บทที่ 11 การบริหารระบบเครือข่าย

บทที่ 11 การบริหารระบบเครือข่าย

การใช้ทรัพยากรร่วมกันในเครือข่าย

          การแชร์ข้อมูลหรือการใช้ทรัพยากรร่วมกันนั้น จะว่าไปแล้วก็นับเป็นคุณสมบัติเด่นอีกอันหนึ่งที่เชิดชูระบบเครือข่ายคอมพิวเตอร์อย่างยิ่ง ทั้งนี้เพราะคุณสมบัติดังกล่าวช่วยให้หน่วยงานสามารถประหยัดงบประมาณในการจัดหาทรัพยากรทางอิเล็กทรอนิกส์ได้ปีละไม่น้อยเลยทีเดียวครับ โดยเฉพาะอย่างยิ่งการใช้หน่วยเก็บข้อมูล (Storage Unit) เช่นฮาร์ดดิสก์ หรืออุปกรณ์อื่นๆ เช่นเครื่องพิมพ์เลเซอร์ เครื่องเล่นดีวีดี แบบนี้เป็นต้น

แต่แน่นอนครับ เมื่อข้อดีก็ย่อมต้องมีข้อด้อยตามมา ตามกฎเกณฑ์ทางธรรมชาติที่ไม่ผู้ใดจะลบล้างได้ (ทั้งๆ ที่อยากจะลบกฎนี้ทิ้งอย่างยิ่ง) โดยเฉพาะหากเป็นการใช้งานโดยคนหมู่มากด้วยแล้ว ปัญหาก็ยิ่งมีมากทวีคูณ แต่จะทำอย่างไรได้ในเมื่อการใช้งานร่วมกันก็เป็นนโยบายของหน่วยงานและเป็นสิ่งจำเป็นที่ต้องทำ ในขณะเดียวกันปัญหาเรื่องความปลอดภัยของข้อมูลก็เป็นเรื่องที่ต้องคำนึงถึงและมีความสำคัญอย่างยิ่ง ทางออกก็คือพยายามหาทางป้องกัน โดยบางคนอาจจะใช้โปรแกรมสำเร็จรูปที่มีฟังก์ชันในการทำงานที่สามารถปกป้องข้อมูลสำคัญๆ ที่ต้องใช้ร่วมกันได้ หรือบางคนอาจจะใช้วิธีการแชร์แบบอาศัยรหัสผ่าน โดยบอกรหัสนี้กับคนที่ตนเองต้องการแชร์ข้อมูลด้วยเท่านั้น

ทั้งสองวิธีที่กล่าวมานี้เป็นวิธีที่พวกเราส่วนใหญ่ใช้กันอยู่ในปัจจุบัน ซึ่งโปรแกรมสำเร็จรูปที่มีความสามารถในด้านการรักษาความปลอดภัยที่มีอยู่ในท้องตลาดขณะนี้ หลายๆ ตัวยังมีความสามารถไม่เพียงพอ แถมบางตัวยังมีราคาแพง ยิ่งไปกว่านั้นโปรแกรมบางตัวใช้งานยากมาก วิธีการและขั้นตอนซับซ้อนวุ่นวายน่าปวดหัวอย่างมาก ส่วนวิธีการใช้รหัสผ่านบอกต่อเพื่อนสนิทนั้นก็ไม่ปลอดภัยเท่าที่ควร เพราะเผื่อว่าผู้ที่หวังดีแต่ประสงค์ร้ายรู้เข้า ก็อาจจะเข้ามารบกวน หรือก่อความเสียหายให้เครื่องและข้อมูลของเราได้

