Cách phân quyền trong NTFS
Cách phân quyền Permission folder trong NTFS :
Các loại permission (nằm trong tab Security trong properties của 1 folder)
Full control : Có toàn quyền trên folder.
Modify : Có quyền sửa chữa như tạo, xoá, sửa folder
Read and Execute : Quyền đọc (bào hàm cả việc gọi các phương thức, các file ứng dụng chạy
ngầm)
List folder content :
Read : Quyền đọc
Write : Quyền ghi
kik edit◊ Special Permission : Quyền đặc biệt (Kik nút advance ngay dưới) 
Trong phần đặc quyền chỉ chi tiết các quyền của 1 đối tượng đối với folder. Ví dụ 1 số quyền :
Traverse Folder / Excute File : Quyền nhảy cóc và thực thi file (Cái này sẽ nói ở phần dưới).
Read Attribute : Quyền đọc
Read Extend Attribute : Quyền đọc những phần được thêm vào.
Create Folder / Append Data : Tạo Folder và nối dữ liệu thêm vào cuối
Write Attribute : Ghi thêm thuộc tính
Take Ownership : Quyền sở hữu folder (có thể cướp quyền admin đối với folder 1 cách tạm thời)
…
Ta tiến hành Permission như sau:
Trước hết bạn phải hiểu thế này : 1 user khi truy cập trên 1 server mặc định thuộc group Interactive,
Domain Users. Còn khi truy cập từ xa đến server thì thuộc nhóm Network, Domain Users.
Right-kik vào folder, chọn mục sharing and sercurity .
Hộp thoại Properties hiện lên.
Như đã nói ở trên, Permission áp dụng cho các máy ở xa sẽ sử dụng cả việc sharing; Nếu user từ xa
truy cập, hãy sharing folder này (Chọn option Sharing this folder). Quyền của user máy trạm này =
Quyền sharing + Quyền Security :
- Quyền Sharing :
Chọn Permission trong tab Sharing.♣
Hộp thoại Permission hiện lên. Ở đây bạn có thể add đối tượng để áp♣ dụng quyền Sharing, đó có
thể là 1 group, hay 1 user. Sau đó chọn quyền bằng cách tick các option ở phía dưới.

FAT16:
Với HĐH MS-DOS, hệ thống tập tin FAT (FAT16 – để phân biệt với FAT32) được công bố vào
năm 1981 đưa ra một cách thức mới về việc tổ chức và quản lý tập tin trên đĩa cứng, đĩa mềm. Tuy
nhiên, khi dung lượng đĩa cứng ngày càng tăng nhanh, FAT16 đã bộc lộ nhiều hạn chế. Với không
gian địa chỉ 16 bit, FAT16 chỉ hỗ trợ đến 65.536 liên cung (clusters) trên một partition, gây ra sự
lãng phí dung lượng đáng kể (đến 50% dung lượng đối với những ổ đĩa cứng trên 2 GB).
FAT32:
Được giới thiệu trong phiên bản Windows 95 Service Pack 2 (OSR 2), được xem là phiên bản mở
rộng của FAT16. Do sử dụng không gian địa chỉ 32 bit nên FAT32 hỗ trợ nhiều cluster trên một
partition hơn, do vậy không gian đĩa cứng được tận dụng nhiều hơn. Ngoài ra với khả năng hỗ trợ
kích thước của phân vùng từ 2GB lên 2TB và chiều dài tối đa của tên tập tin được mở rộng đến 255
ký tự đã làm cho FAT16 nhanh chóng bị lãng quên. Tuy nhiên, nhược điểm của FAT32 là tính bảo
mật và khả năng chịu lỗi (Fault Tolerance) không cao.
NTFS (New Technology File System):
Được giới thiệu cùng với phiên bản Windows NT đầu tiên (phiên bản này cũng hỗ trợ FAT32). Với
không gian địa chỉ 64 bit, khả năng thay đổi kích thước của cluster độc lập với dung lượng đĩa
cứng, NTFS hầu như đã loại trừ được những hạn chế về số cluster, kích thước tối đa của tập tin trên
một phân vùng đĩa cứng.
