x¸c nhËn tÝnh hîp lÖ cña toµn bé c¸c ®¨ng nhËp cña ng−êi sö dông t¹i chç còng nh− tõ xa, ph¸t ra c¸c thÎ bµi truy cËp, vµ qu¶n lý chÝnh s¸ch an toµn côc bé, bao gåm c¶ viÖc kiÓm so¸t chÝnh s¸ch kiÓm to¸n. LSA còng cã tr¸ch nhiÖm ghi l¹i c¸c b¶n ghi sù kiÖn bÊt kú mét th«ng b¸o kiÓm to¸n nµo do tr×nh tham chiÕu b¶o mËt t¹o ra. TiÕn tr×nh ®¨ng nhËp (Logon Process). TiÕn tr×nh ®¨ng nhËp nµy ®¨ng nhËp cho c¶ ng−êi sö dông côc bé lÉn tõ xa. Tr×nh qu¶n lý tµi kho¶n b¶o mËt (Security Account Manager - SAM). HÖ thèng nµy cã tr¸ch nhiÖm kiÓm so¸t vµ duy tr× c¬ së d÷ liÖu vÒ c¸c tµi kho¶n ng−êi sö dông ®· ®−îc cÊp quyÒn truy cËp vµ x¸c minh ng−êi sö dông trong tiÕn tr×nh ®¨ng nhËp (phª chuÈn ng−êi sö dông cho LSA). C¬ së d÷ liÖu SAM chøa c¸c th«ng tin tµi kho¶n cña tÊt c¶ nh÷ng (nhãm) ng−êi sö dông vµ cung cÊp c¸c th«ng tin nµy hç trî ng−êi sö dông hîp lÖ trong qu¸ tr×nh ®¨ng nhËp. Nã so s¸nh hµm hash mËt m· cña mËt khÈu khi ®¨ng nhËp víi mËt khÈu theo gi¸ trÞ hµm hash ®−îc l−u gi÷ trong c¬ së d÷ liÖu SAM. Sau ®ã, 146 nã cÊp SID cña (nhãm) ng−êi sö dông vÒ l¹i LSA. Sau ®ã c¸c SID ®−îc sö dông ®Ó t¹o ra mét thÎ bµi truy cËp b¶o mËt cho phiªn hiÖn thêi cña ng−êi sö dông ®ã. Mçi hÖ Windows NT cã c¬ së d÷ liÖu SAM t¹i chç. Mçi m¸y tr¹m hay m¸y chñ cã mét c¬ së d÷ liÖu SAM cho ng−êi sö dông côc bé vµ c¸c nhãm cô thÓ víi m¸y tÝnh ®ã. Mçi tr×nh kiÓm so¸t vïng cã mét c¬ së d÷ liÖu SAM ®Ó nhËn d¹ng (nhãm) ng−êi sö dông cã thÓ sö dông toµn bé m¸y tÝnh trong vïng ®ã. C¬ së d÷ liÖu SAM ®−îc cËp nhËt vµ nh©n b¶n cho phÐp bÊt kú mét hÖ ®iÒu khiÓn vïng nµo còng cã thÓ ®¸p øng yªu cÇu x¸c thùc. ChØ cã m¸y phôc vô vµ tr¹m lµm viÖc Windows NT míi cã SAM, vµ ®©y lµ lý do v× sao m¸y tÝnh Windows 95 vµ nhiÒu m¸y tÝnh kh¸c thùc sù kh«ng thÓ gia nhËp vïng. Tr×nh gi¸m s¸t tham chiÕu b¶o mËt (Security Reference Monitor - SRM). §©y lµ mét thµnh phÇn cña chÕ ®é Kernel; nã ng¨n cÊm mäi tiÕn tr×nh hay ng−êi sö dông trùc tiÕp truy cËp c¸c ®èi t−îng. Nã hîp lÖ ho¸ mäi tiÕn tr×nh truy cËp c¸c ®èi t−îng. Nã còng ph¸t sinh c¸c th«ng b¸o kiÓm to¸n thÝch hîp. SRM cã tr¸ch nhiÖm buéc tÊt c¶ c¸c truy cËp hîp lÖ vµ chÝnh s¸ch kiÓm to¸n lµm viÖc ®óng ®¾n bªn trong néi quy b¶o mËt côc bé. Nh− vËy, nã h¹n chÕ viÖc truy cËp trùc tiÕp vµo ®èi t−îng bëi bÊt kú ng−êi sö dông hay tiÕn tr×nh nµo, v× vËy b¶o ®¶m r»ng viÖc b¶o vÖ lµ nh− nhau ®−îc cung cÊp cho c¸c ®èi t−îng bªn trong hÖ thèng. SRM lµm viÖc kÕt hîp víi tr×nh qu¶n lý ®èi t−îng nh»m hîp lÖ ho¸ c¸c truy cËp ®èi t−îng vµ ph¸t ra c¸c th«ng ®iÖp kiÓm to¸n nµo ®ã theo yªu cÇu. Khi truy lôc mét ®èi t−îng ®−îc yªu cÇu, SRM so s¸nh néi dung cña ACL cña ®èi t−îng víi néi dung cña phiÕu truy cËp cña ng−êi sö dông. NÕu truy cËp ®−îc cÊp cho ®èi t−îng, SRM bè trÝ mét ®iÒu khiÓn cho qu¸ tr×nh nµy vµ ®iÒu khiÓn nµy ®−îc sö dông ®èi víi tÊt c¶ c¸c yªu cÇu truy cËpkh¸c t−¬ng tù mµ kh«ng cÇn ph¶i kiÓm tra truy cËp thªm n÷a. C¬ së d÷ liÖu th− môc (Directory database). Trong m«i tr−êng m¹ng, c¬ së d÷ liÖu nµy cã thÓ tån t¹i trªn mét sè m¸y. Khi mét ng−êi sö dông ®¨ng nhËp mét m¸y côc bé, SAM trªn m¸y ®ã sÏ truy lôc c¸c ID ng−êi sö dông tõ c¬ së d÷ liÖu nµy. Trong m«i tr−êng m¹ng vïng Windows NT, th«ng tin tµi kho¶n ng−êi sö dông cã thÓ ®−îc l−u tr÷ trong mét c¬ së d÷ liÖu th− môc trªn mét hay nhiÒu hÖ phôc vô cã tªn hÖ ®iÒu khiÓn vïng (domain controllers), chóng chia sÎ vµ cËp nhËt th«ng tin tµi kho¶n. C¬ së d÷ liÖu dïng chung nµy cho phÐp ng−êi sö dông ®¨ng nhËp mét lÇn ®Ó truy cËp c¸c tµi nguyªn trªn toµn m¹ng KiÓm so¸t truy cËp nhiÖm ý (Discretionary Access Controls - DAC). Nã cho phÐp kiÓm so¸t ®Çy ®ñ c¸c tÖp vµ tµi nguyªn nµo cã thÓ ®−îc truy cËp bëi ng−êi sö dông t¹i thêi ®iÓm ®· cho. Møc ®é mµ hÖ thèng DAC cã thÓ kiÓm so¸t tÖp vµ th− môc ®−îc truy cËp gäi lµ Gnanularity. §ã lµ chØ sè ®o xem kiÓm so¸t truy cËp cã thÓ cô thÓ ®Õn møc nµo. VÝ dô, 147 ta cã thÓ h¹n chÕ truy cËp ®Õn n¨m tÖp trong mét th− môc cho mét nhãm ng−êi sö dông nµo ®ã trong khi ta l¹i cho phÐp tÊt c¶ c¸c ng−êi sö dông truy cËp ®Õn c¸c tÖp cßn l¹i trong th− môc nµy. Trong c¬ chÕ DAC nÕu kÎ bÎ kho¸ kh«ng cã quyÒn truy cËp ®Õn c¸c tÖp th× hä kh«ng thÓ bÎ kho¸ ®−îc m¸y tÝnh. Do ®ã ®Æt quyÒn truy cËp tÖp ®óng ®¾n lµ b−íc ®Çu tiªn lµm an toµn m¸y tÝnh Windows NT. Muèn vËy m¸y tÝnh ph¶i sö dông hÖ thèng tÖp c«ng nghÖ míi (New Technology File System - NTFS). NTFS tuy vËy vÉn ch−a ®−îc hoµn thiÖn. §èi víi phiªn b¶n 3.51 ng−êi sö dông kh«ng cã quyÒn −u tiªn g× còng cã thÓ xo¸ ®−îc tÖp. Mét vÝ dô kh¸c lµ khi ch¹y File Manager còng cña phiªn b¶n nµy th× c¸c quyÒn truy cËp tÖp cã thÓ bÞ bá qua. Tuy nhiªn Windows NT DAC lµ hoµn toµn tèt. §ã lµ nguyªn lý ai t¹o ra tÖp th× ng−êi ®ã lµ chñ. Víi mét tÖp cã thÓ ®äc bëi ng−êi nµy, viÕt bëi ng−êi kia vµ ch¹y l¹i bëi nh÷ng ng−êi kh¸c n÷a. Cã thÓ nãi r»ng DAC lµ phøc t¹p. Tãm l¹i, trªn c¸c H§H nh− MS-DOS, Windows thùc tÕ kh«ng thÓ ®¹t ®−îc mét hÖ b¶o mËt cao cÊp. C¸c H§H nµy ®−îc thiÕt kÕ ®Ó ng−êi sö dông cã thÓ truy cËp c¸c tµi nguyªn hÖ thèng víi rÊt Ýt h¹n chÕ, nÕu cã. H§H qu¸ yÕu ®Ó cho phÐp bæ sung hÖ b¶o mËt m¹nh. Windows NT lµ mét H§H h−íng ®èi t−îng, vµ hÖ b¶o mËt cña nã ®−îc x©y dùng ngay trong c¸c cÊp thÊp nhÊt cña cÊu tróc ®èi t−îng. §iÒu nµy khiÕn Windows NT dÔ b¶o vÖ an toµn h¬n so víi hÇu hÕt c¸c H§H kh¸c. 3. Nh÷ng néi dung chÝnh cÇn nghiªn cøu ViÖc ®¶m b¶o an toµn m¹ng ngoµi viÖc thiÕt kÕ theo c¸c m« h×nh m¹ng ®· ®Ò cËp ë trªn nã cßn phô thuéc vµo c¸c tÝnh n¨ng an toµn cña c¸c H§H ®−îc sö dông, mµ ë ®©y lµ c¸c H§H Microsoft. Cã thÓ thÊy r»ng chØ tõ khi cã sù ra ®êi cña H§H Windows 95 c¸c tÝnh n¨ng m¹ng míi ®−îc chó ý. Tuy nhiªn lóc nµy Microsoft l¹i chó ý nhiÒu h¬n ®Õn c¸c tÝnh n¨ng tiÖn dïng h¬n lµ c¸c tÝnh n¨ng b¶o mËt. ChØ víi c¸c H§H Windows NT vµ sau nµy, c¸c tÝnh n¨ng b¶o mËt míi ®−îc quan t©m thÝch ®¸ng h¬n vµ râ rµng, tÝnh n¨ng an toµn m¹ng t¨ng lªn ®¸ng kÓ. Theo mét b¶n b¸o c¸o cña ITSEC (ph¸t hµnh 20/6/2000) nÕu WIDOWS/DOS vµ Windows 9x cã tÝnh n¨ng