บทที่ 6
การจัดการแฟ้มข้อมูลสำหรับเครือข่ายและความปลอดภัยของระบบข้อมูล
(Managing Network Files and File-System Security)

ระบบแฟ้มข้อมูลในวินโดวส์เอ็นทีที่ใช้กันทั่วไปได้แก่ NT File System(NTFS) และ FAT File System ซึ่งมีข้อดีข้อเสียที่แตกต่างกันและได้อธิบายไว้แล้วในบทก่อนๆ กล่าวโดยสรุปถ้าต้องการให้ระบบแฟ้มข้อมูลมีความปลอดภัยสูงสุดควรจะใช้ NTFS ซึ่งสามารถกำหนดการเข้าใช้แฟ้มข้อมูลและโฟลเดอร์ได้ละเอียดกว่า ซึ่งการอนุญาติให้เข้าใช้นั้นจะเรียกว่า Permission ซึ่งจะได้กล่าวต่อไป ในขณะที่ระบบ FAT ไม่สามารถทำได้

การเข้าถึงข้อมูลในเครื่องที่ Logon แบบ Local นั้นหากระบบแฟ้มข้อมูลเป็น NTFS ผู้ใช้ที่ต้องการใช้ข้อมูลจะต้องผ่านการตรวจสอบความปลอดภัยก่อนเข้าใช้งานแฟ้มข้อมูลหรือโฟลเดอร์นั้นๆ หากระบบแฟ้มข้อมูลเป็น FAT จะไม่ต้องผ่านการตรวจสอบ ซึ่งหมายถึงผู้ใช้นั้นสามารถเข้าถึงข้อมูลในไดรว์นั้นได้ทั้งหมด

การเข้าถึงข้อมูลในเครื่องที่เป็นแม่ข่ายผ่านระบบเครือข่าย จะต้องผ่านระบบความปลอดภัยระหว่างเครื่องก่อนโดยใช้หลักการของ Share Name กล่าวคือเครื่องที่จะให้บริการได้จะต้องกำหนดจุดที่ต้องการให้ผู้ใช้อื่นใช้เสียก่อนโดยตั้งชื่อเป็น Share Name ต่างๆและกำหนดสิทธิ์ในผู้ใช้ที่ต้องการให้เข้าใช้ เมื่อผู้ใช้ Map ชื่อ Share Name นั้นแล้วก็จะสามารถเข้ามาใช้ได้ ซึ่งถ้าหากระบบแฟ้มข้อมูลเป็น NTFS อีกก็จะต้องผ่านระบบความปลอดภัยที่ตรวจสอบ Permission อีกชั้นหนึ่ง

การกำหนด Share Name
Share Name เป็นชื่อที่กำหนดเพื่อให้เป็นทรัพยากรกลางที่จะให้เครื่องลูกข่ายอื่นๆเข้ามาใช้ร่วมกันได้ โดยที่ Share Name อาจเป็นโฟลเดอร์หรือเครื่องพิมพ์

ทรัพยากรเดียวกันบนเครื่องเอ็นทีสามารถกำหนดให้มี Share Name ได้หลายชื่อ เพื่อควบคุมระดับการเข้าถึงทรัพยากรโดยผู้ใช้ที่ต่างกัน Share Name จะต้องมีชื่อไม่ซ้ำกันสำหรับเครื่องคอมพิวเตอร์เครื่องหนึ่ง แต่ถ้าต่างเครื่องกันก็สามารถตั้งชื่อ Share Name ซ้ำกันได้

วิธีการกำหนด Share Name
สามารถกำหนดได้โดยใช้ Command Prompt ของ DOS ด้วยคำสั่ง NET SHARE หรือกำหนดโดยใช้ Explorer โดยทำการคลิกเมาส์ด้านขวา ณ จุดของโฟลเดอร์หรือเครื่องพิมพ์ที่ต้องการแชร์ ซึ่งจะปรากฎ Popup Menu ขึ้นมา ใน Popup Menu จะมีเมนู Sharing... เพื่อใช้กำหนด Share Name
นอกจากนี้ยังสามารถกำหนดได้โดยใช้โปรแกรม Server Manager ที่อยู่ในกลุ่มของ Administrator Tools โดยเรียกเมนู Computer/Share Directories...

