17. В.П.Леоньев, Большая энциклопедия комп’ютера и интернета, 2005.

18. Конспект лекцій.

Матеріально технічне забезпечення та дидактичні засоби, ТЗН:комп’ютери з встановленою операційною системою Windows XP Professional.

9.1 Система захисту Windows xp Professional

У попередніх лабораторних ми розглянули процес створення і настроювання мережі, але не обговорювали одну з найважливіших мережних концепцій — захист (безпека). Однак усе сімейство операційних систем NT розроблялося саме для забезпечення захисту, тому відповідні архітектурні елементи присутні в Windows XP Professional.

Windows XP Professional на відміну від деяких інших ОС вимагає наявності облікового запису для користувача до виконання будь-яких операцій на ПК. В інших ОС теж потрібно вводити пароль, але це пароль доступу до мережі, а не до операційної системи.

Облікові записи — невід'ємна частина Windows XP Professional, що надає великі можливості. Припустимо, користувачі Петро та Павло спільно використовують один комп'ютер. У Windows XP Professional можна зробити так, що Павло ніколи не отримає доступу до папок користувача Петра і навпаки.

Крім того, доступ до файлів і папок можна обмежити на основі повноважень. У Windows XP Professional дозволено застосування файлових систем FAT, FAT32 або NTFS. У кожній із двох файлових систем FAT ми отримуємо тільки обмежені можливості по управлінню доступом до файлів і папок, але в NTFS забезпечується повноцінне управління доступом як до файлів локального комп'ютера, так і до файлів у мережі.

У цій лабораторній ми обговоримопитання створення облікового запису користувача, а також встановлення повноважень для доступу до спільних ресурсів, файлів і папок.

Облікові записи користувачів у Windows XP Professional

У Windows XP Professional необхідно створити обліковий запис користувача до того, як він отримає доступ до робочої станції, причому на відміну від Windows 9х до входу в систему заборонені будь-які операції.

Якщо ж комп'ютер Windows XP Professional входить у мережу клієнт/сервер, то доступні два типи облікових записів: локальні і доменні. Обліковий запис у домені визначає доступ до мережних ресурсів, для яких у користувача є повноваження. Звичайно такі облікові записи формуються адміністратором мережного сервера і зберігаються в спеціальному каталозі на сервері, яким може бути Active Directory (активний каталог) або каталог домена Windows NT.

Локальний обліковий запис діє тільки на локальний комп'ютер і зберігається в базі даних SAM (Security Accounts Manager, менеджер облікових записів безпеки, або просто менеджер безпеки). Такий обліковий запис формується в аплеті Користувачі і паролі (Users and Passwords), що ми розглянемо нижче.

Далі ми будемо обговорювати тільки локальні облікові записи користувачів, а адміністраторам мережних доменів (яким необхідно знати правила формування доменних облікових записів) рекомендуємо звернутися до книги: Майнази М., Андерсон К., Смит Б., Тумбі Д. Windows 2000 Server. M., Лорі, 2000.).

Спочатку потрібно обговорити типи облікових записів у системі Windows XP Professional. Є дві широкі категорії: користувачі і групи. Обліковий запис користувача ідентифікує окремого користувача системи по його імені і паролеві. Обліковий запис групи містить інші облікові записи і дозволяє «оптом» привласнити всім цим записам визначений набір привілеїв.

Існує три типи облікових записів користувачів:

Адміністратор комп'ютера (Computer Administrator). Цей обліковий запис дає повні і необмежені права на управління комп'ютером. Вона створюється під час установлення Windows XP Professional і не може бути вилучена із системи. Для створення нового облікового запису, зміни володіння файлами або об'єктами, встановлення ПО для всіх користувачів і т.д. потрібно ввійти в систему як Адміністратор комп'ютера (Computer Administrator).

• Користувач з обмеженими правами (Limited). Цей обліковий запис призначений для звичайних і постійних користувачів комп'ютера, яким дозволено встановлювати ПО й обладнання або змінювати власне реєстраційне ім'я. Кожна людина з цим обліковим записом може змінити власний пароль і вхідну заставку системи.

• Гість (Гость або Guest). Цей вбудований обліковий запис дозволяє ввійти в систему навіть тим користувачам, які не мають спеціально призначеного облікового запису. Для такого облікового запису не потрібний пароль, причому за замовчуванням сам цей обліковий запис відключений (і дозволяти його не рекомендується). Якщо необхідно надавати систему випадковим відвідувачам організації, краще щораз створювати окремий обліковий запис, який видаляється відразу після використання.

Група поєднує кілька облікових записів (у цьому її призначення). У групи адміністратор комп'ютера збирає користувачів з однаковими привілеями. За замовчуванням будь-яка система Windows XP Professional містить наступні вбудовані групи:

• Адміністратори (Администраторы або Administrators). Дозволено будь-які операції на комп'ютері, заборонені всім іншим групам, наприклад завантаження і видалення драйверів пристроїв, управління аудитом безпеки або присвоювання власників файлам і пристроям.

