Безпека файлових ресурсів мережі Windows 2000

Комунікації і зв'язок

Міністерство освіти РФ

НГТУ

Курсовий проект по «Адміністрування мереж» на тему: «Безпека файлових ресурсів мережі

Windows 2000»

Факультет: АВТ
Група: АС-812
Студент: Баторова С.М.
Викладач: Шахмаметов Р.Г.

Новосибірськ

2002

ЗМІСТ

ВСТУП ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .3
1. Файлової системи ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .4
1.1.Сістема FAT ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .4 < br> 1.2.Сістема FAT32 ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .5
1.3. Система NTFS ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 5
2. ЗАХИСТ Фото ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 9

2.1. Дозволи для файлів ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 10

2.2. Усунення конфлікту з дозволами ... ... ... ... ... ... ... ... 13
3. ЗАХИСТ ТЕК ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 14

3.1. Зміна дозволів для файлів і папок ... ... ... ... ... ... .. 15
4. Присвоєння файла АБО ПАПКИ ... ... ... ... ... ... ... ... ... ... 17
5. НАСТРОЙКА БЕЗПЕКИ ДЛЯ НОВИХ Фото

І ТЕК ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .18
6. Використання шифрування Фото ... ... ... ... ... ... 19
7. ВСТАНОВЛЕННЯ Дискова квота ... ... ... ... ... ... ... ... ... ... 20

7.1. Управління дисковими квотами ... ... ... ... ... ... ... ... ... ... ... .21

7.2. Створення нового запису квот ... ... ... ... ... ... ... ... ... ... ... ... ... 22

7.3. Видалення запису квоти ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 22
ВИСНОВОК ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 23
ЛІТЕРАТУРА ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 24

ВСТУП

При створенні системи безпеки нової ОС Windows 2000розробники фірми Microsoft постаралися врахувати як існуючийдосвід використання системи безпеки Windows NT 4.0, так іреалізувати нові набори механізмів і протоколів безпечної роботиз інформацією. Windows NT 4.0 обрана не випадково: вонапозиціонується як ОС для підприємств, що володіє вбудованимиможливостями розмежування доступу до ресурсів і за 6 років екс -плуатації добре зарекомендувала свої існуючі та потенційніможливості безпеки. Але якщо заглянути в Windows 2000, то,очевидно, що, незважаючи на велику кількість механізмівбезпеки, внесених до нової ОС з Windows NT 4.0, всі вонизазнали істотних змін у бік збільшення зручності,надійності і функціональності.

Система Windows 2000 компанії Microsoft забезпечуєможливість безпечного доступу до ресурсів системи. Якщо для вас,найважливішим ресурсом, що підлягає захисту, є файли, можнаналаштувати систему так, щоб мати можливість контролювати те,як інші користувачі читають, записують, створюють і змінюютьфайли та папки на вашому комп'ютері.

Це можливо тільки при використанні системи NTFS. Системабула створена для Windows NT, попередника Windows 2000, іє однією з трьох систем, які можна використовувати нажорсткому диску комп'ютера.

1. Файлова система

Файлова система - це структура, до якої організованіфайли, де вони проіменовани і збережені на жорсткому диску. У Windows
2000 застосовується ієрархічна файлова система. На кожному дискустворюється так званий кореневий каталог, який може включати всебе файли та інші каталоги (підкаталоги). Таким чином,створюється пов'язана деревоподібна ієрархія файлів і каталогів. [1]

Всі файлові системи, що підтримуються Windows 2000, єієрархічними, хоча істотно відрізняються між собою способамизапису файлів на носіях інформації. Windows 2000 підтримуєнаступні файлові системи:

? FAT: застосовується в MS-DOS.

? FAT32: застосовується в Windows 95/98.

? NTFS: застосовується в Windows 2000.

Використовуючи будь-яку файлову систему, можна використовувати дозволудля доступу до спільних папках, щоб їх контролювати. Можна вказати,які користувачі можуть читати, записувати, створювати або змінюватифайли та папки всередині папок, наданих в загальнекористування. [2]

1. Система FAT

Ця файлова система розроблена разом з операційною системою
MS-DOS на початку 80-х років. Спочатку ця файлова системапризначалася для роботи з дискетами. Після появи наперсональних комп'ютерах накопичувачів на жорстких магнітних дискахвеликої ємності вона почала використовуватися і для них.

Особливості FAT:

? Довжина імені файлу - не більше 8 символів, розширення імені --не більше 3 символів.

? Назва файлу та розширення розділяються крапкою.

