Реферати

Реферат: Безпека файлових ресурсів мережі Windows 2000

Енергетична безпека Китаю. Характеристика енергетичної бази Китаю: паливно-енергетична галузь, нафтовидобувна промисловість, природний газ, ядерна промисловість. Основні етапи економічні перетворень у КНР і їхнє відображення на енергетичній безпеці країни.

Послання до коринфянам: аналіз і протиріччя. Внутрішні протиріччя між главами послання до коринфянам. Протиріччя усередині відповіді Павла. 9 глава як ілюстрація належного поводження для коринфян. Їжа в коринфский храмах і їхніх їдальнях. Відношення апостола Павла до їжі в різних контекстах.

Формування ефективної системи керування оборотними активами. Характеристика господарської діяльності й організація системи фінансового менеджменту поточними операціями в "Дверидофф". Структура фінансового планування й аналіз її інвестиційного функціонування. Інформаційні технології, застосовувані в компанії.

Середня Азія в XVI-XIX вв.. Час правління Шейбанидов. Етнічні процеси в регіоні в XVI-XIX вв. Середня Азія наприкінці XVIII-першій половині XIX в. Входження Середньої Азії до складу Російської імперії. Джадиди і підйом національних рухів у Туркестану і кінці XIX-початку XX в.

Види іншої дебіторської заборгованості і їхній облік. Сутність, види іншої дебіторської заборгованості і їхня характеристика. Порядок і терміни інвентаризації розрахунків з дебіторами. Облік дебіторської заборгованості дочірніх, залежних і спільно контрольованих юридичних осіб і її документальне оформлення.

Міністерство освіти РФ

НГТУ

Курсовий проект по «Адмініструванню мереж»

на тему: «Безпека файлових ресурсів мережі

Windows 2000»

Факультет: АВТ

Група: АС-812

Студент: Баторова С. М.

Викладач: Шахмаметов Р. Г.

Новосибірськ

2002

ЗМІСТ

ВВЕДЕННЯ...3

1. ФАЙЛОВА СИСТЕМА...4

1.1. Система FAT...4

1.2. Система FAT32...5

1.3. Система NTFS...5

2. ЗАХИСТ ФАЙЛІВ...9

2.1. Дозволу для файлів...10

2.2. Усунення конфлікту з дозволами...13

3. ЗАХИСТ ПАПОК...14

3.1. Зміна дозволів для файлів і папок...15

4. ПРИВЛАСНЕННЯ ФАЙЛА АБО ПАПКИ...17

5. НАСТРОЙКА БЕЗПЕКИ ДЛЯ НОВИХ ФАЙЛІВ

І ПАПОК...18

6. ВИКОРИСТАННЯ ШИФРУВАННЯ ФАЙЛІВ...19

7. ВСТАНОВЛЕННЯ ДИСКОВИХ КВОТ...20

7.1. Управління дисковими квотами...21

7.2. Створення нового запису квот...22

7.3. Видалення запису квоти...22

ВИСНОВОК...23

ЛІТЕРАТУРА...24

При створенні системи безпеки нової ОС Windows 2000 розробники фірми Microsoft постаралися врахувати як існуючий досвід використання системи безпеки Windows NT 4.0, так і реалізувати нові набори механізмів і протоколів безпечної роботи з інформацією. Windows NT 4.0 вибрана не випадково: вона позиціонується як ОС для підприємств, володіє вбудованими можливостями розмежування доступу до ресурсів і за 6 років експлуатації добре зарекомендувала свої існуючі і потенційні можливості безпеки. Але якщо заглянути в Windows 2000, то, очевидно, що, незважаючи на велику кількість механізмів безпеки, внесених в нову ОС з Windows NT 4.0, всі вони зазнали істотних змін у бік збільшення зручності, надійності і функціональності.

Система Windows 2000 компанії Microsoft забезпечує можливість безпечного доступу до ресурсів системи. Якщо для вас, самим важливим ресурсом, належним захисту, є файли, можна настроїти систему так, щоб мати можливість контролювати те, як інші користувачі читають, записують, створюють і змінюють файли і папки на вашому комп'ютері.

Це можливе тільки при використанні системи NTFS. Система була створена для Windows NT, попередника Windows 2000, і є однією з трьох систем, які можна використати на жорсткому диску комп'ютера.

Файлова система - це структура, в яку організовані файли, де вони проименовани і збережені на жорсткому диску. У Windows 2000 застосовується ієрархічна файлова система. На кожному диску створюється так званий кореневий каталог, який може включати в себе файли і інші каталоги (підкаталоги). Таким чином, створюється пов'язана деревовидна ієрархія файлів і каталогів.[1]

Всі файлові системи, що підтримуються Windows 2000, є ієрархічними, хоч істотно відрізняються між собою способами запису файлів на носіях інформації. Windows 2000 підтримує наступні файлові системи:

▪FAT: застосовується в MS-DOS.

▪FAT32: застосовується вWindows 95/98.

▪NTFS: застосовується в Windows 2000.

Використовуючи будь-яку файлову систему, можна використати дозволи для доступу до загальних папок, щоб їх контролювати. Можна указати, які користувачі можуть читати, записувати, створювати або змінювати файли і папки всередині папок, наданих в загальне користування.[2]

1.1 СистемаFAT

Ця файлова система розроблена разом з операційною системою MS-DOS на початку 80-х років. Спочатку ця файлова система призначалася для роботи з дискетами. Після появи на персональних комп'ютерах накопичувачів на жорстких магнітних дисках великої ємності вона почала використовуватися і для них.

