Ngoài hai dạng phổ biến khá rộng rãi trên còn có CDFS và HPFS ( High Performance File System ).CDFS bạn thường thấy trên CD-ROM còn HPFS chỉ có trong phòng thí nghiệm của Microsoft.NTFS là hệ thống file chính thức ra mắt ở phiên bản Windows NT và có nhiều cải tiến trong các phiên bản Windows sau này (2000/XP)
28 trang |
Chia sẻ: haohao89 | Lượt xem: 2000 | Lượt tải: 3
Bạn đang xem trước 20 trang tài liệu Bảo vệ dữ liệu bằng hệ thống NTFS, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Shinichi nhận thấy các bạn đa số có thắc mắc khá nhiều về chế độ bảo
mật trong các version Windows 9x/ME/2000/XP.Đây cũng là vấn đề
Shinichi đã chú tâm tìm hiểu rất kỹ từ khi đọc cuốn sách giới thiệu về
Windows NT 4.0 ở Thư Viện Tổng Hợp TP HCM.Ở cái thuở "ngây thơ
bé dại" đó Shinichi đã bị Windows NT 4.0 "chinh phục" bởi nguyên tắc
hoạt động dựa trên an toàn là trên hết của nó.Khi đó Shinichi định rằng
khi có máy nhất quyết mình sẽ cài NT.Sau đó ít lâu Shinichi có dịp sử
dụng ké Windows 2000 ở trường.Trong lần đó , 2000 với giao diện mới
mẻ đã hấp dẫn khiến cho Shinichi "quên" ngay cô nàng NT 4.0.Nhưng
khi đó , do hạn chế chưa có máy riêng nên Shinichi chỉ mới dừng lại ở
mức tạo thêm User Account và mức hiểu biết cũng chỉ tới đó.Cho đến khi
học môn "Hệ điều hành" và có máy riêng cài Windows XP , Shinichi đã
tích luỹ một số kinh nghiệm hay cũng như "xương máu và nước mắt".
Do Shinichi chỉ cài Windows XP nên sẽ lấy trong XP làm ví dụ ,
Windows 2000 về thao tác thì sẽ hơi khác nhưng bản chất thì tương tự
nhau , các bạn hãy tự tìm hiểu thêm.
1 - NTFS là gì ?
NTFS ( New Techology File System ) là một trong các loại các hệ thống
file của Windows
Ngoài hai dạng phổ biến khá rộng rãi trên còn có CDFS và HPFS ( High
Performance File System ).CDFS bạn thường thấy trên CD-ROM còn
HPFS chỉ có trong phòng thí nghiệm của Microsoft.
NTFS là hệ thống file chính thức ra mắt ở phiên bản Windows NT và có
nhiều cải tiến trong các phiên bản Windows sau này (2000/XP)
2 - Bảo mật trong Windows
Ở đây , ta chia các version Windows theo hai "trường phái"
• "Trường phái" ACDE
• "Trường phái" OA
2.1 - Trường phái ACDE (Anyone Can Do Everything : Bất cứ ai cũng có
thể làm bất cứ điều gì trên hệ thống của bạn)
a - Giới thiệu :
Trường phái này ám chỉ các version Windows mà đặc tính bảo mật không
được tích hợp sẵn vào nhân của Hệ điều hành (HĐH).Đó là Windwow
9x/ME.Nếu bạn sử dụng một trong hai phiên bản này , thì bạn đừng mong
rằng nó sẽ bảo vệ các thiết lập cấu hình hệ thống , thông tin cá nhân nhay
cảm , dữ liệu trước những cặp mắt tò mò và những ngón tay đầy ác ý.
Xem đến đây , sẽ có người lên tiếng : "Tui thấy 9x/ME đều có yêu cầu
đăng nhập khi khởi động máy mà !"