? Не можна використовувати в імені файлу деякі спеціальнісимволи і пробіл.

? FAT (File Allocation Table - таблиця розміщення файлів)містить інформацію про розташування даних на носії.

? Щодо повільний доступ до інформації через поділмісця зберігання відомостей про файли (FAT) і самих файлів.

? У процесі запису і видалення інформації на дисках відбуваєтьсядроблення вільної області зберігання даних на невеликі ділянки
(фрагментація).

1.2 Система FAT32

Файлова система FAT32 розроблена для ефективноговикористання пристроїв зберігання інформації великої ємності (від
512Мб до 2 Тб). Ця система використовується в Windows 95/98 і Windows
2000. Технічні недоліки файлової системи FAT MS-DOS в системі
FAT32 в значітелльной мірою були усунені.

Особливості FAT32:

? Підтримується тільки на жорстких магнітних дисках.

? Імена файлів разом з розширенням можуть мати довжину до 215символів.

? В імені файлу допускається використання пробілів.

? В імені файлу не дозволено використання лише деякихспеціальних символів.

? Ефективність використання дискового простору нанакопичувачах великих розмірів на 10% ... 15% вище, ніж при використанні
FAT і особливо яскраво проявляється при зберіганні великого числа файлівдрібного розміру.

? Надійність зберігання даних підвищена за рахунок можливостівільного розміщення кореневого каталогу та використання резервноїкопії таблиці розміщення файлів.

? Передбачена можливість динамічної зміни розмірурозділів на накопичувачі. [2]

1.3 Система NTFS

Позначення файлової системи NTFS являє собоюабревіатуру від New Technology File System (файлова системаопераційної системи NT).

NTFS являє собою нову файлову систему, яка використовується вопераційній системі Windows 2000. Обмеження, які малися на
FAT32, в NTFS були в значній мірі усунені.

Для томів NTFS система Windows 2000 пропонує додатковіпараметри захисту. Крім контролю за папками, наданими вспільне користування, можна стежити за безпекою файлів і папоклокальних користувачів (тих, що входять до системи з вашої робочоїстанції). Можна накладати обмеження на будь-які папки та файли; втомах FAT можна видавати дозволи лише на рівні папки (ітільки для користувачів, що увійшли через мережу).

У файлової системи NTFS є й ряд інших переваг:

? Підтримується тільки на жорстких дисках.

? Система NTFS більш економно розміщує інформацію на дужевеликих жорстких дисках (підтримує 64-розрядну адресаціюданих).

? Під час запису імен файлів використовується унікальний код (Unicod).
Така кодування символів прийшла на зміну кодуванні ANSI. У Unicodeвикористовується 16-розрядне подання символів. Тому в таблицікодування може містити до 65536 символів.

? Система забезпечує краще відновлення інформації вразі проблем з жорстким диском.

? Підтримує стиснення файлів. (Програми для компресії,написані на базі MS-DOS (DriveSpase, Doublespase, Stacker) непрацюють в системі Windows 2000.)

? Система підтримує дискові квоти - обмеження дисковогопростору, які можна встановити для кожного користувача.

? Система NTFS підтримує шифрування файлів для підвищеннябезпеки.

Недоліком файлової системи NTFS є неможливість дляінших систем (Windows 9x, Linux, MS-DOS і OS/2) читати томи NTFS.
Якщо використовується система, відмінна від Windows 2000, прочитатиінформацію з томів NTFS буде неможливо. [1]

Примітки:

1. Враховуючи, що файлові системи FAT32 і NTFS не підтримуються на гнучких дисках, при передачі даних краще всього використовувати мережу, тому що при цьому файли зберігають довгі імена.

2. При завданні імен файлів і каталогів в файлофой системі NTFS допускається:

? Довжина імен до 215 символів (включаючи розширення імені).

? Використання великих і малих літер, тобто великі /рядкове написання символів розрізняється.

? Використання всіх символів, за винятком? "/ <> * |:
.

? Для систем, що використовують MS-DOS, при завданні NTFS-імені файлуавтоматично створюється MS-DOS-ім'я файлу.

При цьому виконуються наступні дії:

- Символи пробілу виключаються.

- спецсимволів виключаються. Windows 2000 інтерпретує останній спеціальний символ імені як роздільник між ім'ям файлу та його розширенням.

- Символи, які не підтримуються в MS-DOS, перетворюються на символ підкреслення "_".

- Ім'я файлу скорочується до 6 символів, за якими слідує символ ~ (тильда) і одна цифра.

- Розширення імені скорочується до трьох символів.