b¶o mËt tèi thiÓu th× tÝnh n¨ng b¶o mËt cña Windows NT cã thÓ nãi lµ rÊt tèt víi c¸c phiªn b¶n míi nhÊt. An ninh an toµn m¹ng lµ mét vÊn ®Ò lín vµ liªn quan ®Õn nhiÒu yÕu tè. Trong phÇn nµy ta sÏ xem xÐt an ninh an toµn m¹ng ®èi víi c¸c H§H cña Microsoft, mµ chñ yÕu lµ H§H Windows NT th«ng qua c¸c néi dung sau: • §¨ng nhËp, sö dông dÞch vô • Ph©n quyÒn ®èi víi th− môc, tÖp • NTFS 148 Ch−¬ng II. §¨ng nhËp, sö dông dÞch vô MÆc dï c¸c tµi nguyªn m¹ng ®· ®−îc b¶o vÖ ë c¸c møc kh¸c nhau, nh−ng ngay viÖc chóng ta muèn truy cËp vµo vïng hay mét m¸y cô thÓ nµo ®ã còng vÉn ph¶i qua mét cöa lµ c¬ chÕ b¶o mËt ®¨ng nhËp. Gièng nh− khi ch×a hé chiÕu vµo s©n bay hay xuÊt tr×nh thÎ vµo c¬ quan, chóng ta ph¶i khai b¸o tªn, mËt khÈu, tªn vïng hay m¸y mµ m×nh muèn vµo ®Ó tiÕn tr×nh ®¨ng nhËp (logon) x¸c nhËn chóng ta ®óng lµ ng−êi cña vïng víi c¸c quyÒn h¹n nhÊt ®Þnh vÒ tµi nguyªn, hÖ thèng vµ cho phÐp nhËp vïng. HiÖn nay, truy cËp tíi mét hÖ thèng ®−îc thùc hiÖn nhê ®¨ng nhËp b¾t buéc. §©y lµ mét yªu cÇu an toµn c¬ b¶n tu©n thñ nguyªn t¾c b¶o mËt cÊp C2. Sù nhËn diÖn vµ x¸c thùc nµy lµ nÒn t¶ng cña hÖ an toµn. Kh«ng cã nhËn diÖn vµ x¸c thùc ng−êi sö dông ®¨ng nhËp vµo hÖ thèng, viÖc truy cËp ®Õn ®èi t−îng kh«ng ®−îc kiÓm so¸t, c¸c quyÒn vµ thÈm quyÒn cña ng−êi sö dông kh«ng cã hiÖu lùc, vµ tr¸ch nhiÖm gi¶i tr×nh kh«ng thÓ ®−îc duy tr× nhê kiÓm to¸n. Yªu cÇu an toµn thèng nhÊt trong toµn H§H vµ lµ thÓ hiÖn ®Çu tiªn cho ng−êi sö dông trong qu¸ tr×nh ®¨ng nhËp. Qu¸ tr×nh ®¨ng nhËp sai kh¸c nhá phô thuéc vµo viÖc ng−êi sö dông ®¨ng nhËp tíi hÖ côc bé hay tíi mét vïng. Cã hai c¸ch cã thÓ ®¨ng nhËp: côc bé hoÆc tõ xa. §¨ng nhËp côc bé ngô ý viÖc ®¨ng nhËp trùc tiÕp vµo m¸y tÝnh ®ang ®−îc ®Ò cËp. §¨ng nhËp tõ xa ¸m chØ mét cuéc ®¨ng nhËp “ngang qua m¹ng” ®Ó truy cËp tµi nguyªn dïng chung. ViÖc ®¨ng nhËp ®ßi hái ph¶i cã tªn ®¨ng nhËp vµ mËt khÈu hîp lÖ. V× sao Windows 9x kh«ng cã thÓ ®−îc coi lµ hÖ ®iÒu hµnh an toµn? MÆc dï c¸c H§H Windows 9x ®−îc thiÕt kÕ kh«ng ph¶i cho ®a ng−êi sö dông thùc sù vµ h¹n chÕ ®−îc c¸c tÊn c«ng tõ xa song nÕu mét ai ®ã cã thÓ tiÕp cËn mét m¸y Windows 9x, anh ta cã thÓ dÔ dµng lÊy c¾p ®−îc th«ng tin ®¨ng nhËp (tªn ng−êi sö dông, mËt khÈu, tªn vïng vµ sö dông nã ®Ó ®¨ng nhËp. Ngoµi ra cßn mét sè ®iÓm yÕu kh¸c n÷a vÒ mËt khÈu, mËt m·...cña Windows 9x, mµ ta sÏ bµn ®Õn sau, lµm cho nã bÞ coi lµ H§H kh«ng an toµn. Nãi chung, c¸c b−íc trong tiÕn tr×nh ®¨ng nhËp lµ xin giÊy uû nhiÖm (credentials) vµ thÈm ®Þnh quyÒn. §Çu tiªn, ng−êi sö dông xin giÊy uû nhiÖm b»ng c¸ch nhËp th«ng tin ng−êi sö dông (tªn ng−êi sö dông, mËt khÈu, tªn vïng). Th«ng tin nµy ®−îc so s¸nh víi th«ng tin vÒ ng−êi sö dông mµ hÖ thèng ®· l−u gi÷. NÕu chÝnh x¸c th× ng−êi sö dông ®−îc thÈm ®Þnh quyÒn vµ cã quyÒn truy cËp hÖ thèng. NÕu sai ng−êi sö dông ®ã bÞ tõ chèi truy cËp. Nh− vËy møc ®é an toµn cña th«ng tin ng−êi sö dông vµ c¸ch thøc thÈm ®Þnh quyÒn sÏ quyÕt ®Þnh møc ®é an toµn khi ®¨ng nhËp. 1. An toµn mËt khÈu MËt khÈu th−êng ®−îc l−u gi÷ trong c¬ së d÷ liÖu. Trong Windows 9x mËt khÈu ®−îc mËt m· yÕu, mËt khÈu LAN Manager, vµ ®Æt trong tÖp .pwl. C¸c dÞch vô tÖp LAN 149 Manager ®· ®−îc sö dông cho c¸c dÞch vô tÖp PC trong nh÷ng n¨m 1980 vµ ®Çu nh÷ng n¨m 1990 vµ vÉn cã trong c¸c H§H kh¸c. Windows 9x chØ thùc hiÖn x¸c thùc qu¶n lý. Nã dùa trªn bé kÝ tù OEM chuÈn, kh«ng ph©n biÖt ch÷ hoa ch÷ th−êng vµ cã thÓ dµi tíi 14 kÝ tù. MËt khÈu LAN Manager ®−îc mËt m· khi sö dông thuËt to¸n ChuÈn mËt m· d÷ liÖu (DES). MËt khÈu nµy rÊt dÔ bÞ tÊn c«ng do kh«ng ph©n biÖt ch÷ hoa ch÷ th−êng. MËt khÈu nµy còng dÔ bÞ gi¶i m· khi sö dông kÝ tù th«ng th−êng vµ sè l−îng kÝ tù kh¸c 7 hay 14. Windows NT cã sö dông thªm mËt khÈu Windows NT. MËt khÈu nµy dùa trªn bé kÝ tù Unicode vµ nã lµ mËt khÈu cã ph©n biÖt ch÷ hoa ch÷ th−êng vµ cã thÓ dµi tíi 128 kÝ tù. MËt khÈu NT ®−îc mËt m· b»ng viÖc sö dông thuËt to¸n Message Digest 4 (MD4). Trong Windows NT mçi mËt khÈu ®−îc m· ho¸ kÐp trong c¬ së d÷ liÖu SAM. LÇn m· ho¸ ®Çu tiªn lµ mét phiªn b¶n hµm mét chiÒu (one-way function - OWF) cña mËt khÈu râ. Sau ®ã, mËt khÈu nµy ®−îc m· ho¸ l¹i ®Ó khiÕn nã trë nªn khã hiÓu h¬n. C¸c mËt khÈu m· ho¸ mét chiÒu th−êng ®−îc xem lµ kh«ng thÓ gi¶i m·. Thùc tÕ, c¬ së d÷ liÖu kh«ng hÒ ®−îc gi¶i m·. ThËm chÝ, chÝnh SAM còng kh«ng thÓ gi¶i m· c¸c mËt khÈu trong c¬ së d÷ liÖu. §iÒu nµy ng¨n cÊm ai ®ã viÕt mét ch−¬ng tr×nh dïng c¸c SAM API ®Ó ®äc c¸c mËt khÈu ®· m· ho¸ ra khái c¬ së d÷ liÖu. Mét ch−¬ng tr×nh nh− vËy cã thÓ ®−îc dïng ®Ó tiÕn hµnh mét cuéc tiÕn c«ng tõ ®iÓn trªn c¬ së d÷ liÖu SAM. Trong Windows 2000 th«ng tin ng−êi sö dông ®−îc m· ho¸ vµ cÊt giÊu trong SAM cña hÖ thèng côc bé hay AD (Active Dierectory) cña hÖ thèng. AD thay thÕ cho vïng c¬ së d÷ liÖu SAM cña registry trªn ®iÒu khiÓn vïng vµ lµ mét thµnh phÇn tin cËy cña LSA. Kh¸c víi c¬ së d÷ liÖu SAM cã cÊu tróc ph¼ng th× AD l¹i cã cÊu tróc ph©n cÊp cho phÐp h¹n chÕ c¸c truy cËp tr¸i phÐp. Ngoµi ra c¸c H§H Windows NT vµ Windows 2000 cho phÐp nhÊn CTRL-ALT-DEL ®Ó khëi ph¸t mét tiÕn tr×nh ®¨ng nhËp míi. Nh− vËy sÏ tr¸nh ®−îc mèi nguy hiÓm cña c¸c ch−¬ng tr×nh Trojan Horse. 