Có phải bạn muốn nói đến cái này phải không ? Thế thì có một tý tẹo gì
đó nhầm lẫn ở đây rồi đó ! Cái cửa sổ mà bạn thấy ở trên chỉ có duy nhất
một tác dụng là xác định danh tánh của người dùng khi kết nối vào một
mạng nào đó ( VD như mạng LAN ).Bất kỳ một người nào cũng có thể
nhấn ESC để bỏ qua thao tác này và sau đó tha hồ voọc cái máy của bạn.
( Ha ! Thiệt là kinh hoàng khi nghĩ rằng , Microsoft đặt toàn bộ dữ liệu
của người dùng trong một cú nhấn ESC !!? )
b - Biện pháp khắc phục :
Theo Shinichi cách khắc phục sự thiếu sót này , đơn giản nhất là sử dụng
các phần mềm bảo mật.Shinichi đề nghị một số sau :
+) BestCrypt : giúp bạn tạo một đĩa ảo lấy từ dung lượng đĩa cứng.Phải
biết mật khẩu mới truy xuất được.Đĩa này tự động biến mất khi tắt máy.(
Chạy tốt trên XP )
+) MagicFolder : giúp bạn dấu các thư mục trên máy.
+) PCSecurity : rất nhiều chức năng : kiểm soát cấu hình hệ thống , ngăn
chặn các thay đổi bất hợp pháp ,dấu ổ đĩa , thư mục ,khoá máy, ...
2.2 - "Trường phái" OA ( Only Adminstrator : Chỉ có Admin mới nắm
quyền cao nhất.)
Trường phái này ngụ ý nói tới các phiên bản Windows mà đặc tính bảo
mật là yếu tố sống còn và được đưa lên hàng đầu."Mở hàng" cho trường
phái này là Windows NT (4.0) , tiếp đó là Windows 2000 (NT 5.0) và
Windows XP.
Ngay từ bước khởi động Windows , bạn bắt buộc phải có 1 tài khoản
trong Windows thì mới có thể sử dụng được máy và truy cập vào các tài
nguyên trong đó. Mọi sự cố gắng xâm nhập bất hợp pháp đều trở nên vô
ích ! ( Câu khẳng đinh này không dành cho các cao thủ hacker ! )
Phải nói rõ rằng , Windows chỉ mới là điều kiện cần để một hệ thống đạt
được các đặc tính bảo mật , cần phải xét đến điều kiện đủ là NTFS.Nghĩa
là nếu bạn cài Windows NT/2000/XP , nhưng các đĩa cứng của bạn dùng
FAT32 thì ... xem như chẳng có gì cả ! Hoặc nếu đĩa cứng của bạn dùng
NTFS nhưng Windows là 9x/ME thì ... cũng như trên thôi.
Có thể suy ra một công thức đơn giản sau :
BẢO MẬT = WINDOWS NT/2000/XP + NTFS
3 - THIẾT LẬP CÁC TUỲ CHỌN BẢO MẬT TRONG WINDOWS XP
Như đã nói trên , đĩa cứng của bạn phải có định dạng NTFS.Đối với bạn
nào đó dùng cùng lúc 2 HĐH XP/2000 và 98/ME thì sẽ gặp phiền hà to vì
Windows 98/ME không hiểu NTFS là cái gì cả ( Nôm na như người tiền
sử không biến đến tàu vũ trụ í mà ! ). Không sao cả , bạn không nhất thiết
phải chuyển toàn bộ đĩa cứng từ FAT32 sang NTFS , mà chỉ chuyển một
phân vùng nào đó thôi.
Giả sử như bạn có 1 đĩa cứng 20GB , bạn chia thành 4 partition 5 GB (C:
D: E: F .Trong đó C: cài XP , D: cài 98 , D: dữ liệu dùng chung ,E: dữ
liệu cá nhân cần bảo mật thì bạn chỉ chuyển cái ổ E sang NTFS còn các ổ
còn lại vẫn dùng FAT32 như thường.
