МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ „ЛЬВІВСЬКА ПОЛІТЕХНІКА”
УПРАВЛІННЯ КОРИСТУВАЧАМИ І ГРУПАМИ, СПІЛЬНИЙ ДОСТУП ДО ОБ'ЄКТІВ ФАЙЛОВОЇ СИСТЕМИ У WINDOWS XP
МЕТОДИЧНІ ВКАЗІВКИ
до виконання лабораторних робіт
з дисципліни „Адміністрування та безпека комп’ютерів”
для студентів спеціальності
Затверджено
на засіданні кафедри
програмного забезпечення
Протокол № 6 від 19.02.2007 р.
Львів – 2007
Управління користувачами і групами, спільний доступ до об'єктів файлової системи у Windows XP: Методичні вказівки до виконання лабораторних робіт з дисципліни „Адміністрування та безпека комп’ютерів” для студентів спеціальності „Програмне забезпечення автоматизованих систем” / Укл.: В.С. Яковина, О.Є. Білас – Львів: Видавництво Національного університету „Львівська політехніка”, 2007. – 41 с.
Укладачі Яковина В.С., канд. фіз.-мат. наук, доц.
Білас О.Є., канд. техн. наук, доц.
Відповідальний за випуск Федасюк Д.В., д-р тех. наук, проф.
Рецензенти Федорчук Є.Н., канд. тех. наук, доц.
Демида Б.А., канд. тех. наук, доц.
Лабораторна робота № 1.
УПРАВЛІННЯ КОРИСТУВАЧАМИ І ГРУПАМИ В WINDOWS XP.
Мета роботи: Навчитись виконувати адміністративні задачі управління користувачами і групами локального комп’ютера під управлінням ОС Windows XP Professional; створювати і використовувати переміщувані та обов’язкові профілі користувачів.
Теоретичні відомості.
Створення облікових записів і груп займає важливе місце в забезпеченні безпеки усіх операційних систем і окрема Windows, оскільки, призначаючи їм права доступу і привілеї, адміністратор дістає можливість обмежити користувачів в доступі до конфіденційної інформації комп'ютерної мережі, дозволити або заборонити їм виконання в мережі певної дії, наприклад архівацію даних або завершення роботи комп'ютера.
Для роботи з локальними обліковими записами використовується оснащення "Local Users and Groups". Управління доменними обліковими записами ведеться централізовано на контролерах домену, при цьому використовується оснащення "Active Directory Users and Computers". Управління локальними обліковими записами на контролерах домену неможливе.
Оснащення Local Users and Groups
Оснащення Local Users and Groups (Локальні користувачі і групи) – це інструмент ММС, за допомогою якого виконується управління локальними обліковими записами користувачів і груп – як на локальному, так і на віддаленому комп'ютері. Запускати оснащення може будь-який користувач. Виконувати адміністрування облікових записів можуть тільки адміністратори і члени групи Power Users (Досвідчені користувачі).
Приклад вікна оснащення Local Users and Groups приведений на рис. 1.
Папка Users
Відразу після установки системи Windows ХР папка Users (Користувачі) містить три автоматично створені вбудовані облікові записи. Два перші записи були і в системах Windows 2000, третя з'явилася в Windows XP.
Administrator (Адміністратор) – цей обліковий запис використовують при установці і налаштуванні робочої станції або сервера, що є членом домену. Вона не може бути знищена, блокована або видалена з групи Administrators (Адміністратори), її можна тільки перейменувати.
Guest (Гість) – цей обліковий запис застосовується для реєстрації в комп'ютері без використання спеціально створеного облікового запису. Обліковий запис Guest не вимагає введення пароля і за умовчанням є заблокованим. (Зазвичай користувач, обліковий запис якого блокований, але не видалений, при реєстрації одержує попередження, і входити в систему не може.) Він є членом групи Guests (Гості). Цьому обліковому запису можна надати права доступу до ресурсів системи так само, як і будь-якому іншому.
SUPPORT_388945a0 – компанія Microsoft зарезервувала цей запис за собою для підтримки довідкової служби Help and Support Service; запис є заблокованим.
Рис. 1. Вікно оснащення Local Users and Groups у складі оснащення Computer Management.
Крім того, можуть з'явитися і інші призначені для користувача облікові записи, наприклад, після установки служб Інтернету – Internet Information Services.
Для роботи з локальними користувачами можна використовувати утиліту командного рядка net user.
Папка Groups
У системах Windows 2000 (на робочій станції або сервері, що є членом домену) папка Groups (Групи) містить шість вбудованих груп, що створюються автоматично при установці системи:
Administrators (Адміністратори) – її члени володіють повним доступом до всіх ресурсів системи. Це єдина вбудована група, що автоматично надає своїм членам весь набір вбудованих прав. За умовчанням містить вбудований обліковий запис Administrator. Якщо комп'ютер підключений до домену, ця група також містить групу Domain Admins.
