Лабораторная работа №1. Создание учетных записей пользователей, шифрование и управление доступом к файлам и папкам на локальном компьютере

ЗАМЕЧАНИЕ. Шифрование и разграничение доступа к файлам и папкам на локальном компьютере доступно только в том случае, если диск отформатирован с файловой системой NTFS. Все файлы и папки для выполнения заданий создаются на диске с файловой системой NTFS.

Задание

Создать двух локальных пользователей ОС Windows. Для созданных пользователей и пользователя-администратора настроить ограничения на просмотр локальных файлов и папок (средствами шифрования), разграничить доступ (задать различные уровни доступа) к локальным и сетевым папкам в рамках рабочей группы Windows.

Технология выполнения в среде ОС Windows XP

Задание 1. Создать двух локальных пользователей операционной системы (ОС) Windows XP, таких, что: оба они не являются администраторами, причем первый пользователь может работать на компьютере и устанавливать программы, а второй – только работать на компьютере, программы он устанавливать не может.

Создание и управление учетными записями локальных пользователей в операционной системе Windows.

1. Если текущий сеанс ОС Windows XP не позволяет администрировать компьютер, то зайти с правами администратора. Для этого завершить текущий сеанс командой Пуск|Завершение сеанса, выбрать пункт Смена пользова­теля, и выбрать имя пользователя-администратора по указанию преподавателя (в сетевых аудиториях Инжэкона обычно это пользователь с именем student).

2. Создать двух новых пользователей, как это требуется в задании: одного с правами установки программного обеспечения, а другого – без. Для этого:

• Щелкнуть правой кнопкой мышки на значке Мой компьютер, выбрать из контекстного меню команду Управление. В появившемся окне Управление компьютером, в левой части окна выбрать Локальные пользователи и группы, открыть папку Пользователи. В правой части окна (содержимое папки Пользователи) щелкнуть правой кнопкой мыши в пустое место и в контекстном меню выбрать команду Новый пользователь… В появившемся окне Новый пользователь:

  • задать пользователя: ввести имя учетной записи;

  • задать пароль и подтвердить его;

  • снять флажок Потребовать смену пароля при следующем входе в систему;

  • поставить флажок Запретить смену пароля пользователям.

Нажать Создать.

• Для учетной записи нового пользователя задать членство в группе. Для этого щелкнуть правой кнопкой мыши по созданной учетной записи, выбрать команду Свойства на вкладке Членство в группах добавить или удалить группы таким образом, чтобы первый пользователь имел членство в группах Пользователи и Опытные пользователи. Для добавления группы следует щелкнуть на кнопке Добавить, затем в появившемся окне Выбор: Группы щелкнуть кнопку Дополнительно. Проверить, что выбран локальный компьютер, нажать кнопку Поиск и выбрать из выданного списка нужную группу. Сохранить изменения членства в группах, нажав ОК.

• Создать учетную запись второго пользователя. Для второго пользователя задать членство только в группе Пользователи.

• Закрыть окно Управление компьютером.

3. Выяснить, какой из жестких дисков компьютера имеет файловую систему NTFS. Для этого в окне Проводника (или Мой компьютер) щелкнуть на ярлыке диска правой кнопкой мыши, выбрать команду Свойства, на вкладке Общие посмотреть значение свойства Файловая система.

4. На диске с файловой системой NTFS создать свою рабочую папку, а в ней – три подпапки (папка_шифр, папка2 и папка_доступ). С помощью приложений Word или Excel создать три произвольных документа: один из них (doc1) сохранить в папке_шифр, два других (doc2 и doc3) – в папке2.

Контрольный вопрос:

• Различаются ли полномочия первого и второго пользователей для доступа к файлам и папкам на дисках?

(Нет, для этого надо дополнительно устанавливать шифрование или разграничение доступа к файлам и папкам)

Задание 2. Зашифровать папку_шифр и файл doc2 из папки2 от имени пользователя-администратора. Шифрование делает недоступным просмотр файлов для других пользователей. При записи файла в защищенную папку он автоматически шифруется.

Шифрование данных на локальном компьютере с помощью EFS.

5. Установить шифрование папки_шифр, для этого:

• В окне Проводника (или Мой компьютер) щелкнуть правой кнопкой мыши на папке_шифр, выбрать команду Свойства.

• На вкладке Общие окна свойств папки щелкнуть кнопку Другие и установить флажок Шифровать содержимое для защиты данных. Для сохранения изменений нажать ОК.