Особливості FAT:

▪ Довжина імені файла - не більше за 8 символів, розширення імені - не більше за 3 символів.

▪ Ім'я файла і розширення розділяються точкою.

▪ Не можна використати в імені файла деякі спеціальні символи і пропуск.

▪ FAT (File Allocation Table - таблиця розміщення файлів) містить інформацію про розташування даних на носії.

▪ Відносно повільний доступ до інформації через розділення місця зберігання відомостей про файли (FAT) і самих файлів.

▪ У процесі запису і видалення інформації на дисках відбувається дроблення вільної області зберігання даних на невеликі дільниці (фрагментація).

1.2 СистемаFAT32

Файлова система FAT32 розроблена для ефективного використання пристроїв зберігання інформації великої ємності (від 512Мб до 2 Тб). Ця система використовується в Windows 95/98 і Windows 2000. Технічні нестачі файлової системи FAT MS-DOS в системі FAT32 в значителльной мірі були усунені.

Особливості FAT32:

▪ Підтримується тільки на жорстких магнітних дисках.

▪ Імена файлів разом з розширенням можуть мати довжину до 215 символів.

▪ У імені файла допускається використання пропусків.

▪ У імені файла не дозволене використання лише деяких спеціальних символів.

▪ Ефективність використання дискового простору на накопичувачах великих розмірів на 10%...15% вище, ніж при використанні FAT і особливо яскраво виявляється при зберіганні великого числа файлів дрібного розміру.

▪ Надійність зберігання даних підвищена за рахунок можливості вільного розміщення кореневого каталога і використання резервної копії таблиці розміщення файлів.

▪ Передбачена можливість динамічної зміни розміру розділів на накопичувачі.[2]

1.3 СистемаNTFS

Позначення файлової системи NTFS являє собою абревіатуру від New Technology File System (файлова система операційної системи NT).

NTFS являє собою нову файлову систему, що використовується в операційній системі Windows 2000. Обмеження, які були в FAT32, в NTFS були значною мірою усунені.

Для томів NTFS система Windows 2000 пропонує додаткові параметри захисту. Крім контролю за папками, наданими в загальне користування, можна стежити за безпекою файлів і папок локальних користувачів (тих, що входять в систему з вашої робочої станції). Можна накладати обмеження на будь-які папки і файли; в томах FAT можна видавати дозволи тільки на рівні папки (і тільки для користувачів, що увійшли через мережу).

У файлової системи NTFS є і ряд інших переваг:

▪ Підтримується тільки на жорстких дисках.

▪ Система NTFS більш економно розміщує інформацію на дуже великих жорстких дисках (підтримує 64-розрядну адресацію даних).

▪ При записі імен файлів використовується унікальний код (Unicod). Таке кодування символів прийшло на зміну кодуванню ANSI. У Unicode використовується 16-розрядне представлення символів. Тому в таблиці кодування може міститися до 65536 символів.

▪ Система забезпечує краще відновлення інформації у разі проблем з жорстким диском.

▪ Підтримує стиснення файлів. (Програми для компресії, написані на базі MS-DOS (DriveSpase, Doublespase, Stacker) не працюють в системі Windows 2000.)

▪ Система підтримує дискові квоти - обмеження дискового простору, які можна встановити для кожного користувача.

▪ Система NTFS підтримує шифрування файлів для підвищення безпеки.

Недоліком файлової системи NTFS є неможливість для інших систем (Windows 9x, Linux, MS-DOS і OS/2) читати томи NTFS. Якщо використовується система, відмінна від Windows 2000, прочитати інформацію з томів NTFS буде неможливо.[1]

Примітки:

1. Враховуючи, що файлові системи FAT32 і NTFS не підтримуються на гнучких дисках, при передачі даних найкраще використати мережу, оскільки при цьому файли зберігають довгі імена.

2. При завданні імен файлів і каталогів в файлофой системі NTFS допускається:

▪ Довжина імен до 215 символів (включаючи розширення імені).

▪ Використання великих і малих букв, т. е. прописне і рядкове написання символів розрізнюється.

▪ Використання всіх символів, за винятком? " / \ < > * ¦:.

▪ Для систем, що використовують MS-DOS, при завданні NTFS-імені файла автоматично створюється MS-DOS-ім'я файла.

При цьому виконуються наступні дії:

- Символи пропуску виключаються.

- Спецсимволи виключаються. Windows 2000 інтерпретує останній спеціальний символ імені як роздільник між ім'ям файла і його розширенням.

- Символи, що не підтримуються в MS-DOS, перетворюються в символ підкреслення "_".

- Ім'я файла скорочується до 6 символів, за якими слідує символ ~ (тильда) і одна цифра.

- Розширення імені скорочується до трьох символів.

3. Як імена файлів або каталогів заборонене використання імен, зарезервованих операційною системою:

AUX, COM1...COM4, LPT1...LPT4, NUL, PRN.