Backup Operators (Оператори архіву) – члени цієї групи можуть архівувати і відновлювати файли в системі незалежно від того, якими правами ці файли захищені. Крім того, оператори архіву можуть входити в систему і завершувати її роботу, але вони не мають права змінювати налаштування безпеки. За умовчанням порожня.
Guests (Гості) – ця група дозволяє виконати реєстрацію користувача за допомогою облікового запису Guest і отримати обмежені права на доступ до ресурсів системи. Члени цієї групи можуть завершувати роботу системи. За умовчанням містить користувача Guest.
Power Users (Досвідчені користувачі) – члени цієї групи можуть створювати облікові записи користувачів, але вони мають право модифікувати настройки безпеки тільки для створених ними облікових записів. Крім того, вони можуть створювати локальні групи і модифікувати склад членів створених ними груп. Те ж саме вони можуть робити з групами Users, Guests і Power Users. Члени групи Power Users не можуть модифікувати членство в групах Administrators і Backup Operators. Вони не можуть бути власниками файлів, архівувати або відновлювати каталоги, завантажувати і вивантажувати драйвери пристроїв і модифікувати налаштування безпеки і журнал подій. За умовчанням порожня.
Replicator (Реплікатор) – членом групи Replicator повинен бути тільки обліковий запис, за допомогою якого можна реєструватися в службі реплікації контролера домену. Її членами не слід робити робочі облікові записи. За умовчанням порожня.
Users (Користувачі) – члени цієї групи можуть виконувати більшість призначених для користувача функцій, наприклад, запускати додатки, користуватися локальним або мережним принтером, завершувати роботу системи або блокувати робочу станцію. Вони також можуть створювати локальні групи і регулювати склад їх членів. Вони не можуть отримати доступ до загального каталогу або створити локальний принтер. За умовчанням містить службові облікові записи NT AUTHORITY\ Authenticated Users (S-1-5-11) і NT AUTHORITY\ INTERACTIVE (S-1-5-4). Якщо комп'ютер підключений до домену, ця група також містить групу Domain Users.
У системах Windows XP з'явилися ще три групи.
Network Configuration Operators (Оператори настройки мережі) – група, члени якої мають деякі права по налаштуванню мережних служб і параметрів. За умовчанням порожня.
Remote Desktop Users (Користувачі віддаленого робочого столу) – ця група містить імена користувачів, яким явно дозволений віддалений доступ до робочого столу.
Help Services Group (Група служб підтримки) – група для підтримки довідкової служби Help and Support Service. За умовчанням містить обліковий запис SUPPORT_388945a0.
Ще чотири групи з'явилися в системах Windows Server 2003.
Performance Log Users – члени цієї групи можуть віддалено запускати журнали реєстрації. За умовчанням містить службовий обліковий запис NT_AUTHORITY\NETWORK SERVICE (S-l-5-20).
Performance Monitor Users – група, члени якої можуть виконувати моніторинг продуктивності комп'ютера. За умовчанням порожня.
Print Operators – члени цієї групи можуть адмініструвати принтери в домені. За умовчанням порожня.
Telnet Clients – група, члени якої мають доступ до служби Telnet Server на даному комп'ютері. За умовчанням порожня.
Для роботи з локальними групами можна використовувати утиліту командного рядка net localgroup.
Управління робочим середовищем користувача
Робоче середовище користувача складається з налаштувань робочого столу, наприклад, кольору екрану, налаштувань миші, розміру і розташування вікон, з налаштувань процесу обміну інформацією по мережі і з пристроєм друку, змінних середовища, параметрів реєстру і набору доступних додатків.
Для управління середовищем користувача призначені наступні засоби систем Windows 2000/XP/2003.
Профілі користувачів. У профілі користувача зберігаються всі налаштування робочого середовища системи, визначені самим користувачем. Це можуть бути, наприклад, налаштування екрану і з'єднання з мережею. Всі налаштування, що виконуються самим користувачем, автоматично зберігаються в папці, ім'я якої для щойно встановленої системи виглядає таким чином: %SystemDrive%\Documents and Settings\%username%.
Сценарій входу в систему (сценарій реєстрації) є командним файлом, що має розширення .bat або .cmd, виконуваним файлом з розширенням .ехе або сценарієм VBScript, який запускається при кожній реєстрації користувача в системі або виході з неї. Сценарій може містити команди операційної системи, призначені, наприклад, для створення з'єднання з мережею або для запуску додатку. Крім того, за допомогою сценарію можна встановлювати значення змінних середовища, що вказують шляхи пошуку, каталоги для тимчасових файлів та іншу інформацію.
Сервер сценаріїв Windows (Windows Scripting Host, WSH). Сервер сценаріїв незалежний від мови і призначений для роботи на 32-розрядних платформах Windows. Він включає як ядро сценаріїв Visual Basic Scripting Edition (VBScript), так і JScript. Сервер сценаріїв Windows призначений для виконання сценаріїв прямо на робочому столі Windows або у вікні консолі команд. При цьому сценарії не потрібно вбудовувати в документ HTML.
