←предыдущая следующая→
1 2 3 4 5
щелкнуть на кнопке Add (Добавить), чтобы появилось диалоговое окно Select Users, Computers, Or Groups (Выбор: Пользователи, Компьютеры или группы). Затем выделить нужного пользователя или группу, щелкнуть на кнопках Add (Добавить) и ОК(см.рис.3).
4. Для удаления пользователя или группы следует выделить их в списке Name (Имя) и щелкнуть на кнопке Remove (Удалить). В этом случае у пользователя или группы не останется разрешения на объект, если только пользователь или группа не являются участниками другой группы, которая остается в списке. Такие пользователи сохранят доступ к файлу или папке. (если следует запретить доступ, лучше не удалять пользователей из списка, а изменить разрешение на запрещение).
Рис.3
5. Выделить имя каждого пользователя в списке Name (Имя) и щелкнуть на Allow (Разрешить) или Deny (Запретить), чтобы вызвать соответствующее действие.
Если пользователю или группе необходимо присвоить особый набор разрешений, следует щелкнуть на вкладке Advanced (Дополнительно), чтобы открыть диалоговое окно «Элемент разрешения», а затем щелкнуть на кнопке View/Edit (Показать), чтобы указать индивидуальные настройки.
Если перед тем, как щелкнуть правой кнопкой мыши и выбрать пункт Properties (Свойства), вы выделили несколько папок или файлов, изменения повлияют на все выделенные объекты. Если существующие разрешения не одинаковы для всех выделенных объектов, появится соответствующее сообщение. Если щелкнуть на кнопке Yes (Да) в этом сообщении, система изменит разрешения для всех выделенных объектов на наследованные и удалит все явно указанные разрешения сделанные до того.
Именно здесь можно извлечь пользу из разрешений, полученных по наследству. Чтобы изменить разрешения для папки и всех папок и файлов, которые она содержит, необходимо выполнить следующие действия:
1. Вывести на экран вкладку Security (Безопасность) для папки и установить разрешения для всех пользователей, как было описано выше. Не следует щелкать на кнопке OK , чтобы не закрыть окно.
2. Щелкнуть на кнопке Advanced (Дополнительно).
3. На вкладке Permissions (Разрешения) в диалоговом окне Access Control Settings Reset Permissions On All Child Objects And Enable Propagation Of Inheritable Permissions (Установить разрешения для всех дочерних объектов и разрешить их наследование) и щелкнуть на кнопке ОК.
После получения вашего подтверждения настройки в окне сообщения, система проследит все файлы в папке, все подпапки и все файлы во всех подпапках. Для всех этих объектов будут удалены указанные выше разрешения и присвоены “наследуемые” разрешения. Таким образом, у всех объектов окажутся те же разрешения, что и у родительской папки.[2]
4. Присвоение файла или папки
Каждый файл или папка в томе NTFS имеет владельца, то есть человека, который осуществляет контроль за разрешениями для объектов и присваивает их другим пользователям. Создатель нового файла является его началльным владельцем.
Для обнаружения того, кто является владельцем файла или папки, следует выполнить такие действия:
1. Щелкнуть правой кнопкой мыши на файле или папке в Проводнике и выбрать пункт Properties (Свойства).
2. Щелкнуть на вкладке Security (Безопасность) и щелкнуть на Advanced (Дополнительно).
3. Щелкнуть на вкладке Owner (Владелец), чтобы открыть диалоговое окно «Параметры управления доступом для НР_file на DRIVE ». В поле Current Owner Of This Item (Текущиц владелец этого элемента) будет указано имя владельца.
Иногда приходится присваивать «чужой » файл или папку. Например, если владелец файла больше не хочет им заниматься, системный администратор может присвоить файл себе или другому пользователю, или другой пользователь может присвоить файл напрямую.
Для присвоения файла или папки необходимо иметь разрешение Take Ownership (Смена владельца), которое включено в разрешение Full Control (Полный доступ). Чтобы получить такое разрешение, необходимо получить разрешение на полный доступ у администратора или владельца файла, который также обладает полным доступом.
Для присвоения файла или папки необходимо:
1. Вывести на экран вкладку Owner (Владелец) диалогового окна Access Controll Settings (Параметры управления доступом).
2. Выделить в списке Change Owner To (Изменить владельца на ) имя (список включает имя учетной записи и группы, к которой вы принадлежите).
3. Если при присвоении папки вы хотите получить ее содержимое, следует установить флажок Replace Owner On Subcontainers And Objects (Сменить владельца содержимого).