3. В якості імен файлів або каталогів заборонено використання імен, зарезервованих операційною системою:

AUX, COM1 ... COM4, LPT1 ... LPT4, NUL, PRN.
4. Функції захисту даних від несанкціонованого доступу з усіма їхніми можливостями можуть використовуватися при встановленні файлової системи NTFS. [2]

Файлова система NTFS 5.0. Ця версія файлової системи єоб'єктно-орієнтованим сховищем даних, що подаються у виглядізвичних для користувача об'єктів - файлів і каталогів. У NTFS
5.0 тепер можна зберігати потенційно будь-яку інформацію і в будь-якихформатах представлення. Реалізуються ці можливості за рахунокпояви у файловій системі нового механізму Reparse points
(повторний граматичний аналіз). Reparse points - це об'єкти,які можуть бути пов'язані з файлами або каталогами, і описуютьправила зберігання і обробки інформації, що зберігається в нестандартномудля файлової системи вигляді. З використанням цього механізму в NTFSвже реалізовані механізми шифрування даних і механізми монтуваннятомів (подання будь-якого томи у вигляді каталогу на іншому диску --можливість створення віртуальної файлової системи, що складається тількиз файлів і каталогів на будь-якій робочій станції або сервері). Арозробники отримали потужний інструмент для створення додатків,здатних зберігати дані у своєму унікальному форматі (включаючи івласні алгоритми шифрування) для забезпечення необхідного рівняпродуктивності і безпеки роботи з даними.

Розглянемо принципи роботи механізму Reparse points. Будь-якедодаток, що працює з файловою системою, при зверненні до дисківвідображає інформацію у вигляді звичних файлів і каталогів,що зберігаються в NTFS. При спробі відкриття обраного користувачемфайлу (або каталогу), запит на читання даних передаєтьсядодатком ядра ОС. Ядро, аналізуючи властивості вибраний файл івиявляючи пов'язаний з ним об'єкт Reparse points, аналізуєщо зберігається в цьому об'єкті інформацію (у цьому і полягає сутьназви механізму - повторний граматичний аналіз). Об'єкт
Reparse points, по суті, містить посилання на спеціальний драйвер,створюваний будь-яким розробником. Цей драйвер і визначає реальнийформат зберігання даних на томах NTFS. При спробі відкрити файлуправління передається створеному розробником модулю, який ізчитує дані з диска у відомому йому форматі. Тому зпоявою цього нового механізму будь-який розробник маєможливість забезпечити безпеку та зручність зберігання даних длясвого специфічного програми. [5]

Ще одним нововведенням файлової системи NTFS 5.0 сталионовлені механізми розмежування прав доступу і що з'явилисякошти квотування дискового простору. Відтепер система правдоступу володіє вбудованими механізмами спадкування, що дозволяютьз великим ступенем зручності виконувати розмежування повноважень уфайлових системах з великою кількістю рівнів вкладеностікаталогів. Із приємних нововведень також можна назвати що з'явивсяінструментарій (на відміну від Windows NT 4.0 він поставляється вскладі Windows 2000), що дозволяє описувати маски успадкованих правдля будь-яких комбінацій каталогів, файлів і цілих гілок файловоїсистеми. Самі права доступу стали мати істотно більшоюгнучкістю, не створює плутанину з-за великої кількості варіантіврозмежування прав.

Інтерфейси прикладного програмування (API) мережевийаутентифікації Windows, що є частиною SSPI (Security Support
Provider Interface). Програми та служби Windows 2000 використовують
SSPI для ізоляції протоколів прикладного рівня від деталейпротоколів мережевої безпеки. Windows 2000 підтримуєінтерфейс SSPI з метою скорочення рівня коду додатків,необхідного для роботи з численними протоколамиаутентифікації. Інтерфейс SSPI представляє рівень, що підтримуєрізні механізми аутентифікації і шифрування, які використовуютьпротоколи з симетричними чи асиметричними ключами.

SSPI - це інструмент, за допомогою якого реалізована всявнутрішня система безпеки Windows 2000 і її сервісів. SSPIзабезпечує існування 3 основних механізмів мережевийбезпеки: аутентифікацію, гарантію цілісності таконфіденційність. Під аутентифікацією мається на увазі можливістьперевірки того, що отримані вами дані прийшли дійсно відтого, чия адреса стоїть у полі відправника. Гарантія цілісностімає на увазі наявність набору засобів, що дозволяють перевіритиотримання тих даних, які були послані вам. Дотриманняконфіденційності вимагає, щоб повідомлення було отримано іпрочитано тільки тим користувачем, кому вона адресована.