Профілі користувачів
На ізольованому комп'ютері з Windows ХР локальні профілі користувачів створюються автоматично. Інформація локальних профілів необхідна для підтримки налаштувань робочого столу локального комп'ютера, характерних для конкретного користувача. Профіль створюється для кожного користувача в процесі його першої реєстрації в комп'ютері.
Профіль користувача має наступні перевагами:
при реєстрації користувача в системі робочий стіл одержує ті самі налаштування, які існували у момент попереднього виходу користувача з системи;
декілька користувачів можуть працювати на одному і тому ж комп'ютері в індивідуальних середовищах (не можна тільки мати власні параметри роздільної здатності екрану і частоти розгортки; тут потрібно застосовувати профілі обладнання);
при роботі комп'ютера в домені профілі користувачів можуть бути збережені на сервері. В цьому випадку користувач дістає можливість працювати зі своїм профілем при реєстрації на будь-якому комп'ютері мережі. Такі профілі називаються переміщуваними (roaming profile). Різновидом переміщуваних профілів є обов'язкові профілі (mandatory profiles). Такий профіль користувач не може змінювати, і всі зміни, зроблені в налаштуваннях системи, втрачаються при виході з неї. У Windows XP і Windows Server 2003 обов'язкові профілі підтримуються тільки для сумісності, замість них рекомендується застосовувати групові політики.
Налаштування, що зберігаються в профілі користувача
Профіль користувача зберігає налаштування конфігурації і параметри, що індивідуально призначаються кожному користувачу і що повністю визначають його робоче середовище (табл. 1).
Таблиця 1. Налаштування профілю користувача
Об'єкт
Відповідні йому параметри
Windows Explorer
Всі налаштування, визначені самим користувачем, що стосуються програми Windows Explorer
Панель завдань
Всі персональні групи програм і їх властивості, всі програмні об'єкти і їх властивості, всі налаштування панелі завдань
Налаштування принтера
Мережні з'єднання принтера
Панель управління
Всі налаштування, визначені самим користувачем, що стосуються панелі управління
Стандартні
Налаштування всіх стандартних додатків, що запускаються для конкретного користувача
Додатки, що працюють в операційній системі
Будь-який додаток, спеціально створений для роботи в середовищі Windows ХР/2003, може володіти засобами відстеження своїх налаштувань щодо кожного користувача. Якщо така інформація існує, вона зберігається в профілі користувача
Електронна підказка
Будь-які закладки, встановлені в довідковій системі Windows
Консоль управління Microsoft
Індивідуальний файл конфігурації і поточного стану консолі управління
Структура нового профілю користувача
Профіль користувача створюється на основі профілю, що призначається за умовчанням. Він зберігається на кожному комп'ютері, де працює Windows ХР. Файл NTUSER.DAT, що знаходиться в папці Default User, містить налаштування конфігурації, що зберігаються в реєстрі Windows ХР. Крім того, кожен профіль користувача використовує загальні програмні групи, що знаходяться в теці All Users.
Структура профілю користувача
При створенні профілю користувача використовується профіль, що призначається за умовчанням, що знаходиться в папці Default User. Папка Default User, папки профілів індивідуальних користувачів, а також папки All Users, LocalService і NetworkService знаходяться в папці Documents and Settings кореневого каталогу на завантажувальному томі. У папці кожного користувача знаходяться файл NTUSER.DAT і список посилань на об'єкти робочого столу. На рис. 2 показана структура тек локального профілю користувача. У цих папках, зокрема, зберігаються посилання на різні об'єкти робочого столу. Файл ntuser.dat.LOG є журналом трансакцій, що фіксує зміни профілю і дозволяє відновити його у разі, коли відбувається пошкодження файлу NTUSER.DAT.
Рис. 2. Структура підпапок профілю користувача.
У табл. 2 перераховані підпапки, що знаходяться усередині папки локального профілю користувача, і описано їх вміст. Деякі з цих підпапок є прихованими і можуть бути не видні при звичайному перегляді. Всі вказані папки, окрім Local Settings, входять в переміщуваний профіль користувача (при роботі комп'ютера у складі домену). При використанні звичайного профілю локальні папки Application Data, Desktop, My Documents, My Pictures і Start Menu можна перепризначувати на спільні мережні диски за допомогою оснащення-розширення Folder Redirection (Перенаправлення папки), що входить в оснащення Group Policy Object Editor (Групова політика).
Таблиця 2. Вміст папки локального профілю користувача
Підпапка
Вміст
Application Data
Дані, що відносяться до конкретних додатків, наприклад, індивідуальний словник. Розробники додатків самі вирішують, які дані повинні бути збережені в папці профілю користувача
Cookies
Службові файли, отримані з перегляду веб-серверів
Desktop (Робочий стіл)
Об'єкти робочого столу, включаючи файли і ярлики
Favorites (Вибране)
Ярлики часто використовуваних програм і папок
Local Settings
Дані про локальні налаштування, що впливають на роботу програмного забезпечення комп'ютера
My Documents (Мої документи)
Дані про документи і графічні файли, що використовуються користувачем
My Recent Documents (Документи, що недавно використалися)
Дані про документи і графічні файли, відкриті користувачем останнім часом
NetHood
Ярлики об'єктів мережного оточення
PrintHood
Ярлики об'єктів папки принтера
Recent
Ярлики недавно використовуваних об'єктів
SendTo
Ярлики об'єктів, куди можуть надсилатися документи
Start Menu (Головне меню)
Ярлики програм
Templates (Шаблони)
Ярлики шаблонів
UserData
Службова інформація
Для управління профілями користувача є більше десятка групових політик, які доступні у вікні оснащення Group Policy Object Editor в розділах Computer Configuration | Administrative Templates | System | User Profiles та User Configuration | Administrative Templates | System | User Profiles.