ด้วยเหตุนี้เอง โปรแกรมระบบปฏิบัติการวินโดวส์ เอ็กซ์พี รุ่น Professional หรือ วินโดวส์ เอ็นที จึงได้ผนวกความสามารถในการปกป้องข้อมูลที่มีการใช้ร่วมกันเข้าไว้เป็นฟังก์ชันหนึ่งของโปรแกรม ดังนั้น จึงนับเป็นโชคดีของผู้ที่ใช้ระบบปฏิบัติการดังกล่าว แต่อย่างไรก็ตามระบบนี้ไม่ได้กำหนดให้ทำงานแบบอัตโนมัติ ดังนั้น ผู้ใช้หรือเจ้าของเครื่องจะต้องทำการกำหนด หรือตั้งค่าตัวเลือกในการทำงานก่อนจึงจะสามารถใช้งานได้ในบทความนี้ผมจึงได้นำเสนอวิธีการตั้งค่าตัวเลือกต่างๆ ในWindows XP Pro เพื่อให้สามารถแชร์ข้อมูลได้อย่างปลอดภัย และยิ่งไปกว่านั้นเรายังสามารถกำหนดสิทธิ์ให้กับผู้ใช้แต่ละคนได้ตามที่เราต้องการ โดยไม่จำเป็นต้องบอกหรืออาศัยรหัสผ่านใดๆ และทั้งหมดนี้ทำได้โดยไม่ต้องติดตั้งโปรแกรมเสริมเพิ่มเติมแต่อย่างไร...ถ้าสนใจก็ตามมาเลยครับ

เตรียมการ

โปรแกรม วินโดวส์ เอ็กซ์พี สามารถใช้งานระบบไฟล์แบบ NTFS เช่นเดียวกันกับที่ใช้ในวินโดวส์ เอ็นที ได้ และโดยการใช้งานระบบไฟล์แบบนี้เราจึงสามารถกำหนดตัวเลือกในการเข้าถึงข้อมูลได้มากกว่าระบบไฟล์แบบ FAT หรือ FAT32 ดังนั้น ก่อนอื่นเราต้องตรวจสอบดูว่าฮาร์ดดิสก์ของเราฟอร์แมตด้วยะบบไฟล์แบบใด โดยดับเบิลคลิ้กที่ My Computer

จากนั้นคลิ้กขวาที่ไดรฟ์ที่ต้องการตรวจสอบ แล้วเลื่อนแถบแสงมาคลิ้กที่รายการ Properties จะได้หน้าต่าง

เราจะพบว่าฮาร์ดดิสก์ลูกนี้ใช้ระบบไฟล์แบบ FAT ธรรมดา ซึ่งเราไม่สามารถกำหนดค่าในการรักษาความปลอดภัยข้อมูลได้เลย จึงต้องเปลี่ยนระบบไฟล์ของฮาร์ดดิสก์เสียก่อน ซึ่งต้องใช้คำสั่ง Convert เพื่อแปลงระบบไฟล์จาก FAT หรือ FAT32 ให้เป็น NTFS โดยคลิ้กที่ปุ่ม Start, Run จากนั้นพิมพ์คำสั่งในช่องรับข้อความแล้วกดปุ่ม OK คำสั่งในการแปลงระบบไฟล์มีรูปแบบและการใช้งานดังนี้

Syntax

convert [volume] /fs:ntfs [/v] [/cvtarea:FileName] [/nosecurity] [/x]

Parameters

Volume: ชื่อไดรฟ์ที่ต้องการแปลงเป็น NTFS.

/v : กำหนดให้แจ้งรายละเอียดในขณะทำงาน

/cvtarea: FileName ตัวเลือกนี้สำหรับผู้ใช้ที่มีความรู้ความเข้าใจในระบบไฟล์ NTFS เป็นอย่างดี ซึ่งตัวเลือกนี้ไม่จำเป็นต้องกำหนดก็ได้

/nosecurity: กำหนดให้ไฟล์และโฟลเดอร์ที่แปลงแล้วสามารถเข้าถึงได้โดยผู้ใช้ทุกๆ คน

/x : Dismount ดิสก์ก่อนที่จะแปลง(ถ้าจำเป็นต้องทำ)

ตัวอย่างเช่น ต้องการแปลงไดรฟ์ E เป็นระบบไฟล์แบบ NTFS จะต้องพิมพ์คำสั่ง

convert e: /fs:ntfs /v

หลังจากแปลงระบบไฟล์แล้วเราจะพบว่าคุณสมบัติของฮาร์ดดิสก์จะเปลี่ยนไป โดยจะแสดงให้เห็นดังรูปที่ 3 (ในที่นี้เครื่องต้องต่ออยู่กับระบบเครือข่ายด้วย)