NTFS sử dụng bảng quản lý tập tin MFT (Master File Table) thay cho bảng FAT quen thuộc nhằm
tăng cường khả năng lưu trữ, tính bảo mật cho tập tin và thư mục, khả năng mã hóa dữ liệu đến từng
tập tin. Ngoài ra, NTFS có khả năng chịu lỗi cao, cho phép người dùng đóng một ứng dụng “chết”
(not responding) mà không làm ảnh hưởng đến những ứng dụng khác. Tuy nhiên, NTFS lại không
thích hợp với những ổ đĩa có dung lượng thấp (dưới 400 MB) và không sử dụng được trên đĩa mềm.
So sánh giữa FAT32 và NTFS
NTFS là hệ thống file tiên tiến hơn rất nhiều so với FAT32. Nó có đầy đủ các đặc tính của hệ thống
file hiện đại và FAT32 không hề có. Bạn nên dùng NTFS để thay thế cho FAT32 vì các lý do sau:
- FAT32 không hỗ trợ các tính năng bảo mật như phần quyền quản lý, mã hoá như NTFS. Vấn đề
này đặc biệt hiệu quả đối với Windows. Với NTFS, bạn có thể không cần sử dụng các tiện ích mã
hoá hay đặt mật khẩu giấu thư mục v.v, vì đây là đặc tính đã có sẵn của NTFS, chỉ cần bạn biết khai
thác. Việc xài các tiện ích không nằm sẵn trong hệ điều hành để thao tác trực tiếp với đĩa vẫn có ít

Tuy thế, FAT32 vẫn còn tỏ ra hữu dụng trên các máy tính cấu hình quá yếu ớt, chỉ có thể chạy được
Windows 98. FAT16 và FAT32 vẫn được dùng để định dạng cho các loại thẻ nhớ, vì các thiết bị
chấp nhận thẻ nhớ như máy ảnh số, máy nghe nhạc vẫn chưa thấy loại nào tương thích với NTFS
cả. FAT16 luôn là lựa chọn hàng đầu khi bạn muốn copy dữ liệu của mình từ một máy tính chạy
Windows sang máy chạy hệ điều hành khác như Mac chẳng hạn. Hầu hết các máy Mac hiện nay
đều không thể nhận dạng các thẻ nhớ USB được định dạng bằng FAT32.
Bổ sung:
- Mỗi loại FAT có một con số để chỉ ra số lượng bit mà hệ thống file sử dụng để nhận dạng các
cluster trên đĩa . VD : FAT 12 sủ dụng 12 bit để định danh các cluster , do đó với FAT 12 hệ thống
quản lý được 4096 ( 2^12= 4096) cluster
- Trên các hệ thống FAT 16 , windown cho phép kích thước cluster đi từ 512 byte đến 64 KB , do
vậy FAT 16 có thể quản lý không gian đĩa lên đến 4 Gb
- NTFS ( NT Files System ) là hệ thống File dành riêng cho windownNT/2000
- NTFS dùng 64 bit để định danh các cluster , nên theo lý thuyết nó có thể quản lý các ỗ đĩa có dung
lượng lên đến 16 Exabyte ( 16 tỉ Gb ) . Nhưng trong thực tế thì windownsNT/ 2000 chỉ sử dụng 32
bit để định danh các cluster và kích thước mỗi cluster này là 64KB nên NTFS chỉ có thể quản lý
được các ổ đĩa có dung lượng lên đến 128 TB mà thôi.