4. Функції захисту даних від несанкціонованого доступу з всіма їх можливостями можуть використовуватися при установці файлової системи NTFS.[2]

Файлова система NTFS 5.0. Ця версія файлової системи є об'єктно-орієнтованим сховищем даних, що представляються у вигляді звичних для користувача об'єктів - файлів і каталогів. У NTFS 5.0 тепер можна зберігати потенційно будь-яку інформацію і в будь-яких форматах уявлення. Реалізовуються ці можливості за рахунок появи в файловій системі нового механізму Reparse points (повторний граматичний аналіз). Reparse points - це об'єкти, які можуть бути пов'язані з файлами або каталогами, і описують правила зберігання і обробку інформації, що зберігається в нестандартному для файлової системи вигляді. З використанням цього механізму в NTFS вже реалізовані механізми шифрації даних і механізми монтування томів (представлення будь-якого тому у вигляді каталога на іншому диску - можливість створення віртуальної файлової системи, що складається тільки з файлів і каталогів на будь-якій робочій станції або сервері). А розробники отримали могутній інструмент для створення додатків, здатних зберігати дані в своєму унікальному форматі (включаючи і власні алгоритми шифрації) для забезпечення необхідного рівня продуктивності і безпеки роботи з даними.

Розглянемо принципи роботи механізму Reparse points. Будь-який додаток, працюючий з файловою системою, при зверненні до дисків відображає інформацію у вигляді звичних файлів і каталогів, що зберігаються в NTFS. При спробі відкриття вибраного користувачем файла (або каталога), запит на читання даних передається додатком ядру ОС. Ядро, аналізуючи властивості вибраного файла і виявляючи пов'язаний з ним об'єкт Reparse points, аналізує інформацію, що зберігається в цьому об'єкті (в цьому і складається суть назви механізму - повторний граматичний аналіз). Об'єкт Reparse points, по суті, містить посилання на спеціальний драйвер, що створюється будь-яким розробником. Цей драйвер і визначає реальний формат зберігання даних на томах NTFS. При спробі відкриття файла управління передається створеному розробником модулю, який і прочитує дані з диска у відомому йому форматі. Тому з появою цього нового механізму будь-який розробник має можливість забезпечити безпека і зручність зберігання даних для свого специфічного додатку. [5]

Ще однією новиною файлової системи NTFS 5.0 стали оновлені механізми розмежування прав доступу і кошти квотирования дискового простору, що з'явилися. Відтепер система прав доступу володіє вбудованими механізмами успадкування, що дозволяють з великою мірою зручності виконувати розмежування повноважень в файлових системах з великою кількістю рівнів вкладеності каталогів. З приємних нововведень також можна назвати інструментарій (, що з'явився на відміну від Windows NT 4.0 він постачається в складі Windows 2000), що дозволяє описувати маски успадкованих прав для будь-яких комбінацій каталогів, файлів і цілих гілок файлової системи. Самі права доступу стали володіти істотно більшою гнучкістю, що не створює плутанину через велику кількість варіантів розмежування прав.

Інтерфейси прикладного програмування (API) мережевої аутентификація Windows, що є частиною SSPI (Security Support Provider Interface). Додатки і служби Windows 2000 використовують SSPI для ізоляції протоколів прикладного рівня від деталей протоколів мережевої безпеки. Windows 2000 підтримує інтерфейс SSPI з метою скорочення коду рівня додатків, необхідного для роботи з численними протоколами аутентификація. Інтерфейс SSPI представляє рівень, підтримуючий різні механізми аутентификація і шифрації, що використовують протоколи з симетричними або асиметричними ключами.

SSPI - це інструмент, за допомогою якого реалізована вся внутрішня система безпеки Windows 2000 і її сервісів. SSPI забезпечує існування 3 основних механізмів мережевої безпеки: аутентификація, гарантію цілісності і конфіденційність. Під аутентификація розуміється можливість перевірки того, що отримані вами дані прийшли дійсно від того, чия адреса стоїть в полі відправника. Гарантія цілісності має на увазі наявність набору коштів, що дозволяють перевірити отримання тих даних, які були послані вам. Дотримання конфіденційності вимагає, щоб повідомлення було отримане і прочитане тільки тим користувачем, кому воно адресоване.

З використанням SSPI розробники отримують можливість створення додатків з вбудованими коштами мережевої безпеки і дотриманням відкритих стандартів. Це дозволяє гарантувати безпечний обмін даними з будь-якими організаціями - партнерами, замовленнями, постачальниками по загальнодоступних каналах зв'язку, наприклад, Інтернет.[4]

У Windows 2000 кожний користувач повинен зареєструватися в системі перед початком роботи. Це необхідне як на локальній робочій станції без підключення до мережі, так і на станції в комп'ютерній мережі. Всередині системи кожний пользовательл має свій ID (ідентифікатор або унікальне имяпользователя, що складається з імені і пароля). Кожний користувач також може увійти в систему як гість (Guest). У цьому випадку йому надається можливість звернення до файлів інших комп'ютерів мережі, которрие дозволені для спільного використання, але не до файлів, розташованих на NT-сервері.

Кожний користувач повинен зареєструватися в системі індивідуально. Це дозволяє організувати захист файлів таким чином, що деякі каталоги або диски для одних користувачів можуть бути закриті, а для інших - відкриті. Це відноситься до надання всіх прав доступу.

Користувачу, що володіє правами админитсратора, доступні всі ресурси, що є в даній системі. І якщо він одного разу забуде свій пароль, то це приведе до необхідності форматування диска і переустановка операційної системи. Слідує, однак, відмітити, що повний асортимент коштів захисту доступний лише тоді, коли встановлена файлова система NTFS.

Без проблем можна підключити декілька робочих станцій Windows 2000 до Peer-to-peer-мережі (одноранговая мережа). Для цього треба вставити в комп'ютер мережеву плату і за допомогою Панелі управління настроїти параметри кабельного з'єднання. Необхідно також запустити Сервер обслуговування. У такій мережі також можна надати окремим користувачам праава доступу до ресурсів з всіма або обмеженими можливостями, а також організувати колективне використання принтера. У одноранговую мережу можуть об'єднуватися комп'ютери з іншими операційними системамми, такими як Windows for Workgroups, Windows 95/98 і Novell-клієнт.