3.1 - Thao tác chuyển đổi từ FAT16/FAT32 sang NTFS
Có nhiều công cụ để thực hiện công việc này.
+) Disk Management có sẵn của Windows
+) Lệnh convert trong Windows
+) Dùng PartitionMagic
Ở đây Shinichi chỉ giới thiệu cách thứ nhất và hai vì dùng công cụ có sẵn
, tránh trường hợp một số bạn không có sẵn PartitionMagic.
3.1.1 - Disk Management.
Để sử dụng được công cụ này , bạn phải đăng nhập với quyền
Adminstrator.
Sau khi đăng nhập , bạn chọn Start/Administrative Tools/Computer
Management
Ở của sổ bên trái , bạn chọn Disk Managenment.
Shinichi lấy ổ D: trên máy Shinichi làm ví dụ. Hãy chú ý phần khoanh đỏ
, bạn dễ thấy file system của ổ D: là FAT32
Để chuyển đổi , bạn nhấn chuột phải lên ổ muốn đổi ( ở đây là D: ) , chọn
Format
Cửa sổ sau hiện ra , tại mục File system , chọn NTFS . Nếu muốn dùng
thêm chức năng nén dữ liệu thì check vào ô Enable file and folder
compression.
Nhấn OK.Một hộp cảnh báo hiện lên , nhấn tiếp OK nếu chắc chắn.
Quá trình format ...
Sau vài phút , bạn đã có trong tay một ổ đĩa sẵn sàng cho bảo mật.
3.1.2 - Convert.
Mở dấu nhắc DOS tại C:\Windows\System32 , gõ vào convert <tên ổ
đĩa>:/fs:ntfs
và chờ cho quá trình kết thúc.
Mở đĩa D: lên , bạn chọn Tool \ Folder Options ...
Chọn tiếp tab View , ban bỏ chọn ở dòng Use simple file sharing
(Recommended) .Nhấn OK
Sau đó , mỗi khi nhấn chuột phải vào các thư mục trên đĩa D: , bạn thấy
có thêm dòng Sharing and Security ...
Chọn nó , cửa sổ sau hiện lên :
Ở mục Group or usernames thông tin cho biết các user có quyền xem thư
mục Love Story này , ô Permissions for cho biết quyền
hạn của username tương ứng :
• Full Control : toàn quyền ( nếu ban check vào ô này thì các ô bên dưới
sẽ tự check hết ) Đây là một quyền nguy hiểm.Hãy cẩn thận !
• Modify : sửa chữa
• Read & Execute : đọc và thực thi ( đối với file thực thi như *.EXE )
• List Folder Contents : duyệt danh sách thư mục con
• Read : đọc
• Write : ghi
Hãy xem xét một ví dụ sau :
Giả sử máy của bạn có 2 user
• Shinichi ( Administrator )
• Brother ( Limited Account )
Lưu ý : giữa Windows 2000 và Windows XP có một điểm khác biệt là
Windows 2000 có nhiều loại user trong khi Windows XP chỉ có 2 loại
Administrator và Limited Account.
Để tạo thêm user , bạn làm như sau :
Mở Control Panel \ User Account
Chọn Create a new account
Nhập tên của account.Bạn có thể nhập tiếng Việt Unicode.Một số trường
hợp sẽ hiển thị tốt
Nhưng đôi khi thể hiện không chính xác và sẽ rất tai hại nếu một lúc nào
đó bạn phải đăng nhập hệ thống bằng tổ hợp phím CTRL-ALT-DEL , khi
đó bạn sẽ không gõ được tiếng Việt ( vì khi đó các bộ gõ đâu đã chạy ? )
và thế là bạn sẽ toi luôn !