LÀM THẾ NÀO ĐỂ BẢO VỆ CÁC MÁY TÍNH CỦA MỘT TỔ CHỨC
Phần 2: Chính sách an toàn Account cho Computer (Security Account Policies )
Ở phần trước tôi đã giới thiệu những phương thức chung để bảo vệ máy tính của một tổ chức. Phần
tiếp theo này tôi sẽ trình bày những phương thức cụ thể theo trình tự, từ quá trình setup hệ thống,
vận hành hệ thống dựa trên những chính sách an toàn từ basic cho đến những kĩ năng advance mà
các Security Admin cần quan tâm để áp dụng vào việc xây dựng các quy trình an toàn thông tin cho
tổ chức. Phần trình bày này tôi xin đề cập đến vấn đề an ninh account (account security) và cách
thức tạo account an toàn nhằm đối phó với những kiểu tấn công rất phổ biến và hiệu quả dưới sự trợ
giúp của những công cụ phù thủy…
Chính sách về account và cách thức tạo account nghèo nàn là con đường dễ dàng nhất cho attacker,
như vậy những hình thức bảo mật khác được áp dụng vào hệ thống như trang bị các công cụ chống
maleware (prevent virus, worm, spyware, ad-ware ), triển khai hệ thống phòng thủ Mạng (Firewall)
cũng sẽ không có tác dụng nào đáng kể, vì Admin quá thờ ơ trong cách thức tạo account và đưa ra

hỗ trợ command run as thông qua run as service để cho phép độc lập quản trị các thành phần của hệ
thống, các dịch vụ mà không cần phải log-on vào máy ban đầu bằng account admin). Điều này giúp
chúng ta tránh được các chương trình nguy hiểm đã lọt vào máy tính chạy với quyền admin, khi đó
các admin thật sự của Computer sẽ gặp nhiều rắc rối.
Vá tất cả những lỗ hỗng hệ thống để ngăn chặn các kiểu tấn công “đặc quyền leo thang” (bắt đầu lọt
vào hệ thống với account thông thường và sau đó leo thang đến quyền cao nhất)
Trên đây là những phần trực quan nhất mà Admin Security cần hình dung cụ thể khi thiết kế chính
sách bảo mật account (account security policies). Một trong những chính sách bảo vệ hệ thống cần
phải xem xet kĩ lưỡng nhất nhưng thông thường dễ lơ là thậm chí là coi nhẹ, mà sự thực hầu hết các
con đường xâm nhập vào hệ thống đều qua khai thác Credentials (có được thông tin account),
attacker nắm được vulnerabilities ( yếu điểm ) này, nên lợi dụng khai thác rất hiệu quả.
B. Phân tích và thiết kế các chính sách an toàn cho account.
Phân tích những rủi ro và xác định các mối đe dọa đối với account:
Account cho một User sẽ xác định những hành động mà User đó có thể thực hiện.
Việc phân loại account sẽ chỉ ra những cấp độ bảo vệ thích hợp khác nhau.
Loại account
Độ tin cậy
Ví dụ
Người dùng bên ngoài
Thấp
User truy cập Web server (anonymous user), đối tác kinh doanh (business partners)
Nhân viên nội bộ
Vừa phải
Nhân viên hợp đồng, nhân viên chính thức
Nhóm Administrator
Cao
Quyền quản trị hệ thống, dịch vụ, dữ liệu tổ chức…
Các account trên hệ thống sẽ nhận được 2 loại quyền cơ bản:
User rights (Quyền hệ thống): Là loại đặc quyền mà User được hệ thống cho phép thực thi những
hành động đặc biệt (ví dụ: Quyền Backup Files Và Folders, thay đổi thời gian hệ thống, shutdown

trước khi user phải thay đổi password. Thay đổi password theo định kì sẽ giúp tăng cường an toàn
cho tài khoản
Thời gian tối thiểu password phải được sử dụng trước khi có thể thay đổi (minimum password age).
Admin có thể thiết lập thờigian này khoảng vài ngày, trước khi cho phép user thay đổi password
của họ.
Thực thi password history: Số lần các password khác biệt nhau phải sử dụng qua, trước khi quay lại
dùng password cũ. Số Password history càng cao thì độ an toàn càng lớn.
