Управление данными. ЛР Учетные записи. Лабораторная работа Создание учетных записей пользователей, шифрование и управление доступом к файлам и папкам на локальном компьюте ре
Скачать 126 Kb.
|
МЕТОДИЧЕСКАЯ РАЗРАБОТКА ДЛЯ ПРОВЕДЕНИЯ ПРАКТИЧЕСКОГО ЗАНЯТИЯ по учебной дисциплине: «Основы информационной безопасности» Раздел «Создание защищенных учетных записей и защита электронных документов» Лабораторная работа № 1. Создание учетных записей пользователей, шифрование и управление доступом к файлам и папкам на локальном компьютере Для защиты локальных папок и файлов в операционной системе (ОС) Windows XP для томов с файловой системой NTFS доступны возможности шифрования или разграничения доступа к данным (файлам и папкам). Файловая система тома жесткого диска может быть преобразована из FAT32 в NTFS без потери данных (без обязательного форматирования тома) с помощью утилиты convert. Обратное преобразование требует обязательного форматирования тома. Шифрование обеспечивается с помощью файловой системы EFS (Encrypted File System), являющейся, по сути, надстройкой NTFS. Для использования возможностей шифрования из командной строки Windows используется утилита cipher. Замечание. Шифрование и разграничение доступа к файлам и папкам на локальном компьютере доступно только в том случае, если диск отформатирован с файловой системой NTFS. Все файлы и папки для выполнения заданий создаются на диске с файловой системой NTFS. Шифрование является прозрачным для пользователя, зашифровавшего файл. Это означает, что перед использованием файл не нужно расшифровывать. Можно, как обычно, открыть файл и изменить его. Зашифрованные файлы и файлы из зашифрованной папки доступны для просмотра или выполнения только тому пользователю, который установил шифрование. Остальным пользователям запрещен просмотр и копирование зашифрованных файлов и папок, однако они могут их удалить. Таким образом, шифрование папки или файла не защищает их от удаления. Зашифрованный файл или папка расшифровываются, если они перемещаются на диск, не являющийся диском с файловой системой NTFS. Если шифруется папка, все файлы и подпапки, созданные в зашифрованной папке, автоматически шифруются. Рекомендуется использовать шифрование на уровне папки. Когда шифруется отдельный файл, система запросит подтверждение необходимости зашифровать также и папку, содержащую этот файл. Если подтверждение получено, все файлы и подпапки, добавляемые в папку в будущем, будут зашифрованы при добавлении от имени того пользователя, который их добавил. Разграничение (управление) доступа к данным заключается в предоставлении авторизованным пользователям системы определенных прав на доступ (чтение, изменение, удаление и т.д.) к локальным файлам и папкам. Тип доступа определяется разрешениями, назначенными файлам или папкам. После того как установлены разрешения на доступ к родительской папке, создаваемые в ней новые файлы и подпапки будут наследовать эти разрешения. Можно предотвратить наследование разрешений. С помощью разграничения доступа можно определять более дифференцированную систему прав на работу с файлами и папками, чем с помощью шифрования. Возможности шифрования и разграничения доступа могут совмещаться. Задание. Создать двух локальных пользователей ОС Windows. Для созданных пользователей и пользователя-администратора настроить ограничения на просмотр локальных файлов и папок (средствами шифрования), разграничить доступ (задать различные уровни доступа) к локальным и сетевым папкам в рамках рабочей группы Windows. Шаг 1. Создание и управление учетными записями локальных пользователей в операционной системе Windows. Для того, чтобы создать двух локальных пользователей операционной системы (ОС) Windows XP, таких, что: оба они не являются администраторами, причем первый пользователь может работать на компьютере и устанавливать программы, а второй – только работать на компьютере, программы он устанавливать не может, необходимо: Если текущий сеанс ОС Windows XP не позволяет администрировать компьютер, то зайти с правами администратора. Для этого завершить текущий сеанс командой Пуск|Завершение сеанса, выбрать пункт Смена пользователя, и выбрать имя пользователя-администратора по указанию преподавателя (в сетевых аудиториях обычно это пользователь с именем student). Создать двух новых пользователей, как это требуется в задании: одного с правами установки программного обеспечения, а другого – без. Для этого: Щелкнуть правой кнопкой мышки на значке Мой компьютер, выбрать из контекстного меню команду Управление. В появившемся окне Управление компьютером, в левой части окна выбрать Локальные пользователи и группы, открыть папку Пользователи. В правой части окна (содержимое папки Пользователи) щелкнуть правой кнопкой мыши в пустое место и в контекстном меню выбрать команду Новый пользователь… В появившемся окне Новый пользователь: задать пользователя:ввести