З використанням SSPI розробники отримують можливістьстворення додатків з вбудованими засобами мережевої безпекиі дотриманням відкритих стандартів. Це дозволяє гарантуватибезпечний обмін даними з будь-якими організаціями - партнерами,замовленнями, постачальниками по загальнодоступних каналах зв'язку, наприклад,
Інтернет. [4]

У Windows 2000 кожен користувач повинен зареєструватися всистемі перед початком роботи. Це необхідно як на локальнійробочої станції без підключення до мережі, так і на станції вкомп'ютерної мережі. Всередині системи кожен пользовательл має свій
ID (ідентифікатор або унікальне імяпользователя, що складається зімені та пароля). Кожен користувач також може ввійти в систему вяк гість (Guest). У цьому випадку йому надаєтьсяможливість звернення до файлів інших комп'ютерів мережі, которриедозволені для спільного використання, але не до файлів,розташованим на NT-сервер.

Кожен користувач повинен зареєструватися в системііндивідуально. Це дозволяє організувати захист файлів такимчином, що деякі каталоги або диски для одних користувачівможуть бути закриті, а для інших - відкриті. Це відноситься донадання всіх прав доступу.

Користувачеві, що володіє правами адмінітсратора, доступні всіресурси, наявні в даній системі. І якщо він одного разу забуде свійпароль, то це призведе до необхідності форматування диска іперевстановлення операційної системи. Слід, однак, відзначити, щоповний асортимент засобів захисту доступний лише тоді, коливстановлена файлова система NTFS.

Без проблем можна підключити декілька робочих станцій Windows
2000 до Peer-to-peer-мережі (однорангова мережа). Для цього потрібновставити в комп'ютер мережеву плату і за допомогою Панелі управлінняналаштувати параметри кабельного з'єднання. Необхідно такожзапустити Сервер обслуговування. У такій мережі теж можнанадати окремим користувачам праава доступу до ресурсів звсіма або обмеженими можливостями, а також організуватиколективне використання принтера. У однорангову мережу можутьоб'єднуватися комп'ютери з іншими операційними сістемаммі, такимияк Windows for Workgroups, Windows 95/98 і Novell-клієнт.

Мережа може володіти додатковою можливістю забезпеченнялоступа допомогою RAS (Remote Acces Service-служба віддаленогодоступу). За допомогою RAS з Windows 2000-комп'ютера можназвертатися до мережі через модем по телефону і працювати в ній якзвичайний клієнт. [2]

2. Захист файлів

Файлова система FAT для кожного файлу в томі зберігає ім'яфайлу, його розмір, дату останньої зміни і власнеінформацію. Система NTFS, крім перерахованого, також видаєсписок контролю доступу (access control list, ACL), якийвизначає ступінь доступу до файлів і папок системи, наявну вкористувача. Кожен файл і папка в томі NTFS мають свій ACL.

Захистом фото в томі NTFS можна керувати за допомогою вкладки
Security (Безпека) у діалоговому вікні властивостей файлу:

1. Клацніть правою кнопкою миші на файлі в Провіднику.

2. Вибрати в спливаючому меню пункт Properties (Властивості).

3. Клацніть на вкладці Security (Безпека), щоб відкрити діалогове вікно, зображене на рис.1.

Якщо виділений файл не зберігається в томі NTFS, вкладка
Security (Безпека) не з'явиться, оскільки захист файла можливатільки в томі NTFS.

Рис.1. На вкладці Безпека відображені користувачі, які мають дозволи на доступ до файлу

Діалогове вікно використовується для перегляду і вимененія ступенядоступу користувача до файлу. При виділенні імені в полі Name (Ім'я)у полі Permissions (Дозволи) у нижній частині діалогового вікнавідображається ступінь доступу даного користувача або групи доданого файлу. Затінені прапорці визначають наявність дозволу «поспадщину ». Це означає, що дозвіл було наданобатьківським об'єктом. Наприклад, батьківський об'єкт для файлу --папка, в якій він міститься. Затінений прапорець дає знати, щодозвіл надано за замовчуванням, оскільки файл створений у папці, уякій позначено відповідний прапорець. [1]

2.1 Дозволи для файлів

Сфера Permissions (Дозволи) включає перелік основних дозволів,і використовувати їх можна в різних поєднаннях, щоб вони підходилисаме вам. По суті, кожне дозвіл зі списку представляє собоювстановлений набір дозволів. У табл. 1 показано, що самевключено в той чи інший дозвіл зі списку в полі Permissions
(Дозволи).