Chiều dài password tối thiểu (minimum password length) cần phải đặt. Càng dài càng an toàn
Password phải đạt yêu cầu phức hợp: không chỉ về độ dài mà còn về độ phức hợp của các kí tự đặt
password (ví dụ bạn có thể thấy sự khác biệt giữa password và P@ssW0rd)
Khi dùng password phức hợp cần quan tâm:
Không sử dụng họ và tên
Chứa ít nhất 6 kí tự
Có thể đan xen chữ hoa,(A Z) thường (a z), và các kí tự đặc biệt như: !@#$%^&*()
Account lockout: Sẽ bị khóa tài khoản trong một thời gian nhất định, nếu như sau một số lần log-on
không thành công vào hệ thống. Mục đích của chính sách này nhằm ngăn chặn các cuộc tấn công
dạng brute force vào account để dò password.
Trên đây là những vấn đề cốt lõi trong việc tạo và quản lý Account sao cho an toàn, nhằm đáp ứng
các yêu cầu khắt khe trong chính sách an toàn thông tin của tổ chức và đối với các Security Admin
thiết nghĩ vấn đề này không nên chễnh mãng hoặc thờ ơ, vì đây là “ngõ vào” đầu tiên mà attacker
luôn ưu tiên trong việc thăm dò, khai thác yếu điểm của hệ thống.
CƠ CHẾ AN TOÀN TRÊN WINDOWS NT - PHẦN II
Cập nhật lúc 07h31' ngày 17/11/2003
PHẦN II (Và hết) 3.Thừa kế quyền: Các đối tượng trên Windows NT có thể được phân làm 2 loại:
đối tượng container (hay đối tượng cha) và non-container. Đối tượng container về mặt logic có thể
chứa những đối tượng khác (chẳng hạn như đối tượng thư mục có thể chứa các đối tượng file) còn
đối tượng non-container thì không chứa đối tượng khác (như đối tượng file). Như vậy, khi một đối
tượng được tạo bên trong một đối tượng khác thì nó sẽ được thừa hưởng những quyền hạn của đối
tượng cha đó. Ví dụ: Khi ta tạo một thư mục con TOAN bên trong thư mục D:\BAITAP thì thư mục
con TOAN sẽ được thừa hưởng những quyền của thư mục D:\BAITAP Theo ngầm định, khi ta thay

ID là 560 tức là Object Open. Như vậy, sự kiện trong ví dụ ám chỉ việc mở file TEST.TXT của
người dùng là thành công. Một số Event ID tham khảo: 1. Quản lý việc truy cập đến đối tượng và
file: 1. 560: Object Open : bắt đầu thao tác trên đối tượng (Mở file ) 2. 561: Handle Allocated : xác
định đối tượng (Kiểm tra tính tồn tại ) 3. 562: Handle Closed : chấm dứt truy cập đến đối tượng
(Đóng file) 4. 592: New Process Has Been Created : một tiến trình mới được tạo 5. 593: Process
Has Exited : kết thúc một tiến trình 2. Quản lý người dùng 1. 624: User Account Created : tạo mới
tài khoản 2. 632: Global Group Member Added : thêm một người dùng vào nhóm global 3. 636:
Local Group Member Added : thêm một người dùng vào nhóm local 4. 642: User Account Changed
: thay đổi trên tài khoản người dùng 3. Quản lý hệ thống 1. 512: Windows NT Starting Up : Wins
NT bắt đầu khởi động 2. 514: Authentication package Loaded : tiến trình xác nhận trong quá trình
đăng nhập được gọi (xem thêm quá trình đăng nhập của người dùng phần sau) Để có thể theo dõi
được những sự kiện phát sinh khi thực hiện một thao tác đòi hỏi người dùng phải tham gia vào hệ
thống với tư cách là Server Administrator để có thể thiết lập cơ chế xác nhận các sự kiện và dùng
tiện ích User Manager for Domains để thiết lập cơ chế xác nhận bằng chức năng Audit Policy: 2.