имя учетной записи; задать пароль и подтвердить его; снять флажок Потребовать смену пароля при следующем входе в систему; поставить флажок Запретить смену пароля пользователям. Нажать Создать. Для учетной записи нового пользователя задать членство в группе. Для этого щелкнуть правой кнопкой мыши по созданной учетной записи, выбрать команду Свойства на вкладке Членство в группах добавить или удалить группы таким образом, чтобы первый пользователь имел членство в группах Пользователи и Опытные пользователи. Для добавления группы следует щелкнуть на кнопке Добавить, затем в появившемся окне Выбор: Группы щелкнуть кнопку Дополнительно. Проверить, что выбран локальный компьютер, нажать кнопку Поиск и выбрать из выданного списка нужную группу. Сохранить изменения членства в группах, нажав ОК. Создать учетную запись второго пользователя. Для второго пользователя задать членство только в группеПользователи. Закрыть окно Управление компьютером. Выяснить, какой из жестких дисков компьютера имеет файловую систему NTFS. Для этого в окне Проводника (или Мой компьютер) щелкнуть на ярлыке диска правой кнопкой мыши, выбрать команду Свойства, на вкладке Общие посмотреть значение свойства Файловая система. На диске с файловой системой NTFS создать свою рабочую папку, а в ней – три подпапки (папка_шифр, папка2 и папка_доступ). С помощью приложений Word или Excel создать три произвольных документа: один из них (doc1) сохранить в папке_шифр, два других (doc2 и doc3) – в папке2. Контрольный вопрос: Различаются ли полномочия первого и второго пользователей для доступа к файлам и папкам на дисках? (Нет, для этого надо дополнительно устанавливать шифрование или разграничение доступа к файлам и папкам) Шаг 2. Шифрование данных на локальном компьютере с помощью EFS. Для того, чтобы зашифровать папку_шифр и файл doc2 из папки2 от имени пользователя-администратора (шифрование делает недоступным просмотр файлов для других пользователей; при записи файла в защищенную папку он автоматически шифруется), необходимо: Установить шифрование папки_шифр, для этого: В окне Проводника (или Мой компьютер) щелкнуть правой кнопкой мыши на папке_шифр, выбрать команду Свойства. На вкладке Общие окна свойств папки щелкнуть кнопку Другие и установить флажок Шифровать содержимое для защиты данных. Для сохранения изменений нажать ОК. В окне свойств нажать кнопку Применить. В появившемся окне Подтверждение изменения атрибутов установить переключатель в позицию К этой папке и ко всем вложенным файлам и папкам, нажать ОК. Имена зашифрованных файлов и папки будут выделены зеленым цветом. Если этого не произошло, следует проверить настройки отображения папки: в окне Проводника (Мой компьютер) следует выполнить команду Сервис/Свойства папки, перейти на вкладку Вид, установить флажок Отображать сжатые или зашифрованные файлы NTFS другим цветом и нажать кнопку Применить. Проверить, что пользователь может открывать как не зашифрованные файлы, так и файлы, которые зашифровал он сам. Установить шифрование файла doc2 из папки2, не шифруя саму папку и другие файлы в этой папке; для этого: В окне Проводника (или Мой компьютер) щелкнуть правой кнопкой мыши на файле doc2, выбрать команду Свойства. На вкладке Общие окна свойств файла щелкнуть кнопку Дополнительно и установить флажок Шифровать содержимое для защиты данных. Для сохранения изменений нажать ОК. В окне свойств нажать кнопку Применить. В появившемся окне Предупреждение при шифровании установить переключатель в позицию Зашифровать только файл, нажать ОК. С помощью приложений Word или Excel создать новый произвольный документ (doc4) и сохранить его в папке_шифр. Завершить текущий сеанс и зайти в Windows XP с именем и паролем второго пользователя. Для этого выполнить команду Пуск|Завершение сеанса, выбрать пункт Смена пользователя, и выбрать имя второго пользователя. В окне соответствующего приложения попытаться открыть файлы doc1, doc2, doc3, doc4. Удостовериться, что из всех названных файлов можно просмотреть только незашифрованный файл doc3. Сделать попытку расшифровать папку папка_шифр. Удостовериться, что расшифровать данные, зашифрованные другим пользователем, невозможно (выдается сообщение об ошибке изменения атрибутов папки). Создать новый файл doc_new в зашифрованной папке папка_шифр. Удостовериться, что файл автоматически зашифрован. Удостовериться, что открыть зашифрованный файл doc_new невозможно, так как шифрование произошло от лица другого пользователя, ранее зашифровавшего папку. Перейти в папку папка2. Аналогично пункту 3 установить шифрование файла doc3 (шифрование файла doc3 будет невозможно в случае, если на томе установлены ограничения доступа для пользователей). Создать в папке2 новый файл doc5, произвести его шифрование. Завершить текущий сеанс и зайти в Windows XP с именем и паролем пользователя-администратора. Проверить, что пользователь-администратор не сможет просматривать файлы doc3 (в случае, если он был зашифрован) и doc5, может снять шифрование с файла doc2. Ответить на контрольные вопросы. В результате выполнения заданий 1-2 должно быть получено:
Контрольные вопросы: Почему второй пользователь не может просмотреть файл doc4, хотя когда устанавливали шифрование папки_шифр в ней находился только файл doc1? (при добавлении файла в зашифрованную папку он шифруется автоматически) Почему второй пользователь может просматривать файл doc3 из папки2? (папка2 не зашифрована, первый пользователь зашифровал только один файл в ней – doc2) Почему пользователь-администратор может снять шифрование с файла doc2, а второй пользователь не может этого сделать? (файл doc2 зашифрован пользователем-администратором, только тот, кто шифровал папку или файл может снять шифрование) Шаг 3. Установка разрешений (правил разграничения доступа) для локальных файлов и папок. Для того, чтобы установить для папок папка2 и папка_доступ следующие разграничения доступа: пользователь-администратор имеет полный доступ к содержимому папки2 и папки_доступ, все остальные пользователи могут просматривать незашифрованное содержимое папки2, первый пользователь может просматривать и изменять содержимое папок папка2 и папка_доступ, однако не может изменять полномочия других пользователей для доступа к папке_доступ, второй пользователь может лишь просматривать содержимое папки_доступ, необходимо: Установить разграничение доступа для папки2, для этого: В окне Проводника (или Мой компьютер) щелкнуть правой кнопкой мыши на папке2, выбрать команду Свойства, перейти на вкладку Безопасность. Если вкладка Безопасность не отображается, следует изменить параметры отображения папки. Для этого в окне Проводника (Мой компьютер) выполнить команду Сервис/Свойства папки, перейти на вкладку Вид, снять флажок Использовать простой общий доступ к файлам (рекомендуется) и нажать кнопку Применить. Проверить, что на вкладке безопасности невозможно изменение установленных прав или удаление перечисленных на ней пользователей и групп. Разрешения для этих пользователей наследуются (переносятся) на папку от диска, на котором эта папка была создана. На вкладке безопасности нажать кнопку Дополнительно и снять флажок Наследовать от родительского объекта применимые к дочерним объектам разрешения. При снятии флажка в окне предупреждения Безопасность нажать кнопку Копировать. Для выхода из окна Дополнительные параметры безопасности нажать ОК. Проверить, что теперь возможно изменение разрешений для пользователей. Изменить существующие разрешения, удаляя или добавляя флажки в столбце Разрешить, удалить существующих пользователей или добавить новых пользователей таким образом, что: пользователь-администратор имеет возможность изменять разрешения для текущей папки. Следует установить для этого пользователя разрешение Полный доступ. При установке разрешения Полный доступ пользователь автоматически получает все остальные имеющиеся разрешения. остальным пользователям разрешен только просмотр файлов, находящихся в папке. Для группы Все (или Пользователи) следует оставить только следующие разрешения: Чтение и выполнение, Список содержимого папки, чтение. Примечание: Не следует оставлять «лишние» разрешения и пользователей, даже если они были изначально установлены для папки, так как это может привести к нарушению политики безопасности, установленной для вашей папки. Если особые разрешения были предоставлены группе Пользователи (создание своих подпапок и файлов) и пользователю Создатель-владелец (полный доступ на вновь созданные объекты), их следует удалить, воспользовавшись кнопкой Дополнительно. Добавить в список пользователей на вкладке Безопасность первого пользователя и разрешить ему вносить изменения в содержимое папки. Для этого выполнить команду Добавить, в появившемся окне Выбор: Пользователи или группы нажать кнопку Дополнительно. Проверить, что выбран локальный компьютер и нажать кнопку Поиск. Выбрать из выданного списка имя первого пользователя, нажать ОК. Нажать ОК в окне добавления пользователя. Для первого пользователя установить все разрешения, кроме разрешения Полный доступ. Для сохранения разрешений нажать кнопку Применить, затем закрыть окно свойств папки2. С помощью приложений Word или Excel создать произвольный документ (doc6) и сохранить его в папке_доступ. Установить разграничение доступа для папки_доступ, для этого: В окне Проводника щелкнуть правой кнопкой мыши на папке_доступ, выбрать команду Свойства, перейти на вкладку Безопасность. С помощью кнопки Добавить пополнить список пользователей, имеющих доступ к папке: Пользователь-администратор, Первый пользователь, Второй пользователь. Задать разрешения для пользователей. Для пользователя, который указан преподавателем как администратор, задать Полный доступ; Для первого пользователя задать все разрешения, кроме полного доступа (Изменить, Чтение и