Завдання до виконання роботи
1. За допомогою аплету "Учетные записи пользователей" (рис. 3) панелі управління (Пуск | Настройка | Панель управления | Учетные записи пользователей) створити користувача з обмеженими та адміністративними правами. Змінити користувачам рисунки, що відображаються на екрані привітання при вході в систему (рис. 4). Змінити паролі користувачам (звернути увагу на попередження системи при зміні паролю чужого облікового запису). Видалити один зі створених облікових записів користувача.
Рис. 3. Аплет "Учетные записи пользователей" панелі управління.
Рис. 4. Зміна налаштувань облікового запису за допомогою панелі управління.
2. За допомогою аплету "Учетные записи пользователей" панелі управління створити для свого облікового запису дискету скидання пароля, яка дозволить коректно змінити пароль у випадку його втрати та увійти в систему (рис. 5). Для створення такої дискети вибирають пункт "Подсказка о пароле" меню "Родственные задачи" (рис. 5) і слідують інструкціям майстра (рис. 6).
Рис. 5. Ілюстрація роботи дискети скидання пароля.
Рис. 6. Створення дискети скидання пароля.
3. За допомогою оснастки "Локальные пользователи и группы" консолі mmc створити користувача, призначити йому початковий пароль та поставити вимогу зміни пароля при наступному вході в систему (рис. 7).
Рис. 7. Створення нового облікового запису за допомогою оснащення mmc.
4. За допомогою оснастки "Локальные пользователи и группы" консолі mmc внести створеного користувача в групу "Операторы архива" (рис. 8). Створити нову групу та внести в неї цього ж користувача (рис. 9).
Рис. 8. Вивід відомостей про членство облікового запису в групах.
Рис. 9. Створення нової локальної групи.
5. За допомогою утиліти командного рядка net user створити користувача (довідка по цій утиліті викликається за допомогою команди net help user або net user /?) з обмеженим терміном дії облікового запису (місяць) та з дозволом входити в систему тільки з 8:00 до 17:00 в робочі дні (рис. 10, 11). Змінити системну дату / час на вихідний день / неробочий час (17:00–08:00) та перевірити можливість входу цього користувача в систему. Змінити системну дату на більш ніж місяць вперед та перевірити можливість входу цього користувача в систему.
Рис. 10. Управління користувачами за допомогою командного рядка.
Рис. 11. Вивід відомостей про обліковий запис за допомогою командного рядка.
6. За допомогою утиліти командного рядка net localgroup створити нову групу та внести в неї користувача (довідка по цій утиліті викликається за допомогою команди net help localgroup або net localgroup /?), вивести відомості про цю групу на екран (рис. 12, 13).
Рис. 12. Управління локальними групами за допомогою командного рядка.
Рис. 13. Властивості групи користувачів в оснащенні mmc.
7. Створити новому користувачу переміщуваний профіль. Для цього попередньо налаштований профіль тестового користувача копіюється в нову папку (наприклад на інший том або ж на інший комп’ютер в мережі): Мой компьютер | Свойства | Дополнительно | Профили пользователей: Параметры | Копировать (рис. 14); у вікні, що з’явиться вказують шлях копіювання та дозволи на використання профілю (рис. 15).
Рис. 14.Вікно профілів користувачів у властивостях комп’ютера.
Рис. 15. Копіювання профілю користувача.
Після створення папки з профілем необхідно зробити відповідні налаштування у властивостях облікового запису користувача (рис. 16). Якщо необхідно, щоб при вході користувача в систему виконувались певні команди / програми, тут же можна прописати сценарій входу (зверніть увагу: файл сценарію повинен розміщуватись в папці %systemroot%\system32\repl\Import\Scripts; якщо такого шляху не існує, його треба створити).
Увійти в систему під користувачем, для якого робились налаштування, переконатись у правильності виконаних дій.
Зробити профіль цього користувача обов’язковим: для цього слід перейменувати файл ntuser.dat в папці профілю у файл ntuser.man. Увійти в систему під цим користувачем, переконатись, що зміни налаштувань не зберігаються при виході користувача з системи.
Рис. 16. Налаштування переміщуваного профілю користувача.
Контрольні запитання.
1. Які користувачі створюються автоматично при інсталяції системи Windows XP?
2. Як в Windows XP користувач може змінити свій пароль?
3. Що таке профіль користувача, що таке обов’язковий профіль?