Таблиця 1.

Основні дозволи для файлу

У деяких випадках встановлений набір дозволів незабезпечує контроль над доступом користувачів або груп до файлу.
У таких ситуаціях слід присвоювати дозволу в індивідуальномупорядку. Для цього необхідно виконати наступні дії:

1. На вкладці Security (Безпека) у діалоговому вікні властивостей файлу клацнути на кнопці Advansed (Додатково).

2. На вкладці Permissions (Дозволи), що з'явився діалогового вікна Access Control Settings (Настройки керування доступом) виділити потрібну групу або користувача і клацнути на кнопці

View/Edit (Показати).
Як показано на рис.2, з'являється список дозволів, схожий насписок зівкладки Security (Безпека) з діалогового вікна властивостей, але вцьому списку можна встановлювати індивідуальні дозволу. [3]

Рис.2. Клацніть на вкладці Додатково і далі на кнопці Показати приводить в діалогове вікно, де можна вибрати комбінацію дозволів

1 Як усунути конфлікт з дозволами

Використання груп дозволяє легко дозволяти або заборонятидоступ до файлів і папок відразу багатьом користувачам. Однакдодавання або видалення дозволу для групи часто створюєпроблеми. Одна з проблем - дати дозвіл групі, тоді якдеяким її учасникам доступ повинен бути заборонений.

При зміні ступенів захисту слід пам'ятати, що дозволинакопичуються. Слід переглядати список членів групи, щоббути впевненим, що дозвіл отримають тільки ті, кому слід.

Використання груп для налаштування дозволів. Оскількидозволу накопичуються, слід проявляти обережність приздійсненні захисту. Простіше дати дозвіл групі в цілому, а непривласнювати його в індивідуальному порядку кожному члену групи.
Варто одного разу дати дозвіл групі, а потім додавати абовиключати користувачів зі списку. Припустимо, що група
Бухгалтерський відділ має ступінь доступу до файлів з рахунками
Modify (Змінити). Марія Іванівна працює в бухгалтерії івідповідно має дозвіл на зміну файлів з рахунками.
Існує також група користувачів Контролери бухгалтерськоговідділу, яка має дозвіл на повний доступ. Якщо Марію
Іванівну підвищать, і вона стане контролером, її буде необхідноперемістити з групи з роздільною здатністю змінювати файли в групу повногоконтролю. Якщо прямо змінити її ступінь доступу, вона не зможеавтоматично отримати всі потрібні їй дозволу. Більш того, мінятидозволи для окремих користувачів у великій організації --заняття досить трудомістка.

Наприклад, Юрій Петрович є членом групи Кадри і маєдозвіл Read (Читання) для файлу Январь.xls в папці Платіжнівідомості. Якщо групі буде дано дозвіл Write (Запис), Юрій
Петрович одержить його як член групи, а оскільки дозволунакопичуються, то дозвіл читати файл також залишиться, і вінзможе користуватися двома ступенями доступу.

Заборона певного дозволу перевершує всі виданідозволу. Наприклад, якщо група Кадри має прапорець в стовпці Deny
(Заборонити) для кожного дозволу, Юрію Петровичу буде забороненийдоступ до файлу навіть у тому випадку, якщо для його облікового записудозволений повний контроль.

Перш ніж використовувати заборону, слід зрозуміти, кого самевоно торкнеться. Наприклад, у вас є секретний файл, який вихочете надати своїй групі з роздільною здатністю повного доступу,однак для підвищення безпеки встановлюєте прапорці Deny
(Заборонити) групи Everyone (Усі). Оскільки ви допустили помилкувходить до групи Everyone (Усі), виходить, що ви позбавляєте себесамого доступу до файлу. Тепер використовувати файл не зможе навіть йоговласник (той, хто його створив), однак він зможе змінитиналаштування. [1]

3. Захист папок

Встановлення дозволів для папок схоже на встановленнядозволів для доступу до файлів, однак існують і відмінності.

Одне з них полягає в тому, що вкладка Security (Безпека)у діалоговому вікні властивостей папки включає додатковий дозвіл
List Folder Content (Список вмісту папки). У цей дозвілвключені ті ж пункти, що й у вирішення Read & Execute (Читання тавиконання). Різниця між цими дозволами полягає в способіуспадкування. Дозвіл List Folder Content (Змістпапки) успадковується папками, але не файлами, тоді як дозвіл
Read & Execute (Читання та виконання) успадковується і папками, іфайлами. Спадкування є найбільш значущою різницею міждозволами для файлів і папок.