ĐỐI TƯỢNG NGƯỜI DÙNG VÀ QUÁ TRÌNH ĐĂNG NHẬP 1. Những thông tin về người dùng:
Đối tượng người dùng hay người dùng đơn giản là những người tham gia vào hệ thống. Họ có thể
tham gia vào hệ thống Windows NT dưới hình thức một Windows NT Workstations, Server hay
tham gia từ xa thông qua mạng. Mỗi người dùng trong hệ thống Windows NT bắt buộc phải có tên
(user name), tài khoản (account) và một mật khẩu (password) để tham gia vào tài khoản đó. Những
thông tin này sẽ được người quản trị mạng cung cấp và sẽ được lưu trữ trong cơ sở dữ liệu tài khoản
(Security Accounts database - Security Policy database). Sau này khi người dùng tham gia vào hệ
thống, bộ phận Local Security Authority (LSA) sẽ xác nhận tính hợp lệ của người đó dựa trên
những thông tin đã lưu trong cơ sở dữ liệu và những thông tin mà người dùng nhập vào trong quá
trình Logon. Tên người dùng là một chuỗi dài không quá 20 kí tự không phân biệt kiểu chữ hoa hay
thường và không được chứa những kí tự đặc biệt như: / \ [ ]: ; ! = , + # ? < >. Tên người dùng còn
được dùng như tên đăng nhập (logon name) duy nhất trên một vùng (domain) và là yêu cầu tối thiểu
khi tạo tài khoản người dùng. Mật khẩu người dùng một chuỗi dài không quá 14 kí tự có phân biệt
chữ hoa hay thường, duy nhất và được mã hóa để đảm bảo không thể đọc được từ bất kì người nào
trong hệ thống kể cả người quản trị. Sau khi xác nhận người dùng với hệ thống, LSA sẽ tạo ra một
Thẻ truy xuất bảo mật (Security Access Token - SAT) cho người dùng. SAT bao gồm một Số bảo

người đó sẽ được thừa hưởng những quyền (rights) và khả năng (capabilities) thao tác trên hệ thống
mà nhóm đó có. Ví dụ, nếu người dùng là thành viên của nhóm Administrators sẽ có thể thực hiện
các thao tác quản trị hệ thống như tạo mới tài khoản, thay đổi mật khẩu người dùng, thiết lập
quyền Nếu người dùng là thành viên của nhiều nhóm thì quyền của người đó là tập hợp của quyền
của tất cả các nhóm hội lại. Trên Windows NT có 3 thuật ngữ đều mang ý nghĩa thể hiện quyền hạn
của người dùng đối với hệ thống đó là Permissions, User rights và Built-in capabilities nhưng trong
thực tế chúng có ý nghĩa khác biệt. Ta có thể giải thích như sau: 1. Permissions (sự cho phép): ám
chỉ quyền hạn của người dùng liên quan đến việc sử dụng tài nguyên bao gồm những luật và thao
tác mà người đó có hoặc không thể thực hiện trên đối tượng tài nguyên đó. Những quyền hạn loại
này được lưu trữ trong Danh sách điều khiển truy cập ACL liên kết với một đối tượng tài nguyên.
Ví dụ, đối với tài nguyên file và thư mục có các quyền như Read, Write, Delete 2. User rights
(Quyền của người dùng): ám chỉ quyền hạn của người dùng liên quan đến những thao tác có liên
quan đến việc quản trị hệ thống như Shut down máy, đăng nhập, thay đổi thời gian hệ thống User
rights được phân phối ngầm định cho các nhóm cài sẵn và có thể phủ lấp cả Permissions. Ví dụ, khi
người dùng là thành viên của nhóm Backup Operators người đó có quyền Tạo dự phòng (backup)
và phục hồi dữ liệu (restore) cho dù có thể người đó không có các quyền (permissions) Read hay
Write. User rights và Permission có thể được thay đổi bởi người dùng thuộc nhóm Administrators.
3. Built-in capabilities: ám chỉ những khả năng mạnh liên quan đến việc quản trị hệ thống của
những nhóm cài sẵn như tạo mới tài khoản, chia sẻ tài nguyên, định dạng đĩa cứng trên máy
server Những khả năng này là ngầm định, không thể thay đổi bởi bất cứ ai kể cả Administrators.