[/quote]
Sau khi nhập tên , ban nhấn Next
Bạn chọn Limited , nếu bạn bạn là người dùng chính (các người khác chỉ
dùng ké) thì bạn CHỚ NÊN tạo thêm bất kỳ tài khoản Computer
Administrator nào. Vì điều đó sẽ tương đương như "một rừng có hai con
cọp" vây ! Hậu quả sẽ rất là ... nếu có ai đó nắm tài khoản Admin như
bạn. ( Và nguy hiểm sẽ tăng gấp nhiều lần nếu cái người đó có cái tính tò
mò voọc ... giống như người viết bài này !!??!!)
Sau khi nhấn Create Account thì trong danh sách các user đã thêm vào
user Brother. Nếu muốn tạo Password cho user này bạn nhấn chuột vào
biểu tượng của user. Cửa số sau hiện lên
Nhấn vào Create password.
Bạn có thể xem thêm các tính năng khác như Change picture , Change the
name , ...
Gõ password. Gõ thêm hint nếu bạn là người đãng trí ... như Ensteins !
Một lời khuyên , dù bạn là người đã có kinh nghiệm nhiều năm gõ văn
bản , bạn đã thuộc nằm lòng vị trí từng phím trên bàn phím nhưng mỗi
khi thiết lập bất kỳ password nào bạn cũng nên nhìn bàn phím mà nhập
cho chắc.
Nhấn Create Password , biểu tượng user Brother đã có thêm dòng
Password protected. Từ nay muốn sử dụng user này thì người dùng phải
có password.
Chắc có bạn sẽ lo lắng là nếu thiết lập password cho Limited user thì bạn
sẽ không kiểm soát được nếu user đó thay password khác ? Đừng lo ! bạn
quên bạn là Administrator sao ? Với quyền "tối cao" đó bạn có thể
Remove password một cách dễ dàng.
Hoặc bạn có thể ngăn chặn ngay quyền thay đổi password trước.
Chọn Start \ Administrative Tools \ Computer Management
Ở cửa sổ bên trái , chọn Local Users and Groups
Ô bên phải nhấn đúp vào Users
Danh sách các user trong máy hiện ra.Nhấn chuột phải vào user muốn
chặn , chọn Properties
Bảng Properties hịện lên
User cannot change password : Cấm user đổi password
Password never expires : Password không bao giờ hết hạn
Account is disabled : Tài khoản bị khoá .Khi bạn chọn chức năng này thì
user tương ứng sẽ "biến mất" trên máy.Dù cho chủ nhân của account bị
khoá có passworrd thì cũng không đăng nhập được.Cho đến khi
Administrator "mở" lại. ( Giống như bạn có chìa khoá vào một căn nhà ,
nhưng căn nhà đó bị xe ủi mất ấy mà ! ) Lưu ý : disable khác với delete
đó nhé !
Bây giờ đã có thêm một user xài chung máy với bạn.Hãy giả sử đó là một
thằng em "nghịch ngợm và tò mò hơn quỷ sứ".Và giả sử tiếp là hôm qua
cô bạn gái của bạn gửi cho bạn một lô lốc "hồ sơ tuyệt mật". Bạn sợ rằng
nó sẽ mò ra ? Để ngăn chặn điều đó bạn chỉ cần giới hạn quyền truy cập
của nó.
Bạn tạo một folder trên đĩa đã chuyển sang NTFS , lấy tên là Love Letters
( bạn sợ lấy cái tên lộ liễu như vậy sẽ có khác gì "lạy ... em thư ở hộp
này" ? Hi hi ! bạn đừng lo. )
Nhấn chuột phải lên thư mục Love Letters , chọn Sharing and Security ,
chọn tab Security
Bây giờ bạn muốn chỉ mình bạn có thể truy xuất folder này ? Hãy làm
như sau :
Nhấn chuột lên nút Advanced
Bỏ dấu check ở mục Inherit parent the permission ...
Thông báo Security hiện lên , chọn Remove
Cẩn thận : Lúc này window Advanced Security Setting for
hiện lên , như thông tin ở mục Permission entries là trắng .Điều này có
nghĩa là KHÔNG AI CÓ QUYỀN TRUY XUẤT folder này. Nếu bạn
nhấn OK ngay lúc này thì dù bạn là Admin cũng không vào được .