Якщо на встановлений за замовчуванням прапорець Allow
Inheritable Permissions From Parent To Propagate To This Object
(Переносити успадковані від батьківського об'єкта дозволу нацей об'єкт) з вкладки Security (Безпека) у діалоговому вікніфайлу або папки, дозвіл передається від батьківського об'єкта
(папки, яка містить дану папку або файл) «у спадщину». Якщо самбатьківський об'єкт має таку позначку, дозвіл передається відйого батьківського об'єкта і т. д. В об'єкта може бути величезнаколекція успадкованих і явно зазначених дозволів (тих, у якихдозволи були змінені або додані). Успадкованих дозволупозначені в затінених полях стовпців Allow (Дозволити) і Deny
( "Заборонити"), решта дозволу поміщені в звичайних полях. [4]

Однак, кожен користувач або член групи, що має дозвілна повний контроль папки, може видаляти будь-які файли з цієї папкинезалежно від дозволів для цих файлів.

Перевага такої установки полягає в тому, що вона дозволяєзмінювати дозволи для однієї папки і поширювати їх на всі їїдочірні об'єкти, не змінюючи дозволу в індивідуальному порядку.
При зміні ступеня доступу користувача до папці змінюється ідозвіл до файлів цієї папки.

Змінити або перекрити успадковані дозволи можна наступнимиспособами:

? Проведення змін для батьківського об'єкта даного об'єкта змінює успадковані вирішення даного об'єкта.

? Вибір протилежної налаштування (Allow (Дозволити) або
Deny (Заборонити)) перекриває дозвіл, передане у спадок.

? При зняття прапорця Allow Inheritable Permissions From Parent
To Propagate To This Object (Переносити успадковані відбатьківського об'єкта дозволу на цей об'єкт) з'являєтьсядіалогове вікно «Безпека».

Далі є три шляхи:
- Клацніть на кнопці Copy (Копіювати) дозволяє копіювати все успадковані дозволу об'єкта, що перетворює їх у власні дозволу. Дозвіл залишається, але воно не змінюється при зміні дозволу батьківського об'єкта.
- Клацніть на кнопці Remove (Видалити) видаляє всі успадковані дозволи, залишаються тільки встановлені явно вказані дозволи.
- Клацніть на кнопці Cancel (Скасувати) закриває діалогове вікно без будь-яких змін.

1. Зміна дозволів для файлів або папок

Незважаючи на те, що набагато зручніше давати дозволукористувачам, додаючи їх до групи, у якої є певнаступінь доступу, іноді деякі користувачі потребують особливихроздільній здатності, яких немає ні в однієї групи. У таких випадках слідвручну привласнювати дозвіл. У всіх інших ситуаціях слідоновлювати дозволу всієї групи.

Перш ніж змінювати ступінь доступу всієї групи, слідуточнити, хто саме в неї входить.

Для присвоєння дозволи для файлу або папки необхідновиконати наступне:

1. Клацніть правою кнопкою мишки на папці або файлі в Провіднику і вибрати пункт Properties (Властивості).

2. Клацніть на вкладці Security (Безпека).

3. Якщо слід присвоїти дозвіл користувача або групи, які відсутні у списку Name (Ім'я), слід клацнути на кнопці Add (Додати), щоб з'явилося діалогове вікно Select

Users, Computers, Or Groups (Вибір: Користувачі, Комп'ютери або групи). Потім виділити потрібного користувача або групу, клацнути на кнопках Add (Додати) і ОК (см.ріс.3).

4. Щоб видалити користувача або групи слід виділити їх у списку Name (Ім'я) і клацнути на кнопці Remove (Видалити). У цьому випадку у користувача або групи не залишиться дозволу на об'єкт, якщо тільки користувач або група не є учасниками іншої групи, яка залишається в списку. Такі користувачі збережуть доступ до файлу або папці. (якщо потрібно заборонити доступ, краще не видаляти користувачів зі списку, а змінити дозвіл на заборону).

Рис.3

5. Виділити ім'я кожного користувача в списку Name (Ім'я) і клацнути на Allow (Дозволити) або Deny ( "Заборонити"), щоб викликати відповідну дію.

Якщо користувачеві або групі необхідно надати особливий набірдозволів, слід натиснути на вкладці Advanced (Додатково),щоб відкрити діалогове вікно «Елемент дозволи», а потімклацнути на кнопці View/Edit (Показати), щоб вказатиіндивідуальні налаштування.