Мережа може володіти додатковою можливістю забезпечення лоступа за допомогою RAS (Remote Acces Service-служба видаленого доступу). З допомогою RAS з Windows 2000-комп'ютера можна звертатися до мережі через модем по телефону і працювати в ній як звичайний клієнт.[2]

2. Захист файлів

Файлова система FAT для кожного файла в томі зберігає ім'я файла, його розмір, дату останньої зміни і власне інформацію. Система NTFS, крім перерахованого, також видає список контролю доступу (access control list, ACL), який визначає міру доступу до файлів і папок системи, що є у користувача. Кожний файл і папка в томі NTFS мають свій ACL.

Захистом файлів в томі NTFS можна управляти за допомогою вкладки Security (Безпека) в діалоговому вікні властивостей файла:

1. Клацнути правою кнопкою миші на файлі в Провідникові.

2. Вибрати у спливаючому меню пункт Properties (Властивості).

3. Клацнути на вкладці Security (Безпека), щоб відкрити діалогове вікно, зображене на мал. 1.

Якщо виділений файл не зберігається в томі NTFS, вкладка Security(Безпека) не з'явиться, оскільки захист файла можливий тільки в томі NTFS.

Ріс.1. На вкладці Безпека відображені користувачі, що мають дозволи на доступ до файла

Діалогове вікно використовується для перегляду і зміни міри доступу користувача до файла. При виділенні імені в полі Name (Ім'я) в полі Permissions (Дозволу) в нижній частині діалогового вікна відображається міра доступу даного користувача або групи до даного файла. Затінені прапорці визначають наявність дозволу «по спадщині». Це означає, що дозвіл був наданий батьківським об'єктом. Наприклад, батьківський об'єкт для файла - папка, в якій він міститься. Затінений прапорець дає знати, що дозвіл даний за умовчанням, оскільки файл створений в папці, у якої помічений відповідний прапорець.[1]

2.1 Дозволи для файлів

Поле Permissions (Дозволу) включає список основних дозволів, і використати їх можна в різних поєднаннях, щоб вони підходили саме вам. По суті, кожний дозвіл з списку являє собою встановлений набір дозволів. У табл. 1 показано, що саме включено в той або інакший дозвіл з списку в полі Permissions (Дозволу).

Таблиця 1.

Основні дозволи для файла

Дозвіл

Опис

Індивідуальні дозволи

Read (Читання)

Дозволяє користувачу

переглядати

інформацію файла

- List Folder/Read Data (одержание папки/

Читання даних)

- Read Attributes (Читання атрибутів)

- Read Extended Attributes (тение додаткових

атрибутів)

- Read Permissions (Читання дозволів)

- Synchronize (Синхронізація)

Read & Execute

(тение

і виконання)

Дозволяє запускати

Програми

- Всі дозволи, перераховані вище

- Traverse Folder/Execute Files (бзор папок

Виконання файлів)

Write (Запис),

що Міститься

Файла

Дозволяє змінювати

Файли

- Creates Files/Write Data (оздание файлів/

Запис даних)

- Creates Folders/Append Data (оздание папок

/Дозапісь даних)

- Write Attributes (Запис атрибутів)

- Write Extended Attributes (апись додаткових

атрибутів)

- Read Permissions (Читання дозволів)

- Synchronize (Синхронізація)

Modify

(Змінити)

Дозволяє читати,

змінювати і видаляти

файл

- Всі перераховані вище дозволи

- Delete (Видалення)

Full Control

(олний

доступ)

Дозволяє здійснювати

повний контроль над файлом

- Всі перераховані вище дозволи

- Delete Subfolders and Files (даление

подпапок і файлів)

- Change Permissions (Зміна дозволів)

- Take Ownership (Зміна власника)

В деяких випадках встановлений набір дозволів не забезпечує контроль над доступом користувачів або груп до файла. У таких ситуаціях потрібно привласнювати дозволи в індивідуальному порядку. Для цього необхідно виконати наступні дії:

1. На вкладці Security (Безпека) в діалоговому вікні властивостей файла клацнути на кнопці Advansed (Додатково).

2. На вкладці Permissions (Дозволу) діалогового вікна, що з'явилося Access Control Settings (Параметри управління доступом) виділити потрібну групу або користувача і клацнути на кнопці View/Edit (Показати).

Як показано на мал. 2, з'являється список дозволів, схожий на список з

вкладки Security (Безпека) з діалогового вікна властивостей, але в цьому списку можна встановлювати індивідуальні дозволи.[3]

Ріс.2. Натиснення на вкладці Додатково і далі на кнопці Показати приводить в діалогове вікно, де можна вибрати комбінацію дозволів

2.2 Як усунути конфлікт з дозволами

Використання груп дозволяє легко дозволяти або забороняти доступ до файлів і папок відразу багатьом користувачам. Однак додавання або видалення дозволу для групи часто створює проблеми. Одна з проблем - дати дозвіл групі, тоді як деяким її учасникам доступ повинен бути заборонений.

При зміні мір захисту потрібно пам'ятати, що дозволи нагромаджуються. Потрібно переглядати список членів групи, щоб бути упевненим, що дозвіл отримають тільки ті, кому слідує.

