ЛР4. Занятие Управление доступом к файловым ресурсам
Скачать 169.67 Kb.
|
Практическое занятие № 4. Управление доступом к файловым ресурсам Цель работы: освоение навыков управления доступом пользователей к файлам и папкам с целью защиты информации от несанкционированного доступа. Краткое введениеФайловые системы современных операционных систем при соответствующей настройке эффективно обеспечивают безопасность и надежность хранения данных на дисковых накопителях. Для операционных систем Windows стандартной является файловая система NTFS. Устанавливая для пользователей определенные разрешения для файлов и каталогов (папок), администраторы могут защитить информацию от несанкционированного доступа. Каждый пользователь должен иметь определенный набор разрешений на доступ к конкретному объекту файловой системы. Кроме того, он может быть владельцем файла или папки, если сам их создает. Администратор может назначить себя владельцем любого объекта файловой системы, но обратная передача владения от администратора к пользователю невозможна. Назначение разрешений производится для пользователей или групп. Так как рекомендуется выполнять настройки безопасности для групп, то необходимо, чтобы пользователь был членом хотя бы одной группы на компьютере или в домене. Разрешения могут быть установлены для различных объектов компьютерной системы, однако в настоящем издании рассмотрены разрешения для файлов и папок. Другие задачи, например разрешения для принтеров, решаются аналогичным образом. Указания к проведению практического занятияДля назначения разрешений для файла или папки администратор выбирает данный файл или папку и при нажатии правой кнопки мыши использует команду Свойства (Properties), в появившемся окне переходит на вкладку Безопасность (Security). Пример для папки с именем Авиатор приведен на рис. 4.1. В зоне Имя (Name) имеется список групп и пользователей, которым уже назначены разрешения для данного файла или папки. Рис. 4.1. Вкладка Безопасность окна свойств папки Авиатор Для добавления пользователя или группы нажмите кнопку Добавить (Add) или Удалить (Remove). При добавлении появится диалог Выбор: Пользователи, Компьютеры или Группы (Select Users, Computers or Groups). Добавив пользователя или группу, мы увидим этот объект в зоне Имя и, выделив его, можем задать необходимые разрешения с помощью установки флажков Разрешить (Allow) или Запретить (Deny) в зоне Разрешения (Permissions). Стандартные разрешения для файлов: • полный доступ (Full Control); • изменить (Modify); • чтение и выполнение (Read&Execute); • чтение (Read); • запись (Write). Стандартные разрешения для папок: • полный доступ (Full Control); • изменить (Modify); • чтение и выполнение (Read&Execute); • список содержимого папки; • чтение (Read); • запись (Write). Разрешение Чтение позволяет просматривать файлы и папки и их атрибуты. Разрешение Запись позволяет создавать новые файлы и папки внутри папок, изменять атрибуты и просматривать владельцев и разрешения. Разрешение Список содержимого папки позволяет просматривать имена файлов и папок. Разрешение Чтение и выполнение для папок позволяет перемещаться по структуре других папок и служит для того, чтобы разрешить пользователю открывать папку, даже если он не имеет прав доступа к ней, для поиска других файлов или вложенных папок. Разрешены все действия, право на которые дают разрешения Чтение и Список содержимого папки. Это же разрешение для файлов позволяет запускать файлы программ и выполнять действия, право на которые дает разрешение Чтение. Разрешение Изменить позволяет удалять папки, файлы и выполнять все действия, право на которые дают разрешения Запись и Чтение и выполнение. Разрешение Полный доступ позволяет изменять разрешения, менять владельца, удалять файлы и папки и выполнять все действия, на которые дают право все остальные разрешения NTFS. Разрешения для папок распространяются на их содержимое: под- папки и файлы. При назначении пользователю или группе разрешения на доступ к файлу или папке руководствуются тем уровнем доступа, который достаточен для данной группы или пользователя при выполнении им своих рабочих обязанностей. Рассмотренные разрешения относятся к пользователям данного компьютера, совершившим вход локально на данную машину. Такие разрешения называются разрешениями файловой системы. Так как файловая система Windows называется NTFS, то разрешения файловой системы для Windows называют разрешениями NTFS. Разрешения для пользователей, получивших доступ к папке или файлу через сеть, регулируются отдельно с помощью так называемых разрешений общего доступа. Эти разрешения распространяются только на папки, к которым