• Оператори архіву (Операторы архива або Backup Operators). Дозволено реєстрацію на комп'ютері і виконання операцій резервного копіювання або відновлення. Однак членам цієї групи доступні не всі операції адміністрування. Оператори архіву можуть виключити систему, але не здатні змінити параметри безпеки.

• Гості (Гости або Guests). Мінімальний рівень доступу до мережних ресурсів, але з точки зору захисту краще не створювати цю групу.

• Оператори настроювання мережі (Операторы настройки сети або Network Configuration Operators). Можуть керувати мережною конфігурацією з адміністративним рівнем доступу. Членам цієї групи недоступні всі операції адміністрування, але вони можуть змінити характеристики мережного підключення або підключення, що комутується.

• Досвідчені користувачі (Опытные пользователи або Power Users). У них більші повноваження: вони можуть створювати новий принтер або спільні ресурси, змінювати системний час, їм дозволяється вимикання по команді іншої системи або зміна пріоритетів процесів. Але вони не можуть виконувати операції резервного копіювання, завантаження і вивантаження драйверів пристроїв або зміни власника.

• Користувачі віддаленного робочого столу (Remote Desktop Users). Отримують право на віддалений вхід у систему.

• Реплікатори (Репликаторы або Replicator). Мають право на дозвіл прийому файлів реплікації від серверів.

• Користувачі (Пользователи або Users). Здатні запускати програми й отримувати доступ до даних на комп'ютері, виключати ОС або звертатися по мережі до даних на інших комп'ютерах, але їм заборонено створювати спільні ресурси і локальні принтери.

• HelpServicesGroup (Група довідкової служби). Дістають права на доступ до Центра довідки і підтримки (Help and Support Center).

• IIS_WPG (Internet Information Services Worker Process Group (Група співробітників для роботи із сервером IIS). Ця група з'являється тільки після встановлення веб-сервера IIS. Члени групи отримують право на управління сервером IIS (причому тільки службами цього сервера, але не опублікованим на ньому інформаційним умістом).

Права користувачів

Права користувача — невід'ємна частина системи захисту Windows XP Professional. Розходження між адміністраторами і звичайними користувачами полягає в складі дозволених операцій. Наприклад, адміністратор може створити обліковий запис нового користувача, але це не здатний зробити звичайний користувач. В термінології Windows XP Professional дозвіл на виконання операції називається правом (right). 

Подивимося, які права отримують у Windows XP Professional різні категорії користувачів:

У Панелі управління (Панель управления або Control Panel) натисніть Продуктивність і обслуговування (Производительность и обслуживание або Performance and Maintenance), потім Адміністрування (Администрирование або Administrative Tools) і далі Локальна політика безпеки (Локальная политика безопасности або Local Security Policy) для відкриття вікна Локальні параметри безпеки (Локальные параметры безопасности або Local Security Settings).

Рис. 9.1. Вікно Локальна політика безпеки (Локальная политика безопасности або Local Security Policy)

В панелі Параметри безпеки (Параметры безопасности або Security Settings) розкрийте значок Локальні політики (Локальные политики або Local Policies), потім натисніть Призначення прав користувача (Назначение прав пользователя або User Rights Assignment) – на панелі праворуч з'явиться список прав користувачів:

Рис. 9.2. Список прав користувачів опції Призначення прав користувача (Назначение прав пользователя або User Rights Assignment)

Багато прав не вимагають пояснень, але про деякі варто розповісти, щоб привести рекомендації щодо їх використання:

Архівування файлів і каталогів (Архивирование файлов и каталогов або Back Up Files and Directories). Право на запуск утиліт резервного копіювання.

Зміна системного часу (Изменение системного времени або Change the System Time). Зміна часу на комп'ютері дозволена нe усім (оскільки системний час впливає на проведення мережних операцій), хоча можна змінити його в MS DOS або в BIOS комп'ютера.

Примусове віддалене завершення (Принудительное удаленное завершение або Force Shutdown from a Remote System).

Деякі утиліти зі складу Resource Kit дозволяють виключити комп'ютер, навіть якщо на ньому зареєструвався інший користувач. Оскільки це право не слід надавати будь-якому користувачеві, Microsoft створила спеціальне повноваження на дану операцію.

Завантаження і вивантаження драйверів пристроїв (Загрузка и выгрузка драйверов устройств або Load and Unload Device Drivers).

Драйвери мають не тільки відеоплати або пристрої SCSI, драйверами можуть бути модулі прикладних програм або підсистем ОС. Без надання даного права звичайно не можна встановлювати нове програмне забезпечення або змінювати і модифікувати окремі частини ОС.

Локальний вхід у систему (Локальный вход в систему або Log on Locally). Реєстрація на самому комп'ютері.

Управління аудитом і журналом безпеки (Управление аудитом и журналом безопасности або Manage Auditing and Security Log). Дозволено включити журнал безпеки Windows XP Professional, у якому реєструються всі дії по активізації підсистеми захисту. Однак не рекомендується використовувати журнал безпеки, оскільки дані в ньому не занадто зрозумілі, а головне, журнал дуже швидко збільшується в розмірі, займаючи вільне місце на жорсткому диску і вимагаючи додаткових ресурсів процесора.

Відновлення файлів і каталогів (Восстановление файлов и каталогов або Restore Files and Directories). Операція, зворотна резервному копіюванню.

Права власності на файли й інші об'єкти (Права собственности на файлы и другие объекты або Take Ownership of Files or Others Objects) Дозволяє обмежити або розширити право на доступ, навіть не припускаючи доступ до цих об'єктів для себе. Це могутнє право, яким повинен володіти тільки адміністратор системи

УВАГА. Права власності на файли й інші об'єкти (Права собственности на файлы и другие объекты або Take Ownership of Files or Other Objects) - секретна зброя адміністратора. Користувач здатний відгородити свої дані від адміністратора, але останній завжди зможе привласнити собі повноваження на доступ. Не можна захистити свої файли від адміністратора системи, можна тільки утруднити до них доступ.

Створення облікового запису користувача

Припустимо, що потрібно створити на комп'ютері обліковий запис для нового користувача. Для цього є два способи: використання аплета Користувачі і паролі (Пользователи и пароли або Users and Passwords) або застосування оснащення Управління комп'ютером (Управление компьютером або 

Computer Management). Почнемо з першого варіанта:

Ввійдіть у систему за обліковим записом Адміністратор комп'ютера (Администратор компьютера або Computer Administrator).

Виконайте Пуск (Start) Панель управління (Панель управления або Control Panel), потім натисніть Облікові записи користувачів (Учетные записи пользователей або User Accounts), щоб відкрити однойменне діалогове вікно.

Натисніть посилання Створення облікового запису (Создание учетной записи або Create a New Account) для переходу на екран Задайте ім'я нового облікового запису (Задайте имя новой учетной записи або Name the New Account):

Рис. 9.3.Вікно для створення облікового запису

Введіть ім'я користувача, потім натисніть Далі (Далее або Next).

УВАГА. У Windows XP Professional ім'я користувача не повинне перевищувати 20 символів і не залежить від регістра.

Укажіть тип облікового запису, потім натисніть Створити обліковий запис (Создать учетную запись або Create Account).

Повернувшись на екран Облікові записи користувачів (Учетные записи пользователей або User Accounts), натисніть Зміна облікового запису (Изменение учетной записи або Change an Account) та виберіть тільки що створений обліковий запис. Натисніть Створення пароля (Создание пароля або Create Password) для переходу на екран введення пароля для обраного облікового запису.

УВАГА. У Windows XP Professional довжина пароля не повинна перевищувати 127 символів у «чистому» середовищі Windows XP Professional. Якщо ж у мережі присутні комп'ютери з Windows 9x, пароль не повинен перевищувати 14 символів. В обох випадках пароль залежить від регістру.

У поле Введіть новий пароль (Введите новый пароль або Type a New Password) укажіть пароль і підтвердіть його в полі Підтвердження введення нового пароля (Подтверждение ввода нового пароля або Type the New Password Again to Confirm). При необхідності введіть підказку (яку може побачити будь-який користувач), яка дозволяє згадати випадково забутий пароль.

Натисніть Створити пароль (Создать пароль або Create Password) для присвоєння пароля обліковому запису нового користувача.

Ще більший контроль над процесом створення облікових записів у Windows XP Professional забезпечує оснащення Управління локальними користувачами (Управление локальными пользователями або Local User Manager). На Панелі управління (Панель управления або Control Panel) натисніть Продуктивність і обслуговування (Производительность и обслуживание або Performance and Maintenance), натисніть Адміністрування (Администрирование або Administrative Tools), потім Управління комп'ютером (Управление компьютером або Computer Management). У вікні, що відкрилося, Управління комп'ютером (Управление компьютером або Computer Management) на панелі Управління комп'ютером (локальним) - Computer Management (Local), розкрийте значок Службові програми (Служебные программы або System Tools), потім Локальні користувачі і групи (Локальные пользователи и группы або Local Users and Groups) і виберіть Користувачі (Пользователи або Users), щоб отримати на правій панелі список користувачів. Виконайте Дія (Действие або Action) Новий користувач (Новый пользователь або New User) для відкриття однойменного діалогового вікна (рис. 9.4).

Рис. 9.4. Діалогове вікно Новий користувач

Ім'я користувача для нового облікового запису

Прізвище й ім'я користувача

Опис

Пароль і його підтвердження

Параметри пароля. За замовчуванням обраний режим Вимагати зміни пароля при наступному вході в систему (Требовать смены пароля при следующем входе в систему або User Must Change Password at Next Logon). Це гарантує, що пароль буде відомий тільки самому користувачу, і дозволяє підсилити захист системи. Якщо скинути відповідний прапорець, стають доступними ще два режими. Режим Заборонити зміну пароля користувачем (Запретить смену пароля пользователем або User Cannot Change Password) знадобиться для служби або людей, яким не дозволено змінювати паролі. Режим Термін дії пароля не обмежений (Срок действия пароля не ограничен або Password Never Expires) дозволяє сформувати «постійний» пароль, на який не діє автоматична процедура закінчення терміну дії.

Ще один прапорець відключає обліковий запис. У такому режимі рекомендується змінювати властивості облікового запису до надання його користувачеві (наприклад, призначати повноваження на доступ до файлів і папок). Щоб перейти в цей режим, встановіть прапорець Відключити обліковий запис (Отключить учетную запись або Account Is Disabled).

