CƠ CHẾ AN TOÀN TRÊN WINDOWS NT - PHẦN II

PHẦN II (Và hết)
3.Thừa kế quyền: Các đối tượng trên Windows NT có thể được phân làm 2
loại: đối tượng container (hay đối tượng cha) và non-container. Đối tượng
container về mặt logic có thể chứa những đối tượng khác (chẳng hạn như đối
tượng thư mục có thể chứa các đối tượng file) còn đối tượng non-container
thì không chứa đối tượng khác (như đối tượng file). Như vậy, khi một đối
tượng được tạo bên trong một đối tượng khác thì nó sẽ được thừa hưởng
những quyền hạn của đối tượng cha đó. Ví dụ: Khi ta tạo một thư mục con
TOAN bên trong thư mục D:\BAITAP thì thư mục con TOAN sẽ được thừa
hưởng những quyền của thư mục D:\BAITAP Theo ngầm định, khi ta thay
đổi những quyền trên thư mục cha thì sự thay đổi chỉ có hiệu lực đối với thư
mục đó và những file bên trong nó nhưng không có hiệu lực đối với các thư
mục con và nội dung của thư mục con đó. Tuy nhiên, ở hộp thoại Directory
Permissions ta có thể làm cho những thay đổi có hiệu lực bằng cách chọn
tùy chọn Replace Permissions on Subdirectory và Replace Permissions on
Existing File. 4. Ghi nhận hoạt động của hệ thống: Một trong những mục
tiêu rất quan trọng của Windows NT là đảm bảo hệ thống hoạt động một
cách có hiệu quả và độ tin cậy cao. Vì vậy, Windows NT cung cấp những
tính năng cho phép theo dõi và ghi nhận những hoạt động của toàn bộ hệ
thống thông qua khả năng giám sát những sự kiện (Event) đang xảy ra.
Những sự kiện này bao gồm sự kiện liên quan đến an toàn hệ thống và sự
kiện liên quan đến người dùng. Nhờ vậy, khi có bất kì sự cố nào xảy ra có
nguy cơ gây phương hại đến tính an toàn của hệ thống, Windows NT sẽ đảm
bảo việc hạn chế và ngăn chặn lỗi, kiểm tra và định vị lỗi đó. Mỗi sự kiện
trong hệ thống đều có chứa những thông tin giúp phân định bao gồm: Event
ID (định danh), Source (nơi phát sinh sự kiện), Type (kiểu sự kiện),
Category (loại sự kiện) và các thông tin khác phụ thuộc vào loại và kiểu sự
kiện. Các sự kiện có thể phân làm 7 loại: 1. Account Management (Quản lý
người dùng và nhóm người dùng): mô tả những sự kiện liên quan đến việc

thay đổi Cơ sở dữ liệu quản lý tài khoản người dùng. Ví dụ như: User
Created (tạo mới người dùng), Group Membership Change (thay đổi thông
tin trong nhóm).. 2. Detailed Tracking (Quản lý các chương trình đang
chạy): sự kiện liên quan đến hoạt động của các chương trình như kích hoạt
chương trình, truy cập đến một đối tượng... 3. Logon / Logoff (Quản lý trong
quá trình đăng kí tham gia và thoát khỏi hệ thống): các sự kiện như: nhập
mật khẩu, tên người dùng, kiểu tham gia vào hệ thống (cục bộ, thông qua
mạng...)... 4. Object Access (Quản lý việc truy cập file và các đối tượng
khác): các sự kiện liên quan đến việc truy cập tài nguyên, thành công hay
không thành công. 5. Policy Change (Thay đổi những cách thức về an toàn):
chỉ những thay đổi đến cơ sở dữ liệu về an toàn như: thay đổi những đặc
quyền, khả năng đăng nhập, xác nhận tính hợp lệ của đối tượng. 6. Privilege
Use : chỉ những sự kiện liên quan đến quyền hạn của người dùng. 7. System
Event: chỉ những sự kiện có ảnh hưởng đến tính an toàn của hệ thống. Để
quan sát được những sự kiện xảy ra trong hệ thống, Windows NT cung cấp
một trình tiện ích là Event Viewer. Event Viewer cho phép xem xét một
cách rất chi tiết bất kì sự kiện nào xảy ra trong hệ thống như mở file, đóng
file, hoạt động của các tiến trình của người dùng, thay đổi mật khẩu, các sự
kiện xác nhận an toàn... Ví dụ : Sự kiện phát sinh khi thao tác trên một file
TEST.TXT. Kiểu sự kiện trên là Success Audit tức là xác nhận thao tác trên
file là thành công, định danh Event ID là 560 tức là Object Open. Như vậy,
sự kiện trong ví dụ ám chỉ việc mở file TEST.TXT của người dùng là thành
công. Một số Event ID tham khảo: 1. Quản lý việc truy cập đến đối tượng và
file: 1. 560: Object Open : bắt đầu thao tác trên đối tượng (Mở file...) 2. 561:
Handle Allocated : xác định đối tượng (Kiểm tra tính tồn tại...) 3. 562:
Handle Closed : chấm dứt truy cập đến đối tượng (Đóng file) 4. 592: New
Process Has Been Created : một tiến trình mới được tạo 5. 593: Process Has
Exited : kết thúc một tiến trình 2. Quản lý người dùng 1. 624: User Account
Created : tạo mới tài khoản 2. 632: Global Group Member Added : thêm một
người dùng vào nhóm global 3. 636: Local Group Member Added : thêm