การกำหนด Share Name โดยใช้ Explorer

  1. เรียก Windows NT Explorer ขึ้นมา
  2. คลิกเมาส์ด้านขวา ที่ โฟลเดอร์หรือเครื่องพิมพ์ที่ต้องการแชร์ จะเกิด Popup Menu ขึ้นมาดังรูป
  3. คลิกที่ Sharing... จะปรากฎจอภาพขึ้นมาดังรูป
  4. คลิกที่ Shared As: แล้วป้อนชื่อ Shared Name พร้อมทั้งกำหนดจำนวนผู้ใช้ที่ต้องการให้เข้ามาใช้ได้พร้อมๆก้นในส่วนของ User Limit  แล้วกด Permission... เพื่อกำหนดว่าใครจะเข้ามาใช้ได้บ้าง จะปรากฎจอภาพขึ้นมาดังรูป
  5. ถ้าต้องการให้ผู้ใช้รายได้เข้ามาใช้ได้ ให้กดปุ่ม Add... แล้วคลิกเลือกชื่อที่ต้องการ พร้อมทั้งบอกสิทธิ์ในการใช้เป็น Read/Change/Full Control หรือ No Access
  6. ตอบ OK เพื่อปิดจอภาพ Permission และ ตอบ OK เพื่อปิดจอภาพการสร้าง Share
การรักษาความปลอดภัยของระบบแฟ้มข้อมูลโดยใช้ File Permission
NTFS มี Permission แบ่งออกเป็น Special Permission และ Standard Permission รายละเอียดของแต่ละประเภทเป็นดังนี้
Permission ของโฟลเดอร์
งานที่ต้องการทำ
R
W
X
D
P
O
แสดงชื่อแฟ้มที่อยู่ในโฟลเดอร์
ได้
-
-
-
-
-
แสดงคุณสมบัติ(Attribute)ของโฟลเดอร์
ได้
-
ได้
-
-
-
สร้างแฟ้ม/โฟลเดอร์ ภายไต้โฟลเดอร์นั้น
-
ได้
-
-
-
-
เปลี่ยนคุณสมบัติ(Attribute)ของโฟลเดอร์
-
ได้
-
-
-
-
เปลี่ยนตำแหน่งไปยังโฟลเดอร์ย่อย
-
-
ได้
-
-
-
แสดงชื่อ Owner และ Permission
ได้
ได้
ได้
-
-
-
ลบโฟลเดอร์
-
-
-
ได้
-
-
เปลี่ยน Permission ของโฟลเดอร์
-
-
-
-
ได้
-
เปลี่ยนชื่อเจ้าของ(Owner)
-
-
-
-
-
ได้
ในกรณีที่ผู้ใช้ได้ทำการสร้างโฟลเดอร์/แฟ้มข้อมูลใหม่ในระบบแฟ้มข้อมูลแบบ NTFS วินโดวส์เอ็นทีจะนำเอา Permission ของโฟลเดอร์แม่(Parent Directory) มาเป็น Permission ของโฟลเดอร์/แฟ้มข้อมูลใหม่นั้นโดยอัตโนมัติ ซึ่งเรียกกระบวนการนี้ว่า "permission inheritance"

ตารางต่อไปนี้แสดงถึงรายละเอียดของ Standard Permission

Standard Permission ของแฟ้มข้อมูล
งานที่ต้องการทำ
No Access Read Change Full Control
แสดงชื่อเจ้าของและ Permission
-
ได้
ได้
ได้
ดูข้อมูลภายในแฟ้ม
-
ได้
ได้
ได้
แสดง Attribute ของแฟ้ม
-
ได้
ได้
ได้
เปลี่ยนแปลง Attribute ของแฟ้ม
-
-
ได้
ได้
เพิ่มข้อมูลและเปลี่ยนแปลงข้อมูลในแฟ้ม
-
-
ได้
ได้
เรียกโปรแกรมมารัน
-
ได้
ได้
ได้
ลบแฟ้ม
-
-
ได้
ได้
เปลี่ยน Permission ของแฟ้ม
-
-
-
ได้
เปลี่ยนชื่อเจ้าของ
-
-
-
ได้

Standard Permission ของโฟลเดอร์

งานที่ต้องการทำ
No Access
List
Read
Add
Add&Read
Change
Full Control
แสดงชื่อแฟ้มข้อมูลในโฟลเดอร์
-
ได้
ได้
-
ได้
ได้
ได้
แสดงคุณสมบัติของโฟลเดอร์
-
ได้
ได้
ได้
ได้
ได้
ได้
เปลี่ยนตำแหน่งไปโฟลเดอร์ย่อย
-
ได้
ได้
ได้
ได้
ได้
ได้
เปลี่ยนคุณสมบัติของโฟลเดอร์
-
-
-
ได้
ได้
ได้
ได้
เพิ่มแฟ้มและโฟลเดอร์ย่อย
-
-
-
ได้
ได้
ได้
ได้
แสดง Permission และชื่อเจ้าของ
-
ได้
ได้
ได้
ได้
ได้
ได้
ลบโฟลเดอร์
-
-
-
-
-
ได้
ได้
เปลี่ยน Permission ของโฟล์เดอร์
-
-
-
-
-
ได้
ได้
เปลี่ยนชื่อเจ้าของโฟลเดอร์
-
-
-
-
-
-
ได้