4. Призначення груп користувачів в Windows XP, вбудовані групи.
5. Як в Windows XP зробити обліковий запис користувача, що дійсний протягом певного періоду часу?
Лабораторна робота № 2.
ДОЗВОЛИ ТА КВОТИ NTFS. ШИФРУВАННЯ ФАЙЛІВ: EFS.
Мета роботи: Навчитись ефективно налагоджувати систему логічного розділення доступу до об’єктів файлової системи в ОС Windows XP Professional; управляти квотами на томах NTFS та використовувати шифровану файлову систему EFS.
Теоретичні відомості.
Права доступу (дозволи) для файлів і каталогів
Встановлюючи користувачам певні дозволи на доступ до файлів і каталогів (папок), адміністратори системи можуть захищати конфіденційну інформацію від несанкціонованого доступу. Кожен користувач має певний набір дозволів на доступ до кожного об'єкту файлової системи.
Крім того, користувач може бути власником файлу або папки, якщо сам їх створює. Питання передачі права володіння розглядається нижче.
Дозволи користувача на доступ до об'єктів файлової системи працюють за принципом доповнення (адитивності). Це значить, що діючі дозволи, тобто ті дозволи, які користувач реально має відносно конкретного каталогу або файлу, утворюються зі всіх прямих і непрямих дозволів, призначених користувачу для цього об'єкту за допомогою логічної функції АБО. Наприклад, якщо користувач має прямо призначений дозвіл для каталогу на читання, а опосередковано через членство в групі йому дано дозвіл на запис, то в результаті користувач зможе читати інформацію у файлах каталогу і записувати в них дані.
Слід зазначити, що правило додавання дозволів за допомогою логічного АБО не виконується, коли користувач має певний дозвіл, а групі, в яку він входить, відмовлено в цьому дозволі (або навпаки). В цьому випадку відмова в дозволі (Deny) має вищий пріоритет над наданням дозволу, тобто в результаті користувач не матиме цього дозволу. Поява можливості відмови користувачу або групі в дозволі для файлів і каталогів зробила непотрібним дозвіл No Access, що застосовувався в Windows NT 4.0. Тепер для відмови користувачу в дозволі на доступ до якого-небудь файлу або каталогу слід включити користувача в групу, якій відмовлено в дозволі Full Control (Повний доступ) для даного об'єкту файлової системи.
Кожен зі стандартних дозволів складається з набору спеціальних (особливих) дозволів, що задають можливість виконання тієї або іншої дії з файлами або каталогами. У табл. 3 показано відповідність стандартних і спеціальних дозволів для файлів і каталогів. Детальний опис спеціальних дозволів наведено в табл. 4.
Таблиця 3 Відповідність стандартних і спеціальних дозволів
Спеціальні дозволи
Стандартні дозволи
Full Control
Modify
Read & Execute
List Folder Contents
Read
Write
Traverse Folder/Execute File (Огляд папок/ Виконання файлів)
+
+
+
+
List Folder/Read Data (Зміст папок/ Читання даних)
+
+
+
+
+
Read Attributes (Читання атрибутів)
+
+
+
+
+
Read Extended Attributes (Читання додаткових атрибутів)
+
+
+
+
+
Creat Files/Write Data (Створення файлів/Запис даних)
+
+
+
Create Folders/Append Data (Створення папок/ Дозапис даних)
+
+
+
Write Attributes (Запис атрибутів)
+
+
+
Write Extended Attributes (Запис додаткових атрибутів)
+
+
+
Delete Subfolders and Files (Видалення підпапок і файлів)
+
Delete (Видалення)
+
+
Read Permissions (Читання дозволів)
+
+
+
+
+
+
Change Permissions (Зміна дозволів)
+
Take Ownership (Зміна власника)
+
Хоча дозволи "List Folder Contents" ("Список вмісту папки") і "Read & Execute" ("Читання і виконання") включають одні і ті ж спеціальні дозволи, вони успадковуються по-різному. Дозвіл "List Folder Contents" успадковується тільки каталогами, але не файлами, і відображається тільки при перегляді дозволів на доступ до папок. Дозвіл "Read & Execute" успадковується як файлами, так і папками, і завжди відображається при перегляді дозволів на доступ до файлів або папок.
Таблиця 4. Спеціальні дозволи для файлів і каталогів
Спеціальний дозвіл
Опис
Traverse Folder / Execute File
Визначає можливість переміщення по каталогам файлової системи незалежно від того, має або не має користувач дозволу для перегляду каталогів, що перетинаються в процесі переміщення. На роботу цього дозволу впливає політика безпеки Bypass Traverse Checking (Обхід перехресної перевірки) (див. вузол Local Policies | User Rights Assignment в параметрах безпеки). Дозвіл Execute File (Виконання файлів) визначає можливість виконання програм.
List Folder / Read Data
Визначає можливість перегляду імен файлів або підкаталогів даного каталогу (відноситься тільки до каталогу). Дозвіл Read Data (Читання даних) визначає можливість перегляду вмісту файлу.