một người dùng vào nhóm local 4. 642: User Account Changed : thay đổi
trên tài khoản người dùng 3. Quản lý hệ thống 1. 512: Windows NT Starting
Up : Wins NT bắt đầu khởi động 2. 514: Authentication package Loaded :
tiến trình xác nhận trong quá trình đăng nhập được gọi (xem thêm quá trình
đăng nhập của người dùng phần sau) Để có thể theo dõi được những sự kiện
phát sinh khi thực hiện một thao tác đòi hỏi người dùng phải tham gia vào hệ
thống với tư cách là Server Administrator để có thể thiết lập cơ chế xác nhận
các sự kiện và dùng tiện ích User Manager for Domains để thiết lập cơ chế
xác nhận bằng chức năng Audit Policy: 2. ĐỐI TƯỢNG NGƯỜI DÙNG
VÀ QUÁ TRÌNH ĐĂNG NHẬP 1. Những thông tin về người dùng: Đối
tượng người dùng hay người dùng đơn giản là những người tham gia vào hệ
thống. Họ có thể tham gia vào hệ thống Windows NT dưới hình thức một
Windows NT Workstations, Server hay tham gia từ xa thông qua mạng. Mỗi
người dùng trong hệ thống Windows NT bắt buộc phải có tên (user name),
tài khoản (account) và một mật khẩu (password) để tham gia vào tài khoản
đó. Những thông tin này sẽ được người quản trị mạng cung cấp và sẽ được
lưu trữ trong cơ sở dữ liệu tài khoản (Security Accounts database - Security
Policy database). Sau này khi người dùng tham gia vào hệ thống, bộ phận
Local Security Authority (LSA) sẽ xác nhận tính hợp lệ của người đó dựa
trên những thông tin đã lưu trong cơ sở dữ liệu và những thông tin mà người
dùng nhập vào trong quá trình Logon. Tên người dùng là một chuỗi dài
không quá 20 kí tự không phân biệt kiểu chữ hoa hay thường và không được
chứa những kí tự đặc biệt như: / \ [ ]: ; ! = , + # ? < >. Tên người dùng còn
được dùng như tên đăng nhập (logon name) duy nhất trên một vùng
(domain) và là yêu cầu tối thiểu khi tạo tài khoản người dùng. Mật khẩu
người dùng một chuỗi dài không quá 14 kí tự có phân biệt chữ hoa hay
thường, duy nhất và được mã hóa để đảm bảo không thể đọc được từ bất kì
người nào trong hệ thống kể cả người quản trị. Sau khi xác nhận người dùng
với hệ thống, LSA sẽ tạo ra một Thẻ truy xuất bảo mật (Security Access
Token - SAT) cho người dùng. SAT bao gồm một Số bảo mật (SID), những

SID của nhóm mà người dùng tham gia và thêm một số thông tin khác như
tên người dùng, tên của các nhóm chứa người dùng đó.... và khi người dùng
thực thi những trình ứng dụng của mình thì một bản sao của SAT cũng sẽ
được gởi đến cho trình ứng dụng đó. Như vậy, khi người dùng (hay trình
ứng dụng của người dùng) muốn truy cập đến một đối tượng, Windows NT
sẽ dựa trên SID chứa trong Thẻ truy xuất bảo mật và xem xét danh sách các
quyền của người đó để đảm bảo việc truy cập là hợp lệ. Sơ đồ biểu diễn quá
trình tham gia của người dùng vào mạng Windows NT: Sơ đồ trên thể hiện 2
hình thức tham gia của người dùng vào mạng Windows NT: tham gia như
một NT Workstation (cục bộ) và tham gia từ một mạng khác. LSA sẽ so
sánh những thông tin mà người dùng nhập vào với thông tin trong cơ sở dữ
liệu. Nếu chính xác, Thẻ truy xuất SAT sẽ được thiết lập cho người đó,
ngược lại, việc truy cập vào hệ thống sẽ không được chấp nhận. 2. Quyền
của người dùng: Một mục tiêu của cơ chế an toàn Windows NT là giám sát
và điều khiển việc truy cập của người dùng vào một đối tượng nào đó trên hệ
thống máy tính. Để thực hiện được điều này, cơ chế an toàn đã lưu giữ trong
cơ sở dữ liệu những thông tin về an toàn của người dùng, của nhóm và của
các đối tượng ngay khi họ được tạo ra, kiểm tra tính hợp lệ của những yêu
cầu truy cập đến các đối tượng do người dùng trực tiếp tạo ra hay gián tiếp
từ những trình ứng dụng của họ. Ngoài ra, hệ thống còn có nhiệm vụ giám
sát và điều khiển việc truy cập của người dùng đến mọi đối tượng bao gồm
đối tượng có thể nhìn thấy được như máy in, file… hoặc những đối tượng
tiềm ẩn như các tiến trình, name-pipe… Như vậy, cơ chế an toàn không
những điều khiển việc ra quyết định ai sẽ được phép sử dụng đối tượng nào
mà còn điều khiển việc truy cập đó sẽ diễn ra ra sao. Windows NT cũng quy
định người quản trị mạng (hay bất cứ ai có quyền thay đổi cơ chế quyền) có
toàn quyền tạo, gán và thay đổi các quyền của người dùng đến một đối
tượng, khả năng này gọi là discretionary access control. Ví dụ, người quản
trị mạng có thể đặt nhóm SINHVIEN chỉ có quyền Read đối với thư mục
SOFTWARES, còn nhóm GIANGVIEN có quyền Read, Write và Execute

trên thư mục này. Để có thể áp đặt quyền hạn của người dùng đối với một
file hay thư mục, có thể dùng trình quản lý file NT Explorer, chọn mục
Permissons trên trình đơn hay trên menu con khi nhấn nút phải chuột vào
một file hay thư mục. Ví dụ: Một số quyền (Permissions) cơ bản mà người
dùng có thể có đối với một file xác định: đọc (Read), viết (Write), xóa
(Delete), thay đổi quyền (Change Permission), thi hành (Execute), lấy quyền
sở hữu (Take Ownership), cấm truy cập (No Access)... Hầu hết người dùng
trong Windows NT đều thuộc ít nhất một nhóm cài sẵn (built-in group) nào
đó như Administrators, Guests, Users...và do đó, ngầm định người đó sẽ
được thừa hưởng những quyền (rights) và khả năng (capabilities) thao tác
trên hệ thống mà nhóm đó có. Ví dụ, nếu người dùng là thành viên của nhóm
Administrators sẽ có thể thực hiện các thao tác quản trị hệ thống như tạo mới
tài khoản, thay đổi mật khẩu người dùng, thiết lập quyền...Nếu người dùng
là thành viên của nhiều nhóm thì quyền của người đó là tập hợp của quyền
của tất cả các nhóm hội lại. Trên Windows NT có 3 thuật ngữ đều mang ý