-
Проводник для эффективной работы с NTFS
Для определения прав файлов и папок в NTFS следует:
-
запустить программу Свойства папки: Пуск\Панель управления\ Параметры папок (рис.13.);
-
выбрать закладку Вид;
-
в разделе Дополнительные параметры будут отображены текущие свойства папок.
Рис. 13. Окно настройки отображения файлов и папок
В открывшемся окне рекомендуется найти строку Использовать простой общий доступ и убедитесь, что флажок убран (рис.14.).
Примечание: для того, чтобы все программы, файлы и ссылки активировались с одного щелчка мышью, то необходимо поставить опцию Щелчки мышью в положение Открывать одним щелчком, выделять указателем (рис.13.). [4]
Рис. 14. Текущие свойства папок
Подробнее: Если в параметрах папки стоит "использовать мастер общего доступа" и мы им воспользуемся им для того чтобы расшарить папку на рабочем столе (например папку "NewFolder") то он расшаривает не эту папку а папку С:\Users. (А полный путь нашей папки - С:\Users\[Имя_пользователя]\Desktop\NewFolder). Причем не важно что вы укажите при задании доступа: открыть домашней группе на чтение, или чтение и запись, или укажите конкретного пользователя - этот "мастер" открывает ПОЛНЫЙ доступ для "Все" и "Администраторы". т.е. в результате любой пользователь имеющий учетную запись на этом компьютере получает Полный доступ к папке Users (т.е. профилям и файлам всех пользователей).
-
Права доступа пользователей к объектам файловой системы
После проделанной подготовительной работы можно приступить к изучению работы с правами файлов в NTFS. Для этого следует:
-
выбрать любой файл или папку;
-
щелчком правой кнопкой мыши вызвать контекстное меню;
-
в контекстном меню выбрать режим Свойства;
-
открыть вкладку Безопасность;
-
откроется окно безопасности файла или папки (рис.15.).
В открывшейся вкладке видно, каким группам пользователей и какой именно доступ разрешен. В операционной системе и, в частности, ее файловой системе, действует правило: к файловому объекту имеют доступ только перечисленные пользователи, в соответствии с указанными им правами.
В новейших операционных системах действует более глобальное правило: все, что явно не разрешено – запрещено. В соответствии с этим, любой пользователь, не принадлежащий к группе пользователей, указанных во вкладке Безопасность получит отказ при доступе к папке C:\Windows. В старых ОС линейки Windows 9x считалось, что запрещено только то, что явным образом запрещено – любой объект, который не имеет явного запрета в использовании, является доступным.
Рис. 15. Окно свойств безопасности папки
В старых ОС это означает, что каждый раз при создании какого-либо объекта создатель должен сам вручную прописывать права доступа. Если пользователю необходимо часто создавать новые объекты, то невозможно сразу на всех установить корректные права доступа (или можно забыть запретить доступ другим пользователям). В этом случае как минимум, несколько минут или даже часов на таких файлах будет оставаться доступ для всех пользователей, т.е. с такого компьютера любой человек или программа может скопировать любую информацию или даже стереть ОС, если такая возможность не была заранее закрыта пользователем или системным администратором. Данную ситуацию используют вирусы, которые могут получить полный контроль над ОС, файлами, личной информацией.
Благодаря введению новой политики безопасности Microsoft удалось не только сократить число краж информации пользователей, но и значительно сократить число вирусов и троянских программ. Однако, даже в этом случае, любые попытки фирмы разработчика уберечь от утраты информации могут окончиться ничем, если пользователь будет работать под правами Администратора ОС. Пользователь, принадлежащий к группе системных администраторов имеет все права и ситуация становится аналогичной ситуации в линейке ОС Windows 9x. Поэтому рекомендуется работать в системе под правами обычного пользователя группы Users.
В окне свойств системы безопасности (рис.15.) находятся следующие группы пользователей: SYSTEM, Администраторы, Опытные пользователи, Пользователи, СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ. В эти группы входят также специфические возможности файловой системы или группы, от имени которых работает ОС или определенные программы и сервисы. К числу последних групп принадлежит группа SYSTEM, от имени которой выступает ОС Windows ХР.
ОС к какому-либо объекту или к папке закрывается, например, из-за того, что группа SYSTEM была удалена из свойств папок по причине активности вирусов. Если папка является системной, то Windows может перестать функционировать корректно.
Это связано с тем, что при запуске программы или файла управление передается ОС, после чего она выполняет инструкцию пользователя. Если ОС доступ закрыт, то она откажется выполнить запрос пользователя, особенно, если был дан запрет на папку, в которой находится сама ОС, в этом случае система не загрузится. Для того чтобы восстановить группу SYSTEM в ее свойствах и реанимировать ОС, можно загрузиться с другой ОС Windows XP. При этом следует учесть, что если обновления, поставленные на другую ОС, будут отличаться от тех, которые стояли на данной системе, то возможны различные проблемы.
Однако если на не желающей загружаться ОС стоят более ранние обновления, чем на ОС, которая используется для восстановления, то проблем быть не должно. Это связано с тем, что выполняется условие обратной совместимости, поддерживаемое компанией Microsoft во всех ее продуктах линейки Windows NT. Пользователь получит доступ ко всем файлам, включая сжатые, исключением являются только зашифрованные данные. Если необходимо получить доступ к ним, то нужно иметь специальную криптографическую информацию, которую необходимо передать новой ОС. После того как была произведена загрузка с другой ОС Windows XP, необходимо дать команду на добавление доступа к этой папке группы SYSTEM. После перезагрузки в оригинальной ОС, можно провести окончательную проверку или настройку.
Случай гораздо проще, если был запрещен доступ группы SYSTEM к пользовательской папке. Для устранения этой проблемы достаточно обеспечить наследование прав от папки уровнем выше, а потом дать системе команду, из того же окна наследования прав, на замещение предыдущих свойств наследуемыми свойствами.
Вторая специфическая группа: СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ представляет собой специальную запись, в которую помещается идентификатор пользователя, который является владельцем этого объекта файловой системы, в случае наследования прав. По аналогии с этим, ГРУППА-СОЗДАТЕЛЬ представляет собой запись группы, в которую помещается первичная группа пользователя, который является владельцем этого объекта файловой системы в случае наследования прав.
Остальными группами, имеющими доступ, являются: Администратор, Опытный пользователь, Пользователь, что означает наличие доступа у администраторов системы, опытных пользователей и простых пользователей, соответственно. В ОС все или почти все пользователи должны входить в состав группы Пользователи (Users), в крайнем случае, можно присвоить права группы Опытный пользователь (Power Users), но никогда не следует давать права группы Администратор (Administrators).
Для группы Пользователи имеется ряд прав, помеченных флажком для работы с папкой Windows (рис.16.). Поля: Разрешить и Запретить означают разрешен ли доступ или запрещен, соответственно, в зависимости от того, в каком столбце стоит флажок для данного права доступа объекта. В зависимости от установленных прав определяется, может пользователь совершать операцию или нет. Пользователь может сам менять права расстановкой/отменой флажка. Если флажки неактивны (темный цвет флажкового поля) и пользователь не может вносить изменения, то, следовательно, у него недостаточно прав на операцию.
Рис. 16. Права группы Пользователи
Разрешения для пользователя (рис.16.):
-
полный доступ – пользователь, принадлежащий к указанной группе, может выполнять любые операции над папкой;
-
изменить – означает возможность модификации файлов или папки, в зависимости от того, чем является защищаемый объект;
-
чтение и выполнение – возможность чтения и исполнения файлов папки;
-
список содержимого папки – доступ к списку содержимого папки;
-
чтение – доступ на чтение содержимого папки;
-
запись – разрешение на запись означает возможность, изменять или создавать новые файлы, а если такое право доступа стоит для одного файла, то и возможность записи в него группе пользователей или одному пользователю, для которого рядом с этим правом доступа стоит флажок;
-
особые разрешения – используются для уточнения набора прав, которым может обладать пользователь, для их редактирования следует нажать кнопку Дополнительно, выбрать из списка требуемого пользователя, а потом нажать кнопку Изменить.
Администраторы имеют полные права на доступ к системной папке Windows. Аналогичные права имеет и пользователь SYSTEM, так как от его имени работает сама ОС Windows XP (рис.17.).
Рис. 17. Права группы System
Права пользователей группы Опытные пользователи отличаются от прав групп System и Администратор только отсутствием пункта Полный доступ.
-
Механизм наследования прав объектами файловой системы
Для продолжения исследования системы прав доступа файловой системы NTFS в окне вкладки Безопасность (рис.17) следует нажать кнопку Дополнительно (рис.18.). В появившемся окне отображен список объектов – пользователей и групп, которые имеют различные права к данному объекту файловой системы. Данное окно повторяет окно свойств систем безопасности файловой системы, изображенной на рис.16, за исключением того, что появился новый пункт списка Унаследовано от, что означает, есть ли у прав пользователей или их групп, приведенных в списке, наследование от предыдущих объектов файловой системы и если да, то откуда. При использовании механизма наследования все каталоги и файлы, создаваемые внутри другого внешнего каталога, от которого ведется наследование, будут создаваться с аналогичными правами. Если папка C:\WINDOWS (рис.18) имеет определенный набор свойств безопасности файловой системы (прав доступа), то и папка C:\WINDOWS\inf будет иметь те же права, которые унаследованы от папки C:\WINDOWS (рис.18.).
Рис. 18. Расширенные настройки системы безопасности
файловой системы для папки C:\WINDOWS
Рис. 19. Окно расширенных свойств безопасности
для папки C:\WINDOWS\inf
Наследование файловых прав доступа происходит, так как стоит флажок в режиме Наследовать от родительского объекта применимые к дочерним разрешения, добавляя их к явно заданным в этом окне (рис.19.). [4] Строка C:\WINDOWS\ в столбце Унаследовано представляет собой путь объекта, от которого происходит наследование. Далеко не все объекты файловой системы из папки C:\WINDOWS наследуют ее свойства, например, свойства папки C:\WINDOWS\java (рис.20.).
Рис. 20. Окно расширенных свойств безопасности
для папки C:\WINDOWS\java
Данная папка не использует механизма наследования файловой системы.
-
Особые разрешения
Во вкладке Разрешения кнопки Добавить и Удалить (рис.20.) ответственны, соответственно, за добавление и удаление пользовательских прав как отдельных пользователей, так и их групп. Кнопка Изменить позволяет проводить более точную раздачу пользователям и их группам прав файловой системы. Это важно для профессиональных системных администраторов и экспертов по компьютерной безопасности.
Для просмотра полного набора прав, которыми обладает файловый объект следует выбрать пользователя или группу пользователей и нажать кнопку Изменить (рис.21). Появится новое окно Объект с расширенными правами:
Рис. 21. Расширенные права доступа для папки C:\WINDOWS\java
-
режим Полный доступ означает, что выбранный пользователь или группа будут иметь все права над данным файловым объектом;
-
режим Обзор папок / Выполнение файлов означает, что данному пользователю или группе разрешено перемещаться по каталогу, если это каталог, и выполнять данный файл, если это файл;
-
режим Содержание папки / Чтение данных означает возможность для пользователя группы производить просмотр каталога, если данный объект каталог и читать данные, если это файл;
-
режимы Чтение атрибутов и Чтение дополнительных атрибутов означают разрешение на просмотр атрибутов (свойств файлов: скрытый, только чтение и пр.) и расширенных атрибутов (определяемых конкретными программами), соответственно;
-
режимы Дальнейшие права файловой системы, Создание файлов / Запись данных и Создание папок / Дозапись данных управляют возможностью пользователя или группы создавать файлы и записывать в них информацию, создавать папки и дозаписывать информацию в файлы, соответственно;
-
режимы Запись атрибутов и Запись дополнительных атрибутов означают, соответственно, возможность записи или изменения пользователями или группами пользователей атрибутов или расширенных атрибутов файловой системы;
-
режим Удаление подпапок и файлов означает возможность пользователя или группы удалять файлы и папки, даже если право Удаление не указано для этого файла или папки;
-
режим Удаление позволяет разрешить пользователю или группе удалить данный файл или папку, если в данном праве не стоит флажок, то можно удалить файл, если предоставлено право Удаление подпапок и файлов;
-
режим Чтение разрешений дает возможность чтения пользователем или группой пользователей прав данного файла или папки, таких как Полный доступ, Чтение и Запись;
-
режим Смена разрешений позволяет изменять пользователю или пользовательской группе права доступа у данного файла или папки, такие как Полный доступ, Чтение и Запись;
-
режим Смена владельца позволяет данному пользователю или группе стать владельцем данного файлового объекта, в качестве владельца данный пользователь или группа получит возможность всегда изменять права доступа, вне зависимости от того, какие разрешения указанны для этого файлового объекта.
Для установки или удаления любого из перечисленных пользовательских прав доступа файловой системы необходимо поставить флажок рядом с ним в столбце Разрешить или Запретить, соответственно, для разрешения или запрещения данного права пользователю или группе и нажать кнопку ОК.
Последней опцией данного окна является флажок внизу окна Применять эти разрешения к объектам и контейнерам только внутри этого контейнера. Если данный флажок установлен, происходит применение выбранных прав доступа только к выбранному объекту. В противном случае, изменения будут распространяться на все дерево объектов, ниже текущего уровня. [4]
-
Владельцы объектов файловой системы
Для определения владельца файловой системы в окне Дополнительные параметры безопасности следует открыть вкладку Владелец (рис.22.).
Рис. 22. Вкладка Владелец окна
Дополнительные параметры безопасности C:\WINDOWS\java
Владельцами данного объекта являются пользователи группы администраторов. В окне приводится список пользователей, которые могут быть сделаны владельцами файлового объекта. Для того чтобы сделать выбор среди этих пользователей и групп, нужно выбрать владельца и нажать кнопку ОК.
В нижней части окна находится специальное флажковое поле Заменить владельца субконтейнеров и объектов. При его активации в случае смены владельца файлового объекта происходит замена новых владельцев во всех объектах, которые находятся ниже по дереву папок.
-
Эффективные права пользователей и групп
Вкладка Действующие разрешения (рис.23.) окна Дополнительные параметры безопасности предназначена для проверки тех прав, которые получат пользователи после всех настроек и оптимизаций, которые можно провести в системе. Для проверки установленных прав следует:
-
перейти во вкладку Действующие разрешения окна Дополнительные параметры безопасности и нажать кнопку Выбрать (рис.23.);
-
в появившемся новом окне нажать кнопку Типы объектов (рис.24.);
-
из списка выбрать объект (Пользователь, Группа) и нажать кнопку ОК;
-
в окне Выбор: Пользователь или группа нажать кнопку Дополнительно;
-
появится новое окно Выберите тип объекта (рис.24.);
-
нажать кнопку Поиск (рис.25.);
-
из раскрывшегося списка выбрать пользователя или группу и нажать ОК;
-
появится окно с выбранным объектом, нажать кнопку ОК;
-
появится список действующих разрешений для выбранного пользователя или выбранной группы (рис.26.).
Рис. 23. Окно анализа эффективных прав пользователя
Рис. 24. Окно выбора типа объекта
Рис. 25. Дополнительное диалоговое окно выбора пользователя
Рис. 26. Действующие разрешения выбранного пользователя
В результате выполненных действий ОС покажет, какие права имеет данный пользователь по отношению к данному объекту файловой системы (рис.26.).
Для системы безопасности файловой системы нет особой разницы между Файлами и папками. Описанные выше действия применимы и к файлам.
Механизм наследования разрабатывался для быстрого, удобного, эффективного и безопасного управления файлами. Так как файлов в больших системах может быть десятки тысяч, то было очень утомительно заниматься каждым файлом отдельно. Это заставило компанию Microsoft разработать и внедрить в файловую систему NTFS более мощную и совершенную систему для управления правами доступа. Специалисты компании выбрали систему наследования прав, т.к. учет механизма наследования делает возможным сделать надежнее и безопаснее распределение прав на файлы и папки даже еще на стадии проектирования системы, до фазы ее развертывания. Данная система предоставляет возможность задать общие права для всех файлов, исправляя их на другие лишь в случаях необходимости.
Но есть и еще один случай, когда может пригодиться механизм наследования. Допустим, при установке нового приложения файл, который приложение копирует в определенную папку, не получает правильно выставленных прав безопасности. В итоге запущенный вирус или какая-либо вредоносная программа может получить непосредственный доступ к этому файлу, а через него и к операционной системе. Такая ситуация случается если данный модуль является частью драйвера и загружается операционной системой на стадии инициализации и загрузки ОС. Использование механизма наследования с заранее продуманными правами доступа полностью устранит возникновение подобных ситуаций. Преимущества механизма наследования очевидны. [4]
|