Ví dụ: Quyền của người dùng trên máy NT Server Kí hiệu trong sơ đồ: Admin (Administrators), SO
(Server Operators), AO (Account Operators), PO (Print Operators), BO (Backup Operators), Ev
(Everyone). 3. Quá trình đăng nhập: Trước khi người dùng có thể thực hiện bất kì thao tác nào trong
hệ thống Windows NT, người đó phải trải qua một quá trình đăng kí thâm nhập – đăng nhập. Việc
đăng kí bao gồm việc nhập vào Tên người dùng (User name), Mật khẩu (Password) và Tên máy tính
(Computer name / Domain). Windows NT sẽ dùng Tên cho việc định danh và Mật khẩu để xác nhận
và để phân phối hay hạn chế quyền của người dùng sẽ dựa trên những thông tin đó. Ta có sơ đồ
đăng nhập của người dùng vào hệ thống: Cụ thể thể hiện qua các bước : 1. Người dùng nhấn tổ hợp
phím Ctrl+Alt+Del để bắt đầu quá trình đăng kí. Ctrl+Alt+Del là tổ hợp phím đặc biệt đánh dấu
việc bắt đầu tải hệ điều hành vào bộ nhớ và có thể tránh được việc một số chương trình bất hợp lệ

so sánh với các SID trong Thẻ truy xuất của người dùng. Nếu không giống thì việc so sánh chuyển
qua ACE tiếp theo. (Các ACE AccessDenied được xử lý trước các ACE AccessAllowed – Xem lại
phần I. Những thông tin về an toàn) 2. Nếu việc truy cập bị hoãn lại, hệ thống sẽ kiểm tra kiểu truy
cập trong Mặt nạ truy cập yêu cầu xem có phải là READ_CONTROL hay WRITE_DAC và người
muốn truy cập có phải là chủ sở hữu đối tượng hay không (Nếu người sử dụng là chủ sở hữu đối
tượng thì 2 kiểu truy cập READ_CONTROL và WRITE_DAC được gán tự động). Nếu đúng thì
quyền truy cập được phân phối cho người đó. 3. Đối với ACE AccessDenied, hệ thống sẽ so sánh
những kiểu truy cập trong ACE với Mặt nạ truy cập ở trên, nếu có bất kì truy cập nào trùng giữa 2
mặt nạ này thì truy xuất bị huỷ bỏ. Ngược lại sẽ so sánh đến ACE kết tiếp. 4. Đối với ACE
AccessAllowed, hệ thống cũng so sánh tương tự như bước 3. Nếu trùng thì người dùng sẽ được
phân phối quyền truy cập, ngược lại qua ACE kế tiếp. 5. Nếu đến cuối danh sách ACL mà Mặt nạ
truy cập yêu cầu vẫn không trùng thì việc truy cập bị hủy bỏ. 3. CƠ CHẾ AN TOÀN TRÊN FILE
VÀ THƯ MỤC: Đảm bảo tính an toàn dữ liệu là một trong những đặc tính rất ưu việt của Windows
NT và là một yêu cầu cơ bản của bất kì một hệ điều hành mạng nào. Trên Windows NT, một đối
tượng dữ liệu (file, thư mục) trong cùng một thời điểm có thể có nhiều người cùng truy cập đến.