Настроївши параметри облікового запису, натисніть Створити (Создать або Create).

УВАГА. Для дозволу облікового запису(після відключення) у вікні Локальні користувачі і групи (Локальные пользователи и группы або Local Users and Groups) натисніть правою кнопкою потрібний обліковий запис і виберіть Властивості (Свойства або Properties). Скиньте прапорець Відключити обліковий запис (Отключить учетную запись або Account Is Disabled).

Створення облікового запису групи

Організація нової групи користувачів схожа на створення облікового запису індивідуального користувача. Локальні групи дозволяють регулювати доступ до ресурсів. Виконайте наступні дії:

У Панелі управління (Панель управления або Control Panel) натисніть Продуктивність і обслуговування (Производительность и обслуживание або Performance and Maintenance), потім Адміністрування (Администрирование або Administrative Tools) і далі Управління комп'ютером (Управление компьютером або Computer Management) для відкриття однойменного вікна.

Розкрийте значок Службові програми (Служебные программы або System Tools), потім значок Локальні користувачі і групи (Локальные пользователи и группы або Local User and Groups). Натисніть правою кнопкою Групи (Группы або Groups) і виберіть Створити групу (Создать группу або New Group) для відкриття діалогового вікна Нова група (Новая группа або New Group):

Рис. 9.5. Вікно створення нової групи

Введіть ім'я групи. Ім'я складається з букв і цифр і не перевищує по довжині 256 символів. Ім'я повинне бути унікальним у межах локальної бази даних комп'ютера.

Введіть у поле Опис (Описание або Description) коротку характеристику призначення і складу групи.

Натисніть кнопку Додати (Добавить або Add) для відкриття діалогового вікна Вибір: Користувачі (Выбор: Пользователи або Select Users).

У поле Введіть імена обираємих об'єктів (Введите имена выбираемых объектов або Enter the Object Name to Select) вкажіть імена користувачів, які додаються в групу, натисніть ОК. Повторіть п. 5 і 6 для додавання в групу інших користувачів.

Рис. 9.6. Діалогове вікно Вибір: Користувачі (Выбор: Пользователи або Select Users).

Повернувши в діалогове вікно Нова група (New Group), натисніть Закрити (Закрыть або Close), потім закрийте вікно Управління комп'ютером (Управление компьютером або Computer Management).

Встановлення повноважень (дозволів)

Найважливішими перевагами Windows XP Professional є обмеження доступу до даних. До появи NT в ОС використовувався такий принцип: «Отримання фізичного доступу до комп'ютера дозволяє побачити будь-які дані». Тому конфіденційну інформацію зазвичай розміщували на мережному сервері, який знаходився в закритому для звичайних користувачів приміщенні.

Однак захист мережі вимагає виконання певних правил. Якщо людина має доступ до комп'ютера, ніщо не забороняє йому вилучити жорсткий диск і отримати доступ до всій інформації, що зберігається на ньому. Отже, одним з методів захисту стає навчання всіх користувачів мережі правилам безпеки (наприклад, нерозголошення своїх паролів і встановлення прав на доступ до різних категорій даних).

Розглянемо процес встановлення повноважень на рівні спільного доступу до файлів і папок (помітимо, що це можливо тільки у файловій системі NTFS).

УВАГА. Для встановлення повноважень на спільний ресурс варто відмовитися від простої процедури спільного використання цього ресурсу, що встановлюється за замовчуванням. У вікні Провідника (Проводник або Explorer) виконайте Сервіс (Tools) Властивості папки (Свойства папки або Folder Options) для відкриття однойменного діалогового вікна. Натисніть вкладку Вид (View) і в списку Додаткові параметри (Дополнительные параметры або Advanced Settings) скиньте прапорець Використовувати простий доступ до файлів (рекомендується) (Использовать простой доступ к файлам (рекомендуется) або Use Simple File Sharing (Recommended).

Встановлення повноважень на рівні спільного доступу

Вище ми розглядали створення спільного ресурсу для всіх користувачів мережі. Тепер обговоримо, як надати такий ресурс тільки певним користувачам. Для цього буде потрібно встановити дозволи (permissions—полномочия, або права на доступ до ресурсу). Встановлення повноважень:

1. У Провіднику (Проводник або Explorer) натисніть правою кнопкою спільний ресурс і виберіть Спільний доступ і безпека (Общий доступ и безопасность або Sharing and Security) для відкриття діалогового вікна Властивості (Свойства або Properties) на вкладці Доступ (Доступ або Sharing).

2. Натисніть кнопку Дозволи (Разрешения або Permissions) для відкриття діалогового вікна Дозволи для даного ресурсу:

Рис. 9.7. Діалогове вікно Дозволи для обраного ресурсу

УВАГА. За замовчуванням у Windows XP Professional для спільного ресурсу встановлені дозволи для групи Всі (Все або Everyone) із правом Повний контроль (Полный контроль або Full Control). У захищеному комп'ютерному середовищі варто відкликати цей дозвіл ще до присвоєння визначених повноважень користувачам і групам.

3. Натисніть Додати (Добавить або Add) для відкриття діалогового вікна Вибір: Користувачі або Групи (Выбор: Пользователи или Группы або Select Users or Groups), де можна надати дозволи на доступ до спільного файлу або папки.

Рис. 9.8. Діалогове вікно Вибір: Користувачі (Выбор: Пользователи або Select Users).

4. У полі Введіть імена обираємих об'єктів (Enter the Object Name to Select) укажіть користувачів і групи, яким надається дозвіл, потім натисніть ОК.

5. Повернувши у вікно Дозволи (Разрешения або Permissions), ми побачимо обрані групи і користувачів у списку Групи або користувачі (Group or User Names). У секції Дозволи (Разрешения або Permissions) натисніть кнопку Дозволити (Разрешить або Allow) або Заборонити (Запретить або Deny), щоб указати повноваження для певного користувача або групи. Припустимі варіанти перераховані в таблиці 9.1.

6. Після завершення встановлення дозволів натисніть ОК.

Таблиця 9.1. Дозволи для файлів

Дозвіл Опис Повний доступ (Полный доступ або Full Control) Група здатна виконувати будь-які операції над усіма файлами і папками спільного ресурсу Змінення (Изменение або Change) Група може виконувати операції читання, виконання, видалення і зміни над усіма файлами і папками спільного ресурсу Читання (Чтение або Read) Група має право виконувати операції читання і виконання, але не може видаляти і змінювати файли і папки спільного ресурсу

Типи дозволів для файлів і папок

Дозволи рівня спільного ресурсу визначають, хто і яким чином зможе отримати доступ до цього ресурсу. Однак можна привласнити більш вибіркові дозволи для файлу або папки, чим визначення прав на доступ до спільного ресурсу. Крім того, повноваження рівня файлу або папки дозволяють обмежувати доступ навіть тих користувачів, яким дозволений вхід у систему.

Акумулювання дозволів з декількох груп

Користувач може бути членом декількох різних груп, наприклад бухгалтерів (Accountants) і менеджерів (Managers), тому виникає питання, які дозволи отримує такий користувач. Припустимо, групі Accountants дозволене тільки читання файлу, а групі Managers привласнений дозвіл на Змінення (Изменение або Change), що в NT припускає повноваження на Читання (Чтение або Read) і Запис (Запись або Write). Який дозвіл отримає менеджер бухгалтерії, що є членом обох груп (Managers і Accountants)?

У спільному випадку відбувається акумулювання (додавання) дозволів на мережні ресурси. Так, маючи дозвіл на Читання (Чтение або Read) в одній групі і Змінення (Изменение або Change) в іншій, користувач отримує повноваження на читання і змінення. Однак дозвіл Змінення (Изменение або Change) припускає неявне присвоювання дозволів на Читання (Чтение або Read), тому в сумі ми отримаємо тільки дозвіл на Змінення (Изменение або Change).

Ми вже говорили, що для спільного мережного ресурсу існують три типи дозволів: Читання (Чтение або Read), Змінення (Изменение або Change) і Повний доступ (Полный доступ або Full Control). Дозволи для файлів і папок більш вибіркові, причому основний тип дозволів може містити в собі дозволи іншого типу. 

До основних дозволів відносяться:

• Читання (Чтение або Read). Дозволено перегляд умісту, дозволів і атрибутів ресурсу. Наприклад, для файлу дозволене відкриття, а для файлу, що виконується — виконання. Для папки дозволено перегляд умісту (тобто файлів).

• Запис (Запись або Write). Дозволяє створити новий файл або підкаталог, коли ресурсом є папка. Для зміни файлу додатково потрібен дозвіл на Читання (Read), хоча можна доповнити файл, записавши дані «у кінець» навіть без відкриття файлу (тобто тільки з дозволом на запис).

• Читання і виконання (Чтение и выполнение або Read and Execute). Аналогічно праву Читання і Запису, але додатково дозволений «прохід крізь папку», тобто доступ до файлів і папок (для яких відкритий доступ) у папці, до якої доступ закритий.

• Змінити (Изменить або Modify). Забезпечує такі ж права, що і Читання і виконання (Чтение и выполнение або Read & Execute) разом із Записом (Запись або Write), але додатково надається дозвіл на Видалення (Удаление або Delete).

• Повний доступ (Полный доступ або Full Control). Забезпечує всі інші дозволи, включаючи їхню зміну, а також зміну права володіння ресурсом. Крім того, дозволене видалення файлів і підпапок, навіть якщо на це не видано явний дозвіл.

• Перегляд умісту папки (Просмотр содержимого папки або List Folder Contents). Надається право, цілком обумовлене назвою дозволу.

Якщо недостатньо основних дозволів, можна точно настроїти доступ за рахунок того, що Microsoft називає Особливим доступом (Особый доступ або Special Access). 

Для зміни дозволу особливого доступу до файлу чи папки:

1. У Провіднику (Проводник або Explorer) натисніть правою кнопкою необхідний ресурс і виберіть у контекстному меню Властивості (Свойства або Properties) для відкриття діалогового вікна властивостей цього ресурсу.