2. ThÈm ®Þnh quyÒn H§H Windows NT qu¶n lý truy cËp m¹ng th«ng qua c¬ chÕ x¸c thùc ng−êi sö dông gåm tªn ng−êi sö dông vµ mËt khÈu t−¬ng øng. MËt m· ®−îc ®−a tõ tr¹m ®¨ng nhËp m¹ng vÒ trung t©m theo c¸ch m· ho¸ ®Æc biÖt theo mét trong hai c¸ch sau ®©y: Mét lµ, Windows NT dïng DES lµm hµm mét chiÒu ®Ó m· ho¸ mËt khÈu cña ng−êi sö dông. MËt khÈu nµy dïng DES lµm hµm mét chiÒu ®Ó m· ho¸ mét h»ng sè qui −íc råi chuyÓn gi¸ trÞ m· kho¸ nµy ®Õn c¬ së d÷ liÖu ng−êi sö dông. ë ®©y gi¸ trÞ nµy ®−îc ®em so s¸nh víi gi¸ trÞ ®· l−u trong c¬ së d÷ liÖu. NÕu trïng khíp th× ®−îc ®¨ng nhËp m¹ng nÕu kh«ng sÏ bÞ tõ chèi. MËt khÈu kh«ng bÞ lé v× nã kh«ng thÓ tÝnh ng−îc do tÝnh chÊt mét chiÒu cña DES. 150 Hai lµ, sö dông giao thøc thÈm ®Þnh quyÒn m· ho¸ Windows NT LAN Manager (NTLM). Khi ®¨ng nhËp th× SERVER sÏ göi mét gi¸ trÞ nonce dµi 16 byte cho tr¹m CLIENT. MËt khÈu cña ng−êi sö dông ®−îc dïng ®Ó lËp m· nonce vµ göi vÒ SERVER. MËt khÈu ®Çu tiªn ®−îc dïng lµm kho¸ ®Ó m· mét h»ng sè qui −íc tr−íc, sau ®ã gi¸ trÞ mét chiÒu nµy ®−îc dïng lµm kho¸ ®Ó m· ho¸ nonce vµ kÕt qu¶ tr¶ vÒ SERVER. Mét mÆt SERVER nhËn gi¸ trÞ nµy, mÆt kh¸c nã lÊy gi¸ trÞ mét chiÒu ë c¬ së d÷ liÖu cña ng−êi sö dông lµm kho¸ vµ lËp m· nonce mµ nã cßn l−u gi÷, kÕt qu¶ ®−îc so s¸nh víi kÕt qu¶ võa nhËn ®−îc tõ CLIENT, nÕu hai kÕt qu¶ lµ trïng nhau SERVER cho phÐp ®¨ng nhËp m¹ng. Ng−îc l¹i, nã tõ chèi ®¨ng nhËp m¹ng. Nã m· ho¸ b»ng mét kho¸ sè nhÞ ph©n 56 bit víi 72 ngh×n triÖu triÖu tæ hîp kh¶ dÜ. Kho¸ ®−îc ph¸t sinh ngÉu nhiªn cho mçi phiªn lµm viÖc ®Ó t¹o mét khu«n mÉu m· ho¸ th−êng ®−îc xem lµ kh«ng thÓ bÎ kho¸ nÕu kh«ng cã kho¸ gi¶i m·. §Ó thÈm ®Þnh quyÒn ng−êi sö dông trong Windows 2000 ngÇm ®Þnh sö dông giao thøc thÈm ®Þnh quyÒn Kerberos Version 5. Giao thøc thÈm ®Þnh quyÒn Kerberos Version 5 lµ mét giao thøc thÈm ®Þnh quyÒn an toµn ph©n t¸n dùa trªn an toµn chuÈn Internet. Nã thay thÕ NTLM, ®−îc dïng trong Windows NT Server 4.0, nh− mét giao thøc an toµn chÝnh khi truy cËp c¸c tµi nguyªn trong hoÆc ngang qua m¹ng vïng Windows 2000 Server. Hç trî Kerberos b¶o ®¶m ®¨ng nhËp an toµn, mét lÇn vµ nhanh ®Õn c¸c tµi nguyªn dùa trªn Windows 2000 Server còng nh− c¸c m«i tr−êng kh¸c cã hç trî giao thøc nµy. Víi Windows NT vµ c¸c H§H sau nµy, khi tµi kho¶n ng−êi sö dông cÇn ®−îc hîp thøc ho¸, nh−ng m¸y tÝnh côc bé kh«ng thÓ tù hîp thøc ®−îc th× mËt khÈu lu«n ®−îc mËt m· ho¸ vµ truyÒn trªn mét kªnh mËt ®−îc thiÕt lËp tr−íc. ThÈm ®Þnh quyÒn ng−êi sö dông hai yÕu tè. Cã thÓ dïng c¸c thiÕt bÞ b¶o mËt bªn thø ba ®Ó c¶i thiÖn hÖ b¶o mËt cho ng−êi sö dông quay sè v−ît trªn møc b¶o mËt s½n cã cña c¸c dÞch vô Windows NT RAS (Remote Access Service - DÞch vô truy cËp tõ xa). C¸c thiÕt bÞ b¶o mËt th−êng lµ c¸c thÎ kho¸ [keycards]: ®ã lµ c¸c thiÕt bÞ b¶o mËt cã kÝch cì b»ng thÎ tÝn dông hiÓn thÞ mét m· sè kh¸c nhau theo tõng phót. ThÎ kho¸ ®−îc ®ång bé ho¸ víi mét thiÕt bÞ t−¬ng tù t¹i hÖ ph¸t sinh cïng m· sè. Khi ng−êi sö dông ®¨ng nhËp, m· sè trªn thÎ kho¸ cña ng−êi sö dông ®−îc göi ®Õn hÖ phôc vô quay sè d−íi d¹ng mét biÖn ph¸p bæ trî cho thñ tôc ®¨ng nhËp b×nh th−êng. Kü thuËt nµy b¶o ®¶m chØ ng−êi sö dông hîp ph¸p cã c¸c mËt khÈu vµ c¸c m· sè thÎ kho¸ hîp lÖ míi cã thÓ ®¨ng nhËp hÖ thèng. Hai yÕu tè trong l−îc ®å nµy lµ mËt khÈu mµ ng−êi sö dông biÕt vµ gi¸ trÞ thÎ kho¸ mµ hä cã vµo lóc ®¨ng nhËp. C¸c thiÕt bÞ b¶o mËt tån t¹i theo c¶ d¹ng phÇn cøng vµ phÇn mÒm. C¸c thiÕt bÞ phÇn cøng th−êng cã kÝch cì nh− c¸c thÎ tÝn dông vµ cã mét mµn h×nh LCD nhá ®Ó nªu m· sè truy cËp. C¸c thiÕt bÞ phÇn mÒm lµ c¸c ch−¬ng tr×nh ch¹y trªn m¸y tÝnh ng−êi sö dông vµ thùc hiÖn cïng chøc n¨ng nh− c¸c thiÕt bÞ phÇn cøng. Nãi chung, c¸c thiÕt bÞ phÇn mÒm tiÖn dông h¬n bëi v× chóng tù ®éng ho¸ tiÕn tr×nh vµ kh«ng yªu cÇu kho¸ 151 cña ng−êi sö dông trong m· sè truy cËp. Tuy nhiªn, c¸c thiÕt bÞ phÇn mÒm th−êng Ýt an ninh h¬n, bëi c¸c h¾c c¬ cã c¬ héi ®Ó bÎ kho¸ th«ng tin cã thÓ n»m trong bé nhí hoÆc trªn ®Üa. ViÖc bæ trî ®¨ng nhËp tõ xa theo c¸ch nµy sÏ cho ta mét cÊp b¶o mËt cao. Cïng víi sù ra ®êi Windows 2000 lµ øng dông thÎ th«ng minh trªn nã.ThÎ th«ng minh b¶o ®¶m l−u gi÷ chèng lôc läi nh»m b¶o vÖ c¸c kho¸ riªng t−, c¸c sè tµi kho¶n, mËt khÈu vµ c¸c th«ng tin c¸ nh©n kh¸c. C¸c thÎ th«ng minh n©ng cao c¸c gi¶i ph¸p phÇn mÒm bao gåm c¶ thÈm ®Þnh quyÒn hÖ kh¸ch. ThÎ th«ng minh lµ mét thµnh phÇn chñ chèt cña c¬ së h¹ tÇng kho¸ an toµn mµ Microsoft tÝch hîp trong H§H Windows 2000. Trong t−¬ng lai, mËt khÈu cã thÓ ®−îc b¶o mËt thªm nhê c¸c ph−¬ng ph¸p nhËn d¹ng sinh häc sö dông c¸c ®Æc tÝnh c¸ thÓ nh− v©n tay, mÉu vâng m¹c, må h«i, DNA, sù thay ®æi giäng nãi vµ nhÞp ®iÖu ®¸nh m¸y trªn bµn phÝm. 152 Ch−¬ng III. Ph©n quyÒn ®èi víi th− môc, tÖp PhÇn trªn ®· ®Ò cËp ®Õn giai ®o¹n ®Çu, giai ®o¹n “quyÒn” cña tÝnh n¨ng thÈm ®Þnh quyÒn “hai chiÒu” trong hÖ thèng m¹ng an toµn. PhÇn nµy sÏ tr×nh bµy giai ®o¹n hai , giai ®o¹n cho phÐp “permission” cña mét ®èi t−îng cô thÓ. Nh− ®· tr×nh bµy ë trªn, c¸c ®èi t−îng trong c¸c H§H cña Microsoft bao gåm mäi thø tõ c¸c tÖp, c¸c cæng truyÒn th«ng, ®Õn c¸c x©u thi hµnh. Mçi ®èi t−îng ®Òu cã thÓ ®−îc ph©n quyÒn riªng lÎ hoÆc d−íi d¹ng mét nhãm tuú thuéc vµo H§H. C¸c ®èi t−îng cã c¸c kiÓu permission kh¸c nhau ®−îc dïng ®Ó giao hoÆc kh−íc tõ quyÒn truy cËp chÝnh chóng. Trong ch−¬ng nµy ®Ò cËp ®Õn ®èi t−îng cÇn ph©n quyÒn lµ th− môc vµ tÖp. §èi víi ®èi t−îng nµy cã thÓ cã permission Read, Write, vµ Execute. C¸c th− môc lµ c¸c ®èi t−îng “thïng chøa” l−u gi÷ c¸c tÖp, do ®ã permission g¸n cho “thïng chøa” ®Òu ®−îc thõa kÕ bëi c¸c ®èi t−îng tÖp chøa trong nã. §Ó xem xÐt tÝnh n¨ng ph©n quyÒn th− môc vµ tÖp, chóng ta cÇn t×m hiÓu c¸c hÖ thèng tÖp ®−îc c¸c hÖ ®iÒu hµnh Microsoft hç trî, vµ sau ®ã lµ c¸c permission cña chóng. Nªn l−u ý r»ng, c¸c ®iÒu khiÓn truy cËp vµ c¸c quyÒn tµi kho¶n ng−êi sö dông lµ hai khÝa c¹nh kh¸c nhau cña hÖ b¶o mËt Windows NT. HÖ b¶o mËt tµi kho¶n ng−êi sö dông ®Þnh danh vµ hîp lÖ ho¸ ng−êi sö dông, trong khi c¸c ®iÒu khiÓn truy cËp l¹i h¹n chÕ nh÷ng ng−êi sö dông nµo míi cã thÓ lµm viÖc víi c¸c ®èi t−îng. Còng nh− mäi ®èi t−îng kh¸c, ®èi t−îng th− môc vµ tÖp cã mét dÊu m« t¶ b¶o mËt (security descriptor) ®Ó m« t¶ c¸c thuéc tÝnh b¶o mËt. DÊu m« t¶ b¶o mËt bao gåm: • • • • ID b¶o mËt cña ng−êi sö dông së h÷u ®èi t−îng, th−êng lµ nh÷ng ng−êi t¹o ra ®èi t−îng vµ ®−îc gäi lµ chñ nh©n (owner) ACL (Access Control List - danh s¸ch ®iÒu khiÓn truy cËp), l−u gi÷ th«ng tin vÒ nh÷ng ng−êi sö dông vµ nhãm nµo cã thÓ truy cËp ®èi t−îng ACL hÖ thèng, cã liªn quan ®Õn hÖ kiÓm to¸n ID b¶o mËt nhãm, d−îc dïng bëi hÖ con POSIX C¸c ACL lµ ®iÓm then chèt cña phÇn th¶o luËn nµy. VÒ c¬ b¶n, ACL lµ mét danh s¸ch ng−êi sö dông vµ nhãm cã permission truy cËp vµo ®èi t−îng. §èi t−îng th− môc vµ tÖp cã ACL riªng cña nã. C¸c chñ nh©n cã thÓ t¹o c¸c môc trong ACL th«ng qua c¸c c«ng cô nh− File Manager hoÆc b»ng c¸ch Ên ®Þnh c¸c tÝnh chÊt cho c¸c tÖp vµ th− môc (trong Windows NT 4.0). Network vµ Services trong Control panel còng lµ nh÷ng tr×nh tiÖn Ých kh¸c dïng ®Ó Ên ®Þnh permission. Ng−êi sö dông cã thÓ cã nhiÒu môc trong ACL cña mét ®èi t−îng, cung cÊp c¸c møc truy cËp kh¸c nhau cho chóng. VÝ dô, mét ng−êi sö dông cã thÓ cã giÊy phÐp Read ®èi víi mét tÖp dùa trªn tµi kho¶n ng−êi sö dông cña hä vµ giÊy phÐp Read/Write dùa trªn 153 t− c¸ch lµ thµnh viªn cña mét nhãm. Mçi giÊy phÐp nµy ®−îc nªu trong mét môc riªng biÖt trong ACL. Khi ng−êi sö dông truy cËp mét ®èi t−îng, hä th−êng cã mét quyÒn truy cËp tho¶ ®¸ng nhÊt ®Þnh, nh− Read hay Read/Write. §Ó giao (hay kh−íc tõ) truy cËp, SRM sÏ ®èi chiÕu th«ng tin trong thÎ bµi truy cËp cña ng−êi sö dông víi c¸c môc trong ACL. ThÎ bµi truy cËp chøa c¸c ID b¶o mËt vµ danh s¸ch c¸c nhãm mµ ng−êi sö dông ®ã thuéc vÒ. SRM sÏ ®èi chiÕu th«ng tin nµy víi mét hay nhiÒu môc trong ACL cho ®Õn khi t×m thÊy ®ñ giÊy phÐp ®Ó trao quyÒn truy cËp tho¶ ®¸ng. NÕu kh«ng thÊy ®ñ giÊy phÐp, viÖc truy cËp bÞ kh−íc tõ. NÕu SRM t×m thÊy vµi môc dµnh cho ng−êi sö dông, nã sÏ xem xÐt tõng môc ®Ó xem (tæ hîp c¸c) môc ®ã cã thÓ giao cho ng−êi sö dông giÊy phÐp tho¶ ®¸ng ®Ó dïng ®èi t−îng ®ã hay kh«ng. 1. C¸c hÖ thèng tÖp ®−îc c¸c hÖ ®iÒu hµnh Microsoft hç trî: Mét trong nh÷ng yªu cÇu cña H§H lµ c«ng t¸c qu¶n lý d÷ liÖu: cã thÓ dïng lo¹i ®Üa nµo víi H§H ®ã, c¸ch thøc H§H chia ®Üa thµnh nhiÒu phÇn nhá, d÷ liÖu vµ tÖp ®−îc l−u gi÷ theo c¸ch thøc nµo, vµ nhiÒu vÊn ®Ò kh¸c. Môc nµy sÏ cung cÊp tæng quan vÒ kh¶ n¨ng hç trî c¸c hÖ thèng tÖp cña hä c¸c H§H cña Microsoft (®−îc liÖt kª trong B¶ng 1). C¸c hÖ thèng tÖp nµy cã nh÷ng tÝnh n¨ng kh¸c nhau nh− ®é dµi tªn tÖp, tÝnh n¨ng b¶o mËt, dung l−îng tèi ®a cña tÖp vµ ph©n ho¹ch B¶ng 1 C¸c hÖ ®iÒu hµnh Hç trî c¸c hÖ thèng tÖp Windows NT, Microsoft Windows 95/98, MS-DOS, IBM OS/2 File Allocation Table (FAT) Windows NT/2000 Windows NT File System (NTFS), New Technology File System Windows NT, Microsoft Windows CD-ROM File System (CDFS) OS/2, Windows NT High Perfomance File System (HPFS) • CDFS ®−îc sö dông ®Ó ®äc d÷ liÖu tõ c¸c æ CD-ROM. V× CDFS lµ hÖ thèng tÖp ®Æc biÖt chØ ®äc (read-only) nªn ph¹m vi øng dông cña nã bÞ h¹n chÕ. • FAT mµ chóng ta quen gäi lµ b¶ng x¸c ®Þnh vÞ trÝ tÖp ®· ®−îc sö dông nhiÒu n¨m trªn c¸c m¸y ch¹y MS - DOS, ch¹y c¸c H§H Microsoft Windows 9x, IBM OS/2, Windows NT. FAT hç trî qui −íc tªn tÖp 8.3 (sè ký tù phÇn bªn tr¸i dÊu chÊm kh«ng qu¸ 8 vµ sè ký tù phÇn bªn ph¶i dÊu chÊm kh«ng qu¸ 3) cho c¸c phiªn b¶n cña c¸c H§H nµy. Ngoµi ra FAT cßn hç trî thªm qui −íc ®Æt tªn dµi cho tÖp/th− môc, vèn ®−îc ¸p dông ë Windows 95/98/NT. 154 Trong hÖ thèng tÖp nµy, mçi tÖp vµ th− môc tån t¹i ë cÊp gèc (root) trong ph©n chia FAT chØ ®Õn mét môc nhËp FAT nhËn diÖn con sè b¾t ®Çu cho tÖp/th− môc ®ã. NÕu tÖp lín h¬n mét côm (cluster) sector ®¬n lÎ (cã kÝch h−íc phô thuéc vµo kÝch th−íc ph©n chia), côm sector nµy chØ ®Õn côm kÕ tiÕp. FAT kh«ng hÒ cè g¾ng tèi −u ho¸ tÖp : côm sector kÕ tiÕp cña tÖp sÏ lµ côm kÕ tiÕp kh¶ dông trªn ®Üa, bÊt chÊp vÞ trÝ cña côm tr−íc ®ã. Côm sector cuèi cïng mµ tÖp chiÕm dông cã dÊu hiÖu End of File. Th− môc gèc cña FAT bÞ giíi h¹n ë 512 môc nhËp (cã thÓ lµ tÖp hoÆc th− môc con). Th− môc con (subdirectory) lµ tÖp liÖt kª c¸c tÖp vµ th− môc con kh¸cchøa trong nã, víi mét dÊu hiÖu cho biÕt ®©y lµ th− môc con. Th− môc con cã thÓ chøa th− môc con vµ tÖp trùc thuéc víi sè l−îng bÊt kú. HÖ thèng tÖp FAT bÞ giíi h¹n ë sè l−îng nhËp nhÊt ®Þnh: mÆc dï ban ®Çu MS-DOS hç trî tèi ®a 4096 môc nhËp, nh−ng Windows 95/98/NT l¹i hç trî ®Õn 65536 môc nhËp trong FAT. V× FAT bÞ giíi h¹n ë sè l−îng cluster cè ®Þnh, nªn mét cluster sÏ kh«ng cã kÝch th−íc nh− nhau trªn hai volume kh«ng cïng kÝch th−íc. ChØ duy nhÊt mét tÖp ®−îc chØ ®Þnh cho mçi cluster, vµ bÊt kú kh«ng gian thõa nµo ë cluster cuèi cïng ®−îc g¸n cho tÖp ®Òu bÞ bá phÝ. Kh«ng thÓ b¶o vÖ ®−îc c¸c ph©n ho¹ch FAT b»ng tÝnh n¨ng b¶o mËt th− môc hoÆc tÖp côc bé (local file) trªn c¸c H§H nµy. Duy nhÊt cã mét chÕ ®é b¶o mËt cho c¸c ph©n ho¹ch FAT trªn m¹ng: chÕ ®é nµy ®−îc cung cÊp th«ng qua c¸c nguyªn t¾c chia sÎ cña c¸c H§H. §iÒu ®ã cã nghÜa r»ng trªn mét ph©n ho¹ch FAT, c¸c H§H kh«ng hç trî c¸c tÝnh n¨ng b¶o mËt ®Õn møc tÖp; nÕu muèn thiÕt ®Æt ®Ó kh«ng thÓ truy cËp ®−îc mét tÖp nµo ®ã, ta ph¶i khëi t¹o th− môc, thiÕt ®Æt tr¹ng th¸i kh«ng chia sÎ (kh«ng dïng chung) cho th− môc ®ã vµ ®Æt tÖp nãi trªn trong th− môc ®ã. Mét trong nh÷ng nh−îc ®iÓm cña viÖc chia sÎ lµ rÊt khã qu¶n lý v× nÕu gi¶ sö cã hµng tr¨m ng−êi sö dông trªn mét m¸y chñ vµ mçi ng−êi l¹i cã mét th− môc riªng, chóng ta ph¶i thiÕt lËp hµng tr¨m chia sÎ, vµ ®«i khi nh÷ng chia sÎ nµy l¹i chång chÐo nhau nªn g©y thªm nh÷ng phiÒn to¸i. • HÖ thèng tÖp c«ng nghÖ míi (New Technology File System - NTFS) ®−îc hç trî trong Windows NT/2000 lµ hÖ thèng tÖp thÝch hîp nhÊt cho Windows NT/2000 do mét sè lÝ do, ®Æc biÖt lµ lý do b¶o mËt. Kh¸c víi FAT, NTFS kh«ng bÞ giíi h¹n ë mét sè l−îng sector nhÊt ®Þnh trong mçi cluster. ë hÖ thèng tÖp nµy, cluster lµ ®¬n vÞ c¬ së. Thõa sè cluster ®−îc ®Þnh nghÜa lµ mét sè l−îng byte, vµ viÖc ®Þnh d¹ng mét volume theo NTFS sÏ b¶o ®¶m r»ng thõa sè cluster lµ béi sè cña kÝch th−íc sector trªn æ ®Üa. V× NTFS nhËn diÖn mäi thø theo sè hiÖu cluster, nªn hÖ thèng tÖp kh«ng tÝnh ®Õn kÝch th−íc sector. Do vËy, sè l−îng sector trong mçi cluster lµ mét gi¸ trÞ cã tÝnh ®Ò nghÞ thay v× gi¸ trÞ cè ®Þnh. NTFS cho phÐp ®iÒu chØnh sè l−îng sector mÆc ®Þnh trong mçi cluster sao cho thÝch hîp nhÊt víi møc ®é sö dông thùc tÕ cña volume. NTFS cßn t×m kiÕm kh«ng gian ®Üa liÒn nhau tr−íc khi ghi hoÆc sao chÐp tÖp vµo ®Üa. 155 Chóng ta nªn dïng ph©n ho¹ch NTFS khi cã yªu cÇu b¶o mËt cho c¸c m¸y chñ hoÆc c¸c m¸y c¸ nh©n. NTFS hç trî ®iÒu khiÓn truy cËpvµ c¸c ®Æc quyÒn riªng rÊt quan träng ®Ó ®¶m b¶o tÝnh thèng nhÊt cña d÷ liÖu. MÆc dï c¸c th− môc trªn c¸c m¸y ch¹y Windows NT/2000 cã thÓ ®−îc g¸n thªm permission chia sÎ kh«ng phô thuéc vµo hÖ thèng tÖp ®ang dïng, víi c¸c tÖp vµ c¸c th− môc NTFS, ta vÉn cã thÓ g¸n permission ®Ó chóng ®−îc dïng chung hay kh«ng. NTFS lµ hÖ thèng tÖp duy nhÊt trªn Windows NT/2000 cho phÐp ta kh¶ n¨ng thiÕt ®Æt permission tíi c¸c tÖp vµ c¸c th− môc riªng. 