Thay vào đó , bạn nhấn Add ...
Nhấn Find Now
Chọn tài khoản Admin của bạn ( Ở đây theo ví dụ là Shinichi )
Nhấn OK.
Tiếp theo bạn chọn quyền hạn
Do đây là thư mục của bạn nên bạn chọn Allow
Khi bạn chọn Allow , do Allow là quyền cao nhất , nên tất cả các quyền
còn lại đều được chọn theo.
Lưu ý : Ở mục Apply onto , bạn có thể chọn các tuỳ chọn khác
• This folder only :Chỉ giới hạn quyền với folder Love Letters.
• This folder , subfolders and files : kế thừa giới hạn cho tất cả thư mục
con và file trong Love Letters và Love Letters
• This folder and subfolder : kế thừa giới hạn cho tất cả thư mục con
trong Love Letters và Love Letters .
Khuyến cáo:[/b] NÊN dùng cái tuỳ chọn This folder only thôi .Windows
XP bảo mật khá tốt nên bạn chỉ cần giới hạn thư mục nào đó là được.( Ví
dụ như , nếu bạn đã tin tưởng tuyêt đối vào cái khoá cửa thì bạn không
nhất thiết khoá cửa các phòng và các tủ trong nhà ấy mà ! )
Lúc này Love Letterss đã là của riêng bạn ! Sướng nhé !!
Để kiểm tra lại , bạn nhấn WinKey-L để thoát tạm thời ra màn hình
Welcome , đăng nhâp vào với user khác BẤT KỲ , mở đĩa D: lên , nhấn
đúp vào Love Letters và ... "đừng có mơ nhé ! "
Thông báo Access is denied cho biết user này không truy xuất được thư
mục đã giới hạn quyền.
Bạn có thể làm tương tự với các thư mục khác.
Hãy xem một số ví dụ sau đây : giả sử folder Samples được giới hạn
quyền như sau
Mọi người có quyền đọc và duyệt các folder con
Mọi người bị từ chối truy xuất toàn bộ ( kể cả Admin )
Mọi ngưòi có toàn quyền truy xuất ( Rất nguy hiểm.Hãy cẩn thận ! ). Chỉ
có user Brother mới có quyền xem
Một số các lưu ý và Cảnh báo
• Bạn nên tránh set permission trên từng file hay từng folder riêng lẻ mà
nên gom thành nhóm.Theo ví dụ ở đây , bạn nên giới hạn nguyên cái đĩa
D: hơn là giới hạn từng folder như Love Letters vì khi dĩa D: bị giới hạn
thì đương nhiên Love Letters cũng kế thừa theo
• Quyền truy xuất sẽ lấy quyền lớn nhất , ví dụ như folder Samples được
cấp quyền toàn bộ cho Everyone , nhưng nếu đĩa D: lại khoá quyền cho
Everyone thì rốt cuộc vẫn bị giới hạn như thường.
• Cảnh báo quan trọng : Trước khi cài lại Windows , bạn bắt buộc phảỉ
huỷ bỏ hết các giới hạn ở các đĩa NTFS.
Vì sao phải làm như vây ? Trước đây , trong những bước đầu chập chững
mò mẫm cái NTFS và XP , mình set quyền truy cập ổ D: cho user
Shinichi ( Computer Administrator ).Sau đó cài lại Windows , dù đã đặt
đúng tên Shinichi , nhưng các dữ liệu đều bị CẤM TRUY XUẤT dù là
Administrator.Thế là , toàn bộ dữ liệu quý giá mất biết bao nhiêu thời
gian tiền bạc lên mạng xục xạo bay biến hết.Đó chính là kinh nghiệm
xương máu nói ở trên.HÃY CẨN THẬN !!!