ข้อควรระวังในการกำหนด Permission

การกำหนด Permission
การกำหนด Permission ของทรัพยากรต่างๆสามารถกำหนดให้กับผู้ใช้แบบต่างๆดังนี้ วิธีการกำหนด Permission
  1. Logon เป็น Administrator ที่เครื่องเอ็นทีเซอร์ฟเวอร์
  2. เรียกโปรแกรม Windows NT Explorer
  3. คลิกที่โฟลเดอร์ที่ต้องการกำหนด Permission
  4. คลิกเมาส์ปุ่มขวา เพื่อเรียกเมนูขึ้นมาแล้วเลือก Properties จะปรากฎจอภาพขึ้นมา แล้วคลิกที่ Security Tab จะปรากฎลักษณะจอภาพดังรูป
  5. คลิกที่ปุ่ม Permission จะปรากฎจอภาพ Directory Permission ซึ่งมีลักษณะคล้ายกับ Permission ของ Share Name แต่มีความแตกต่างกันตรงที่ Permission ของ Share Name จะมีรายการในช่อง Type of Access น้อยกว่า ดังรูป
  6. เพิ่มชื่อผู้ใช้และ Type of Access ที่ต้องการ โดยกด Add จะปรากฎจอภาพ ดังรูป
  7. เมื่อเลือกชื่อที่ต้องการและ Type of Access แล้วให้ตอบ OK จะกลับมาที่จอภาพ Directroy Permission ซึ่งในจุดนี้สามารถกำหนด Special Permission เพิ่มเติมได้ เมื่อกำหนดเสร็จแล้วให้ตอบ OK สองครั้ง เพื่อจบโปรแกรมสำหรับกำหนด Permission

  8.  หมายเหตุ
    ที่จอภาพ Directory Permission จะมี Check Box 2 อันคือ แต่ละอันมีความหมายดังนี้
Auditing
การแกะรอยผู้ใช้ในการปฎิบัติงานกับทรัพยากร ทำได้โดยการกำหนด Auditing ให้กับทรัพยากรนั้นๆ การแกะรอยสามารถทำได้โดยละเอียดในเรื่องการปฏิบัติงานต่างๆ เช่น กำหนดการแกะรอยเมื่อมีการ อ่าน,เขียน,execute,ลบ,แก้ไขข้อมูลในแฟ้ม,การเปลี่ยน Permission,การเปลี่ยน Owner ship เป็นต้น ทั้งในกรณีที่ทำงานได้สำเร็จและไม่สำเร็จ เมื่อได้กำหนดให้มีการ Audit แล้ววินโดวส์เอ็นทีจะบันทึกข้อมูลการแกะรอยดังกล่าวไว้ใน Event Viewer Log ซึ่งสามารถเปิดดูได้โดยใช้เมนู Server/ Security ในโปรแกรม Event Viewer

วิธีการกำหนดให้ใช้ Audit ได้ จะต้องกำหนด Audit Policy ให้เป็น Enable ไว้เสียก่อนโดยใช้โปรแกรม User Manager for Domain ที่เมนู Policy/Audit/Audit These Event ดังรูป

ใน Audit Policy จะมีรายละเอียดเพิ่มเติมที่สามารถ Audit ได้คือ เมื่อได้ทำการ Enable ให้มีการ Audit แล้ว กระบวนการต่อไปที่ต้องทำเพื่อให้เกิดการ audit คือการกำหนดให้ ทรัพยากรที่ต้องการให้มีการแกะรอยตามรายการที่ต้องการข้างต้นโดยผ่านโปรแกรม Explorer

วิธีการกำหนดการ Audit ของไฟล์หรือโฟลเดอร์

  1. เรียกโปรแกรม Explorer
  2. คลิกปุ่มขวาของเมาส์ที่ไฟล์หรือโฟลเดอร์ที่ต้องการ audit จะปรากฎ Popup Menu ขึ้นมา
  3. เลือก Properties... จะขึ้นจอภาพของ Properties
  4. คลิกที่ Security Tab แล้วกดปุ่ม Audit จะปรากฎจอภาพดังรูป
  5. ถ้าต้องการ Audit รหัสผู้ใช้หรือกลุ่มผู้ใช้ใด ก็ทำการ add ผู้ใช้หรือกลุ่มผู้ใช้เข้าไป  โดยกดปุ่ม Add ซึ่งเมื่อกดปุ่ม Add แล้วจะปรากฎจอภาพดังรูป
  6. เลือกรหัสผู้ใช้หรือกลุ่มผู้ใช้ที่ต้องการแกะรอย แล้วตอบ OK จะกลับมาที่จอภาพ Directory Auditing จากนั้น ทำการเลือกการปฎิบัติงานที่ต้องการแกะรอย ทั้งในแง่ที่การปฎิบัติงานสำเร็จหรือไม่สำเร็จ
  7. ตอบ OK สองครั้งเพื่อปิดจอภาพ
                                                                                                                                          ถ้าต้องการดูรายละเอียดการ Audit ที่วินโดวส์เอ็นทีเก็บไว้ ให้ใช้โปรแกรม Event Viewer โดยใช้เมนู Log/Security ก็จะปรากฎรายการ audit ที่เกิดขึ้นดังรูป

BACK  Chapter 1/ Chapter 2 /Chapter 3 / Chapter 4 / Chapter 5 / Chapter 6 / Chapter 7 / Chapter 8 / Chapter 9  NEXT
Chapter 10 / Chapter 11 / Reference
1