Використання груп для настройки дозволів. Оскільки дозволи нагромаджуються, потрібно виявляти обережність при здійсненні захисту. Простіше дати дозвіл групі загалом, а не привласнювати його в індивідуальному порядку кожному члену групи. Потрібно одного разу дати дозвіл групі, а потім додавати або виключати користувачів з списку. Допустимо, що група Бухгалтерський відділ має міра доступу до файлів з рахунками Modify (Змінити). Марія Іванівна працює в бухгалтерії і відповідно має дозвіл на зміну файлів з рахунками. Існує також група користувачів Контролери бухгалтерського відділу, у якої є дозвіл на повний доступ. Якщо Марію Іванівну підвищать, і вона стане контролером, її буде необхідно перемістити з групи з дозволом змінювати файли в групу повного контролю. Якщо прямо змінити її міру доступу, вона не зможе автоматично отримати всі потрібні їй дозволу. Більш того міняти дозволи для окремих користувачів у великій організації - заняття вельми трудомістке.

Наприклад, Юрій Петрович є членом групи Кадри і має дозвіл Read (Читання) для файла Январь.xls в папці Платіжні відомості. Якщо групі буде даний дозвіл Write (Запис), Юрій Петрович отримає його як член групи, а оскільки дозволи нагромаджуються, то дозвіл читати файл також залишиться, і він зможе користуватися двома мірами доступу.

Заборона певного дозволу превосходитвсевиданние дозволу. Наприклад, якщо група Кадри має прапорець в стовпці Deny (Заборонити) для кожного дозволу, Юрію Петровичу буде заборонений доступ до файла навіть в тому випадку, якщо для його облікового запису дозволений повний контроль.

Перш ніж використати заборону, потрібно зрозуміти, кого саме воно порушить. Наприклад, у вас є секретний файл, який ви хочете надати своїй групі з дозволом повного доступу, однак для підвищення безпеки встановлюєте прапорці Deny (Заборонити) групи Everyone (Все). Оскільки ваш обліковий запис входить до групи Everyone (Все), виходить, що ви позбавляєте себе самого доступу до файла. Тепер використати файл не зможе навіть його власник (той, хто його створив), однак він зможе змінити настройки.[1]

3. Захист папок

Встановлення дозволів для папок схоже на встановлення дозволів для доступу до файлів, однак існують і відмінності.

Одне з них складається в тому, що вкладка Security (Безпека) в діалоговому вікні властивостей папки включає додатковий дозвіл List Folder Content (Список вмісту папки). У цей дозвіл включені ті ж пункти, що і в дозвіл Read & Execute (Читання і виконання). Різниця між цими дозволами складається в способі успадкування. Дозвіл List Folder Content (Список вмісту папки) успадковується папками, але не файлами, тоді як дозвіл Read & Execute (Читання і виконання) успадковується і папками, і файлами. Успадкування є найбільш значущою різницею між дозволами для файлів і для папок.

Якщо залишений встановлений за умовчанням прапорець Allow Inheritable Permissions From Parent To Propagate To This Object (Перенести успадковані від батьківського об'єкта дозволи на цей об'єкт) з вкладки Security (Безпека) в діалоговому вікні файла або папки, дозвіл передається від батьківського об'єкта (папки, вмісної дану папку або файл) «по спадщині». Якщо сам батьківський об'єкт має таку помітку, дозвіл передається від його батьківського об'єкта і т. д. У об'єкта може бути величезна колекція успадкованих і явно вказаних дозволів (тих, у яких дозволи були змінені або додані). Успадковані дозволи позначені в затінених полях стовпців Allow (Дозволити) і Deny (Заборонити), інші дозволи вміщені в звичайних полях.[4]

Однак, кожний пользовательили член групи, що має дозвіл на повний контроль папки, може видаляти будь-які файли з цієї папки незалежно від дозволів для цих файлів.

Перевага такої настройки складається в тому, що вона дозволяє змінювати дозволи для однієї папки і розповсюджувати їх на всі її дочірні об'єкти, не змінюючи дозволу в індивідуальному порядку. При зміні міри доступу користувача до папки міняється і дозвіл до файлів цієї папки.

Змінити або перекрити успадковані дозволи можна наступними способами:

► Проведення змін для батьківського об'єкта даного об'єкта змінює успадковані дозволи даного об'єкта.

► Вибір протилежної настройки (Allow (Дозволити) або Deny(Заборонити)) перекриває дозвіл, переданий по спадщині.

► При знятті прапорця Allow Inheritable Permissions From Parent To Propagate To This Object (Перенести успадковані від батьківського об'єкта дозволи на цей об'єкт) з'являється діалогове вікно «Безпека».

Далі є три шляхи:

- Натиснення на кнопці Copy (Копіювати) дозволяє копіювати всі успадковані дозволи об'єкта, що перетворює їх у власні дозволи. Дозвіл залишається, але воно не змінюється при зміні дозволу батьківського об'єкта.

- Натиснення на кнопці Remove (Видалити) видаляє всі успадковані дозволи, залишаються тільки встановлені явно вказані дозволи.

- Натиснення на кнопці Cancel (Скасування) закриває діалогове вікно без всяких змін.

3.1 Зміна дозволів для файлів або папок

Незважаючи на те, що набагато зручніше давати дозволи користувачам, додаючи їх до групи, у якої є певна міра доступу, іноді деякі користувачі потребують особливих дозволів, яких немає ні у однієї групи. У таких випадках потрібно вручну привласнювати дозвіл. У всіх інших ситуаціях потрібно оновлювати дозволи всієї групи.