เราจะพบว่ามีแท็บ Security และแท็บ Quota เพิ่มเข้ามา และนอกจากนั้นยังมีตัวเลือกในการบีบอัดข้อมูลปรากฏอยู่ที่ด้านล่าง เพื่อช่วยให้เราสามารถประหยัดพื้นที่ในการจัดเก็บข้อมูล และค่าที่ตั้งไว้โดยทั่วไปจะกำหนดให้ผู้ใช้ในกลุ่ม Administrator ทุกคนสามารถเข้าถึงข้อมูลได้อย่างเต็มรูปแบบทั้งอ่าน เขียน แก้ไข และสั่งให้ไฟล์โปรแกรมทำงาน

การกำหนดสิทธิ์การเข้าถึงข้อมูล (access) ของผู้ใช้ ถ้าเรากำหนดโดยดิสก์ หรือพาร์ติชันแบบนี้จะมีผลกับไฟล์และโฟลเดอร์ทุกตัวในฮาร์ดดิสก์ แม้ว่ากลุ่ม User จะถูกจำกัดให้การเข้าถึงไฟล์ข้อมูลทำได้เพียงการอ่านข้อมูล ดูรายละเอียดตามรายการหัวข้อ หรือการสั่งให้ไฟล์โปรแกรมทำงานดังรูปที่ 5 แต่ก็จะยังมีความเสี่ยงในแง่ของการรักษาความปลอดภัย ทั้งนี้เนื่องจากผู้ใช้ในกลุ่มนี้สามารถเข้าถึงข้อมูลได้ทุกไฟล์ในฮาร์ดดิสก์นั่นเอง

เราสามารถควบคุมกลุ่มผู้ใช้โดยจำกัดการเข้าถึงข้อมูลในฮาร์ดดิสก์ได้โดยการคลิ้กเครื่องหมายถูกในช่อง Deny ดังแสดงให้เห็น

เมื่อเรากำหนดสิทธิ์การเข้าถึงข้อมูล จะพบว่ามีหน้าต่างแจ้งเตือนถึงการเข้าถึงข้อมูลของผู้ใช้กลุ่มนี้ โดยจะแจ้งให้ทราบว่าผู้ใช้ทุกคนในกลุ่มนี้จะได้รับสิทธิ์เท่าเทียมกั

หากเราต้องการกำหนดสิทธิ์ให้กับผู้ใช้คนใดคนหนึ่งในกลุ่ม ”Users” นี้สามารถเข้าถึงข้อมูลได้ หรือมีสิทธิ์ในการใช้งานข้อมูลตามที่เราต้องการก็สามารถทำได้โดยอันดับแรกให้ยกเลิก ตัวเลือกในการกำหนดสิทธิ์ต่างๆ ทั้งหมดออกก่อ

เพื่อให้เราทำการเลือกกลุ่มของผู้ใช้ที่เราต้องการให้สิทธิ์ในการเข้าถึงข้อมูลบางโฟลเดอร์เท่านั้น

เมื่อเรากำหนดสิทธิ์การเข้าถึงข้อมูล จะพบว่ามีหน้าต่างแจ้งเตือนถึงการเข้าถึงข้อมูลของผู้ใช้กลุ่มนี้ โดยจะแจ้งให้ทราบว่าผู้ใช้ทุกคนในกลุ่มนี้จะได้รับสิทธิ์เท่าเทียมกัน

หากเราต้องการกำหนดสิทธิ์ให้กับผู้ใช้คนใดคนหนึ่งในกลุ่ม ”Users” นี้สามารถเข้าถึงข้อมูลได้ หรือมีสิทธิ์ในการใช้งานข้อมูลตามที่เราต้องการก็สามารถทำได้โดยอันดับแรกให้ยกเลิก ตัวเลือกในการกำหนดสิทธิ์ต่างๆ ทั้งหมดออกก่อน

เมื่อยกเลิกสิทธิ์ทั้งหมดแล้วจากนั้นคลิ้กที่ไดรฟ์ หรือโฟลเดอร์ที่ต้องการกำหนดสิทธิ์ให้ผู้ใช้(เฉพาะราย) เสร็จแล้วคลิ้กที่ปุ่ม Add

ถ้าหากเราไม่รู้จักชื่อเครื่อง หรือไม่แน่ใจในชื่อเครื่องที่เราต้องการกำหนดสิทธิ์ให้ ก็ให้เราคลิ้กที่ปุ่ม Advance ซึ่งจะปรากฏหน้าจอสำหรับช่วยค้นหาเครื่องคอมพิวเตอร์ในเครือข่าย