2. Ph©n quyÒn ®èi víi th− môc vµ tÖp thùc chÊt lµ b¶o mËt c¸c tµi nguyªn m¹ng th«ng qua permission chia sÎ C¸c th− môc ®−îc chia sÎ (hay ®−îc dïng chung - shared folders) cho phÐp ng−êi sö dông truy cËp vµo c¸c tÖp trªn c¸c æ ®Üa m¹ng. 2.1. Giíi thiÖu chung Kh¸i niÖm chia sÎ tµi nguyªn lµ mét kh¸i niÖm quan träng ®èi víi m«i tr−êng lµm viÖc trªn m¹ng. NÕu lµm viÖc trªn mét m¸y tÝnh côc bé, chóng ta hoµn toµn cã thÓ truy cËp vµ khai th¸c c¸c tµi nguyªn trªn m¸y ®ã. Nh−ng t×nh h×nh sÏ kh¸c ®i nÕu chóng ta muèn truy cËp vµo mét ch−¬ng tr×nh nµo ®ã hoÆc vµo mét c¬ së së d÷ liÖu ®−îc cµi trªn mét m¸y kh¸c. Muèn sö dông mét tµi nguyªn cña m¹ng (kh«ng cã ë trªn m¸y m×nh), tµi nguyªn ®ã ph¶i ®−îc chia sÎ. ViÖc chia sÎ c¸c tµi nguyªn trªn m¹ng mang l¹i nh÷ng lîi Ých c¨n b¶n. Tr−íc hÕt, nh÷ng ng−êi sö dông truy cËp c¸c tµi nguyªn ®ã theo c¸ch thøc tËp trung. §èi víi nh÷ng ng−êi qu¶n trÞ, ®iÒu nµy cã nghÜa r»ng viÖc n¾m quyÒn kiÓm so¸t c¸c tµi nguyªn trªn m¹ng ®−îc thùc hiÖn mét c¸ch dÔ dµng h¬n. Lîi Ých thø hai trong viÖc chia sÎ chÝnh lµ viÖc sö dông c¸c tµi nguyªn mét c¸ch cã hiÖu qu¶ vµ kinh tÕ h¬n rÊt nhiÒu. Cuèi cïng, víi nh÷ng chÝnh s¸ch thÝch hîp, viÖc b¶o mËt c¸c tµi nguyªn sÏ ®−îc thùc hiÖn mét c¸ch h÷u hiÖu h¬n. C¸c H§H hç trî m¹ng cña Microsoft ®Òu cho phÐp thiÕt ®Æt ®Ó cã thÓ chia sÎ c¸c tµi nguyªn cho ng−êi kh¸c. Tuy nhiªn møc ®é cho phÐp ng−êi kh¸c dïng ®Õn ®©u lµ do ng−êi chia sÎ quyÕt ®Þnh. a. C¸c th− môc ®−îc chia sÎ Mét th− môc ®−îc chia sÎ lµ mét th− môc ®−îc thiÕt ®Æt sao cho nh÷ng ng−êi cã quyÒn hîp ph¸p cã thÓ kÕt nèi tíi th− môc ®ã vµ khai th¸c c¸c tµi nguyªn l−u gi÷ trong ®ã. Ngoµi ra, víi Windows NT chóng ta cã thÓ thiÕt ®Æt permission chia sÎ (shared permission) cho c¸c tµi kho¶n ng−êi sö dông (vµ c¸c tµi kho¶n nhãm) ®Ó ®iÒu khiÓn nh÷ng ng−êi sö dông cã thÓ thùc hiÖn ®−îc ®iÒu g× víi néi dung cña th− môc ®−îc chia sÎ. Nh÷ng ng−êi sö dông trªn c¸c m¸y kh¸c cã thÓ dïng tiÖn Ých duyÖt (Browser) nh− Explorer cña Windows 9x, Windows NT Explorer ®Ó truy cËp ®−îc tµi nguyªn trªn mét 156 th− môc ®−îc chia sÎ hay kÕt nèi ®Õn th− môc ®ã nh− mét ph©n ho¹ch ¶o (E, F, hay G) cña m¸y m×nh; chóng ta gäi c¸c æ ¶o nµy lµ c¸c æ ®Üa m¹ng. TÊt c¶ c¸c th− môc trªn mäi hÖ thèng tÖp (FAT, NTFS, CDFS, HPFS) ®Òu cã thÓ chia sÎ ®−îc. Muèn chia sÎ th− môc cÇn cã c¸c ®iÒu kiÖn sau: • Serser Service ®· ®−îc khëi ®éng • Ng−êi thao t¸c cã quyÒn chia sÎ lµ nh÷ng ng−êi thuéc c¸c nhãm: Administrators, Server Operators, Power Users NÕu mét ph©n ho¹ch ®−îc ®Þnh d¹ng theo hÖ thèng tÖp FAT, viÖc thiÕt ®Æt chia sÎ hay kh«ng chia sÎ c¸c th− môc lµ c¸ch thøc duy nhÊt ®¶m b¶o tÝnh b¶o mËt cho c¸c tµi nguyªn trªn ph©n ho¹ch ®ã. NÕu ph©n ho¹ch ®−îc ®Þnh d¹ng theo hÖ thèng tÖp NTFS, ngoµi chia sÎ th− môc chóng ta cã thÓ thÕt ®Æt thªm permission NTFS ®Ó ®¶m b¶o tÝnh b¶o mËt cao h¬n. b. Permission trªn c¸c th− môc ®−îc chia sÎ §Ó ®iÒu khiÓn ng−êi sö dông truy cËp vµo mét th− môc ®−îc chia sÎ, chóng ta cã thÓ g¸n permission chia sÎ (share permision) cho nh÷ng ng−êi sö dông, cho c¸c nhãm hoÆc cho c¶ hai. Mäi giÊy phÐp ®èi víi mét th− môc cã t¸c dông ®èi víi mäi tÖp vµ th− môc con ®−îc chøa trong ®ã. B¶ng 2 liÖt kª permission ®èi víi c¸c th− môc ®−îc chia sÎ. B¶ng 2 GiÊy phÐp Dïng ®Ó No access (kh«ng ®−îc truy cËp) §Æt ë chÕ ®é nµy, ng−êi sö dông cã thÓ nh×n thÊy th− môc trong m¹ng nh−ng kh«ng truy cËp vµo ®−îc còng nh− kh«ng nh×n thÊy vµ kh«ng khai th¸c ®−îc c¸c tÖp hay th− môc con cña nã Read (§äc) Cã thÓ xem tªn tÖp vµ th− môc con, xem d÷ liÖu vµ thuéc tÝnh cña tÖp, ch¹y c¸c tÖp ch−¬ng tr×nh vµ truy cËp tíi c¸c th− môc con chøa trong th− môc ®ã Change (Thay ®æi) Cã thÓ t¹o c¸c th− môc con, thªm tÖp, thay ®æi d÷ liÖu còng nh− thªm d÷ liÖu vµo tÖp, thay ®æi thuéc tÝnh tÖp, xo¸ c¸c tÖp vµ th− môc con Full control (Toµn quyÒn) Cã thÓ lµm mäi viÖc cña chÕ ®é Change, thay ®æi permission cña tÖp, lÊy quyÒn së h÷u ®èi víi c¸c tÖp, th− môc ë NTFS. Nh− ta thÊy, b¶ng trªn liÖt kª bèn lo¹i giÊy phÐp, møc ®é giÊy phÐp t¨ng dÇn theo thø tù liÖt kª, tõ giÊy phÐp g¸n quyÒn h¹n chÕ nhÊt tíi giÊy phÐp réng r·i nhÊt. c. Ph¹m vi t¸c dông cña permission trªn c¸c th− môc ®−îc chia sÎ. Cã thÓ ®Æt permission trªn bÊt kú mét tµi nguyªn ®−îc chia sÎ nµo mµ kh«ng phô thuéc vµo hÖ thèng tÖp trªn ph©n ho¹ch ®ã. Tuy nhiªn nh÷ng giÊy phÐp nµy chØ cã t¸c dông khi ta truy cËp th«ng qua m¹ng. Permission chia sÎ ®èi víi mét th− môc kh«ng cã t¸c dông khi mét ng−êi nµo ®ã ®¨ng nhËp mét c¸ch côc bé thµnh c«ng vµo m¸y cã chøa th− môc 157 ®ã. Khi ®ã anh ta cã toµn quyÒn trong viÖc truy cËp c¸c th− môc vµ c¸c tÖp. HiÓn nhiªn, viÖc klhai th¸c tµi nguyªn tÖp cña anh ta cã thµnh c«ng hay kh«ng còng cßn phô thuéc vµo c¸c tÝnh n¨ng b¶o mËt cña ch−¬ng tr×nh øng dông t¹o ra tÖp ®ã (nh− tÖp v¨n b¶n Word ®−îc cµi ®Æt mËt khÈu ch¼ng h¹n). NÕu ng−êi ®ã kh«ng cã quyÒn ®¨ng nhËp côc bé (Log on locally) trªn m¸y chñ Windows NT Server th× ®iÒu nµy kh«ng g©y ra phiÒn to¸i g×. MÆt kh¸c, ®èi víi c¸c m¸y ch¹y Windows NT Workstation, ng−êi sö dông ®−îc g¸n quyÒn ®ã mét c¸ch tù ®éng th× vÊn ®Ò trªn phøc t¹p h¬n; hä cã thÓ bá qua permission chia sÎ ®Ó truy cËp tíi c¸c tÖp trªn m¸y côc bé. d. HiÖu lùc kÕt hîp cña permission Chóng ta cã thÓ g¸n permission chia sÎ th− môc mét c¸ch trùc tiÕp cho ng−êi sö dông còng nh− g¸n permission ®ã cho mét nhãm mµ ng−êi sö dông ®ã lµ thµnh viªn. NÕu mét ng−êi sö dông lµ thµnh viªn cña nhiÒu nhãm th× cÇn ®Þnh râ giÊy phÐp thùc tÕ ¸p dông cho ng−êi sö dông nµy dùa theo hai nguyªn t¾c sau: thø nhÊt, møc giÊy phÐp thùc tÕ cña ng−êi ®ã lµ møc giÊy phÐp Ýt bÞ h¹n chÕ nhÊt trong sè permission ®ã; thø hai, nÕu trong sè tÊt c¶ c¸c møc giÊy phÐp cã giÊy phÐp No Access th× møc giÊy phÐp thùc tÕ cña ng−êi ®ã lµ No Access. 