• В окне свойств нажать кнопку Применить. В появившемся окне Подтверждение изменения атрибутов установить переклю­ча­тель в позицию К этой папке и ко всем вложенным файлам и папкам, нажать ОК.

• Имена зашифрованных файлов и папки будут выделены зеленым цветом. Если этого не произошло, следует проверить настройки отображения папки: в окне Проводника (Мой компьютер) следует выполнить команду Сервис/Свойства папки, перейти на вкладку Вид, установить флажок Отображать сжатые или зашифрованные файлы NTFS другим цветом и нажать кнопку Применить.

• Проверить, что пользователь может открывать как не зашифрованные файлы, так и файлы, которые зашифровал он сам.

6. Установить шифрование файла doc2 из папки2, не шифруя саму папку и другие файлы в этой папке; для этого:

• В окне Проводника (или Мой компьютер) щелкнуть правой кнопкой мыши на файле doc2, выбрать команду Свойства.

• На вкладке Общие окна свойств файла щелкнуть кнопку Дополнительно и установить флажок Шифровать содержимое для защиты данных. Для сохранения изменений нажать ОК.

• В окне свойств нажать кнопку Применить. В появившемся окне Предупреждение при шифровании установить переклю­ча­тель в позицию Зашифровать только файл, нажать ОК.

7. С помощью приложений Word или Excel создать новый произвольный документ (doc4) и сохранить его в папке_шифр.

8. Завершить текущий сеанс и зайти в Windows XP с именем и паролем второго пользователя. Для этого выполнить команду Пуск|Завершение сеанса, выбрать пункт Смена пользова­теля, и выбрать имя второго пользователя.

9. В окне соответствующего приложения попытаться открыть файлы doc1, doc2, doc3, doc4. Удостовериться, что из всех названных файлов можно просмотреть только незашифрованный файл doc3.

10. Сделать попытку расшифровать папку папка_шифр. Удостовериться, что расшифровать данные, зашифрованные другим пользователем, невозможно (выдается сообщение об ошибке изменения атрибутов папки).

11. Создать новый файл doc_new в зашифрованной папке папка_шифр. Удостовериться, что файл автоматически зашифрован. Удостовериться, что можно открыть зашифрованный файл doc_new, поскольку шифрование произошло от лица текущего пользователя.

12. Перейти в папку папка2. Аналогично пункту 3 установить шифрование файла doc3 (шифрование файла doc3 будет невозможно в случае, если на томе установлены ограничения доступа для пользователей).

13. Создать в папке2 новый файл doc5, произвести его шифрование.

14. Завершить текущий сеанс и зайти в Windows XP с именем и паролем пользователя-администратора. Проверить, что пользователь-администратор не сможет просматривать файлы doc3 (в случае, если он был зашифрован) и doc5, может снять шифрование с файла doc2.

15. Ответить на контрольные вопросы.

В результате выполнения заданий 1-2 должно быть получено:

папка_шифр зашифрована пользователем-администратором		папка2 не зашифрована
doc1 doc4 doc_new	зашифрованы, находятся в папке, зашифрованной пользо­вателем-администратором	doc2 зашифрован пользова­телем-администратором, потом шифрова­ние снято doc3 зашифрован вторым пользователем (если нет ограничений доступа) doc5 зашифрован вторым пользователем

Контрольные вопросы:

• Почему администратор не может просмотреть файл doc_new, хотя он устанавливал шифрование папки_шифр?

(при добавлении файла в зашифрованную папку он шифруется автоматически, файл добавлен вторым пользователем и зашифрован от его имени)

• Почему второй пользователь может просматривать файл doc3 из папки2?

(папка2 не зашифрована, первый пользователь зашифровал только один файл в ней – doc2)

• Почему пользователь-администратор может снять шифрование с файла doc2, а второй пользователь не может этого сделать?

(файл doc2 зашифрован пользователем-администратором, только тот, кто шифровал папку или файл может снять шифрование)

Задание 3. Установить для папок папка2 и папка_доступ следующие разграничения доступа:

• пользователь-администратор имеет полный доступ к содержимому папки2 и папки_доступ,

• все остальные пользователи могут просматривать незашифро­ван­ное содержимое папки2,

• первый пользователь может просматривать и изменять содержимое папок папка2 и папка_доступ, однако не может изменять полномочия других пользователей для доступа к папке_доступ,

• второй пользователь может лишь просматривать содержимое папки_доступ.