2. Натисніть вкладку Безпека (Безопасность або Security), потім натисніть Додатково (Дополнительно або Advanced) для відкриття діалогового вікна Додаткові параметри безпеки (Дополнительные параметры безопасности або Advanced Security Settings):

Рис. 9.9. Вікно настройки додаткових параметрів безпеки для обраного ресурса

УВАГА. Якщо у вікні Додаткові параметри безпеки (Дополнительные параметры безопасности або Advanced Security Settings) немає вкладки Безпека (Безопасность або Security), у вікні Провідника (Проводник або Explorer) для папки Мій комп'ютер (Мой компьютер або My Computer) виконайте Сервіс (Сервис або Took) Властивості папки (Свойства папки або Folder Options) для відкриття однойменного діалогового вікна. Натисніть вкладку Вид (Вид або View) і в списку Додаткові параметри (Дополнительные параметры або Advanced Settings) скиньте прапорець Використовувати простий спільний доступ до файлів (рекомендується) (Использовать простой общий доступ к файлам або Use Simple File Sharing (Recommended). Потім натисніть ОК.

3. Натисніть Змінити (Изменить або Edit) для відкриття діалогового вікна Введення дозволу (Ввод разрешения або Permission Entry):

Рис. 9.10. Вікно встановлення елекментів дозволу для обраного ресурсу

Розглянемо доступні дозволи:

• Повний доступ (Полный доступ або Full Control). Цілком описується своєю назвою.

• Огляд папок/Виконання файлів (Обзор папок/Выполнение файлов або Traverse Folder/Execute File). Дозволяє змінювати підпапки і запускати файли.

• Зміст папки/Читання даних (Содержание папки/Чтение данных або List Folder/Read Data). Дозволяє показати уміст файлу або папки.

• Читання атрибутів (Чтение атрибутов або Read Attributes). Дозволяє показати поточний стан атрибутів файлу або папки.

• Читання додаткових атрибутів (Чтение дополнительных атрибутов або Read Extended Attributes). Дозволяє показати додаткові атрибути файлу або папки, якщо вони встановлені.

• Створення файлів/Запис даних (Создание файлов/Запись данных або Create Files/Write Data). Дозволяє записати дані в новий файл. Для папок цей дозвіл означає запис файлів, хоча і не дозволяє показати вміст папки.

• Створення папок/Добавлення даних (Создание папок/Добавление данных або Create Folders/Append Data). Дозволяє створити нову папку або доповнити існуючий файл.

• Запис атрибутів (Запись атрибутов або Write Attributes). Дозволяє змінити атрибути файлу або папки.

• Запис додаткових атрибутів (Запись дополнительных атрибутов або Write Extended Attributes). Дозволяє створити додаткові атрибути для файлу чи папки.

• Видалення підпапок і файлів (Удаление подпапок и файлов або Delete Subfolders and Files). Дозволяє видалити підпапки або файли в поточній папці.

• Видалення (Удаление або Delete). Дозволяє видалити файли.

• Читання дозволів (Чтение разрешений або Read Permissions). Дозволяє показати список поточних дозволів для файлу чи папки.

• Зміна дозволів (Смена разрешений або Change Permissions). Дозволяє змінити дозволи для файлу або папки. Звичайно цей дозвіл включений тільки в дозвіл Повний доступ (Полный доступ або Full Control).

• Зміна власника (Смена владельца або Take Ownership). Дозволяє передати права на файл чи папку.

Розглянуті дозволи дають можливість більш точно керувати доступом, хоча і не так зрозумілі починаючим адміністраторам.

Заборонити доступ користувача до файлу чи папки можна двома способами. По-перше (і звичайно краще), просто не давати дозвіл на файл чи папку. Користувач не потрапить у список дозволів. По-друге, можна додати користувача в список, але вказати Заборона (Запрещение або Deny) для кожного дозволу. У цьому випадку явно формується дозвіл Заборона доступу (Запрещение доступа або No Access).

УВАГА. Елементи в списку особливих дозволів установлюються незалежними прапорцями (вони не об'єднані в перемикач), тому припустимі будь-які комбінації дозволів.

Присвоювання дозволів файлам і папкам

Обговоривши доступні для файлів і папок дозволи, розглянемо процес їхнього присвоєння.

• У Провіднику (Проводник або Explorer) натисніть правою кнопкою файл чи папку і виберіть у контекстному меню Властивості (Свойства або Properties) для відкриття однойменного діалогового вікна.

• Натисніть вкладку Безпека (Безопасность або Security):

Рис. 9.11. Вікно становлення дозволів для папки або файлу

• Натисніть Додати (Добавить або Add) для відкриття діалогового вікна Вибір: Користувачі або Групи (Выбор: Пользователи или Группы або Select Users or Groups).

• У поле Вибір імені об'єкту (Выбор имени объекта або Enter the Object Name to Select) введіть ім'я користувача або групи, яким надається дозвіл, потім натисніть ОК.

• Повернувшись у вікно Властивості (Свойства або Properties), ми побачимо обрані групи і користувачів у списку Імена користувачів і груп (Имена пользователей и групп або Group or User Names). Натисніть ОК.