เมื่อเราคลิ้กที่ปุ่ม Find Now โปรแกรมก็จะแสดงรายชื่อสมาชิกในกลุ่มที่เราต้องการออกมาให้ดู เสร็จแล้วดับเบิลคลิ้กที่รายชื่อสมาชิกที่เราต้องการกำหนดสิทธิ์ให้จะได้หน้าจอ

เมื่อเราตรวจสอบจนมั่นใจแล้วว่าเป็นสมาชิกในกลุ่มที่เราต้องการให้คลิ้กที่ปุ่ม OK โปรแกรมก็จะมีหน้าจอในการกำหนดสิทธิ์โผล่ขึ้นมา

กำหนดสิทธิ์การเข้าถึงข้อมูลของผู้ใช้ในกลุ่มแบบเฉพาะราย

จากนั้นให้ทำการกำหนดสิทธิ์ของผู้ใช้รายนี้ได้ตามต้องการ โดยเลื่อนตัวชี้เมาส์ไปคลิ้กเครื่องหมายถูกลงในช่องสี่เหลี่ยมหน้าตัวเลือกในรายการที่ต้องการ และหากต้องการกำหนด เพิ่มเติมให้คลิ้กที่ปุ่ม Advanced เสร็จแล้วให้คลิ้กปุ่ม OK เพื่อออกจากหน้าต่างในการกำหนดค่าการเข้าถึงข้อมูล หรือหากต้องการกำหนดสิทธิ์ให้ผู้ใช้รายอื่นๆ อีก ก็ให้ทำซ้ำตามขั้นตอนที่ได้กล่าวมาแล้ว

หลังจากที่กำหนดสิทธิ์ให้ผู้ใช้เรียบร้อยแล้วหากเราทดลองใช้งานเครือข่าย โดยให้ผู้ใช้รายอื่นๆ ที่ไม่ได้รับสิทธิ์ในการเข้าถึงข้อมูล ลองพยายามเรียกใช้ หรือเปิดโฟลเดอร์ที่มีการกำหนดสิทธิ์การใช้งานเฉพาะรายจะพบว่าไม่สามารถเข้าถึงข้อมูลได้ โดยจะมีหน้าต่างแสดงข้อความแจ้งดังรูปที่ 14

การกำหนดสิทธิ์ (grant) การเข้าถึงข้อมูลในฮาร์ดดิสก์นับว่ามีประโยชน์อย่างมาก และที่สำคัญเรา ไม่จำเป็นต้องหาโปรแกรมสำเร็จรูปให้ลำบาก การปกป้องข้อมูลโดยวิธีนี้นับว่ามีความปลอดภัยค่อนข้างสูง แต่ก็ไม่ได้หมายความว่าจะสามารถป้องกันความเสียหายของข้อมูลได้ร้อยเปอร์เซ็นต์นะครับ ทางที่ดีเราเองผู้เป็นเจ้าของข้อมูลก็จะต้องคอยตรวจตราสอดส่งดูแลความเรียบร้อยของข้อมูล ตลอดจนเสาะหาร่องรอยการเข้ามารบกวนข้อมูลในเครื่องของเราอย่างสม่ำเสมอ ก็จะช่วยได้มากขึ้นครับ

ก่อนจากกันฉบับนี้ก็อยากจะฝากคุณผู้อ่านไว้ว่า ไม่มีโปรแกรม หรือวิธีการป้องกันใดๆ ที่ได้ผลเต็มร้อยเปอร์เซ็นต์หรอกครับ ถ้าหากในองค์กร หน่วยงาน หรือประเทศชาติของเรายังมีบุคคลที่มีจิตสำนึกที่ไม่ดีมีจิตใจที่มุ่งแต่จะกระทำการที่เป็นผลเสียต่อส่วนรวม ดังนั้นหนทางในการป้องกัน ปกป้องข้อมูลหรือระบบเครือข่ายที่ดีที่สุดก็คือ การขจัดจิตสำนึกที่ไม่ดีต่อหน่วยงาน องค์กร หรือเทคโนโลยี ออกจากตัวบุคคล โดยเริ่มที่ตัวเราก่อน