Файловый архив студентов. Файловый архив студентов.
1313 вуза, 5303 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Белорусский государственный университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Лабораторная работа 2.docx
Скачиваний:
2
Добавлен:
01.07.2025
Размер:
193.66 Кб
Скачать
►Содержание►

1.3. Шифрование данных.

В WindowsServer 2008 продолжается поддержка шифрованной файловой системы (EncryptingFileSystem — EFS). Шифрование и дешифрование выполняет не сама NTFS, а специальный драйвер EFS.

EFS обеспечивает следующие функции:

  • Прозрачное шифрование. От владельца файла не требуется расшифровывать (зашифровывать) файл при каждом к нему обращении. Расшифрование (шифрование) происходит прозрачно при чтении или записи файла на диск.

  • Защита ключей шифрования. Шифрование с открытым ключом противостоит большинству известных методов взлома. Поэтому в EFS ключи, используемые для шифрования файла, зашифрованы открытым ключом сертификата пользователя. Список зашифрованных уникальных ключей, использованных для шифрования файла, хранится вместе с ним. Для расшифрования этих ключей владелец применяет свой закрытый ключ.

  • Встроенное восстановление данных. Если закрытый ключ владельца не доступен, агент восстановления откроет файл своим закрытым ключом. В системе может быть несколько агентов восстановления, каждый со своим открытым ключом. Но, чтобы обеспечить возможность восстановления файла, при его шифровании должен существовать и использоваться минимум один открытый ключ восстановления.

Более основательным подходом к шифрованию является техно­логия BitLocker Drive Encryption, которая выполняет шифрование всех файлов на всем жестком диске, за исключением нескольких файлов, необходимых для запуска.

BitLocker повышает степень защиты данных операционной системы, объединяя две концепции: шифрование тома и гарантирование целостности компонентов начальной загрузки операционной системы. Первый компонент, шифрование дисков, защищает данные, хранящиеся на системном томе и сконфигурированных томах данных, предотвращая доступ пользователей, не имеющих соответствующих полномочий, к системным файлам Windows, зашифрованным функцией BitLocker. Второй компонент обеспечивает проверку целостности компонентов начального этапа загрузки, проверяя, не поврежден ли или не удален жесткий диск из исходного сервера. Не менее важно то, что в случае применения BitLocker конфиденциальные данные на защищенном сервере не могут быть просмотрены, даже если жесткие диски будут перенесены в другую операционную систему. Только при выполнении двух названных условий данные на томе BitLocker будут доступны, и система получит разрешение на загрузку.

2. Создание и управление разрешениями

Получить доступ к свойствам безопасности какого-либо объекта Windows можно с использованием графического интерфейса (GUI) или утилиты командной строки icacls (применим только к файлам, папкам и дискам).

Для настройки разрешений данной папки, тома или файла проделайте следующие шаги.

  1. Выберите том или папку, для которых вы собираетесь устанавливать разрешения.

  2. Щелкните правой кнопкой мыши на нем и выберите Properties (Свойства).

  3. Выберите вкладку Security (Безопасность).

В появившемся окне свойств вы увидите два окна. В верхнем окне содержится список пользователей и групп, в нижнем - список разрешений для пользователя, которые можно устанавливать и регулировать.

Поля: Разрешить и Запретить означают разрешен ли доступ или запрещен, соответственно, в зависимости от того, в каком столбце стоит флажок для данного права доступа объекта. В зависимости от установленных прав определяется, может пользователь совершать операцию или нет. Пользователь может сам менять права расстановкой/отменой флажка. Если флажки неактивны (темный цвет флажкового поля) и пользователь не может вносить изменения, то, следовательно, у него недостаточно прав на операцию.

Разрешения для пользователя

  • полный доступ – пользователь, принадлежащий к указанной группе, может выполнять любые операции над папкой;

  • изменить – означает возможность модификации файлов или папки, в за­висимости от того, чем является защищаемый объект;

  • чтение и выполнение – возможность чтения и исполнения файлов папки;

  • список содержимого папки – доступ к списку содержимого папки;

  • чтение – доступ на чтение содержимого папки;

  • запись – разрешение на запись означает возможность, изменять или создавать новые файлы, а если такое право доступа стоит для одного файла, то и возможность записи в него группе пользователей или одному пользователю, для которого рядом с этим правом доступа стоит флажок;

  • особые разрешения – используются для уточнения набора прав, которым может обладать пользо­ватель, для их редактирования следует нажать кнопку Дополнительно, выбрать из списка требуемого пользователя, а потом нажать кнопку Изменить.

Механизм наследования прав объектами файловой системы

В окне вкладки Безопасность нажать кнопку Дополнительно.

В появившемся окне отображен список объектов – пользователей и групп, которые имеют различные права к данному объекту файловой системы.

В дополнительных параметрах появился пункт списка Унаследовано от, что означает, есть ли у прав пользователей или их групп, приведенных в списке, наследование от предыдущих объектов файловой системы и если да, то откуда. При использовании механизма наследования все каталоги и файлы, создаваемые внутри другого внешнего каталога, от которого ведется наследование, будут создаваться с аналогичными правами.