Аудит файлів і папок

Крім дозволів на файли і папки система Windows XP Professional дозволяє відслідковувати доступ до цих об'єктів. Аудит можна проводити для всіх або тільки для певних користувачів або груп. Для дозволу, настроювання і перегляду аудита необхідно ввійти в систему по обліковому запису адміністратора, причому дозволити режим аудита необхідно до початку відстеження доступу. Послідовність операцій така:

1. У командному рядку введіть mmc /а і натисніть Enter для відкриття консолі управління Microsoft Management Console.

2. Виконайте Консоль (File) Додати або видалити оснащення (Добавить или удалить оснастку або Add/Remove Snap-In) для відкриття діалогового вікна Додати/видалити оснащення (Добавить/удалить оснастку або Add/Remove Snap-In).

Рис. 9.12. Діалогове вікно Додати/видалити оснащення (Добавить/удалить оснастку або Add/Remove Snap-In).

3. Натисніть Додати (Добавить або Add) для відкриття діалогового вікна Додати ізольоване оснащення (Добавить изолированную оснастку або Add Standalone Snap-In).

Рис. 9.13. Діалогове вікно Додати ізольоване оснащення (Добавить изолированную оснастку або Add Standalone Snap-In).

4. У списку Оснащення (Оснастка або Snap-In) укажіть Групова політика (Групповая политика або Group Policy), потім натисніть Додати (Добавить або Add) для запуску Майстра групової політики (Мастер групповой политики або Group Policy Wizard):

Рис. 9.14. Вікно Майстра групової політики (Мастер групповой политики або Group Policy Wizard):

5. Якщо в полі Об'єкт групової політики (Объект групповой политики або Group Policy Object) не зазначений Локальний комп'ютер (Локальный комп’ютер або Local Computer), скористайтеся кнопкою огляду для вибору цього елементу, потім натисніть готово (Готово або Finish).

6. У діалоговому вікні Додати ізольоване оснащення (Добавить изолированную оснастку або Add Standalone Snap-In) укажіть Закрити (Закрыть або Close).

7. У діалоговому вікні Додати/видалити оснащення (Добавить/удалить оснастку або Add/Remove Snap-In) натисніть ОК.

8. Повернувши в консоль ММС, розкрийте пункт Політика «Локальний комп'ютер» (Политика «Локальный компьютер» або Local Computer Policy), потім Конфігурація комп'ютера (Конфигурация комп’ютера або Computer Configuration). Далі розкрийте Конфігурація Windows (Конфигурация Windows або Windows Settings), Параметри безпеки (Параметры безопасности або Security Settings) і Локальні політики (Локальные политики або Local Policies), потім натисніть Політика аудита (Политика аудита або Audit Policy):

Рис. 9.15. Вікно консолі з обраною опцією Політика аудита (Политика аудита або Audit Policy)

9. На правій панелі натисніть правою кнопкою миші Аудит доступу до об'єктів (Аудит доступа к объектам або Audit Object Access) і виберіть у контекстному меню Властивості (Свойства або Properties) для відкриття діалогового вікна Властивості: Аудит доступу до об'єктів (Свойства: Аудит доступа к объектам або Audit Object Access Properties):

Рис. 9.16. Діалогове вікно Властивості: Аудит доступу до об'єктів (Свойства: Аудит доступа к объектам або Audit Object Access Properties)

10. Натисніть прапорці для проведення аудита по успіху (success) і відмовленню (failure), потім ОК.

11. Закрийте вікно консолі ММС.

Ми підготувалися до виконання аудита. Для його запуску виконайте дії:

1. У Провіднику (Проводник або Explorer) натисніть правою кнопкою спільний ресурс і виберіть у контекстному меню Властивості (Свойства або Properties) для відкриття діалогового вікна властивостей цього ресурсу.

2. Натисніть вкладку Безпека (Безопасность або Security), кнопку Додатково (Дополнительно або Advanced) для відкриття діалогового вікна Додаткові параметри безпеки (Дополнительные параметры безопасности або Advanced Security Settings), потім перейдіть на вкладку Аудит (Аудит або Auditing):

Рис. 9.17. Діалогове вікно Додаткові параметри безпеки (Дополнительные параметры безопасности або Advanced Security Settings), вкладка Аудит (Аудит або Auditing):

3. Натисніть Додати (Добавить або Add) для відкриття діалогового вікна Вибір: Користувачі або Групи (Выбор: Пользователи или Группы або Select User or Group).

4. У полі Вибір імені об'єкта (Выбор имени объекта або Enter the Object Name to Select) вкажіть ім'я користувача або групи, за яким буде виконуватися аудит, потім натисніть ОК для відкриття діалогового вікна Елемент аудита (Элемент аудита або Auditing Entry):

Рис. 9.18. Діалогове вікно Елемент аудита (Элемент аудита або Auditing Entry):

5. Вкажіть об'єкти для проведення аудита, потім тричі натисніть ОК.