выполнение, Список содержимого папки, Чтение, Запись); Для второго пользователя задать разрешения Чтение и выполнение, Список содержимого папки, Чтение. На вкладке безопасности нажать кнопку Дополнительно и снять флажок наследования разрешений Наследовать от родительского объекта применимые к дочерним объектам разрешения. При снятии флажка в окне предупреждения Безопасность нажать кнопку Удалить – наследуемые от диска, на котором создана папка, пользователи и группы и связанные с ними разрешения будут удалены. Нажать кнопку Применить. Завершить текущий сеанс и зайти в Windows XP с именем и паролем первого пользователя. Проверить, что первый пользователь: не может просматривать зашифрованный файл doc2 из папки2, но может удалить этот файл, может создать новый документ doc7 или подпапку в папке_доступ, изменять содержимое файлов в папке_доступ, не может изменить свои (и чужие) полномочия доступа к папке2 и папке_доступ. Завершить текущий сеанс и зайти в Windows XP с именем и паролем второго пользователя. Проверить, что второй пользователь: может просматривать файлы doc3 и doc5, находящийся в папке2, но не может изменить или удалить этот файл; не может добавить новые документы или подпапки в папку2 и папку_доступ. в папке_доступ может просматривать файлы, но не может их менять и удалять. не может изменить свои полномочия доступа к папке2 и папке_доступ. Ответить на контрольные вопросы. Контрольные вопросы: Почему второй пользователь может просматривать файлы doc3 и doc5 в папке2, хотя для него не заданы разрешения на доступ? (Разрешения на просмотр файлов второй пользователь получает от группы, в которую он входит –группы всех пользователей Все или Пользователи) Сможет ли второй пользователь добавить новый файл в папку_шифр? (Да, папка не имеет ограничений доступа) Сможет ли второй пользователь удалить файл doc1 из зашифрованной папки_шифр? (Да, папка зашифрована, но не имеет ограничений доступа) Какие возможности обеспечивает шифрование, а какие – разграничение доступа? Шаг 4. Предоставление общего (сетевого) доступа к папкам, взаимодействие сетевых и локальных разграничений доступа в рамках рабочей группы Windows. Для того, чтобы предоставить общий доступ к локальным папкам в рамках рабочей группы, задать ограничения для доступа к папкам через сеть, необходимо: Зайти в Windows под именем пользователя-локального администратора компьютера. Посмотреть сетевые свойства компьютера (имя, членство в рабочей группе) – для этого следует щелкнуть на значке Мой компьютер правой кнопкой мыши и выбрать команду Свойства. Сетевое имя компьютера (полное имя) указано на вкладке Имя компьютера: Проверить, что компьютер включен в рабочую группу – указано имя рабочей группы. Если компьютер находится не в рабочей группе, а в домене, то следует исключить его из домена и добавить в рабочую группу с помощью кнопки Изменить – имя рабочей группы обычно совпадает с первой частью (до дефиса) полного имени компьютера (например, если имя компьютера: m208-03, имя рабочей группы: m208). Согласно ограничениям доступа для папки папка_доступ пользователь-администратор имеет к ней полный доступ как к локальной папке. Разрешить сетевой доступ к ней с разрешением «только чтение». Для этого: Щелкнуть на папке правой кнопкой мыши и выбрать команду Свойства. Перейти на вкладку Доступ. Установить переключатель в позицию Открыть общий доступ к этой папке. Проверить разрешения для сетевых пользователей – щелкнуть на кнопке Разрешения и проверить, что задана единственная группа Все и указано разрешение Чтение. Для сохранения сделанных настроек и выхода из окна свойств щелкнуть кнопку ОК или Применить. Посмотреть папку папка_доступ через локальную сеть, для чего открыть ее через Сетевое окружение: Щелкнуть на значке Сетевое окружение, затем щелкнуть ссылку Отобразить компьютеры рабочей группы, открыть свой компьютер, а затем общую папку папка_доступ. Проверить, что пользователь-администратор может только просматривать информацию при доступе к папке папка_доступ через сеть. Создать на диске новую папку папка_сеть. Предоставить общий доступ к папке папка_сеть, задать следующие сетевые разрешения (вкладка Доступ): Все – чтение и изменение, Пользователь-администратор – полный доступ. Для папки папка_сеть задать следующие локальные права доступа (вкладка Безопасность): Пользователь-администратор – только чтение, Первый пользователь – полный доступ (других локальных разрешений у папки быть не должно – отключить наследование). Проверить, открыв папку через Сетевое окружение, что Пользователь-администратор может только просматривать содержимое сетевой папки папка_сеть, а Первый пользователь может как просматривать, так и изменять содержимое папки папка_сеть. Показать созданные папки преподавателю. Затем удалить созданные папки и новых пользователей с локального компьютера. Разработал «____»______________20__года Лист регистрации изменений
|