Якщо перед тим, як натиснути правою кнопкою миші і вибратипункт Properties (Властивості), ви виділили декілька папок абофайлів, зміни вплинуть на всі обрані об'єкти. Якщоіснуючі дозволи не однакові для всіх виділених об'єктів,з'явиться відповідне повідомлення. Якщо клацнути на кнопці Yes
(Так) у цьому повідомленні, система змінить дозволу для всіхвиділених об'єктів на успадковувати і видалить всі явно зазначенідозволу зроблені до того.

Саме тут можна отримати користь з дозволів, отриманих заспадщину. Щоб змінити дозволу для папки та всіх папок іфайлів, які вона містить, необхідно виконати наступнідії:

1. Вивести на екран вкладку Security (Безпека) для папки та встановити дозволи для всіх користувачів, як було описано вище. Не слід клацати на кнопці OK, щоб не закрити вікно.

2. Клацніть на кнопці Advanced (Додатково).

3. На вкладці Permissions (Дозволи) в діалоговому вікні Access

Control Settings Reset Permissions On All Child Objects And

Enable Propagation Of Inheritable Permissions (Встановити дозволу для всіх дочірніх об'єктів і вирішити їх спадкування) і клацнути на кнопці ОК.

Після отримання вашого підтвердження настройки у вікніповідомлення, система простежить всі файли в папці, все підпапки і всефайли у всіх підпапках. Для всіх цих об'єктів будуть видаленізазначені вище дозволу і привласнені "успадковані" дозволу.
Таким чином, у всіх об'єктів будуть ті самі дозволи, що і убатьківської папки. [2]

4. Присвоєння файлу або папки

Кожен файл або папка в томі NTFS має власника, тобтолюдини, який здійснює контроль за дозволами дляоб'єктів і привласнює їх іншим користувачам. Творець новогофайлу є його началльним власником.

Для виявлення того, хто є власником файлу або папки,слід виконати такі дії:

1. Клацніть правою кнопкою миші на файлі або папці в Провіднику і вибрати пункт Properties (Властивості).

2. Клацніть на вкладці Security (Безпека) і клацнути на

Advanced (Додатково).

3. Клацніть на вкладці Owner (Власник), щоб відкрити діалогове вікно «Настройки керування доступом для НР_file на DRIVE». У полі Current Owner Of This Item (Текущіц власник цього елементу) буде вказано ім'я власника.

Іноді доводиться привласнювати «чужий» файл або папку.
Наприклад, якщо власник файлу більше не хоче ним займатися,системний адміністратор може присвоїти файл собі або іншомукористувачеві, або інший користувач може присвоїти файлнапряму.

Для присвоєння файлу або папки необхідно мати дозвіл Take
Ownership (Зміна власника), яка включена до дозвіл Full
Control (Повний доступ). Щоб отримати такий дозвіл,необхідно отримати дозвіл на повний доступ у адміністратораабо власника файлу, який також володіє повним доступом.

Для присвоєння файлу або папки необхідно:
1. Вивести на екран вкладку Owner (Власник) діалогового вікна

Access Controll Settings (Настройки керування доступом).
2. Виділити в списку Change Owner To (змінити власника на) ім'я

(список включає ім'я облікового запису та групи, до якої ви належите).

3. Якщо при присвоєнні папки ви хочете отримати її вміст, потрібно встановити прапорець Replace Owner On Subcontainers And

Objects (Змінити власника вмісту).

Файл може належати тільки одному користувачу. Якщо виотримуєте його у власність, інший користувач вже не єйого власником. Однак група може володіти файлом. У цьому випадкувсі учасники групи отримують ступінь доступу творця-власника.

Усі творці файлів є їх власниками, якщо тількиоб'єкти не були присвоєні іншим. Незважаючи на право адміністратораотримувати файл у володіння, при присвоєння ступенів доступу до файлуостаннє слово залишається за його власником.

Захист для користувача.

Вище обговорювалися функції для присвоєння адміністраторами тавласниками файлів ступенів доступу. Яке ж відношення маєзахист до простому користувачеві?

При спробі користувача зробити операцію з захищенимфайлом, система Windows звіряється зі списком контролю доступу. Якщо
ACL дозволяє доступ, користувач отримує його. Якщо ні - неотримує. Вікно з повідомленням про помилку, що з'являється в такихвипадках, залежить від системи і від того, що саме хотів зробитикористувач. [4]

5.Настройка безпеки для нових файлів і папок

До цих пір мова йшла про настройки для захисту вже існуючихфайлів і папок. Тепер слід розповісти про захист новостворенихоб'єктів.

