- •5. Защита сетевых ресурсов с помощью прав доступа 43
- •6. Защита сетевых ресурсов средствами ntfs 52
- •7. Аудит ресурсов и событий 65
- •8. Мониторинг ресурсов 75
- •Защита сетевых ресурсов с помощью прав доступа
- •Основные понятия
- •Что такое общие папки
- •Для чего нужны общие папки
- •Права доступа к общим папкам
- •Область применения прав доступа к общим папкам
- •Как применяются права доступа
- •Множественные права
- •Право No access
- •Примеры применения прав доступа
- •Пример 1
- •Пример 2
- •Планирование общих папок
- •Рекомендации
- •Пример организации общих папок
- •Как назначать права доступа
- •Сетевые папки приложений
- •Общедоступные данные
- •Рабочие папки
- •Домашние каталоги
- •Организация общего доступа к папкам
- •Условия создания общих папок
- •Общие папки административного назначения
- •Создание общей папки
- •Параметры вкладки Sharing
- •Назначение прав доступа к сетевому ресурсу
- •Модификация общих папок
- •Подключение к общим папкам
- •Подключение командой Map Network Drive
- •Подключение командой Run
- •Рекомендации
- •Защита сетевых ресурсов средствами ntfs
- •Основные понятия
- •Что такое разрешения ntfs
- •Зачем нужны разрешения ntfs
- •Стандартные разрешения
- •Стандартные разрешения для папок
- •Стандартные разрешения для файлов
- •Применение разрешений ntfs
- •Пример разрешений ntfs для папки
- •Пример разрешений ntfs для файла
- •Права доступа и разрешения ntfs
- •Основные сведения
- •Примеры комбинаций разрешений ntfs и прав доступа
- •Присвоение разрешений ntfs
- •Условия присвоения разрешений
- •Разрешения по умолчанию
- •Разрешения ntfs на доступ к папкам и файлам
- •Специальные разрешения
- •Смена владельца файлов и папок
- •Как объявить себя владельцем
- •Как разрешить пользователям изменять владельца
- •Копирование и перемещение файлов и папок
- •Копирование папки или файла
- •Перемещение папки или файла
- •Необходимые разрешения
- •Пример копирования и перемещения папок и файлов
- •Устранение проблем, связанных с разрешениями
- •Проблема 1
- •Решение
- •Проблема 2
- •Решение
- •Проблема 3
- •Решение
- •Рекомендации
- •Аудит ресурсов и событий
- •Основные понятия
- •Что такое аудит
- •Установка и настройка аудита
- •Планирование и реализация аудита
- •Планирование аудита
- •Реализация аудита
- •Выбор доменной стратегии аудита
- •Аудит файлов и папок
- •Аудит группы Everyone
- •Аудит принтера
- •Просмотр журнала безопасности средствами Event Viewer
- •Типы журналов
- •Условия просмотра журнала безопасности
- •Просмотр журнала безопасности
- •Отбор событий
- •Поиск событий
- •Архивирование журнала безопасности
- •Рекомендации
- •Мониторинг ресурсов
- •Основные понятия
- •Server Manager
- •Windows nt Diagnostics
- •Требования для работы с Server Manager и Windows nt Diagnostics
- •Просмотр свойств компьютера
- •Основные сведения
- •Просмотр свойств компьютера
- •Просмотр пользовательских сеансов
- •Мониторинг совместно используемых ресурсов
- •Мониторинг используемых ресурсов
- •Настройка оповещения и рассылка сообщений
- •Настройка административных оповещений
- •Рассылка сообщений пользователям
- •Программа Windows nt Diagnostics
- •Основные сведения
- •Сбор информации
- •Составление и печать сводки
- •Рекомендации
Права доступа к общим папкам
Права доступа к обшей папке позволяют контролировать доступ к ней пользователей и групп. Иерархия прав доступа — от самых ограничительных (внизу) до самых мягких (вверху) — показана на приведенном ниже рисунке.
|
Полный контроль |
|
Изменение |
|
Чтение |
|
Доступ запрещен |
Full control (Полный контроль)
Предоставляется по умолчанию группе Everyone (Все). Позволяет изменять права доступа к файлу; заменять владельца файла на томах NTFS; выполнять все операции, разрешенные правами Change (Изменение) и Read (Чтение).
Change (Изменение)
Позволяет создавать папки и добавлять файлы; изменять данные в файлах; добавлять данные в файлы; изменять атрибуты файлов; удалять файлы и папки; выполнять все операции, разрешенные правом доступа Read (Чтение).
Read (Чтение)
Позволяет просматривать названия папок и файлов; просматривать атрибуты папок и файлов; запускать файлы приложений; обращаться ко вложенным папкам
No access (Доступ запрещен)
Позволяет только подключаться к папке. Доступ к содержимому папки, включая просмотр списка ее содержимого, запрещен. Рекомендуется при повышенных требованиях к безопасности. Это право доступа имеет наивысший приоритет среди всех.
Область применения прав доступа к общим папкам
Права доступа к общим папкам действуют лишь при подключении пользователя по сети. Они никак не ограничивают локальный доступ к папке.
На компьютерах под управлением Windows NT Server, где пользователи, как правило, лишены привилегии Logon locally(Локальная регистрация), это не составляет проблемы. Однако на компьютерах под управлением Windows NT Workstation, где эта привилегия автоматически присваивается всем пользователям, назначение прав доступа к общим папкам не обеспечивает защиты.
Данные, расположенные на томе файловой системы NTFS, можно защитить с помощью разрешений NTFS.
Как применяются права доступа
Права доступа к общим папкам можно присвоить как непосредственно учетной записи пользователя, так и группе, членом которой он является. Пользователь, состоящий в нескольких группах, которым присвоены разные права доступа к общей папке, приобретает все эти права [если среди них нет права No access (Доступ запрещен)].
Для прав доступа действуют два правила.
Если права доступа к некоторой общей папке присвоены как учетной записи пользователя, так и группе, в которую он входит, фактические права доступа пользователя представляют собой наименее ограничивающую комбинацию прав доступа учетной записи и групп.
Право No access (Доступ запрещен) имеет наивысший приоритет и отменяет все остальные права доступа, присвоенные учетной записи пользователя и всем группам, членом которых он является. Присвоенное, это право всегда становится фактическим правом доступа.
Множественные права
Предположим, пользователю Пользователь1 предоставлено право доступа Full control (Полный контроль) к общей папке "Общая" (Public). Как Вы уже знаете, это право — наименее строгое. Пусть, кроме того, этот пользователь входит в состав группы Everyone (Все), которой присвоено другое право доступа — Read (Чтение). Фактические права доступа пользователя Пользователь 1 — это наименее строгая из возможных комбинаций прав доступа учетной записи пользователя и группы, то есть Full control (Полный контроль), так как право Full control включает права доступа Read и Change.