Установка разрешений (правил разграничения доступа) для локальных файлов и папок.

16. Установить разграничение доступа для папки2, для этого:

• В окне Проводника (или Мой компьютер) щелкнуть правой кнопкой мыши на папке2, выбрать команду Свойства, перейти на вкладку Безопасность.

• Если вкладка Безопасность не отображается, следует изменить параметры отображения папки. Для этого в окне Проводника (Мой компьютер) выполнить команду Сервис/Свойства папки, перейти на вкладку Вид, снять флажок Использовать простой общий доступ к файлам (рекомендуется) и нажать кнопку Применить.

• Проверить, что на вкладке безопасности невозможно изменение установленных прав или удаление перечисленных на ней пользователей и групп. Разрешения для этих пользователей наследуются (переносятся) на папку от диска, на котором эта папка была создана.

• На вкладке безопасности нажать кнопку Дополнительно и снять флажок Наследовать от родительского объекта применимые к дочерним объектам разрешения. При снятии флажка в окне предупреждения Безопасность нажать кнопку Копировать. Для выхода из окна Дополнительные параметры безопасности нажать ОК.

• Проверить, что теперь возможно изменение разрешений для пользователей.

• Изменить существующие разрешения, удаляя или добавляя флажки в столбце Разрешить, удалить существующих пользователей или добавить новых пользователей таким образом, что:

1. пользователь-администратор имеет возможность изменять разрешения для текущей папки. Следует установить для этого пользователя разрешение Полный доступ. При установке разрешения Полный доступ пользователь автоматически получает все остальные имеющиеся разрешения.

2. остальным пользователям разрешен только просмотр файлов, находящихся в папке. Для группы Все (или Пользователи) следует оставить только следующие разрешения: Чтение и выполнение, Список содержимого папки, чтение.

ПРИМЕЧАНИЕ: Не следует оставлять «лишние» разрешения и пользователей, даже если они были изначально установлены для папки, так как это может привести к нарушению политики безопасности, установленной для вашей папки.

Если особые разрешения были предоставлены группе Пользователи (создание своих подпапок и файлов) и пользователю Создатель-владелец (полный доступ на вновь созданные объекты), их следует удалить, воспользовавшись кнопкой Дополнительно.

• Добавить в список пользователей на вкладке Безопасность первого пользователя и разрешить ему вносить изменения в содержимое папки. Для этого выполнить команду Добавить, в появившемся окне Выбор: Пользователи или группы нажать кнопку Дополнительно. Проверить, что выбран локальный компьютер и нажать кнопку Поиск. Выбрать из выданного списка имя первого пользователя, нажать ОК. Нажать ОК в окне добавления пользователя.

• Для первого пользователя установить все разрешения, кроме разрешения Полный доступ.

• Для сохранения разрешений нажать кнопку Применить, затем закрыть окно свойств папки2.

17. С помощью приложений Word или Excel создать произвольный документ (doc6) и сохранить его в папке_доступ.

18. Установить разграничение доступа для папки_доступ, для этого:

• В окне Проводника щелкнуть правой кнопкой мыши на папке_доступ, выбрать команду Свойства, перейти на вкладку Безопасность.

• С помощью кнопки Добавить пополнить список пользователей, имеющих доступ к папке:

Пользователь-администратор,

Первый пользователь,

Второй пользователь.

• Задать разрешения для пользователей. Для пользователя, который указан преподавателем как администратор, задать Полный доступ;

• Для первого пользователя задать все разрешения, кроме полного доступа (Изменить, Чтение и выполнение, Список содержимого папки, Чтение, Запись);

• Для второго пользователя задать разрешения Чтение и выполнение, Список содержимого папки, Чтение.

• На вкладке безопасности нажать кнопку Дополнительно и снять флажок наследования разрешений Наследовать от родительского объекта применимые к дочерним объектам разрешения. При снятии флажка в окне предупреждения Безопасность нажать кнопку Удалить – наследуемые от диска, на котором создана папка, пользователи и группы и связанные с ними разрешения будут удалены.

• Нажать кнопку Применить.

19. Завершить текущий сеанс и зайти в Windows XP с именем и паролем первого пользователя. Проверить, что первый пользователь:

• не может просматривать зашифрованный файл doc2 из папки2, но может удалить этот файл,

• может создать новый документ doc7 или подпапку в папке_доступ, изменять содержимое файлов в папке_доступ,

• не может изменить свои (и чужие) полномочия доступа к папке2 и папке_доступ.