Правило просте: нові файли і папки отримують дозвіл тійпапки, в якій вони були створені. Якщо створити файл у папці, дляякою у бухгалтерського відділу є дозвіл Modify
(Змінити), а у відділу кадрів - Full Control (Повний доступ), товідділи залишаться при своїх роздільній здатності, якщо в папці з'явиться новийфайл.

Точно так само, якщо скопіювати існуючий файл або папку доіншу папку або перемістити файли і теки в іншого тому, копіїбудуть мати той же дозвіл, що і оригінал, оскільки, по сутіпри копіюванні і переміщенні створюються нові файли та папки. Зіншого боку, якщо переміщати існуючі папки та файли в іншупапку в тому ж томі, папки і файли зберігають свої дозволи, вонине будуть наслідувати дозволу їх нового сховища. [5]

6. Використання шифрування файлів

Система шифрування файлів (EES) - нова в системі Windows 2000.
Вона дозволяє зашифрувати файли в томах NTFS так, щоб їх мігвикористовувати тільки власник. При шифровці файлу або папки системавикористовує ваш сертифікат шифрування та його приватний ключ длякодування інформації. Коли б ви не використовували файл (приумови, що ви використовуєте ту саму вченихтную запискористувача при шифровці і при подальшим входженням), системавикористовує той самий сертифікат для розшифровки. (Це відбувається позамежі видимості, тому використання зашифрованого файлу нічимне відрізняється від звичайного.) Їли файл спробує відкрити, копіювати,перемістити, перейменувати хто-небудь інший, він отримає повідомленняпро відсутність доступу до файлу.

При цьому будь-який користувач, що має дозвіл на видаленняфайлу, що входить у вирішення Modify (Змінити) і Full Control (Повнийдоступ), може видалити зашифрований файл.

При кодуванні папки всі файли та підпапки також виявляютьсязашифровані, включаючи тимчасові файли, які створюються деякіпрограми під час редагування документа. Якщо ви зберігаєте всідокументи в папці My Documents (Мої документи), вона є першимкандидатом.

Для кодування папки необхідно виконати наступні дії:
1. Клацніть правою кнопкою мишки на папці (або файлі, якщо необхідно закодувати окремий файл) у провіднику Windows і вибрати в меню пункт Properties (Властивості).

2. На вкладці General (Загальні) клацнути на Advanced (Додатково), щоб показати діалогове вікно Advanced Attributes

(Додаткові атрибути).

3. Встановити прапорець Encrypt Contents To Secure Date (Шифрувати вміст для захисту даних).
Стислий файли зашифрувати не можна. Якщо підлягають кодування файливже стислі, система Windows прибере атрибут Compressed (Стиснутий).

4. Клацніть на кнопці OK, щоб закрити діалогове вікно Advanced

Attributes (Додаткові атрибути), і клацнути на ОК ще раз, щоб закрити діалогове вікно властивостей. При кодуванні папки система запросить підтвердження.
5. Вибрати параметр і клацнути на кнопці ОК

? При виборі Apply Changes To This Folder Only (Тільки в ційпапці) система не стане шифрувати вже існуючі файли (включаючиті, що були скопійовані або переміщені в папку).
? При виборі Apply Changes To This Folder, Subfolders And Files (Кцій папці і для всіх вкладених файлів і папок) система негайнозашифрує все, що міститься в папці.

Використовувати зашифровані файли можна тільки при данійоблікового запису та сертифікаті. Зашифровані файли не можнанадавати в загальне користування по мережі або на тій же робочоїстанції.

Створення страхувальної копії сертифіката для шифрування

Сертифікат для шифрування слід скопіювати на дискету ізберігати в надійному місці. Якщо ви втратите сертифікат (що можевідбутися, наприклад, при пошкодженні диска), його буде можнавідновити для розшифровки файлів.
Для створення страхувальної копії сертифіката необхідно:
Відкрити User And Passwords (Користувачі та пороли) на панеліуправління.

клацнути на вкладці Advanced (Додаткові) і клацнути на
Certificates (Сертифікати).

У діалоговому вікні Certificates (Сертифікати) клацнути на вкладці Personal
(Особистий) і вибрати сертифікат з ім'ям вашого профілю.

4. Клацніть на Export (Експортувати), щоб завантажився майстер експортування сертифіката, а потім виконати його вимоги. [4]

7. Установка дискових квот

Інший новою функцією системи Windows 2000 є можливістьрозподіляти і обмежувати диско