Наследование файловых прав доступа происходит, так как стоит флажок в режиме Разрешить наследование разрешений от родительского объекта к этому объекту и его дочерним объектам, добавляя их к разрешениям, явно заданным в этом окне.

Во вкладке Разрешения кнопки Добавить и Удалить ответственны, за добавление и удаление пользовательских прав как отдельных пользователей, так и их групп. Кнопка Изменить позволяет проводить более точную изменение пользователям и их группам прав файловой системы.

Для просмотра полного набора прав, которыми обладает файловый объект следует выбрать пользователя или группу пользователей и нажать кнопку Изменить. Появится новое окно Объект с расширенными правами:

  • режим Полный доступ означает, что выбранный пользователь или группа будут иметь все права над данным файловым объектом;

  • режим Обзор папок / Выполнение файлов означает, что данному пользователю или группе разрешено перемещаться по каталогу, если это каталог, и выполнять данный файл, если это файл;

  • режим Содержание папки / Чтение данных означает возможность для пользователя группы производить просмотр каталога, если данный объект каталог и читать данные, если это файл;

  • режимы Чтение атрибутов и Чтение дополнительных атрибутов означают разрешение на просмотр атрибутов (свойств файлов: скрытый, только чтение и пр.) и расширенных атрибутов (определяемых конкретными программами), соответственно;

  • режимы Создание файлов / Запись данных и Создание папок / Дозапись данных управляют возможностью пользователя или группы создавать файлы и записывать в них информацию, создавать папки и дозаписывать информацию в файлы, соответственно;

  • режимы Запись атрибутов и Запись дополнительных атрибутов означают, соответственно, возможность записи или изменения пользователями или группами пользователей атрибутов или расширенных атрибутов файловой системы;

  • режим Удаление подпапок и файлов означает возможность пользователя или группы удалять файлы и папки, даже если право Удаление не указано для этого файла или папки;

  • режим Удаление позволяет разрешить пользователю или группе удалить данный файл или папку, если в данном праве не стоит флажок, то можно удалить файл, если предоставлено право Удаление подпапок и файлов;

  • режим Чтение разрешений дает возможность чтения пользователем или группой пользователей прав данного файла или папки, таких как Полный доступ, Чтение и Запись;

  • режим Смена разрешений позволяет изменять пользователю или пользовательской группе права доступа у данного файла или папки, такие как Полный доступ, Чтение и Запись;

  • режим Смена владельца позволяет данному пользователю или группе стать владельцем данного файлового объекта, в качестве владельца данный пользователь или группа получит возможность всегда изменять права доступа, вне зависимости от того, какие разрешения указаны для этого файлового объекта.

Для установки или удаления любого из перечисленных пользовательских прав доступа файловой системы необходимо поставить флажок рядом с ним в столбце Разрешить или Запретить, соответственно, для разрешения или запрещения данного права пользователю или группе и нажать кнопку ОК.

Владельцы объектов файловой системы

Для определения владельца файловой системы в окне Дополнительные параметры безопасности следует открыть вкладку Владелец.

В окне приводится список пользователей, которые могут быть сделаны владельцами файлового объекта. Для того чтобы сделать выбор среди этих пользователей и групп, нужно выбрать владельца и нажать кнопку ОК.

В нижней части окна находится специальное флажковое полеЗаменить владельца подконтейнеров и объектов. При его активации в случае смены владельца файлового объекта происходит замена новых владельцев во всех объектах, которые находятся ниже по дереву папок.

Эффективные права пользователей и групп

Вкладка Действующие разрешения окна Дополнительные параметры безопасности предназначена для проверки тех прав, которые получат пользователи после всех настроек и оптимизаций, которые можно провести в системе. Для проверки установленных прав следует:

  • перейти во вкладку Действующие разрешения окна Дополнительные параметры безопасности и нажать кнопку Выбрать;

  • в появившемся новом окне нажать кнопку Типы объектов;

  • из списка выбрать объект и нажать кнопку ОК;

  • в окне Выбор нажать кнопку Дополнительно;

  • нажать кнопку Поиск;

  • из раскрывшегося списка выбрать пользователя или группу и нажать ОК;

  • появится окно с выбранным объектом, нажать кнопку ОК;

  • появится список действующих разрешений для выбранного пользователя или выбранной группы.

В результате выполненных действий ОС покажет, какие права имеет данный пользователь по отношению к данному объекту файловой системы.

Для системы безопасности файловой системы нет особой разницы между Файлами и папками. Описанные выше действия применимы и к файлам.

Отличия между полномочиями разделяемого доступа и полномочиями NTFS

Понятия разделяемых ресурсов применяется к накопителям (дискам) и директориям. Пока диск или папка не предоставлены для разделяемого доступа в сети, пользователи не могут видеть их или осуществлять к ним доступ. После предоставления какой-либо папки для разделяемого доступа каждый пользователь сети получает (по умолчанию используются полномочия разделяемого доступа Everyone=Read) доступ по чтению ко всем файлам этой папки, ко всем вложенным папкам и т.д. После того, как диск или папка установлены для разделяемого использования, можно добавлять (или снимать) ограничения в форме полномочий разделяемого доступа (sharepermission).

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности