CƠ CHẾ AN TOÀN TRÊN WINDOWS NT - PHẦN II

PHẦN II (Và hết)
3.Thừa kế quyền: Các đối tượng trên Windows NT có thể được phân làm 2
loại: đối tượng container (hay đối tượng cha) và non-container. Đối tượng
container về mặt logic có thể chứa những đối tượng khác (chẳng hạn như đối
tượng thư mục có thể chứa các đối tượng file) còn đối tượng non-container
thì không chứa đối tượng khác (như đối tượng file). Như vậy, khi một đối
tượng được tạo bên trong một đối tượng khác thì nó sẽ được thừa hưởng
những quyền hạn của đối tượng cha đó. Ví dụ: Khi ta tạo một thư mục con
TOAN bên trong thư mục D:\BAITAP thì thư mục con TOAN sẽ được thừa
hưởng những quyền của thư mục D:\BAITAP Theo ngầm định, khi ta thay
đổi những quyền trên thư mục cha thì sự thay đổi chỉ có hiệu lực đối với thư
mục đó và những file bên trong nó nhưng không có hiệu lực đối với các thư
mục con và nội dung của thư mục con đó. Tuy nhiên, ở hộp thoại Directory
Permissions ta có thể làm cho những thay đổi có hiệu lực bằng cách chọn
tùy chọn Replace Permissions on Subdirectory và Replace Permissions on
Existing File. 4. Ghi nhận hoạt động của hệ thống: Một trong những mục
tiêu rất quan trọng của Windows NT là đảm bảo hệ thống hoạt động một
cách có hiệu quả và độ tin cậy cao. Vì vậy, Windows NT cung cấp những
tính năng cho phép theo dõi và ghi nhận những hoạt động của toàn bộ hệ
thống thông qua khả năng giám sát những sự kiện (Event) đang xảy ra.
Những sự kiện này bao gồm sự kiện liên quan đến an toàn hệ thống và sự
kiện liên quan đến người dùng. Nhờ vậy, khi có bất kì sự cố nào xảy ra có
nguy cơ gây phương hại đến tính an toàn của hệ thống, Windows NT sẽ đảm
bảo việc hạn chế và ngăn chặn lỗi, kiểm tra và định vị lỗi đó. Mỗi sự kiện
trong hệ thống đều có chứa những thông tin giúp phân định bao gồm: Event
ID (định danh), Source (nơi phát sinh sự kiện), Type (kiểu sự kiện),
Category (loại sự kiện) và các thông tin khác phụ thuộc vào loại và kiểu sự
kiện. Các sự kiện có thể phân làm 7 loại: 1. Account Management (Quản lý
người dùng và nhóm người dùng): mô tả những sự kiện liên quan đến việc

một người dùng vào nhóm local 4. 642: User Account Changed : thay đổi
trên tài khoản người dùng 3. Quản lý hệ thống 1. 512: Windows NT Starting
Up : Wins NT bắt đầu khởi động 2. 514: Authentication package Loaded :
tiến trình xác nhận trong quá trình đăng nhập được gọi (xem thêm quá trình
đăng nhập của người dùng phần sau) Để có thể theo dõi được những sự kiện
phát sinh khi thực hiện một thao tác đòi hỏi người dùng phải tham gia vào hệ
thống với tư cách là Server Administrator để có thể thiết lập cơ chế xác nhận
các sự kiện và dùng tiện ích User Manager for Domains để thiết lập cơ chế
xác nhận bằng chức năng Audit Policy: 2. ĐỐI TƯỢNG NGƯỜI DÙNG
VÀ QUÁ TRÌNH ĐĂNG NHẬP 1. Những thông tin về người dùng: Đối
tượng người dùng hay người dùng đơn giản là những người tham gia vào hệ
thống. Họ có thể tham gia vào hệ thống Windows NT dưới hình thức một
Windows NT Workstations, Server hay tham gia từ xa thông qua mạng. Mỗi
người dùng trong hệ thống Windows NT bắt buộc phải có tên (user name),
tài khoản (account) và một mật khẩu (password) để tham gia vào tài khoản
đó. Những thông tin này sẽ được người quản trị mạng cung cấp và sẽ được
lưu trữ trong cơ sở dữ liệu tài khoản (Security Accounts database - Security
Policy database). Sau này khi người dùng tham gia vào hệ thống, bộ phận
Local Security Authority (LSA) sẽ xác nhận tính hợp lệ của người đó dựa
trên những thông tin đã lưu trong cơ sở dữ liệu và những thông tin mà người
dùng nhập vào trong quá trình Logon. Tên người dùng là một chuỗi dài
không quá 20 kí tự không phân biệt kiểu chữ hoa hay thường và không được
chứa những kí tự đặc biệt như: / \ [ ]: ; ! = , + # ? < >. Tên người dùng còn
được dùng như tên đăng nhập (logon name) duy nhất trên một vùng
(domain) và là yêu cầu tối thiểu khi tạo tài khoản người dùng. Mật khẩu
người dùng một chuỗi dài không quá 14 kí tự có phân biệt chữ hoa hay
thường, duy nhất và được mã hóa để đảm bảo không thể đọc được từ bất kì
người nào trong hệ thống kể cả người quản trị. Sau khi xác nhận người dùng
với hệ thống, LSA sẽ tạo ra một Thẻ truy xuất bảo mật (Security Access
Token - SAT) cho người dùng. SAT bao gồm một Số bảo mật (SID), những

trên thư mục này. Để có thể áp đặt quyền hạn của người dùng đối với một
file hay thư mục, có thể dùng trình quản lý file NT Explorer, chọn mục
Permissons trên trình đơn hay trên menu con khi nhấn nút phải chuột vào
một file hay thư mục. Ví dụ: Một số quyền (Permissions) cơ bản mà người
dùng có thể có đối với một file xác định: đọc (Read), viết (Write), xóa
(Delete), thay đổi quyền (Change Permission), thi hành (Execute), lấy quyền
sở hữu (Take Ownership), cấm truy cập (No Access)... Hầu hết người dùng
trong Windows NT đều thuộc ít nhất một nhóm cài sẵn (built-in group) nào
đó như Administrators, Guests, Users...và do đó, ngầm định người đó sẽ
được thừa hưởng những quyền (rights) và khả năng (capabilities) thao tác
trên hệ thống mà nhóm đó có. Ví dụ, nếu người dùng là thành viên của nhóm
Administrators sẽ có thể thực hiện các thao tác quản trị hệ thống như tạo mới
tài khoản, thay đổi mật khẩu người dùng, thiết lập quyền...Nếu người dùng
là thành viên của nhiều nhóm thì quyền của người đó là tập hợp của quyền
của tất cả các nhóm hội lại. Trên Windows NT có 3 thuật ngữ đều mang ý