Read Attributes
Визначає можливість перегляду атрибутів файлу або каталогу. Самі атрибути визначаються операційною системою.
Read Extended Attributes
Визначає можливість перегляду додаткових атрибутів файлу або каталогу. Самі додаткові атрибути визначаються операційною системою.
Create Files /Write Data
Визначає можливість створення файлів усередині каталогу (відноситься тільки до каталогів). Дозвіл Write Data (Запис даних) визначає можливість зміни вмісту файлів або перезапису існуючих даних файлу новою інформацією (відноситься тільки до файлів).
Create Folders / Append Data
Визначає можливість створювати підкаталоги усередині даного каталогу (відноситься тільки до каталогів). Дозвіл Append Data (Дозапис даних) визначає можливість приєднання нових даних до існуючого файлу без зміни, знищення або перезапису існуючої інформації (відноситься тільки до файлів).
Write Attributes
Визначає можливість зміни атрибутів файлу або каталогу. Атрибути визначаються операційною системою.
Write Extended Attributes
Визначає можливість зміни додаткових атрибутів файлу або каталогу. Додаткові атрибути визначаються програмою і можуть бути нею змінені.
Delete Subfolders and Files
Визначає можливість видалення підкаталогів і файлів, що знаходяться в даному каталозі, навіть якщо для цих підкаталогів і файлів немає дозволу Delete (Видалення). Цей дозвіл є тільки у каталогів.
Delete
Визначає можливість видалення файлу або каталогу. Якщо вам відмовлено в дозволі Delete (Видалення) для даного каталогу або файлу, ви все ж таки можете видалити їх, одержавши дозвіл Delete Subfolders and Files (Видалення підпапок і файлів) на батьківський каталог.
Read Permissions
Визначає можливість читання дозволів для файлів і каталогів, таких як Full Access, Read і т.д.
Change Permissions
Визначає можливість зміни дозволів для файлів і каталогів, таких як Full Access, Read і т.д.
Take Ownership
Визначає можливість взяття у власність даного файлу або каталогу. Власник файлу або каталогу може завжди змінити дозволи до цього об'єкту, незалежно від інших дозволів.
Визначення діючих дозволів для файлів і папок
Як вже зазначалось, користувач або група одержують дозволи на доступ до файлів або папок безпосередньо і через членство в групах (в доменах Windows 2000 і Windows Server 2003 групи можуть бути членами інших груп). Тому, коли виникає питання "а які ж врешті-решт права має даний користувач?" відповідь одержати не так просто і швидко. Системи Windows XP Professional і Windows Server 2003 пропонують нову можливість – визначення діючих дозволів (effective permissions).
При визначенні дозволів, що діють, потрібно пам'ятати про те, що користувач може мати права на операції з об'єктом, призначені не за допомогою механізму дозволів, а через політики безпеки. Наприклад, користувач може змінювати власника об'єкту, навіть якщо у нього немає дозволу Take Ownership, проте якщо таке право йому дане в політиках безпеки.
Квоти дискового простору
Адміністрування великих комп'ютерних мереж, де сервери підтримують роботу сотень користувачів, зв'язане з рядом складнощів. Одна з них – облік дискового простору серверу, зайнятого файлами співробітників компанії. Як правило, користувачі, що зберігають свої файли на сервері, мало піклуються про актуальність інформації і про знищення застарілих або непотрібних даних. Безліч тимчасових файлів і копій одного й того ж файлу, що знаходяться в різних папках, лише посилюють ситуацію. В результаті в лічені місяці навіть на великих жорстких дисках серверу може не виявитися необхідного для роботи вільного простору.
Як правило, у великих організаціях дерево каталогів вельми розгалужене, тому візуальний контроль витрачання дискового простору користувачами віднімає у адміністраторів багато часу і зусиль.
Подібна проблема просто розв'язується за допомогою введення квот на дисковий простір, доступний для роботи кожному користувачу. У попередніх версіях операційної системи Windows NT не було штатних можливостей ввести квоту на доступний дисковий простір, тому будь-який користувач міг розпоряджатися усім простором жорстких дисків комп'ютера. У Windows 2000/XP і Windows Server 2003 адміністратор може квотувати дисковий простір по кожному тому і для кожного користувача. (З цього випливає, що неможливо задати квоту для окремих каталогів або груп.)
Система враховує загальний простір, зайнятий файлами, власником яких є контрольований користувач: якщо користувач володіє файлом, розмір останнього додається до загальної суми зайнятого користувачем дискового простору. Важливо відзначити, що, оскільки квотування виконується на рівні тому, не має значення, чи знаходиться том на одному фізичному жорсткому диску або на різних пристроях. І навпаки, якщо на одному фізичному диску зберігається декілька томів, то квотування може здійснюватися індивідуально по кожному тому.
Після установки квот дискового простору користувач зможе зберігати на томі обмежений об'єм даних, тоді як на цьому томі може залишатися вільний простір. Якщо користувач перевищує видану йому квоту, в журнал подій вноситься відповідний запис. Потім, залежно від конфігурації системи, користувач або зможе записати інформацію на том ("м'який" режим обмежень), або йому буде відмовлено в записі через відсутність вільного простору ("жорсткий" режим).
Квоти можна використовувати на локальних і спільних мережних дисках (в цьому випадку загальний доступ повинен бути дозволений на рівні кореневого каталогу тому). Стиснення файлів не має значення при обчисленні зайнятого простору – завжди враховується розмір початкового нестиснутого файлу.
Встановлювати і проглядати квоти на диску можна тільки в розділі з NTFS 5.0 і за наявності необхідних повноважень (що задаються за допомогою локальних або доменних групових політик) у користувача, що встановлює квоти. За умовчанням для роботи з квотами потрібно бути членом групи Administrators.
Передача права володіння
У попередніх версіях Windows NT право володіння файлом або папкою було характеристикою, жорстко прив'язаною до творця даного об'єкту. Користувач, що створив файл або каталог, ставав власником цього об'єкту. Право володіння не могло бути передане іншому користувачу. Єдине виключення складав адміністратор, який міг стати власником об’єкту. Сам користувач не міг передати право володіння папкою або файлом іншому користувачу.
Операційні системи Windows 2000/XP і Windows Server 2003 забезпечують гнучкіше користування таким засобом забезпечення безпеки інформації, як право володіння об'єктом файлової системи. Тепер адміністратор або уповноважений користувач може призначити будь-якого користувача власником якого-небудь об'єкту файлової системи (ця можливість є тільки в Windows Server 2003) або користувач сам може стати власником об'єкту, не створеного ним самим. Природно, що для цього він повинен мати необхідні дозволи (Take Ownership). Крім того, за допомогою локальних або доменних політик безпеки можна вказувати, які користувачі завжди можуть ставати власниками файлів або інших об'єктів (за умовчанням таке право мають тільки адміністратори), при цьому вони можуть навіть не мати ніяких дозволів для цього об'єкту.
Для передачі володіння об'єктом файлової системи або для проглядання поточного власника файлу або папки слід відкрити відповідне вікно властивостей, перейти на вкладку Security, потім натиснути кнопку Advanced. З'явиться вікно Advanced Security Settings. Перейдіть на вкладку Owner (Власник) цього вікна (рис. 17).
Рис.17. Вкладка Owner діалогового вікна Advanced Security Settings
У Windows Server 2003 адміністратор або інший користувач, що отримав (через відповідну політику безпеки) право зміни власників об'єктів, може натиснути кнопку Other Users or Groups (Інші користувачі або групи) і вибрати користувача (або групу), якого він хоче призначити власником об'єкту.
Шифруюча файлова система EFS
На персональному комп'ютері операційну систему можна завантажити не з жорсткого, а з гнучкого чи компакт диска. Це дозволяє обійти проблеми, пов'язані з відмовою жорсткого диска і руйнуванням завантажувальних розділів. Проте, оскільки за допомогою змінного носія можна завантажувати різні операційні системи, будь-який користувач, що одержав фізичний доступ до комп'ютера, може обійти вбудовану систему управління доступом файлової системи NTFS і за допомогою певних інструментів прочитати інформацію жорсткого диска.
Єдиний надійний спосіб захисту інформації – це шифруюча файлова система. На ринку програмного забезпечення існує цілий набір продуктів, що забезпечують шифрування даних за допомогою утвореного від пароля ключа на рівні додатків. Проте такий підхід має ряд обмежень.
Ручне шифрування і дешифрування. Служби шифрування більшості продуктів непрозорі для користувачів. Користувачу доводиться розшифровувати файл перед кожним його використанням, а потім знову зашифровувати. Якщо користувач забуває зашифрувати файл після закінчення роботи з ним, інформація залишається незахищеною. Оскільки кожного разу необхідно вказувати, який файл повинен бути зашифрований (і розшифрований), застосування такого методу захисту інформації сильно утруднене.
Просочування інформації з тимчасових файлів і файлів підкачки. Практично всі додатки в процесі редагування документів створюють тимчасові файли. Вони залишаються на диску незашифрованими, не зважаючи на те, що оригінальний файл зашифрований. Крім того, шифрування інформації на рівні додатків виконується в режимі користувача. Це значить, що ключ, вживаний для такого типу шифрування, може зберігатися у файлі підкачки. В результаті, за допомогою вивчення вмісту файлу підкачки можна одержати ключ і розшифрувати всі документи користувача.
Слабка криптостійкість ключів. Ключі утворюються від паролів або випадкових фраз. Тому у випадку, якщо пароль легко запам'ятовується, атаки за допомогою словників можуть привести до швидкого злому системи захисту.
Неможливість відновлення даних. Більшість продуктів, що дозволяють шифрувати інформацію, не надають засобів відновлення даних, що для користувачів є додатковим мотивом не застосовувати засоби шифрування. Це особливо стосується тих працівників, які не хочуть запам'ятовувати додатковий пароль. З другого боку, засіб відновлення даних за допомогою пароля – ще одна прогалина в системі захисту інформації. Все, що необхідно зловмиснику, – це пароль, призначений для запуску механізму відновлення даних, який дозволить отримати доступ до зашифрованих файлів.
Всі перераховані вище проблеми дозволяє вирішити шифруюча файлова система (Encrypting File System, EFS), вперше реалізована у Windows 2000, яка працює тільки на NTFS 5.0.
EFS містить наступні компоненти операційної системи (рис. 18):
Драйвер EFS. Драйвер EFS є надбудовою над файловою системою NTFS. Він обмінюється даними зі службою EFS – запитує ключі шифрування, набори DDF (Data Decryption Field) і DRF (Data Recovery Field), – а також з іншими службами управління ключами. Одержану інформацію драйвер EFS передає бібліотеці реального часу файлової системи EFS (File System Run-Time Library, FSRTL), яка прозоро для операційної системи виконує різні операції, характерні для файлової системи (читання, запис, відкриття файлу, приєднання інформації).
Бібліотека реального часу файлової системи EFS. FSRTL – це модуль, який знаходиться усередині драйвера EFS і реалізовує виклики NTFS, що виконують такі операції, як читання, запис і відкриття зашифрованих файлів і каталогів, а також операції, пов'язані з шифруванням, дешифруванням і відновленням файлів при їх читанні або запису на диск. Хоча драйвери EFS і FSRTL реалізовані у вигляді одного компоненту, вони ніколи не обмінюються даними безпосередньо. Для передачі повідомлень один одному вони використовують механізм викликів (callouts) NTFS, призначений для управління файлами. Це гарантує, що вся робота з файлами відбувається за безпосередньої участі NTFS.
Рис. 18. Архітектура EFS
Служба EFS. Служба EFS (EFS Service) є частиною системи безпеки операційної системи. Для обміну даними з драйвером EFS вона використовує порт зв'язку LPC, що існує між локальним адміністратором безпеки (Local Security Authority, LSA) і монітором безпеки, що працює в привілейованому режимі. У режимі користувача для створення ключів шифрування файлів і генерування даних для DDF і DRF служба EFS використовує CryptoAPI. Вона також підтримує набір API для Win32.
Набір API для Win32. Цей набір інтерфейсів прикладного програмування дозволяє виконувати шифрування файлів, дешифровку і відновлення зашифрованих файлів, а також їх імпорт і експорт (без попередньої дешифровки). Ці API підтримуються стандартним системним модулем DLL – advapi32.dll.
EFS заснована на шифруванні з відкритим ключем і використовує всі можливості архітектури CryptoAPI. Кожен файл шифрується за допомогою випадково генерованого ключа, залежного від пари відкритого (public) і приватного (private) ключів користувача. Подібний підхід значною мірою утруднює здійснення великого набору атак, заснованих на криптоаналізі. При криптозахисті файлів може бути застосований будь-який алгоритм симетричного шифрування. EFS дозволяє здійснювати шифрування і дешифрування файлів, що знаходяться на віддалених файлових серверах.
Дані зашифровуються за допомогою симетричного алгоритму із застосуванням ключа шифрування файлу (File Encryption Key, FEK). FEK – це генерований випадковим чином ключ певної довжини. Своєю чергою, FEK шифрується за допомогою одного або декількох відкритих ключів, призначених для криптозахисту ключа. В цьому випадку створюється список зашифрованих ключів FEK, що дозволяє організувати доступ до файлу декільком користувачам. Для шифрування набору FEK використовується відкрита частина пари ключів кожного користувача. Список зашифрованих ключів FEK зберігається разом із зашифрованим файлом в спеціальному атрибуті EFS, званому полем дешифрування даних (Data Decryption Field, DDF). Інформація, необхідна для дешифрування, прив'язується до самого файлу. Приватна частина ключа користувача використовується при дешифруванні FEK. Вона зберігається в безпечному місці, наприклад на смарт-карті або іншому пристрої, що має високий ступінь захищеності.
FEK застосовується для створення ключів відновлення. Для цього FEK шифрується за допомогою одного або декількох відкритих ключів відновлення. Список FEK, зашифрованих для цілей відновлення, зберігається разом із зашифрованим файлом в спеціальному атрибуті EFS, званому полем відновлення даних (Data Recovery Field, DRF). Завдяки існуванню набору зашифрованих ключів FEK агенти відновлення даних можуть дешифрувати файл. Для шифрування ключа FEK в полі DRF необхідна тільки відкрита частина пари ключів відновлення, її присутність в системі необхідна у будь-який момент часу для нормального функціонування файлової системи. Сама процедура відновлення виконується досить рідко, коли користувач звільняється з організації або забуває приватну частину ключа. Тому агенти відновлення можуть зберігати приватну частину ключів відновлення в безпечному місці, наприклад на смарт-картах або інших добре захищених пристроях.
EFS тісно взаємодіє з NTFS 5.0. Тимчасові файли, створювані додатками, успадковують атрибути оригінальних файлів (якщо файли знаходяться в розділі NTFS). Разом з фа...