Захист вмісту файлів і папок в windows xp

Автор: Erik Eckel

Захист файлів і загальних папок

Тема інформаційного захисту сьогодні популярна, як ніколи. IT-професіонали черпають знання звідусіль: зі спеціальних статей в журналі і навіть з щоденних розсилок по електронній пошті.

Більшість технічних засобів захищають ресурси організації від стороннього втручання. Але найчастіше необхідно розділити доступ до інформації всередині самого підприємства. Тільки уявіть, які проблеми можуть виникнути, якщо всі співробітники отримають доступ до особистих записів своїх колег.

Файлова система NTFS в Windows XP і її повноваження для загальних папок спеціально розроблені для захисту вмісту папок загального доступу як від внутрішніх, так і зовнішніх витоків. У цій статті дано кілька порад, слідуючи яким адміністратор зможе грамотно призначати NTFS-повноваження і управляти доступом до загальних папок і файлів

Відео: Як заборонити видалення файлів і папок, убезпечити себе від втрати важливих файлів

Управління доступом до файлів

Більшість користувачів викладає файли у відкритий доступ для учасників робочих груп і p2p-мереж, для цього потрібно:

Відео: Створюємо список файлів папки Windows XP

1. Клацнути правою кнопкою на папці з файлами, до яких потрібно надати доступ
2. З розкрився меню вибрати пункт Sharing And Security (Загальний доступ і безпека)
3. У діалоговому вікні властивостей папки перейти на вкладку Sharing (Доступ) і вибрати команду Share This Folder (Відкрити спільний доступ до цієї папки), як показано на зображенні A.

   
   Зображення A. В діалоговому вікні властивостей папки проводиться настройка рівня управління доступом для призначених для користувача і групових повноважень

1. Введіть назву папки в графу Share Name (Ім`я спільного ресурсу)
2. За бажанням можна додати кілька пояснювальних слів в графу Comment (Опис).
3. Натисніть OK.

Однак такий метод не завжди працює коректно, особливо на системах Windows XP з дисками, форматувати в NTFS (коли суперечливі NTFS-повноваження, вступаючи в конфлікт, не допускають дозволених користувачів до цих ресурсам- докладніше про це трохи нижче). Ну, а найсумніше в тому, що повноваження, задані по умолчаніюWindows XP, надають доступ до вмісту каталогів всім користувачам.

Також для того, щоб призначити різні повноваження для різних користувачів, необхідно відключити активну за замовчуванням опцію Windows XP Simple File Sharing (Простий загальний доступ до файлів):

1. Відкрийте провідник Windows Explorer
2. Перейдіть в меню Tools (Сервіс)
3. Виберіть пункт Folder Options (Властивості папки)
4. Перейдіть на вкладку View (Вид).
5. У вікні Advanced Settings (Додаткові параметри) приберіть позначку з параметра Use Simple File Sharing (Recommended) | Використовувати простий спільний доступ до файлів (рекомендовано).
6. Натисніть OK.

Для того, щоб відключити дозвіл для Всіх (Everyone) і налаштувати рівень доступу для кожного користувача індивідуально:

1. Клацніть правою кнопкою на необхідної папці.
2. З розкрився меню виберіть пункт Sharing And Security (Загальний доступ і безпека).
3. Натисніть на кнопку Permissions (Дозволи). Відкриється діалогове вікно Permissions For ... (Дозволи для ...), як показано на зображенні B.

   
   Зображення B. Налаштування повноважень доступу на вкладці Share Permissions (Дозволи для загального ресурсу) діалогового вікна Permissions For ... (Дозволи для ...).

4. Виділіть об`єкт Everyone (Все) в списку представлених груп або користувачів.
5. Натисніть на кнопку Remove (Видалити)
6. Натисніть на кнопку Add (Додати). Відкриється діалогове вікно Select Users Or Groups (Вибір: Користувач або Група), як показано на зображенні C.

   
   Зображення C. Виберіть користувачів або групи, для яких потрібно налаштувати повноваження доступу, в поле Enter The Object Names To Select (Введіть імена вибраних об`єктів) та натисніть OK.

   Відео: Захист файлів паролем

7. У вікні Enter The Object Names To Select (Введіть імена вибраних об`єктів) виберіть осіб чи груп, для яких потрібно налаштувати повноваження доступу, і натисніть OK.
8. На панелі Group Or User Names (Групи або користувачі) виділіть об`єкти, для яких буде проведена настройка повноважень доступу: можна дозволити або заборонити (Allow або Deny) Повний доступ (Full Control), Читання (Change) і Зміна (Read) знаходиться в папці інформації.
9. Натисніть OK для того, щоб зміни вступили в силу, і закрийте діалогове вікно-натисніть OK для виходу з вікна властивостей папки.

Повноваження повного доступу (Full Control) дозволяють користувачам або групам читати, змінювати, видаляти і запускати містяться в папці файли. Крім цього такі користувачі можуть створювати і видаляти в цьому каталозі нові папки.

Користувачі, що мають право змінювати інформацію в папці (Change), можуть переглядати і змінювати знаходяться в каталозі файли, створювати в ньому свої файли і папки і запускати розташовані в ньому програми на виконання.

Користувачам і групам, наділених повноваженнями читання інформації (Read), дозволяється тільки переглядати збережені в каталозі файли і запускати програми. Для інформації на дисках Windows XP, відформатованих в файлову систему NTFS, можна встановлювати додаткові повноваження.

NTFS-повноваження

NTFS-повноваження в середовищі Windows надають собою додатковий набір параметрів, які можна налаштовувати для кожного окремого файлу або папки.

Для початку потрібно переконатися, що настройки Windows XP дозволяють працювати з файловою системою NTFS:

1. Натисніть Start (Пуск)
2. Виберіть команду Run (Виконати)
3. Введіть в рядок compmgmt.msc і натисніть OK. Відкриється консоль Computer Management (Керування комп`ютером).
4. Перейдіть до об`єкта Disk Management (Управління дисками) на вкладці Storage (Сховище) для того, щоб дізнатися який тип файлової системи використовується на кожному диску.

Якщо диск або один з його розділів не відформатовано в NTFS, це можна виправити, якщо ввести convert X: / fs: ntfs, поставивши замість X букву потрібного диска або розділу. Команда convert поміняє поточну файлову систему диска на NTFS, не знищуючи при цьому зберігаються на ньому дані. Проте, перед запуском команди на виконання краще зробити резервну копію вмісту диска.

Для настройки NTFS-дозволів:

1. Клацніть на потрібному файлі або папці.
2. З контекстного меню виберіть пункт Properties (Властивості)
3. Перейдіть на вкладку Security (Безпека)
4. За допомогою кнопок Add / Remove (Додати / Видалити) додавайте або видаляйте користувачів і груп, для яких потрібно зробити налаштування NTFS-повноважень доступу
5. Виберіть потрібний об`єкт з вікна Group Or User Names (Групи або користувачі) і призначайте / забороняйте повноваження, встановлюючи або прибираючи відповідні позначки у вікні Permissions For (Дозволи для), як показано на зображенні D
6. Натисніть ОК для збереження змін.

   
   Зображення D. NTFS-повноваження мають більшу кількість параметрів, що настроюються в порівнянні зі службою простого спільного доступу.

Врахуйте, що за замовчуванням підкаталоги успадковують властивості своїх кореневих директорій. Для того, щоб це змінити, натисніть на кнопці Advanced (Додатково) на вкладці Security (Безпека) діалогового вікна Properties (Властивості).

Види NTFS-повноважень:

• Full Control (Повний доступ) - дозволяє користувачам і групам виконувати будь-які операції з вмістом папки, включаючи перегляд файлів і підкаталогів, запуск файлів додатків, управління списком вмісту папки, читання і запуск виконуваних файлів, зміна атрибутів файлів і папок, створення нових файлів, додавання даних в файли, видалення файлів і підкаталогів, а також зміна повноважень доступу до файлів і папок.
• Modify (Змінити) - дозволяє користувачам і групам здійснювати перегляд файлів і підкаталогів, запускати виконувані файли додатків, керувати списком вмісту папки, переглядати параметри папки, змінювати атрибути папок і файлів, створювати нові файли і підкаталоги, додавати дані в файли і видаляти файли.
• Read Execute (Читання і виконання) - дозволяє користувачам і групам переглядати список файлів і підкаталогів, запускати виконувані файли додатків, переглядати вміст файлів, а також змінювати атрибути файлів і папок.
• List Folder Contents (Список вмісту папки) - дозволяє користувачам і групам здійснювати навігацію по каталогам, працювати зі списком вмісту папки, а також переглядати атрибути файлів і папок.
• Read (Читання) - дозволяє користувачам і групам переглядати вміст папки, читати файли і переглядати атрибути файлів і папок.
• Write (Запис) - дозволяє користувачам і групам змінювати атрибути файлів і папок, створювати нові папки і файли, а також змінювати і доповнювати вміст файлів.

Для визначення остаточних повноважень того чи іншого користувача відніміть з NTFS-дозволів, наданих йому безпосередньо (або як члену групи), всі індивідуальні заборони (або заборони, який він отримав в якості члена групи). Наприклад, якщо користувач отримав повний доступ (Full Control) до даної папці, але в той же час є членом групи, для якої заборонений повний доступ, то він в результаті не володітиме правами повного доступу. Якщо рівень доступу користувача обмежений параметрами Read Execute (Читання і виконання) і List Folder Contents (Список вмісту папки) в одній групі, і в той же час йому запрёщен доступ на рівні List Folder Contents (Список вмісту папки), то в результаті його NTFS-повноваження будуть обмежені тільки рівнем Read Execute (Читання і виконання). З цієї причини адміністратором слід підходити до заборонам з особливою обережністю, оскільки заборонені функції мають пріоритет перед дозволеними для того ж користувача або групи.

Windows XP має зручну утилітою для підтвердження діючих дозволів користувача або групи:

1. Відкрийте діалогове вікно властивостей потрібного файлу або папки (Properties)
2. Перейдіть на вкладку Security (Безпека)
3. Натисніть на кнопку Advanced (Додатково). Відкриється діалогове вікно Advanced Security Settings For (Додаткові параметри безпеки для ...)
4. Перейдіть на вкладку Effective Permissions (Діючі дозволу). (Зображення E)
5. Натисніть на кнопку Select (Вибрати).
6. Відкриється діалогове вікно Select User Or Group (Вибір: Користувач або Група).
7. В поле Enter The Object Name To Select (Введіть імена вибраних об`єктів) введіть ім`я користувача або групи, чиї повноваження необхідно підтвердити, і натисніть OK
8. Діалогове вікно Advanced Security Settings For (Додаткові параметри безпеки для ...) відобразить підсумковий набір NTFS-повноважень для обраного користувача або групи.

   
   Зображення E. Вкладка Effective Permissions (Діючі дозволу) допомагає легко визначити, які повноваження насправді володіє користувач або група.

Поєднання NTFS-дозволів з повноваженнями загального доступу

Звучить багатообіцяюче. Здавалося б, досить грамотно роздати користувачам відповідні повноваження - і можна починати роботу. Однак насправді не все так просто. Повноваження загальних доступу і NTFS-дозволи повинні чітко визначати, якими реальними правами доступу мають користувачі та групи, але, на жаль, вони часто конфліктують між собою. Для визначення остаточних повноважень того чи іншого користувача порівняйте підсумкові повноваження загальних доступу з підсумковими NTFS-дозволами. Пам`ятайте, що обмеження доступу будуть домінувати над дозволами. Наприклад, якщо підсумкові NTFS-права доступу користувача обмежені рівнем Read and Execute (Читання і виконання), а підсумкові права загального доступу - рівнем Full Control (Повний доступ), система не надасть цьому користувачу дійсні права повного доступу, а вибере найбільш пріоритетний рівень, в даному випадку це NTFS-дозвіл на читання і виконання. Завжди необхідно пам`ятати про те, що підсумкові обмеження в правах превалюють над підсумковими дозволами. Це дуже важливий момент, який легко забувається, після чого доставляє користувачам чимало клопоту. Тому ретельно розраховуйте співвідношення заборон і дозволів повноважень NTFS і загального доступу

джерело: winblog.ru