2.2. Chia sÎ c¸c th− môc §Ó thiÕt ®Æt mét th− môc cã ®−îc chia sÎ hay kh«ng chóng ta chØ cÇn ph¶i thùc hiÖn mét vµi thao t¸c ®¬n gi¶n. Nh−ng tr−íc khi thùc hiÖn “mét vµi thao t¸c ®¬n gi¶n” ®ã lµ c¶ mét qu¸ tr×nh suy ngÉm c«ng phu ®Ó ho¹ch ®Þnh nªn chÝnh s¸ch chia sÎ tµi nguyªn. HÖ thèng cã ho¹t ®éng tèt, ®¸p øng võa ®ñ c¸c nhu cÇu ®a d¹ng cña ng−êi sö dông hay kh«ng lµ hÖ qu¶ tÊt yÕu cña qu¸ tr×nh ho¹ch ®Þnh nµy. a. Ho¹ch ®Þnh c¸c th− môc ®−îc chia sÎ Tr−íc khi chia sÎ chóng ta ph¶i tr¶ lêi ®−îc c©u hái: chia sÎ tµi nguyªn g× vµ cho ai. §Ó mét m¹ng m¸y tÝnh ho¹t ®éng tr¬n tru, ng−êi sö dông hîp thøc ph¶i dÔ dµng truy cËp ®−îc c¸c ch−¬ng tr×nh m¹ng, c¸c d÷ liÖu dïng chung còng nh− c¸c th− môc chøa c¸c tÖp tµi nguyªn kh¸c. Sau ®©y lµ mét vµi gîi ý: • • • H·y x¸c ®Þnh xem ng−êi sö dông sÏ truy cËp vµo nh÷ng th− môc nµo cña m×nh. H·y tæ chøc l¹i c¸c th− môc cã cïng mét møc b¶o mËt vµo trong mét th− môc. Ch¼ng h¹n, nªn ®−a nh÷ng th− môc chøa c¸c tÖp chØ cho phÐp ®äc vµo trong mét th− môc Sö dông c¸c tªn chia sÎ trùc quan ®Ó ng−êi sö dông cã thÓ dÔ dµng ®o¸n nhËn vµ truy cËp tíi ®ã. Sö dông c¸c tªn chia sÎ vµ tªn th− môc ®äc ®−îc b»ng c¸c H§H cña tÊt c¶ c¸c m¸y tr¹m. §èi víi c¸c m¸y ch¹y H§H Windows NT vµ Windows 95 th× tªn chia sÎ vµ tªn tÖp cã thÓ tèi ®a lµ 255 ký tù, cßn ®èi víi c¸c m¸y ch¹y H§H MS – DOS, 158 Windows 3.x vµ Windows for Workgroup th× tªn chia sÎ vµ tªn tÖp ®Òu ph¶i tu©n theo qui t¾c 8.3 b. Ho¹ch ®Þnh ®Ó g¸n permission trªn c¸c th− môc ®−îc chia sÎ Còng nh− viÖc chia sÎ, viÖc g¸n permission trªn c¸c th− môc ®−îc chia sÎ ®Õn tõng ®èi t−îng, tõng nhãm sö dông còng lµ mét c«ng viÖc ®ßi hái sù ho¹ch ®Þnh vµ tÝnh to¸n kü l−ìng. Sau ®©y lµ c¸c gîi ý: • • • • • • • • X¸c ®Þnh nhãm nµo cã nhu cÇu truy cËp tíi c¸c tµi nguyªn g× vµ møc ®é truy cËp cÇn thiÕt ®èi víi hä. T¹o ra c¸c nhãm côc bé (local group) ®èi víi c¸c tµi nguyªn ®−îc chia sÎ. NÕu c¸c th− môc ®−îc chia sÎ n»m trªn c¸c m¸y chñ thµnh viªn hay m¸y ch¹y Windows NT Workstation th× nhãm côc bé ®èi víi c¸c tµi nguyªn ®−îc chia sÎ sÏ ®−îc t¹o trªn chÝnh c¸c m¸y ®ã. NÕu tµi nguyªn n»m trªn c¸c m¸y §iÒu khiÓn vïng th× nhãm côc bé cã thÓ t¹o ra trªn bÊt kú m¸y naß cã ch¹y User Manager for Domains. • ChØ g¸n permission cho nh÷ng nhãm thùc sù cã nhu cÇu truy cËp tíi tµi nguyªn. G¸n giÊy phÐp h¹n chÕ nhÊt cho nhãm côc bé trªn c¸c tµi nguyªn, song ph¶i ®¶m b¶o cho phÐp ®Õn møc ®Ó hä cã thÓ thùc hiÖn ®−îc c«ng viÖc cña m×nh. Ch¼ng h¹n, nÕu ng−êi sö dông chØ cã nhu cÇu ®äc c¸c tÖp trªn mét th− môc th× chØ nªn g¸n giÊy phÐp Read cho hä. §Ó ®¶m b¶o tÝnh b¶o mËt cao, h·y xo¸ bá giÊy phÐp Full control cña nhãm Everyone. NÕu muèn mäi ng−êi sö dông ®Òu cã thÓ truy cËp ®−îc tµi nguyªn, tèt nhÊt nªn sö dông nhãm Users. Trong mét vïng nhãm Users chØ bao gåm c¸c tµi kho¶n ng−êi sö dông vïng mµ chóng ta t¹o ra. Trong mét nhãm c«ng t¸c, Users chøa mäi bg−êi sö dông côc bé Ngoµi ra, tuú theo tÝnh chÊt cña tõng lo¹i tµi nguyªn ®−îc chia sÎ (ch−¬ng tr×nh øng dông hay d÷ liÖu), chóng ta cÇn cã chiÕn l−îc g¸n permission mét c¸ch phï hîp h¬n. §èi víi c¸c m¹ng lín, cã thÓ cã mét hay nhiÒu m¸y chñ gi÷ vai trß l−u gi÷ c¸c ch−¬ng tr×nh. Khi ®ã chóng ta cÇn: • T¹o mét th− môc ®−îc chia sÎ dïng ®Ó l−u c¸c ch−¬ng tr×nh G¸n giÊy phÐp Full control cho nhãm Administrators ®Ó hä cã thÓ truy cËp vµ qu¶n trÞ c¸c ch−¬ng tr×nh. Xo¸ bá giÊy phÐp Full control cña nhãm Everyone vµ g¸n giÊy phÐp Read cho nhãm Users ®Ó ®¶m b¶o tÝnh b¶o mËt cao. G¸n giÊy phÐp Change cho nhãm nh÷ng ng−êi chÞu tr¸ch nhiÖm n©ng cÊp hay gi¶i quyÕt c¸c vÊn ®Ò vÒ phÇn mÒm. Víi c¸c th− môc chøa d÷ liÖu c«ng céng còng nh− c¸c d÷ liÖu nh¹y c¶m chóng ta còng cÇn ph¶i cã nh÷ng ho¹ch ®Þnh t−¬ng tù. ThiÕt lËp chia sÎ tíi møc tÖp chØ cã trong NTFS mµ chóng ta sÏ xem ë phÇn sau. 159 Ch−¬ng IV. NTFS Trong ch−¬ng nµy chØ ®Ò cËp ®Õn c¸c tÝnh n¨ng cña hÖ thèng tÖp NTFS, c¸c −u ®iÓm vµ nh−îc ®iÓm cña nã. 1. Giíi thiÖu chung Trong phÇn II.2 ®−a ra tæng quan vÒ c¸c hÖ thèng tÖp mµ c¸c H§H cña Microsoft hç trî. PhÇn nµy ®i s©u vµo NTFS. NTFS hç trî c¸c tÝnh n¨ng sau: • • • • • Hç trî tªn tÖp dµi. C¸c tªn tÖp vµ th− môc cã thÓ dµi tíi 255 ký tù, bao gåm c¶ phÇn më réng. Hç trî tÝnh b¶o mËt côc bé. Chóng ta nªn dïng ph©n ho¹ch NTFS khi cã yªu cÇu b¶o mËt cho c¸c m¸y chñ hoÆc c¸c m¸y c¸ nh©n. NTFS hç trî ®iÒu khiÓn truy cËp vµ c¸c ®Æc quyÒn riªng rÊt quan träng ®Ó ®¶m b¶o tÝnh thèng nhÊt cña d÷ liÖu. MÆc dï c¸c th− môc trªn c¸c m¸y ch¹y Windows NT/2000 cã thÓ ®−îc g¸n thªm shared permission kh«ng phô thuéc vµo hÖ thèng tÖp ®ang dïng, víi c¸c tÖp vµ c¸c th− môc NTFS, ta vÉn cã thÓ g¸n permission ®Ó chóng ®−îc dïng chung hay kh«ng. NTFS lµ hÖ thèng tÖp duy nhÊt trªn Windows NT/2000 cho phÐp ta kh¶ n¨ng thiÕt ®Æt permission tíi c¸c tÖp vµ c¸c th− môc riªng. KÝch th−íc cña ph©n ho¹ch vµ tÖp NTFS: phô thuéc vµo phÇn cøng cña m¸y, cì cña tÖp lín nhÊt n»m trong kho¶ng 4 GB vµ 64 GB. Do viÖc sö dông kh«ng gian ®Üa liªn quan liªn quan ®Õn viÖc dïng NTFS, cì tèi thiÓu cña mét ph©n ho¹ch NTFS nªn lín h¬n 50 MB. Mét trong nh÷ng ®Æc tÝnh c¬ b¶n cña NTFS lµ kh¶ n¨ng nÐn tÖp. TØ lÖ nÐn, trªn thùc tÕ, thay ®æi tuú vµo b¶n chÊt cña tÖp ®−îc nÐn. ViÖc nÐn c¸c tÖp lµm gi¶m cì cña c¸c tÖp trong c¸c øng dông v¨n b¶n vµ cì c¸c tÖp d÷ liÖu kho¶ng 50% vµ gi¶m cì cña c¸c tÖp thùc hiÖn kho¶ng 40%. Ch−¬ng tr×nh øng dông nµo truy cËp tÖp ®−îc nÐn trªn NTFS sÏ kh«ng biÕt r»ng tÖp nµy ®−îc gi¶i nÐn khi yªu cÇu. TÖp ®−îc nÐn khi ®−îc ®ãng hoÆc l−u l¹i. ChØ cã hÖ thèng tÖp NTFS míi cã thÓ ®äc ®−îc néi dung ®· nÐn cña d÷ liÖu. Khi mét tr×nh øng dông hoÆc lÖnh, Copy ch¼ng h¹n, yªu cÇu truy cËp tÖp, NTFS sÏ gi¶i nÐn tÖp tr−íc khi ho¹t ®éng sao chÐp diÔn ra. Sao chÐp tÖp tin ®−îc nÐn vµo mét th− môc còng ®−îc nÐn thËt ra ph¶i tr¶i qua nhiÒu c«ng ®o¹n, bao gåm gi¶i