20. Завершить текущий сеанс и зайти в Windows XP с именем и паролем второго пользователя. Проверить, что второй пользователь:

• может просматривать файлы doc3 и doc5, находящийся в папке2, но не может изменить или удалить этот файл;

• не может добавить новые документы или подпапки в папку2 и папку_доступ.

• в папке_доступ может просматривать файлы, но не может их менять и удалять.

• не может изменить свои полномочия доступа к папке2 и папке_доступ.

21. Ответить на контрольные вопросы.

ЗАМЕЧАНИЕ. При необходимости изменить права доступа первого или второго пользователей к папкам, следует завершить текущий сеанс и зайти в Windows XP с именем и паролем пользователя, имеющего права администратора.

Контрольные вопросы:

• Почему второй пользователь может просматривать файлы doc3 и doc5 в папке2, хотя для него не заданы разрешения на доступ? (Разрешения на просмотр файлов второй пользователь получает от группы, в которую он входит –группы всех пользователей Все или Пользователи)

• Сможет ли второй пользователь добавить новый файл в папку_шифр? (Да, папка не имеет ограничений доступа)

• Сможет ли второй пользователь удалить файл doc1 из зашифрованной папки_шифр? (Да, папка зашифрована, но не имеет ограничений доступа)

• Какие возможности обеспечивает шифрование, а какие – разграничение доступа?

Задание 4. Предоставить общий доступ к локальным папкам в рамках рабочей группы, задать ограничения для доступа к папкам через сеть.

Предоставление общего (сетевого) доступа к папкам, взаимодействие сетевых и локальных разграничений доступа в рамках рабочей группы Windows.

22. Зайти в Windows под именем пользователя-локального администратора компьютера (в сети Инжэкона – это обычно student).

23. Посмотреть сетевые свойства компьютера (имя, членство в рабочей группе) – для этого следует щелкнуть на значке Мой компьютер правой кнопкой мыши и выбрать команду Свойства. Сетевое имя компьютера (полное имя) указано на вкладке Имя компьютера:

• Проверить, что компьютер включен в рабочую группу – указано имя рабочей группы.

• Если компьютер находится не в рабочей группе, а в домене, то следует исключить его из домена и добавить в рабочую группу с помощью кнопки Изменить – имя рабочей группы обычно совпадает с первой частью (до дефиса) полного имени компьютера (например, если имя компьютера: m208-03, имя рабочей группы: m208).

24. Согласно ограничениям доступа для папки папка_доступ пользователь-администратор имеет к ней полный доступ как к локальной папке. Разрешить сетевой доступ к этой папке с разрешением «только чтение». Для этого:

• Щелкнуть на папке правой кнопкой мыши и выбрать команду Свойства. Перейти на вкладку Доступ. Установить переключатель в позицию Открыть общий доступ к этой папке.

• Проверить разрешения для сетевых пользователей – щелкнуть на кнопке Разрешения и проверить, что задана единственная группа Все и указано разрешение Чтение.

• Для сохранения сделанных настроек и выхода из окна свойств щелкнуть кнопку ОК или Применить.

25. Посмотреть папку папка_доступ через локальную сеть, для чего открыть ее через Сетевое окружение:

• Щелкнуть на значке Сетевое окружение, затем щелкнуть ссылку Отобразить компьютеры рабочей группы, открыть свой компьютер, а затем общую папку папка_доступ.

• Проверить, что пользователь-администратор может только просматривать информацию при доступе к папке папка_доступ через сеть.

26. Создать на диске новую папку папка_сеть.

27. Предоставить общий доступ к папке папка_сеть, задать следующие сетевые разрешения (вкладка Доступ): Все –чтение и изменение, Пользователь-администратор – полный доступ.

28. Для папки папка_сеть задать следующие локальные права доступа (вкладка Безопасность): Пользователь-администратор – только чтение, Первый пользователь – полный доступ (других локальных разрешений у папки быть не должно – отключить наследование).

29. Проверить, открыв папку через Сетевое окружение, что Пользователь-администратор может только просматривать содержимое сетевой папки папка_сеть, а Первый пользователь может как просматривать, так и изменять содержимое папки папка_сеть.

30. Показать созданные папки преподавателю.

31. После регистрации лабораторной работы преподавателем удалить созданные папки и новых пользователей с локального компьютера.