Лабораторная работа №4 Управление доступом к файловым ресурсам
Цель работы: Освоение навыков управления доступом пользователей к файлам и папкам с целью защиты информации от несанкционированного доступа
Краткое введение
Файловые системы современных операционных систем при соответствующей настройке эффективно обеспечивают безопасность и надежность хранения данных на дисковых накопителях. Для операционных систем Windowsстандартной является файловая системаNTFS.
Устанавливая для пользователей определенные разрешения для файлов и каталогов (папок), администраторы могут защитить информацию от несанкционированного доступа. Каждый пользователь должен иметь определенный набор разрешений на доступ к конкретному объекту файловой системы. Кроме того, он может быть владельцем файла или папки, если сам их создает. Администратор может назначить себя владельцем любого объекта файловой системы, но обратная передача владения от администратора к пользователю невозможна.
Назначение разрешений производится для пользователей или групп. Так как рекомендуется выполнять настройки безопасности для групп, то необходимо, чтобы пользователь был членом хотя бы одной группы на компьютере или в домене.
Разрешения могут быть установлены для различных объектов компьютерной системы, однако в этой работе будут рассмотрены разрешения для файлов и папок. Другие задачи, например разрешения для принтеров, решаются аналогичным образом.
Указания к проведению лабораторной работы
Для назначения разрешений для файла или папки администратор выбирает данный файл или папку и при нажатии правой кнопки мыши использует команду Свойства (Properties) и в появившемся окне переходит на вкладку Безопасность (Security). Пример для папки с именем Авиатор приведен на рисунке 4.1.
В зоне Имя (Name) имеется список групп и пользователей, которым уже назначены разрешения для данного файла или папки.
Рисунок 4.1 Вкладка Безопасность окна свойств папки Авиатор
Для добавления пользователя или группы нажмите кнопку Добавить (Add) или Удалить (Remove). При добавлении появится диалог Выбор: Пользователи, Компьютеры или Группы (SelectUsers,Computers,orGroups). Добавив пользователя или группу мы увидим этот объект в зоне Имя и выделив его, можем задать необходимые разрешения с помощью установки флажков Разрешить (Allow) или Запретить (Deny) в зоне Разрешения (Permissions).
Стандартные разрешения для файлов:
Полный доступ (Full Control);
Изменить (Modify);
Чтение и выполнение (Read&Execute);
Чтение (Read);
Запись (Write).
Стандартные разрешения для папок:
Полный доступ (Full Control);
Изменить (Modify);
Чтение и выполнение (Read&Execute);
Список содержимого папки
Чтение (Read);
Запись (Write).
Разрешение Чтение позволяет просматривать файлы и папки и их атрибуты.
Разрешение Запись позволяет создавать новые файлы и папки внутри папок, изменять атрибуты и просматривать владельцев и разрешения.
Разрешение Список содержимого папки позволяет просматривать имена файлов и папок.
Разрешение Чтение и выполнение для папок позволяет перемещаться по структуре других папок и служит для того, чтобы разрешить пользователю открывать папку, даже если он не имеет прав доступа к ней, для поиска других файлов или вложенных папок. Разрешены все действия, право на которые дают разрешения Чтение и Список содержимого папки. Это же разрешение для файлов позволяет запускать файлы программ и выполнять действия, право на которые дает разрешение Чтение.
Разрешение Изменить позволяет удалять папки, файлы и выполнять все действия, право на которые дают разрешения Запись и Чтение и выполнение.
Разрешение Полный доступ позволяет изменять разрешения, менять владельца, удалять файлы и папки и выполнять все действия, на которые дают право все остальные разрешения NTFS.
Разрешения для папок распространяются на их содержимое: подпапки и файлы.
При назначении пользователю или группе разрешения на доступ к файлу или папке руководствуются тем уровнем доступа, который достаточен для данной группы или пользователя при выполнении им своих рабочих обязанностей.
Рассмотренные разрешения относятся к пользователям данного компьютера, совершившим вход локально непосредственно на данную машину. Такие разрешения называются разрешениями файловой системы.
Так как файловая система WindowsназываетсяNTFS, то разрешения файловой системы дляWindowsназывают разрешениямиNTFS.
Разрешения для пользователей, получившим доступ к папке или файлу через сеть, регулируются отдельно с помощью так называемых разрешений общего доступа. Эти разрешения распространяются только на папки, к которым предоставлен общий доступ через сеть и действуют только для пользователей, обращающихся к папке через сеть. Возможности пользователя задаются разрешениями, представленными ниже:
Полный доступ (Full Control);
Изменить (Change);
Чтение (Read);
Доступ к средствам настройки разрешений общего доступа выполняется через свойства папки, предоставленной в общий доступ (рисунок 4.2)
Рисунок 4.2 Разрешения общего доступа для папки WS_DEMO
Разрешения общего доступа являются средством обеспечения безопасности данных при коллективной работе с документами и поэтому должны устанавливаться очень тщательно и обоснованно. При этом администратору рекомендуется действовать следующим образом.
Для каждого ресурса общего доступа определить, каким группам пользователей необходим доступ к нему и какой требуется уровень доступа;
Для упрощения администрирования назначайте разрешения группам, а не отдельным пользователям;
Устанавливайте максимально строгие разрешения, которые, однако, должны позволять пользователям совершать необходимые действия;
Организуйте ресурсы общего доступа таким образом, чтобы папки с одинаковым уровнем требований безопасности находились в одной папке. Затем установите общий доступ только к ней, все вложенные папки наследуют настройки безопасности;
Для папок общего доступа применяйте интуитивно понятные пользователям имена, корректно отображаемые всеми клиентскими операционными системами, используемыми на предприятии.
Если в общих папках предполагается хранить программы-приложения, то целесообразно поместить их в одну папку – единое место хранения и обновлении я приложений;
Несколько общих папок, доступных членам группы Администраторы, так называемые скрытые Административные общие папки, создаются операционной системой автоматически. Имена этих папок заканчиваются знаком $. Это корневые каталоги каждого тома на жестком диске (C$,D$ и т.д.), папкаAdmin$ для доступа к системному каталогу, папкаPrint$ для доступа к файлам драйверов принтеров.
Кроме того, скрытую папку с общим доступом можно создать с целью доступа к ней только тех пользователей, которые будут знать имя скрытой папки.
Получить доступ к общим папкам других компьютеров можно используя компоненты Сетевое окружение, Мой компьютер, Мастер добавления в сетевое окружении и команду выполнить (Run).
Соединение с общей папкой через Сетевое окружение выполняется двойным щелчком по ресурсу, к которому необходимо получить доступ. Если общий ресурс отсутствует в списке доступных, выберите значок Добавить новый элемент в сетевое окружение и укажите адрес подключаемого ресурса.
Соединение с общей папкой через компонент Мой компьютер выполняется через меню Сервис этого компонента в пункте Подключить сетевой диск при указании пути к общему ресурсу. Если необходимо пользоваться этим соединением постоянно, нужно чтобы флажок Восстанавливать при входе в систему был установлен. Соединение будет доступно в разделе Сетевые диске окна Мой компьютер.
Для соединения с общей папкой с помощью команды Выполнить щелкните Пуск, затем Выполнить и введите путь к папке в формате UNC(\\имя_ компьютера\имя_общей папки).
Рассмотрим, как пользоваться средствами установки разрешений файловой системы и общего доступа.
После выбора объекта, для которого будет выполняться настройка разрешений файловой системы, в диалоговом окне свойств файла или папки необходимо выбрать вкладку Безопасность, показанную на рисунке 4.3.
В данном случае показано, что для папки Авиатор для группы Администраторы установлены разрешения уровня Полный доступ, а для группы Все разрешения ограничены на уровне Чтение.
При установке разрешений в списке групп можно заметить имена так называемых встроенных системных групп, невидимых при использовании оснасток для управления группами и пользователями. Эти группы не имеют определенных членств, которые можно назначить или изменить, но в них система включает различных пользователей в различное время, в зависимости от того, каким образом пользователь получает доступ к системе или ресурсам.
Встроенные системные группы были рассмотрены выше в лабораторной работе №3. В данном случае имеется в виду группа Все, в которую во время своей работы входят все, кто получил доступ к компьютеру или домену.
Разрешения можно не только устанавливать, но запрещать. Запрет имеет больший приоритет, чем разрешение. Запрет разрешений как метод контроля ресурсов Microsoftприменять не рекомендует, и он используется, в основном, для дополнительной настройки разрешений конкретным пользователям, в отличие от разрешений для других пользователей группы.
Рассмотренные разрешения называются стандартными и позволяют решить большинство задач, связанных с регулированием уровня доступа групп к ресурсам.
Рисунок 4.3 Установка разрешений для группы Все
Кнопка Дополнительно служит для задания специальных разрешений. Каждое стандартное разрешение состоит из нескольких специальных, например стандартное разрешение Запись состоит из шести специальных разрешений: создание файлов/запись данных, Создание папок/дозапись данных, запись атрибутов, Запись дополнительных атрибутов, чтение разрешений, синхронизация. Специальные разрешения можно использовать для более тонкой настройки в нестандартных ситуациях.
В окне специальных разрешений имеются закладки Аудит, Владелец.и Эффективные разрешения.
Аудит - это процесс, позволяющий фиксировать события, происходящие в системе и имеющие отношения к безопасности. На данной вкладке производится выбор пользователя или группы, для которых данная папка (или файл) будет объектом аудита. Аудит изучается в лабораторной работе № 6.
Закладка Владелец обеспечивает такое свойство безопасности, как право владения объектом файловой системы. Администратор всегда может стать владельцем любого объекта файловой системы, любой пользователь является владельцем созданных им объектов и, если локальные или доменные политики безопасности разрешат, пользователь может назначать себя владельцем других файлов и папок.
Подробное рассмотрение вопросов владения выходит за рамки данного пособия, однако отметим, что многие операции с файлами и папками, например смена разрешений, шифрование и дешифрование привязаны к факту владения данным объектом.
Список управления доступом (ACL) хранится на дискеNTFSдля каждого файла или папки. В нем перечислены пользователи и группы, для которых установлены разрешения для файла или папки, а также сами назначенные разрешения.
Каждому пользователю или группе могут быть установлены множественные разрешения через участие в нескольких группах с разным набором разрешений. В этом случае действуют эффективные разрешения – пользователь обладает всеми назначенными ему разрешениями.
Действует приоритет разрешений для файлов над разрешениями для папок и приоритет запрещения над разрешением.
Разрешения, назначенные родительской папке, по умолчанию наследуются всеми подпапками и файлами, содержащимися в папках. Однако есть возможность предотвратить наследование для любой вложенной папки и в этом случае эта папка сама становится родительской для вложенных в нее папок.
Если папка предоставлена для общего доступа, то на нее распространяются разрешения двух видов:
разрешения файловой системы, установленные для пользователей данного компьютера;
разрешения общего доступа, объявленные для пользователей, получивших доступ через сеть.
Обычно для папок общего доступа задают разрешения полного доступа, а ограничения вводят установкой разрешений NTFS[4,5].
В этом случае действует объединение разрешений NTFSи разрешений для общей папки, при котором наиболее строгое разрешение имеет приоритет над другими.
Задание к проведению лабораторной работы
Создайте папку, в которую поместите текстовый файл и приложение в виде файла с расширением exe. Например, одну из стандартных программWindows, такую какnotepad.exe(Блокнот).
Установите для этой папки разрешения полного доступа для одного из пользователей группы администраторы, и ограниченные разрешения для пользователя с ограниченной учетной записью.
Выполните различные действия с папкой и файлами для обеих учетных записей и установите, как действуют ограничения, связанные с назначением уровня доступа ниже, чем полный доступ.
Установите общий доступ к папке и подключитесь к ней через сеть с другого виртуального компьютера.
Установите разрешения общего доступа так, чтобы администратор не имел ограничений, а пользователь имел ограниченный уровень доступа.
Экспериментально убедитесь в правилах объединения разрешений NTFSи разрешений общего доступа.
Составьте отчет о проведенных экспериментах.
Разработайте стратегию регулирования безопасности при коллективном доступе к общим папкам для различных групп пользователей.
Контрольные вопросы
Какое из следующих разрешений NTFSдля папок позволяет вам удалять папку?
Чтение
Чтение и выполнение
Изменение
Администрирование
Какое разрешение NTFSдля файлов следует установить для файла, если вы позволяете пользователям удалять файл, но не позволяете становиться владельцами файла?
Какие объекты по умолчанию наследуют разрешения, установленные для родительской папки?
Кто может устанавливать разрешения для отдельных пользователей и групп? (выберите все правильные ответы)
Члены группы Администраторы
Члены группы Опытные пользователи
Пользователи, обладающие разрешением Полный доступ
Владельцы файлов и папок
5. Какой из следующих вкладок диалогового окна свойств файла или папки следует воспользоваться для установки или изменений разрешений NTFS:
Дополнительно
Разрешения
Безопасность
Общие
6. Если вы хотите, чтобы пользователь или группа не имела доступа к определенной папке или файлу, следует ли запретить разрешения для этой папки или файла?
- Федеральное агентство по образованию
- Предисловие
- Лабораторная работа №1 Установка виртуальной компьютерной сети на основе операционных систем Windows
- Лабораторная работа № 2. Установка и настройка домена
- Лабораторная работа №3 Управление группами, пользователями и компьютерами домена
- Лабораторная работа №4 Управление доступом к файловым ресурсам
- Лабораторная работа №5 Аудит безопасности
- Лабораторная работа № 6 Установка и основы настройки служб dhcp и dns
- Лабораторная работа №7 Ознакомление с сетевыми функциями операционной системы
- Ipconfig /?
- Ipconfig/all
- Ipconfig/registerdns
- Библиографический список
- Оглавление