nÐn, sao chÐp, vµ nÐn l¹i tÖp. Cã thÓ cho phÐp nÐn tÖp/th− môc c¸ thÓ, hoÆc nÐn toµn volume, nh−ng kh«ng nªn nÐn ë m«i tr−êng m¸y phôc vô C¸c tÝnh n¨ng phô: NTFS cã c¸c tÝnh n¨ng phô ®Ó nã trë thµnh mét hÖ thèng tÖp m¹nh vµ n¨ng ®éng o Kh¶ n¨ng kh«i phôc l¹i dùa trªn c¸c t¸c vô (transaction). NTFS cã ®é tin cËy cao. Nã lµ mét hÖ thèng tÖp cã kh¶ n¨ng kh«i phôc b»ng c¸ch sö dông viÖc cËp nhËt nhËt ký t¸c vô cña tÊt c¶ c¸c th− môc vµ c¸c tÖp mét c¸ch tù ®éng. NhËt ký nµy ®−îc Windows NT sö dông dÓ lÆp l¹i hoÆc kh«i phôc c¸c thao t¸c bÞ háng x¶y ra do sù cè hÖ thèng bÞ háng hoÆc mÊt ®iÖn. 160 o Hç trî viÖc t¸i ¸nh x¹ c¸c chïm (cluster remapping). NÕu mét lçi x¶y ra bëi cã mét cung (sector) bÞ háng trªn ®Üa cøng, NTFS sÏ cÊp ph¸t mét chïm míi ®Ó thay thÕ mét chïm cã cung bÞ háng. Sau ®ã NTFS l−u c¸c ®Þa chØ cña chïm chøa cung bÞ háng, do vËy cung bÞ háng kh«ng ®−îc sö dông l¹i o Hç trî c¸c tÖp Macitosh o Hç trî c¸c yªu cÇu POSIX 2. Dïng chÕ ®é b¶o mËt cña NTFS Trªn c¸c ph©n ho¹ch NTFS, chóng ta cã thÓ ®Æt permission NTFS trªn c¸c th− môc vµ tÖp. Permission NTFS b¶o mËt c¸c tµi nguyªn trªn m¸y côc bé vµ khi ng−êi sö dông nèi tíi c¸c tµi nguyªn ®ã trªn m¹ng. 2.1. Mét sè kh¸i niÖm: • Permission NTFS. Permission NTFS lµ permission chØ cã trªn mét ph©n ho¹ch ®−îc ®Þnh d¹ng qua hÖ thèng tÖp cña Windows NT/2000. Permission cung cÊp b¶o mËt ë møc ®é cao h¬n v× chóng cã thÓ g¸n tíi c¸c th− môc vµ tíi c¸c tÖp cô thÓ. Permission NTFS cho th− môc vµ tÖp ®−îc ¸p dông c¶ víi ng−êi sö dông lµm viÖc t¹i m¸y n¬i cã th− môc hoÆc tÖp l−u tr÷ vµ c¶ nh÷ng ng−êi truy cËp th− môc hoÆc tÖp ®ã tõ m¹ng th«ng qua viÖc nèi tíi mét th− môc ®−îc chia sÎ • KiÓm so¸t (Audit). Ghi vµo nhËt ký nh÷ng vÊn ®Ò liªn quan ®Õn b¶o mËt cã thÓ x¶y ra vµ sau nµy dïng chøc n¨ng Event Viewer (xem sù kiÖn) ®Ó xem l¹i • LËp nhËt ký c¸c sù kiÖn (Event log). Khi mét tÖp hay mét th− môc ®−îc söa ®æi, DÞch vô TÖp nhËt ký (Log File Service) theo dâi mäi th«ng tin vÒ c¸c thao t¸c redo hay undo cho viÖc söa ®æi. Nh÷ng th«ng tin redo cho phÐp NTFS t¹o l¹i c¸c söa ®æi trong tr−êng hîp hÖ thèng cã sù cè. Th«ng tin vÒ undo cho phÐp NTFS bá nh÷ng söa ®æi nÕu nh− nã kh«ng thÓ thùc hiÖn ®−îc hoµn toµn chÝnh x¸c. NTFS lu«n cè g¾ng redo mét giao dÞch vµ chØ undo khi kh«ng thÓ redo • QuyÒn së h÷u (Ownership). Ng−êi t¹o ra tÖp hay th− môc hay nhµ qu¶n trÞ cã toµn quyÒn sö dông hay cho phÐp ng−êi kh¸c sö dông tµi nguyªn nµy. ChØ cã hä míi cã thÓ thay ®æi cÊp ®é truy cËp ¸p dông cho mét ®èi t−îng. Hä kh«ng thÓ chuyÓn giao quyÒn së h÷u cho ng−êi sö dông kh¸c mµ chØ cã thÓ cÊp quyÒn “giµnh quyÒn së h÷u”. Ng−êi sö dông ph¶i dµnh quyÒn së h÷u th− môc/tÖp sau khi ®· ®−îc cÊp quyÒn lµm thÕ. 2.2. Sö dông permission NTFS Chóng ta cã thÓ sö dông permission NTFS ®Ó b¶o vÖ c¸c nguån tµi nguyªn, tr¸nh nh÷ng ng−êi sö dông cã thÓ truy cËp m¸y theo nh÷ng con ®−êng sau: • • Mét c¸ch côc bé, ngåi lµm viÖc t¹i m¸y n¬i l−u tr÷ c¸c tµi nguyªn Tõ xa, b»ng c¸ch nèi tíi mét th− môc ®−îc chia sÎ 161 Chóng ta cã thÓ ®Æt permission tÖp tíi c¸c møc chi tiÕt. ThÝ dô, chóng ta cã thÓ ®Æt permission kh¸c nhau cho mçi tÖp trong mét th− môc. Chóng ta cã thÓ cho phÐp mét ng−êi sö dông ®äc néi dung cña mét tÖp vµ thay ®æi nã, cho phÐp ng−êi kh¸c chØ ®−îc ®äc tÖp vµ ng¨n c¶n mäi ng−êi kh¸c truy cËp vµo tÖp. Trªn mét ph©n ho¹ch NTFS, ng−êi t¹o ra mét th− môc hoÆc tÖp lµ chñ nh©n cña th− môc hoÆc tÖp ®ã. NÕu ng−êi ®ã lµ thµnh viªn qu¶n trÞ th× nhãm qu¶n trÞ trë thµnh chñ nh©n cña th− môc hoÆc tÖp ®ã. Chñ nh©n lu«n cã thÓ g¸n vµ thay ®æi permission trªn c¸c th− môc hoÆc tÖp cña hä. Permission NTFS ®−îc g¸n cho c¸c tµi kho¶n ng−êi sö dông vµ c¸c tµi kho¶n nhãm theo cïng mét c¸ch mµ permission chia sÎ ®· g¸n. Mét ng−êi sö dông cã thÓ ®−îc g¸n permission NTFS mét c¸ch trùc tiÕp hoÆc nh− lµ thµnh viªn cña mét hay nhiÒu nhãm Permission th− môc NTFS ®−îc ¸p dông nh− sau: • • Gièng nh− c¸c phÐp chia sÎ, permission NTFS cung cÊp permission hiÖu qu¶ cho ng−êi sö dông bao gåm c¸c tæ hîp permission nhãm vµ permission ng−¬× sö dông, trõ tr−êng hîp ngo¹i lÖ No Access. GiÊy phÐp No Access ®øng trªn tÊt c¶ permission kh¸c. Kh«ng gièng nh− permission chia sÎ, permission NTFS b¶o vÖ c¸c tµi nguyªn côc bé vµ cã thÓ ®−îc g¸n cho c¸c th− môc vµ c¸c tÖp kh¸c trong cïng c©y ph©n cÊp. Permission tÖp NTFS cã quyÒn cao h¬n permission ®−îc g¸n cho th− môc mµ tÖp ®ã thuéc vµo. ThÝ dô, nÕu mét ng−êi sö dông cã giÊy phÐp Read tíi mét th− môc vµ giÊy phÐp Write tíi mét tÖp trong th− môc ®ã, th× ng−êi ®ã sÏ cã thÓ ghi vµo tÖp nh−ng kh«ng thÓ t¹o ra mét tÖp míi trong th− môc ®ã. 2.3. C¸c møc giÊy phÐp truy cËp tÖp NTFS Permission truy cËpthÓ hiÖn sù ®iÒu khiÓn ®èi víi ng−êi sö dông tµi nguyªn tÖp còng nh− møc ®é sö dông. §èi víi tÖp, c¸c møc ®é giÊy phÐp truy cËpt−¬ng øng víi c¸c quyÒn sau: GiÊy phÐp R X W D P O No Access (Kh«ng ®−îc truy nhËp) Read (§oc) Change (Thay ®æi) ☯ ☯ ☯ ☯ Full control (Toµn quyÒn) ☯ ☯ ☯ ☯ ☯ ☯ Special File Access (Truy cËp tÖp ®Æc biÖt) Cã thÓ chän tæ hîp c¸c chÕ ®é trªn Trong ®ã: R: Xem ®−îc d÷ liÖu, thuéc tÝnh, ng−êi së h÷u vµ c¸c møc giÊy phÐp 162 X: Ch¹y ®−îc tÖp (thÝ dô ®èi víi c¸c tÖp .exe) W: Ghi vµo tÖp hay thay ®æi c¸c thuéc tÝnh cña nã D: Xo¸ tÖp P: Thay ®æi permission ®èi víi tÖp O: LÊy quyÒn së h÷u 2.4. C¸c møc giÊy phÐp truy cËp th− môc NTFS Permission truy cËpth− môc thÓ hiÖn sù ®iÒu khiÓn ®èi víi ng−êi sö dông tµi nguyªn th− môc còng nh− møc ®é sö dông th− môc ®ã. §èi víi th− môc, c¸c møc ®é giÊy phÐp truy cËpt−¬ng øng víi c¸c quyÒn sau: GiÊy phÐp R X W D P O No Access (Kh«ng ®−îc truy nhËp) List (LiÖt kª) ☯ Read (§äc) ☯ ☯ Add (Thªm) ☯ ☯ Add & Read (Thªm & §äc) ☯ ☯ ☯ Change (Thay ®æi) ☯ ☯ ☯ ☯ Full control (Toµn quyÒn) ☯ ☯ ☯ ☯ ☯ ☯ Special File Access (Truy cËptÖp ®Æc biÖt) Cã thÓ chän tæ hîp c¸c chÕ ®é trªn Trong ®ã: R: HiÖn d÷ liÖu cña th− môc, thuéc tÝnh, ng−êi së h÷u vµ c¸c møc giÊy phÐp X: Ch¹y ®−îc tÖp trong th− môc (thÝ dô ®èi víi c¸c tÖp .exe) W: T¹o c¸c