Перш ніж змінювати міру доступу всієї групи, потрібно уточнити, хто саме в неї входить.

Для привласнення дозволу для файла або папки необхідно виконати наступне:

1. Клацнути правою кнопкою миші на папці або файлі в Провідникові і вибрати пункт Properties (Властивості).

2. Клацнути на вкладці Security(Безпека).

3. Якщо потрібно привласнити дозвіл користувачу або групі, які відсутні в списку Name (Ім'я), потрібно клацнути на кнопці Add (Додати), щоб з'явилося діалогове вікно Select Users, Computers, Or Groups (Вибір: Користувачі, Комп'ютери або групи). Потім виділити потрібного користувача або групу, клацнути на кнопках Add (Додати) і ОК (див. мал. 3).

4. Для видалення користувача або групи потрібно виділити їх в списку Name (Ім'я) і клацнути на кнопці Remove (Видалити). У цьому випадку у користувача або групи не залишиться дозволу на об'єкт, якщо тільки користувач або група не є учасниками іншої групи, яка залишається в списку. Такі користувачі збережуть доступ до файла або папки. (якщо потрібно заборонити доступ, краще не видаляти користувачів з списку, а змінити дозвіл на заборону).

Ріс.3

5. Виділити ім'я кожного користувача в списку Name (Ім'я) і клацнути на Allow (Дозволити) або Deny (Заборонити), щоб викликати відповідну дію.

Якщо користувачу або групі необхідно привласнити особливий набір дозволів, потрібно клацнути на вкладці Advanced (Додатково), щоб відкрити діалогове вікно «Елемент дозволу», а потім клацнути на кнопці View/Edit (Показати), щоб указати індивідуальні настройки.

Якщо перед тим, як клацнути правою кнопкою миші і вибрати пункт Properties (Властивості), ви виділили декілька папок або файлів, зміни вплинуть на всі виділені об'єкти. Якщо існуючі дозволи не однакові для всіх виділених об'єктів, з'явиться відповідне повідомлення. Якщо клацнути на кнопці Yes (Так) в цьому повідомленні, система змінить дозволи для всіх виділених об'єктів на успадковані і видалить всі явно вказані дозволи зроблені до того.

Саме тут можна витягнути користь з дозволів, отриманих по спадщині. Щоб змінити дозволи для папки і всіх папок і файлів, які вона містить, необхідно виконати наступні дії:

1. Вивести на екран вкладку Security (Безпека) для папки і встановити дозволи для всіх користувачів, як було описано вище. Не треба клацати на кнопці OK, щоб не закрити вікно.

2. Клацнути на кнопці Advanced (Додатково).

3. На вкладці Permissions (Дозволу) в діалоговому вікні Access Control Settings Reset Permissions On AllChild Objects And Enable Propagation Of Inheritable Permissions (Встановити дозволи для всіх дочірніх об'єктів і дозволити їх успадкування) і клацнути на кнопці ОК.

Після отримання вашого підтвердження настройки у вікні повідомлення, система прослідить всі файли в папці, всьому подпапки і всі файли у всіх подпапках. Для всіх цих об'єктів будуть видалені вказані вище дозволи і привласнені "успадковані" дозволи. Таким чином, у всіх об'єктів виявляться ті ж дозволи, що і у батьківської папки.[2]

4. Привласнення файла або папки

Кожний файл або папка в томі NTFS має власника, тобто людину, яка здійснює контроль за дозволами для об'єктів і привласнює їх іншим користувачам. Творець нового файла є його началльним власником.

Для виявлення того, хто є власником файла або папки, потрібно виконати такі дії:

1. Клацнути правою кнопкою миші на файлі або папці в Провідникові і вибрати пункт Properties (Властивості).

2. Клацнути на вкладці Security (Безпека) і клацнути на Advanced (Додатково).

3. Клацнути на вкладці Owner (Власник), щоб відкрити діалогове вікно «Параметри управління доступом для НР_file на DRIVE ». У полі Current Owner Of This Item (Текущиц власник цього елемента) буде вказане ім'я власника.

Іноді доводиться привласнювати «чужий » файл або папку. Наприклад, якщо власник файла більше не хоче їм займатися, системний адміністратор може привласнити файл собі або іншому користувачу, або інший користувач може привласнити файл прямо.

Для привласнення файла або папки необхідно мати дозвіл Take Ownership (Зміна власника), який включений в дозвіл Full Control (Повний доступ). Щоб отримати такий дозвіл, необхідно отримати дозвіл на повний доступ у адміністратора або власника файла, який також володіє повним доступом.

Для привласнення файла або папки необхідно:

1. Вивести на екран вкладку Owner (Власник) діалогового вікна Access Controll Settings (Параметри управління доступом).

2. Виділити в списку Change Owner To (Змінити власника на) ім'я (список включає ім'я облікового запису і групи, до якої ви належите).

3. Якщо при привласненні папки ви хочете отримати її вміст, потрібно встановити прапорець Replace Owner On Subcontainers And Objects (Змінити власника що міститься).

Файл може належати тільки одному користувачу. Якщо ви отримуєте його у власність, інший користувач вже не є його власником. Однак група може володіти файлом. У цьому випадку всі учасники групи отримують міру доступу творця-власника.

Всі творці файлів є їх власниками, якщо тільки об'єкти не були привласнені іншим. Незважаючи на право адміністратора отримувати файл у володіння, при привласненні мір доступу до файла останнє слово залишається за його власником.