Щоб простежити за подіями, що відслідковуються, (за якими проводиться аудит), виконайте наступні операції:

1. У Панелі управління (Панель управления або Control Panel) натисніть Продуктивність і обслуговування (Производительность и обслуживание або Performance and Maintenance), Адміністрування (Администрирование або Administrative Tools), потім натисніть Перегляд подій (Просмотр событий або Event Viewer) для відкриття вікна цієї утиліти.

2. На лівій панелі вкажіть Журнал безпеки (Журнал безопасности або Security Log) - події, за якими проводиться аудит, будуть показані на правій панелі.

Володіння файлами

Важливою концепцією безпеки є володіння (владение або ownership) об'єктами. Володіння забезпечує ексклюзивний контроль над файлами і папками, причому для управління досить натиснути кнопкою миші. Давайте розберемося, що мається на увазі під «власником об'єкта».

Визначення терміна «володіння»

Не так просто виразити коротко таке об'ємне поняття як «володіння об'єктами» у системах NT (замість «файли і папки» ми будемо далі використовувати більш спільний термін «об'єкти»). Можна запропонувати наступне визначення:

Власником об'єкта є користувач, що завжди може змінити дозволи для цього об'єкта.

Звичайно тільки адміністратор має права на управління такими характеристиками об'єктів, як дозволи. Але користувач теж повинен керувати власними об'єктами у своїй зоні впливу (наприклад, у своєму домашньому каталозі) без залучення адміністратора. Наприклад, користувачеві може знадобитися надати доступ до власних папок чи файлів іншим користувачам. Замість звертання до адміністратора з проханням про розширення дозволів доступу власник об'єкта здатний самостійно привласнити потрібні дозволи (права на доступ). Власник об'єкта стає міні-адміністратором з великими правами, але тільки на обмежений набір власних об'єктів.

Щоб довідатися, хто є власником визначеного об'єкта, виконаємо наступні операції:

1. У Провіднику (Проводник або Explorer) натисніть об'єкт правою кнопкою миші і виберіть у контекстному меню Властивості (Свойства або Properties) для відкриття однойменного діалогового вікна.

2. Перейдіть на вкладку Безпека (Безопасность або Security), потім натисніть Додатково (Дополнительно або Advanced) для відкриття діалогового вікна Додаткові параметри безпеки (Дополнительные параметры безопасности або Advanced Security Settings).

3. Перейдіть на вкладку Власник (Владелец або Owner):

Рис. 9.19. Вікно Додаткові параметри безпеки (Дополнительные параметры безопасности або Advanced Security Settings).

Передача володіння

Користувач не може самостійно включити себе в список для дозволів на об'єкт, але здатний отримати дозвіл Зміна власника (Смена владельца або Take Ownership), стати власником об'єкта і додати себе в цей список.

Щоб зробити користувача власником об'єкта, виділіть ім'я цього користувача в списку Перемінити власника на (Сменить владельца на Change Owner Те) і натисніть ОК - користувач стане власником, але поки ще не потрапить у список для дозволів на цей об'єкт.

УВАГА. Власник файлу не обов'язково має право на доступ до файлу, оскільки володіння припускає зміну дозволів.

Як же отримати доступ до об'єкта? Ставши власником, можна змінити дозволи. Тому припустимо додати себе в список дозволів і встановити дозвіл на доступ до об'єкта.

Однак відкіля випливає це право? Всі адміністратори за замовчуванням отримують право користувача Зміна власника (Смена владельца або Take Ownership). Іноді в групи Адміністратори (Администраторы або Administrators) це право користувача вилучається. Після цього ніякий адміністратор не зможе вторгнутися в зону впливу користувача (тобто в зону, де користувач є власником своїх об'єктів).

Більш того, користувачі завжди можуть обмежити контроль адміністраторів над власним домашнім каталогом. Адже користувачі отримують у цьому каталозі право Повного доступу (Полный доступ або Full Control), що припускає наявність дозволу на зміну власника.

Як пов'язана безпека з повномасштабним контролем адміністратора? Щоб додати себе в список дозволів на об'єкт користувача, адміністраторові доведеться призначити себе власником об'єкта. При цьому адміністратор залишає свої «відбитки пальців» на об'єкті — при наступному вході в систему користувач знайде, що більш не є власником власних об'єктів, тому відразу довідається про витівки адміністратора. А якщо ще включений режим аудита, то можна точно з'ясувати, хто заглядав у чужі файли.

УВАГА. Не можна передати повноваження на володіння об'єктом. Можна тільки прийняти це повноваження. Якщо адміністратор зробить себе власником об'єкта, то вже не зможе повернути повноваження на володіння вихідному користувачеві.

Отже, володіння об'єктом припускає:

За замовчуванням нові файли і підкаталоги успадковують дозволи з батьківських папок, у яких вони були створені.

Користувач, який створив файл чи папку, стає власником цього об'єкта і завжди може керувати доступом до такого об'єкта за рахунок зміни дозволів.

При зміні дозволів для існуючої папки можна вибрати режим поширення цієї зміни на усі вкладені файли і підпапки.

Можна заборонити доступ до об'єкта для користувача або групи, не надаючи дозвіл на цей об'єкт.

УВАГА. При некоректному присвоєнні дозволів може виникнути ситуація, коли доступ до об'єкта буде заборонений для всіх, включаючи ОС.