tÖp míi trong th− môc, söa ®æi c¸c tÖp hay thay ®æi c¸c thuéc tÝnh cña th− môc D: Xo¸ c¸c tÖp trong th− môc P: Thay ®æi c¸c møc giÊy phÐp ®èi víi th− môc O: LÊy quyÒn së h÷u 2.4.1. Sù thay ®æi c¸c møc giÊy phÐp trong tr−êng hîp sao chÐp hay di chuyÓn. Thao t¸c sao chÐp (copy) mét tÖp kh¸c víi di chuyÓn (move) tÖp ®ã. Mét tÖp ®−îc di chuyÓn sau khi sao tÖp ®ã vµo vÞ trÝ míi vµ xo¸ ë vÞ trÝ cò. Trªn thùc tÕ, khi di chuyÓn mét tÖp th× chØ cã con trá trong cÊu truc tÖp thay ®æi, cßn vÒ mÆt vËt lý, tÖp vÉn ë nguyªn chç cò. Ta chØ di chuyÓn ®−îc c¸c tÖp trªn cïng mét æ logic. Cßn sao tÖp gi÷ 163 hai b¶n t¹i hai vÞ trÝ kh¸c nhau. Theo logic th«ng th−êng, ng−p× ta ®Æt chÝnh s¸ch b¶o mËt kh¸c nhau cho hai thao t¸c nµy. Trong tr−êng hîp sao chÐp, tÖp ®Ých ®−îc coi lµ mét tÖp míi vµ nh− vËy permission hiÖn cã sÏ ®−îc thay thÕ b»ng permission nh− ®èi víi c¸c tÖp míi trong th− môc ®Ých. Khi mét tÖp hay th− môc ®−îc sao chÐp, nã thõa h−ëng nh÷ng giÊy phÐp cña th− môc ®Ých cïng víi giÊy phÐp ngÇm ®Þnh ®èi víi mét tÖp míi. Ng−êi sao chÐp trë thµnh chñ së h÷u cña b¶n sao vµ cã mäi quyÒn Trong tr−êng hîp di chuyÓn, mäi møc giÊy phÐp còng nh− chñ së h÷u gi÷ nguyªn nh− cò. Muèn di chuyÓn, ng−êi sö dông ph¶i cã quyÒn ®−a c¸c tÖp còng nh− th− môc con vµo th− môc ®Ých. 2.4.2. T−¬ng quan gi÷a giÊy phÐp c¸ nh©n vµ giÊy phÐp cña nhãm GiÊy phÐp truy cËp ®èi víi c¸ nh©n kÕt hîp víi giÊy phÐp nhãm mµ anh ta lµ thµnh viªn sÏ cho phÐp anh ta nhiÒu nhÊt tõ ®ã, ngo¹i trõ tr−êng hîp No Access, khi ®ã tæng hîp permission còng lµ No Access. Theo ngÇm ®Þnh, ng−êi t¹o ra tÖp hay th− môc chÝnh lµ ng−êi chñ së h÷u tÖp hay th− môc ®ã. Ta kh«ng thÓ ®−a trùc tiÕp quyÒn së h÷u tÖp hay th− môc cho mét ng−êi kh¸c nh−ng ta cã thÓ cho ng−êi ®ã ®−îc phÐp ®o¹t quyÒn së h÷u. Ng−êi qu¶n trÞ (Administrator) lu«n lu«n cã thÓ ®o¹t quyÒn së h÷u tÖp hay th− môc, thËm chÝ ngay c¶ khi hä bÞ tõ chèi quyÒn truy cËptÖp hay th− môc ®ã. Khi mét thµnh viªn cña nhãm Administrators ®o¹t quyÒn së h÷u th× tÊt c¶ mäi thµnh viªn cña nhãm nµy còng cã quyÒn së h÷u t¹i ®ã. Mét chñ nh©n kh«ng thÓ thay ®æi quyÒn së h÷u cña mét tµi nguyªn mµ hä lµm chñ. Hä chØ cã thÓ g¸n cho ng−êi kh¸c hoÆc nhãm kh¸c giÊy phÐp lÊy quyÒn së h÷u mét tµi nguyªn. TÝnh b¶o mËt cña tµi nguyªn ®ã vÉn ®−îc ®¶m b¶o kh«ng bÞ nh÷ng ng−êi sö dông kh¸c t¹o hoÆc söa c¸c tÖp vµ sau ®ã t¹o ra chóng nh− lµ thuéc quyÒn së h÷u cña mét ng−êi kh¸c. 2.5. So s¸nh permission côc bé vµ trªn m¹ng Mét th− môc hay mét tÖp cã thÓ chÞu hai chÕ ®é giÊy phÐp: mét trong chÕ ®é chia sÎ, mét trong chÕ ®é b¶o mËt côc bé cña ph©n ho¹ch NTFS. B¶o mËt côc bé ë hÖ thèng tÖp NTFS vµ cã c¸c møc giÊy phÐp truy cËp kh¸c nhau. Tæ hîp sÏ lÊy møc giÊy phÐp yÕu h¬n. 2.6. KÕt hîp permission chia sÎ vµ permission NTFS Permission chia sÎ trªn ph©n ho¹ch NTFS lµm viÖc theo c¸c tæ hîp giÊy phÐp tÖp vµ th− môc. §Ó cung cÊp cho ng−êi sö dông c¸c quyÒn truy cËp®−îc vµo c¸c tµi nguyªn trªn ®Üa, c¸c th− môc chøa c¸c tµi nguyªn ®ã ph¶i ®−îc chia sÎ. Mét khi c¸c th− môc ®· 164 ®−îc chia sÎ, chóng ta cã thÓ b¶o vÖ nã b»ng c¸ch g¸n permission chia sÎ tíi ng−êi sö dông vµ c¸c nhãm c«ng t¸c. Tuy nhiªn, permission chia sÎ bÞ h¹n chÕ trong viÖc b¶o mËt v× nh÷ng lÝ do sau ®©y: • • • Cho ng−êi sö dông cïng mét møc truy cËptíi tÊt c¶ c¸c th− môc bªn trong th− môc ®−îc chia sÎ Kh«ng cã t¸c dông khi mét ng−êi sö dông nµo ®ã ®· truy cËp ®−îc vµo mét tµi nguyªn mét c¸ch côc bé b»ng c¸ch ngåi t¹i m¸y cã ®Æt nguån tµi nguyªn ®ã Kh«ng thÓ sö dông ®Ó b¶o mËt c¸c tÖp cã tÝnh së h÷u riªng NÕu mét th− môc ®−îc chia sÎ n»m trªn mét ph©n ho¹ch NTFS th× ta cã thÓ dïng permission NTFS ®Ó kho¸ mét c¸ch cã hiÖu qu¶ hoÆc thay ®æi mét truy cËpnµo ®ã cña mét ng−êi sö dông nµo ®ã tíi c¸c th− môc ®−îc chia sÎ. Ta cã ®−îc tÝnh b¶o mËt ë møc cao nhÊt b»ng c¸ch kÕt hîp permission NTFS víi permission chia sÎ 3. M· ho¸ hÖ thèng tÖp (Encrypting File System - EFS) Mét trong nh÷ng ®Æc tr−ng an toµn côc bé míi cña Windows 2000 lµ EFS. EFS cho phÐp ng−êi sö dông cÊt gi÷ sè liÖu an toµn h¬n trªn m¸y tÝnh côc bé cña m×nh b»ng c¸ch m· vµ gi¶i m· sè liÖu c¸c tÖp vµ th− môc trªn NTFS khi cÇn thiÕt. EFS ®−îc thiÕt kÕ ®Ó cÊt gi÷ th«ng tin ®Æc biÖt trªn m¸y tÝnh côc bé vµ do ®ã nã kh«ng hç trî kh¶ n¨ng chia sÎ c¸c tÖp m· ho¸. EFS tÝch hîp vµo NTFS lµm cho viÖc qu¶n lý m· ho¸ dÔ dµng vµ trong suèt víi ng−êi sö dông. EFS tù ®éng t¹o cÆp kho¸ m· cho ng−êi sö dông nÕu cÆp kho¸ nµy ch−a tån t¹i. CÆp kho¸ gåm kho¸ c«ng khai vµ kho¸ mËt cho mçi ng−êi sö dông. NÕu cÆp kho¸ m· cÇn t¹o, vµ ng−êi sö dông ®¨ng nhËp vµo m¹ng theo m« h×nh miÒn, th× viÖc t¹o kho¸ x¶y ra t¹i bé ®iÒu khiÓn (kiÓm so¸t) miÒn; cßn nÕu ng−êi sö dông ®¨ng nhËp vµo m¹ng theo m« h×nh nhãm lµm viÖc, th× viÖc t¹o kho¸ x¶y ra t¹i m¸y tÝnh côc bé. Bé ®iÒu khiÓn (kiÓm so¸t) miÒn hoÆc m¸y tÝnh sÏ thùc hiÖn m· ho¸ kÐp b»ng hai kho¸ nµy. HÖ thèng m¸y tÝnh sÏ yªu cÇu EFS t¹o sè gi¶ ngÉu nhiªn cho tÖp, ®−îc gäi lµ kho¸ m· tÖp (File Encryption Key - FEK). FEK sau ®ã ®−îc dïng ®Ó gi¶i m· sè liÖu tÖp. ThuËt to¸n m· ho¸ DES më réng (Exteded Data Encryption Standard - DESX) sö dông FEK ®Ó m· ho¸ tÖp. C¸c tÖp m· ho¸ ®−îc cÊt gi÷ trªn ®Üa cøng. §Õn ®©y, thuËt to¸n m· ho¸ b»ng kho¸ mËt ®· xong. Tuy nhiªn qu¸ tr×nh nµy cßn nhiÒu b−íc n÷a. §Ó ®¶m b¶o hoµn toµn an toµn cho FEK, nã ®−îc m· ho¸ b»ng kho¸ c«ng khai cña ng−êi sö dông; b»ng c¸ch ®ã ®¶m b¶o ch¾c ch¾n r»ng ng−êi sö dông kh«ng dïng chung kho¸ gi¶i m·. FEK sau khi m· ®−îc cÊt gi÷ cïng víi tÖp ®· ®−îc m· ho¸. §Õn ®©y c¶ FEK vµ tÖp ®−îc cÊt gi÷ an toµn. C¸c tµi kho¶n cña hÖ thèng kh¸c mÆc dï cã c¸c permission ®èi víi c¸c tÖp m· ho¸, vÝ dô permission “giµnh quyÒn së h÷u”, còng kh«ng thÓ më ®−îc tÖp nµy nÕu kh«ng cã kho¸ mËt cña ng−êi m· ho¸ hoÆc kho¸ mËt ®−îc phôc håi cña ng−êi ®¹i diÖn. Tuy nhiªn mét vµi permission kh¸c l¹i kh«ng bÞ ¶nh h−ëng. VÝ dô ng−êi qu¶n trÞ cã permission xo¸ bá tÖp m· ho¸ th× vÉn cßn kh¶ n¨ng ®ã thËm chÝ khi anh ta kh«ng thÓ më vµ ®äc tÖp. 165