Захист для користувача.

Вище обговорювалися функції для привласнення адміністраторами і власниками файлів мір доступу. Яке ж відношення має захист до простого користувача?

При спробі користувача зробити операцію із захищеним файлом, система Windows звіряється зі списком контролю доступу. Якщо ACL дозволяє доступ, користувач отримує його. Якщо немає - не отримує. Вікно з повідомленням про помилку, що з'являється в таких випадках, залежить від системи і від того, що саме хотів зробити користувач.[4]

5. Настройка безпеки для нових файлів і папок

Досі мова йшла про настройки для захисту вже існуючих файлів і папок. Тепер потрібно розказати про захист знову створених об'єктів.

Правило просте: нові файли і папки отримують дозвіл тієї папки, в якій вони були створені. Якщо створити файл в папці, для якої у бухгалтерського відділу є дозвіл Modify (Змінити), а у відділу кадрів - FullControl (Повний доступ), то відділи залишаться при своїх дозволах, якщо в папці з'явиться новий файл.

Точно так само, якщо скопіювати існуючий файл або папку в іншу папку або перемістити файли і папки в іншій тому, копії будуть мати той же дозвіл, що і оригінал, оскільки, по суті при копіюванні і переміщенні створюються нові файли і папки. З іншого боку, якщо переміщувати існуючі папки і файли в іншу папку в тому ж томі, папки і файли зберігають свої дозволи, вони не будуть успадковувати дозволи їх нового сховища.[5]

6. Використання шифрування файлів

Система шифровки файлів (EES) - нова в системі Windows 2000. Вона дозволяє зашифрувати файли в томах NTFS так, щоб їх міг використати тільки власник. При шифровці файла або папки система використовує ваш сертифікат шифровки і його приватний ключ для кодування інформації. Коли б ви ні використали файл (при умові, що ви використовуєте один і той же обліковий запис користувача при шифровці і при подальших вхождениях), система використовує той же сертифікат для розшифровки. (Це відбувається поза межею видимості, тому використання зашифрованого файла нічим не відрізняється від звичайного.) Ялині файл спробує відкрити, копіювати, перемістити, перейменувати хто-небудь інший, він отримає повідомлення про відсутність доступу до файла.

При цьому будь-який користувач, що має дозвіл на видалення файла, вхідне в дозвіл Modify(Змінити) і FullControl(Повний доступ), може видалити зашифрований файл.

При кодуванні папки всі файли і подпапки також виявляються зашифровані, включаючи тимчасові файли, які створюються деякі програми при редагуванні документа. Якщо ви зберігаєте всі документи в папці MyDocuments (Мої документи), вона є першим кандидатом.

Для кодування папки необхідно виконати наступні дії:

1. Клацнути правою кнопкою миші на папці (або файлі, якщо необхідно закодувати окремий файл) в провідникові Windows і вибрати в меню пункт Properties (Властивості).

2. На вкладці General (Загальні) клацнути на Advanced (Додатково), щоб показати діалогове вікно AdvancedAttributes (Додаткові атрибути).

3. Встановити прапорець EncryptContentsToSecureDate (Шифрувати вміст для захисту даних).

Стислий файли зашифрувати не можна. Якщо належні кодуванню файли вже стислі, система Windows прибере атрибут Compressed (Стислий).

4. Клацнути на кнопці OK, щоб закрити діалогове вікно AdvancedAttributes (Додаткові атрибути), і клацнути на ОК ще раз, щоб закрити діалогове вікно властивостей. При кодуванні папки система запитає підтвердження.

5. Вибрати параметр і клацнути на кнопці ОК

▪ При виборі ApplyChangesToThisFolderOnly (Тільки в цій папці) система не стане шифрувати вже існуючі файли (включаючи ті, що були скопійовані або переміщені в папку).

▪ При виборі ApplyChangesToThisFolder, SubfoldersAndFiles (До цієї папки і до всіх вкладених файлів і папок) система негайно зашифрує все, що міститься в папці.

Використати зашифровані файли можна тільки при даному обліковому записі і сертифікаті. Зашифровані файли не можна надавати в загальне користування по мережі або на тій же робочій станції.

Створення страхувальний копії сертифіката для шифровки

Сертифікат для шифровки потрібно скопіювати на дискету і зберігати в надійному місці. Якщо ви втратите сертифікат (що може статися, наприклад, при пошкодженні диска), його буде можна відновити для розшифровки файлів.

Для створення страхувальний копії сертифіката необхідно:

1. Відкрити UserAndPasswords (Користувачі і Шмагали) на панелі управління.

2. Клацнути на вкладці Advanced (Додаткові) і клацнути на Certificates (Сертифікати).

4. У діалоговому вікні Certificates (Сертифікати) клацнути на вкладці Personal (Особистий) і вибрати сертифікат з ім'ям вашого облікового запису.

5. Клацнути на Export (Експортувати), щоб завантажився майстер експортування сертифіката, а потім виконати його вимоги.[4]

7. Установка дискових квот

Іншою новою функцією системи Windows 2000 є можливість розподіляти і обмежувати дисковий простір для користувачів в томах NTFS. Це особливо корисне для сервера, однак може пригодитися і для одиночної робочої станції, де є трохи користувачів.

Щоб встановити дискові квоти, необхідно володіти повноваженнями адміністратора. Щоб використати квоти, необхідно виконувати наступні дії:

1. Клацнути правою кнопкою миші на диску в папці MyComputer (Мій Комп'ютер) і вибрати пункт Properties (Властивості).