предоставлен общий доступ через сеть, и действуют только для пользователей, обращающихся к папке через сеть. Возможности пользователя задаются разрешениями, представленными ниже: • полный доступ (Full Control); • изменить (Change); • чтение (Read). Доступ к средствам настройки разрешений общего доступа выполняется через свойства папки, предоставленной в общий доступ Разрешения общего доступа - средство обеспечения безопасности данных при коллективной работе с документами. Они должны устанавливаться очень тщательно и обоснованно. При этом администратору рекомендуется действовать следующим образом. • Для каждого ресурса общего доступа определить, каким группам пользователей необходим доступ к нему и какой требуется уровень доступа. • Для упрощения администрирования назначать разрешения группам, а не отдельным пользователям. • Устанавливать максимально строгие разрешения, которые, однако, должны позволять пользователям совершать необходимые действия. • Организовать ресурсы общего доступа таким образом, чтобы папки с одинаковым уровнем требований безопасности находились в одной папке. Затем установить общий доступ только к ней, все вложенные папки наследуют настройки безопасности. • Для папок общего доступа применять интуитивно понятные пользователям имена, корректно отображаемые всеми клиентскими операционными системами, используемыми на предприятии. • Если в общих папках предполагается хранить программы- приложения, то целесообразно поместить их в одну папку - единое место хранения и обновления приложений. Несколько общих папок, доступных членам группы Администраторы, так называемые скрытые административные общие папки, создается операционной системой автоматически. Имена этих папок заканчиваются знаком $. Это корневые каталоги каждого тома на жестком диске (C$, D$ и т.д.), папка Admin$ - для доступа к системному каталогу, папка Print$ - для доступа к файлам драйверов принтеров. Кроме того, скрытую папку с общим доступом можно создать с целью доступа к ней только тех пользователей, которые будут знать имя скрытой папки. Получить доступ к общим папкам других компьютеров можно, используя компоненты Сетевое окружение, Мой компьютер, Мастер добавления в сетевое окружение и команду Выполнить (Run). Соединение с общей папкой через Сетевое окружение выполняется двойным щелчком по ресурсу, к которому необходимо получить доступ. Если общий ресурс отсутствует в списке доступных, выберите значок Добавить новый элемент в сетевое окружение и укажите адрес подключаемого ресурса. Соединение с общей папкой через компонент Мой компьютер выполняется через меню Сервис этого компонента в пункте Подключить сетевой диск посредством указания пути к общему ресурсу. Если необходимо пользоваться этим соединением постоянно, нужно, чтобы флажок Восстанавливать при входе в систему был установлен. Соединение будет доступно в разделе Сетевые диски окна Мой компьютер. Для соединения с общей папкой с помощью команды Выполнить щелкните Пуск, затем Выполнить и введите путь к папке в формате UNC (имя_ компьютераимя_общей папки). Рассмотрим, как пользоваться средствами установки разрешений файловой системы и общего доступа. После выбора объекта, для которого будет выполняться настройка разрешений файловой системы, в диалоговом окне свойств файла или папки необходимо выбрать вкладку Безопасность, В данном случае видим, что для папки Авиатор для группы Администраторы установлены разрешения уровня Полный доступ, а для группы Все разрешения ограничены уровнем Чтение. При установке разрешений в списке групп можно заметить имена так называемых встроенных системных групп, невидимых при использовании оснасток для управления группами и пользователями. Эти группы не имеют определенных членств, которые можно назначить или изменить, но в них система включает различных пользователей в различное время в зависимости от того, каким образом пользователь получает доступ к системе или ресурсам. Разрешения можно не только устанавливать, но и запрещать. Запрет имеет больший приоритет, чем разрешение. Запрет разрешений как метод контроля ресурсов применять не рекомендуется, и он используется в основном для дополнительной настройки разрешений конкретным пользователям в отличие от разрешений для остальных пользователей группы. Рассмотренные разрешения называются стандартными и позволяют решить большинство задач, связанных с регулированием уровня доступа групп к ресурсам. Кнопка Дополнительно служит для задания специальных разрешений. Каждое стандартное разрешение состоит из нескольких специальных. Например, стандартное разрешение Запись включает в себя шесть специальных разрешений: создание файлов/запись данных, создание папок/дозапись данных, запись атрибутов, запись дополнительных атрибутов, чтение разрешений, синхронизация. Специальные разрешения можно использовать для настройки в нестандартных ситуациях. В окне специальных разрешений имеются закладки Аудит, Владелец и Эффективные разрешения. Аудит - это процесс, позволяющий фиксировать события, происходящие в системе и имеющие отношение к безопасности. На данной вкладке производится выбор пользователя или группы, для которых данная папка (или файл) будет объектом аудита. Закладка Владелец обеспечивает такое свойство безопасности, как право владения объектом файловой системы. Администратор всегда может стать владельцем любого объекта файловой системы, любой пользователь - владелец созданных им объектов. Если локальные или доменные политики безопасности разрешат, пользователь может назначать себя владельцем других файлов и папок. Подробное рассмотрение вопросов владения выходит за рамки данного издания, однако отметим, что многие операции с файлами и папками, например смена разрешений, шифрование и дешифрование, привязаны к факту владения данным объектом. Список управления доступом (ACL) хранится на диске NTFS для каждого файла или папки. В нем перечислены пользователи и группы, для которых установлены разрешения для файла или папки, а также сами назначенные разрешения. Каждому пользователю или группе могут быть установлены множественные разрешения через участие в нескольких группах с разным набором разрешений. В этом случае действуют эффективные разрешения - пользователь обладает всеми назначенными ему разрешениями. Действует приоритет разрешений для файлов над разрешениями для папок и приоритет запрещения над разрешением. Разрешения, назначенные родительской папке, по умолчанию наследуются всеми подпапками и файлами, содержащимися в папках. Однако есть возможность предотвратить наследование для любой вложенной папки. В этом случае эта папка сама становится родительской для вложенных в нее папок. Если папка предоставлена для общего доступа, то на нее распространяются разрешения двух видов: • разрешения файловой системы, установленные для пользователей данного компьютера; • разрешения общего доступа, объявленные для пользователей, получивших доступ через сеть. Обычно для папок общего доступа задают разрешения полного доступа, а ограничения вводят установкой разрешений NTFS. В этом случае действует объединение разрешений NTFS и разрешений для общей папки, при котором наиболее строгое разрешение имеет приоритет над другими. Задание к проведению практического занятия1. Создайте папку, в которую поместите текстовый файл и приложение в виде файла с расширением exe, например одну из стандартных программ Windows, такую как notepad.exe (Блокнот). 2. Установите для этой папки разрешения полного доступа для одного из пользователей группы Администраторы и ограниченные разрешения для пользователя с ограниченной учетной записью. 3. Выполните различные действия с папкой и файлами для обеих учетных записей и установите, как действуют ограничения, связанные с назначением уровня доступа ниже, чем полный доступ. 4. Установите общий доступ к папке и подключитесь к ней через сеть с другого виртуального компьютера. 5. Установите разрешения общего доступа так, чтобы администратор не имел ограничений, а пользователь имел ограниченный уровень доступа. 6. Экспериментально убедитесь в выполнении правил объединения разрешений NTFS и разрешений общего доступа. 7. Составьте отчет о проведенных экспериментах. 8. Разработайте стратегию регулирования безопасности при коллективном доступе к общим папкам для различных групп пользователей. Контрольные вопросы1. Какое из следующих разрешений NTFS для папок позволяет удалять папку: • чтение; • чтение и выполнение; • изменение; • администрирование? 2. Какое разрешение NTFS для файлов следует установить, если вы позволяете пользователям удалять файл, но не позволяете становиться его владельцами? 3. Какие объекты по умолчанию наследуют разрешения, установленные для родительской папки? 4. Кто может устанавливать разрешения для отдельных пользователей и групп (выберите все правильные ответы): • члены группы Администраторы; • члены группы Опытные пользователи; • пользователи, обладающие разрешением Полный доступ; • владельцы файлов и папок? 5. Какой из следующих вкладок диалогового окна свойств файла или папки следует воспользоваться для установки или изменения разрешений NTFS: • Дополнительно; • Разрешения; • Безопасность; • Общие? 6. Если вы хотите, чтобы пользователь или группа не имели доступа к определенной папке или файлу, следует ли запретить разрешения для этой папки или файла? |