Файл может принадлежать только одному пользователю. Если вы получаете его в собственность, другой пользователь уже не является его владельцем. Однако группа может владеть файлом. В этом случае все участники группы получают степень доступа создателя-владельца.
Все создатели файлов являются их владельцами, если только объекты не были присвоены другим. Несмотря на право администратора получать файл во владение, при присвоении степеней доступа к файлу последнее слово остается за его владельцем.
Защита для пользователя.
Выше обсуждались функции для присвоения администраторами и владельцами файлов степеней доступа. Какое же отношение имеет защита к простому пользователю?
При попытке пользователя произвести операцию с защищенным файлом, система Windows сверяется со списком контроля доступа. Если ACL позволяет доступ, пользователь получает его. Если нет – не получает. Окно с сообщением об ошибке, появляющееся в таких случаях, зависит от системы и от того, что именно хотел сделать пользователь.[4]
5.Настройка безопасности для новых файлов и папок
До сих пор речь шла о настройках для защиты уже существующих файлов и папок. Теперь следует рассказать о защите вновь созданных объектов.
Правило простое: новые файлы и папки получают разрешение той папки, в которой они были созданы. Если создать файл в папке, для которой у бухгалтерского отдела имеется разрешение Modify (Изменить), а у отдела кадров – Full Control (Полный доступ), то отделы останутся при своих разрешениях, если в папке появится новый файл.
Точно так же, если скопировать существующий файл или папку в другую папку или переместить файлы и папки в другой том, копии будут иметь то же разрешение, что и оригинал, поскольку, по сути при копировании и перемещении создаются новые файлы и папки. С другой стороны, если перемещать существующие папки и файлы в другую папку в том же томе, папки и файлы сохраняют свои разрешения, они не будут наследовать разрешения их нового хранилища.[5]
6. Использование шифрования файлов
Система шифровки файлов (EES)- новая в системе Windows 2000. Она позволяет зашифровать файлы в томах NTFS так, чтобы их мог использовать только владелец. При шифровке файла или папки система использует ваш сертификат шифровки и его частный ключ для кодирования информации. Когда бы вы ни использовали файл (при условии, что вы используете одну и ту же учетную запись пользователя при шифровке и при последующих вхождениях), система использует тот же сертификат для расшифровки. (Это происходит вне предела видимости, поэтому использование зашифрованного файла ничем не отличается от обычного.) Ели файл попробует открыть, копировать, переместить, переименовать кто-нибудь другой, он получит сообщение об отсутствии доступа к файлу.
При этом любой пользователь, имеющий разрешение на удаление файла, входящее в разрешение Modify(Изменить) и Full Control(Полный доступ), может удалить зашифрованный файл.
При кодировании папки все файлы и подпапки также оказываются зашифрованы, включая временные файлы, которые создаются некоторые программы при редактировании документа. Если вы храните все документы в папке My Documents (Мои документы), она является первым кандидатом.
Для кодирования папки необходимо выполнить следующие действия:
1. Щелкнуть правой кнопкой мыши на папке (или файле, если необходимо закодировать отдельный файл) в проводнике Windows и выбрать в меню пункт Properties (Свойства).
2. На вкладке General (Общие) щелкнуть на Advanced (Дополнительно), чтобы показать диалоговое окно Advanced Attributes (Дополнительные атрибуты).
3. Установить флажок Encrypt Contents To Secure Date (Шифровать содержимое для защиты данных).
Сжатый файлы зашифровать нельзя. Если подлежащие кодированию файлы уже сжаты, система Windows уберет атрибут Compressed (Сжатый).
4. Щелкнуть на кнопке OK, чтобы закрыть диалоговое окно Advanced Attributes (Дополнительные атрибуты), и щелкнуть на ОК еще раз, чтобы закрыть диалоговое окно свойств. При кодировании папки система запросит подтверждение.
5. Выбрать параметр и щелкнуть на кнопке ОК
▪ При выборе Apply Changes To This Folder Only (Только в этой папке) система не станет шифровать уже существующие файлы (включая те, что были скопированы или перемещены в папку).
▪ При выборе Apply Changes To This Folder, Subfolders And Files (К этой папке и ко всем вложенным файлам и папкам) система немедленно зашифрует все, что содержится в папке.
Использовать зашифрованные файлы можно только при данной учетной записи и сертификате. Зашифрованные файлы нельзя предоставлять в общее пользование по сети или на той же рабочей станции.
Создание страховочной копии сертификата для шифровки
Сертификат для шифровки следует скопировать
←предыдущая следующая→
1 2 3 4 5