2. Клацнути на вкладці Quota (Квота) і встановити прапорець EnableQuotaManagement (Включити Управління квотами), щоб на вкладці з'явилися інші елементи.

3. Встановіть інші параметри на вкладці Quota (Квота)

▪ Вибір DenyDiskSpaceToUsersExceedingQuotaLimit (Не виділяти простір на диску при перевищенні квоти) не дозволяє зберігати файли після перевищення виділеної квоти. (З'явиться повідомлення з недостачі місця диску.) Якщо не встановити цей прапорець, система не буде звертати увагу на об'єм диска, що використовується, але дозволить закріпити частину диска за користувачем.

▪ Щоб встановити прийняті за умовчанням обмеження дискового простору для нових користувачів (тих, до яких немає запису у вікні квот), потрібно встановити перемикач LimitDiskSpaceTo (Виділяти на диску не більш) і вказувати обмеження і критичний рівень. (Критичний рівень вказується не для користувача, а для адміністратора, який може спостерігати за користувачами, що наближаються до обмеження.) Якщо для нових користувачів не варто обмежувати дискового простору, потрібно поставити перемикач в положення DoNotLimitDiskUsage (Не обмежувати виділення місця на диску).

▪ Якщо ви хочете, щоб система протоколювала, коли користувач перевищує обмеження або критичний рівень, потрібно встановити відповідні прапорці.[1]

7.1 Управління дисковими квотами

При використанні квот в системі, де вже існує файли, система Windows підраховує дисковий простір, що використовується кожним, хто створював, копіював або привласнював існуючі файли. Прийняті за умовчанням обмеження і критичні рівні розповсюджуються на старих і нових користувачів, що зберігають файли. Щоб переглядати і змінювати записи квот, потрібно відкрити діалогове вікно властивостей диска, клацнути на вкладці Quota (Квота) і клацнути на QuotaEntries (Записи квот). У результаті з'явиться вікно QuotaEntries (Записи квот). Перш ніж клацнути на QuotaEntries (Записи квот) в перший раз, потрібно клацнути на ОК або Apply (Застосувати). Якщо цього не зробити, у вікні буду показаний 0 байт використаного місця.

Для кожного користувача вікно запису квот показує наступну інформацію:

▪ Покажчик стану (ОК для тих, хто далекий від критичного рівня, і Warring (Попередження) для тих, хто близький до нього, а також AboveLimits (перевищення обмежень) для тих, хто вийшов за межі).

▪ Ім'я користувача і ім'я облікового запису.

▪ Кількість дискового простору, займаного файлами користувача.

▪ Обмеження і критичний рівень.

▪ Відсоток квоти, який вже використаний.

Щоб змінити обмеження користувача, потрібно двічі клацнути на його імені. З'явиться діалогове вікно з варіантами вибору, схожими на ті, що є на вкладці Quota (Квота) для нових користувачів.[2]

7.2 Створення нового запису квот

Для встановлення обмежень для користувача, у якого ще немає запису, потрібно відкрити вікно QuotaEntries (Записи квот) і вибрати в меню Quota (Квота) пункт NewQuotaEntry (Створення запису квоти). З'явиться діалогове вікно SelectUsers (Вибір користувачів), де можна вибрати локальний запис користувача або облікові записи домена, якому потрібно встановити обмеження. Після вибору однієї або декількох облікових записів користувача потрібно указати обмеження в діалоговому вікні, що з'явилося AddNewQuotaEntry (Додати новий запис квоти).

7.3 Видалення запису квоти

Якщо у користувача більше немає файлів у вашому томі NTFS, можна видалити його записи квоти, клацнувши на ній правою кнопкою миші і вибравши пункт Delete(Видалити). Видалити записи користувача, який має файли на диску не можна.

Можна використати команду Delete(Видалити), щоб точно визначити, які файли належать користувачу, а потім, якщо потрібно видалити запис квоти, можна видалити, змінити власника або перемістити файли користувача. Файл потрібно виділити і використати кнопки Delete(Видалити), TakeOwnership (Зміна власника) або Move (Перемістити) для здійснення відповідних дій. Коли всі файли будуть розподілені тим або інакшим способом, потрібно клацнути на кнопці Close(Закрити), щоб завершити видалення запису квоти користувача.[1]

ВИСНОВОК

Система безпеки Windows 2000 складається з безлічі компонентів, що надають можливість забезпечення безпеки роботи з даними в будь-якій точці мережі, починаючи із зберігання інформації в файлах на дисках серверів і робочих станцій і закінчуючи коштами забезпечення гарантованого рівня безпеки при передачі даних по мережі шляхом використання механізмів віртуальних приватних мереж (VPN). Зараз Windows 2000 містить більше за 40 різних інтегрованих між собою механізмів безпеки, кожний з яких може бути розширений розробниками для обліку особливостей застосування цієї ОС в мережі свого підприємства.

ЛІТЕРАТУРА

1. Стинсон До., Зіхерт К.

Ефективна робота з Microsoft Windows 2000 Professional,

СПб, 2001.

2. Штайнер Г.

Windows 2000 Довідник, М, 2000.

3. Під редакцією Чекмарева А.

Нові технології Windows 2000, СПб, 1999.

4. Самовчитель.

Технологія Windows NT Microsoft Windows 2000 Professional,

М, 2000.

5. Джойс Дж., Мун М.

Windows 2000 Professional, М, 2001.