Việc dùng chung như vậy gọi là sự chia sẻ file trên mạng, điều đó dẫn đến việc tính bảo mật và nhất
quán của dữ liệu có thể bị vi phạm. Để thực hiện điều đó, Windows NT đã cung cấp những khả
năng thiết lập cơ chế an toàn trên một đối tượng dữ liệu như đặt quyền hạn, thiết lập những giao tác
(transaction) trên một đối tượng dữ liệu, khả năng giám sát việc truy cập của người dùng Một
giao tác trên một đối tượng dữ liệu là một tập hợp các thao tác truy cập đến đối tượng dữ liệu đó sao
cho khi thành công một giao tác thì cũng tương ứng tất cả các thao tác cũng hoàn tất một cách trọn
vẹn, ngược lại nếu giao tác không thành công thì đảm bảo đối tượng dữ liệu trở về tình trạng ban
đầu lúc trước khi thực hiện giao tác. An toàn trên file và thư mục là một phần trong cơ chế an toàn
chung đối với mọi đối tượng trên Windows NT. Do đó, một số tính năng an toàn chung cũng được
áp dụng cho file và thư mục tương tự như các đối tượng khác. Ngoài ra, để có thể thực hiện cơ chế
an toàn đến một đối tượng file đòi hỏi Windows NT phải được cài với hệ thống file NTFS, đối với
FAT an toàn chỉ đến cấp thư mục. 1. Đối tượng file và việc điều khiển một thao tác trên file: Đối
tượng file là một sự logic hóa một tập hợp dữ liệu có cấu trúc hoặc không được lưu trữ trên thiết bị
lưu trữ. Do đó, khi thao tác trên một đối tượng file, có thể người sử dụng không cần biết cấu trúc
thật sự của file và cách mà hệ thống sử lí với nó. Một đối tượng file có thể chứa những dữ liệu đặc

FILE_READ_EA, FILE_WRITE_EA, FILE_EXECUTE, FILE_READ_ATTRIBUTES,
FILE_WRITE_ATTRIBUTES (xin xem phần I. Những thông tin về an toàn). Kiểu chung gồm:
FILE_GENERIC_READ, FILE_GENERIC_WRITE, FILE_GENERIC_EXECUTE. Có một sự
phân biệt giữa DACL rỗng (empty DACL) và DACL không được gán (unassigned DACL). Một
DACL rỗng có nghĩa là không có quyền truy cập nào cung cấp cho đối tượng đó và không ai được
phép truy cập, tuy nhiên, chủ sở hữu của đối tượng vẫn có thể thay đổi DACL và cung cấp lại các
quyền. DACL không được gán nghĩa là không có sự bảo vệ nào đối với đối tượng và mọi người đều
có quyền truy cập. 2. Quyền hạn trên file: a. Phân loại quyền: Các quyền (permissions – có thể gọi
là sự cho phép) được áp đặt đối với file và thư mục là khác nhau và được phân phối hay hạn chế tùy
thuộc thao tác truy cập đến đối tượng. Một đối tượng dữ liệu (file, thư mục) trên Windows NT được
cung cấp 2 loại quyền: quyền đặc biệt và quyền chuẩn. Các quyền đặc biệt gồm: 1. R (Read): đọc 2.
W (Write): viết 3. X (Execute): thực hiện 4. D (Delete): xóa 5. P (Change Permissions): thay đổi
quyền 6. O (Take Ownership): lấy quyền sở hữu Các thao tác và áp dụng quyền đặc biệt đối với
file : Các thao tác và áp dụng quyền đặc biệt đối với thư mục : Các quyền tiêu chuẩn gồm: 1. Các
quyền đối với file: 1. Read (RX) : đọc và chạy chương trình (nếu là file chương trình) 2. Change
(RWXD) : đọc, sửa và xóa file 3. Full Control (RWXDOP) : đọc, sửa, xóa, đặt quyền hạn và lấy
quyền sở hữu. 4. No Access : cấm truy cập, ngay cả khi người dùng là thành viên của nhóm đã được
cấp quyền truy cập. 2. Các quyền đối với thư mục được biểu diễn theo dạng sau: (Các quyền đối với
bản thân thư mục)(Các quyền thừa kế cho những file trong thư mục đó) 1. List (RX)(Không xác
định) : người dùng chỉ có quyền liệt kê file và thư mục con trong thư mục này. Ngoài ra, nếu người
dùng có quyền có thể thay đổi thư mục này và không thể truy cập đến những file mới tạo sau khi đặt
quyền này. 2. Read (RX)(RX) : đọc nội dung của file trong thư mục và chạy ứng dụng trong thư
mục đó. 3. Add (WX)(Không xác định) : có thể thêm file vào thư mục nhưng không thể đọc nội
dung hay thay đổi file. 4. Add & Read (RWX)(RX) : có thể thêm file, đọc nhưng không được sửa
nội dung. 5. Change (RWXD)(RWXD) : có thể thêm, đọc, sửa đổi nội dung và xóa file trong thư
mục. 6. Full Control (RWXDPO)(RWXDPO) : có thể thêm, đọc, sửa đổi, xóa, đặt quyền và lấy
quyền sở hữu của thư mục và các file trong thư mục đó. 7. No Access ()() : cấm truy cập. Ví dụ :
Một thư mục được áp đặt quyền là (RWX)(RX) có nghĩa là (RWX) là quyền đối với thư mục và
(RX) là quyền đối với các file trong thư mục đó. Như vậy người dùng có quyền thêm file vào trong
thư mục và đọc nó nhưng không được sửa đổi các file trong thư mục đó. Các thao tác và quyền

XÉT Windows NT là một hệ điều hành mạng có tính an toàn cao và được thiết kế kĩ lưỡng. Cơ chế
an toàn trên Windows NT dựa trên nền tảng là tiêu chuẩn an toàn C2 của Bộ quốc phòng Mỹ, là một
tiêu chuẩn rất khắt khe và là một mục tiêu trong thiết kế của bất kì một hệ điều hành mạng nào. Sự
an toàn thể hiện xuyên xuốt toàn bộ hệ thống bao gồm nhiều tính năng ưu việt như trong quản lí
người sử dụng, quản lí hệ thống file và an toàn dữ liệu, quản lí bộ nhớ, quản lí các môi trường con
và các thiết bị mạng … Đối với người dùng, Windows NT cung cấp nhiều khả năng trong việc thiết
lập, điều khiển và giám sát những hành vi truy cập từ khi người đó bắt đầu đăng nhập vào hệ thống
đến khi kết thúc việc tham gia, đảm bảo những truy cập của người dùng là hợp lệ tương ứng với
những quyền hạn mà người đó có được khi tham gia vào hệ thống, ngăn chặn những thao tác bất
hợp lệ có nguy cơ gây phương hại cho hệ thống và cho những đối tượng khác. Đối với an toàn dữ
liệu, Windows NT hỗ trợ hệ thống file an toàn NTFS và nhiều tính năng ưu việt về an toàn file trên
hệ thống file này, bao gồm khả năng thiết lập quyền truy cập đến một đối tượng file, giám sát những
thao tác trên file, khả năng khôi phục sau sự cố… Tất cả những tính năng an toàn đó đảm bảo hệ
thống Windows NT chạy ổn định và tin cậy trên mọi môi trường ứng dụng, đáp ứng được những
yêu cầu về an toàn trong thực tế và ngày càng đứng vững trên thị trường hệ điều hành mạng. Do
thời gian có hạn nên tài liệu biên soạn còn nhiều thiếu xót và chưa thể mô tả được hết mọi khía cạnh
bảo mật trên Windows NT. Một số thuật ngữ không thể dịch sát nghĩa Tiếng Việt nên tôi tạm dịch
kèm với từ gốc Tiếng Anh. Trên các hệ điều hành mới hiện nay như 2k/XP, cơ chế an toàn cũng
được phát triển nâng cao dựa trên nền tảng Windows NT, các bạn có thể dựa trên các kiến thức cơ
bản ở đây để tìm hiểu nâng cao và sâu hơn trên từng hệ thống cụ thể. Tài liệu tham khảo: 1.
Windows NT Server 4 Professional Reference, New Riders Publishing. 2. Windows NT Resource
Guide, Microsoft TechNet1997. 3. Win32 Programmer’s Reference, Microsoft Corp. 4. MSDN 5.
Internet Tác giả: W_Hat () Zorro () Phiên bản: 1.0 –
05/1999 by W_Hat 1.2 – 01/2003 by Zorro