Безопасность общего компьютера

1. NTFS-разрешения для контроля доступа
2. Блокировка доступа к личным документам
3. Совместное использование файлов на общем компьютере
4. Блокировка доступа к реестру

Администратор общего компьютера должен защитить операционную систему и обеспечить конфиденциальность каждого пользователя. Все диски хорошо защищенного устройства должны быть в формате NTFS. Если вы используете другую файловую систему, первый шаг, который необходимо сделать для повышения безопасности, - это преобразовать тома в формат файла NTFS. Эта система является неотъемлемой частью безопасности в Windows XP. Подавляющее большинство инструкций в этой статье основано на механизме контроля доступа к файловой системе NTFS. В операционной среде есть интерфейс для простого обмена файлами , который очень облегчает работу с контролем доступа NTFS, но также ограничивает нас. Стандартные настройки доступа с использованием простого общего доступа к файлам разумны и эффективны. Однако, если мы хотим и, прежде всего, можем настроить эти параметры уникальным и независимым образом, то это средство не требуется.

Отключение простого общего доступа к файлам

Мы должны войти в систему как администратор. Откройте любую папку в проводнике Windows и выберите « Свойства папки» в меню « Инструменты» . На следующем шаге перейдите на вкладку « Вид », прокрутите до конца списка и снимите флажок « Использовать простой общий доступ к файлам (рекомендуется)» . После отключения простого обмена мы откроем вкладку « Безопасность ». Мы можем добавлять и изменять права доступа для пользователей или групп. Руководство относится к версии Windows XP Professional. В случае Windows XP Home Edition возможность устанавливать разрешения NTFS значительно хуже. Чтобы открыть вкладку « Безопасность » , нам нужно запустить систему в безопасном режиме и войти в систему как администратор .

NTFS-разрешения для контроля доступа

Записи в основной таблице файлов томов NTFS (файл, папка и подпапка) содержат список управления доступом - ACL, который определяет пользователей и / или группы с правом доступа к объекту. Один элемент ACL состоит из идентификатора учетной записи (SID) и набора прав. Контроль доступа сводится к выбору объекта и определению того, что может сделать с ним данный пользователь. Мы можем контролировать доступ к системным ресурсам, используя набор предопределенных базовых разрешений. Ниже мы представляем основные права и последствия их назначения группам или пользователям.

• Полный контроль пользователя с этим правом может делать с объектом все что угодно. При выборе этой опции на вкладке «Безопасность» (она будет описана позже в статье) автоматически выбираются все остальные разрешения.
• Модификация. Пользователь может просматривать файлы и запускать программы. Выбор этой опции автоматически влечет за собой запись прав на запись и чтение и выполнение.
• Чтение и выполнение. Позволяет просматривать файлы и выполнять программы. Также выбирает Отображение содержимого папки и Чтение.
• Отображение содержимого папки только для папок. Он дает те же разрешения, что и «Чтение» и «Выполнение», с той разницей, что разрешения наследуются подпапками, а не файлами.
• Чтение Позволяет просматривать содержимое папки, отображать атрибуты файла и права на чтение.
• WriteUser с этим разрешением может создавать файлы, сохранять данные, читать атрибуты и разрешения.

Установите разрешения с помощью проводника Windows

Щелкните правой кнопкой мыши значок папки или файла и выберите « Свойства» ( простой общий доступ к файлам должен быть отключен). Затем нажмите вкладку « Безопасность ». На экране появится диалоговое окно со списком всех групп и пользователей с разрешениями для данного объекта. Если пользователь или группа, чьи разрешения вы хотите изменить, есть в списке, выберите соответствующее поле в столбце Разрешить, чтобы добавить разрешение, или Запретите его для получения.
Если имя группы или пользователя, права доступа которого вы хотите изменить, не отображается в списке имен групп или пользователей , мы должны сделать следующее. Откройте вкладку « Безопасность » и нажмите кнопку « Добавить» . В диалоговом окне « Выбор пользователей или групп » введите имя пользователя или группы. Чтобы выбрать пользователей или группы из списка, нажмите « Дополнительно», а затем кнопку « Найти сейчас» . Затем нажмите Проверить имена, чтобы проверить, находится ли введенное вами имя в базе данных учетных записей. Если нет, появится сообщение об ошибке. Если учетная запись существует, нажмите « ОК» , мы вернемся на вкладку « Безопасность » и установим права доступа для добавленного пользователя или группы.

Установите разрешения NTFS с помощью инструментов командной строки

Cacls.exe - это инструмент, который позволяет нам редактировать и изменять разрешения на консоли. Если вы введете cacls в командной строке, отобразится описание синтаксиса и команд для этой команды. Использование этого инструмента очень хорошо описано там. После ввода cacls file1 (file1 - это пример имени файла или папки) в командной строке на экране появятся текущие разрешения для этого объекта.

Чтобы добавить новые разрешения для файла или папки, добавьте соответствующие ключи в конце команды. Буква F (полный доступ) соответствует флажку « Разрешить» в строке « Полный доступ» на вкладке « Безопасность ». Буква C (Изменения) соответствует Разрешить в строке Изменить . Буква R (Чтение) соответствует полномочиям « Чтение и выполнение» . Буква W (Запись) соответствует разрешению на запись . В команде мы можем предоставить более одного пользователя, а также более одного файла. Например, если мы создали папку « Файлы » в папке « Общие документы » и хотим, чтобы пользователь Przemek имел разрешение « Полный доступ», а пользователь « Модификация Magda», откройте окно командной строки , перейдите в папку « Общие документы » и введите:

cacls bajery / g przemek: f magda: c

Если мы хотим выбрать правильный доступ к Магде, введите:

cacls bajery / e / r magda

Блокировка доступа к личным документам

Все файлы, сохраненные в нашем личном профиле, доступны любому пользователю, входящему в группу администраторов . Пользователь с ограниченным доступом может видеть только папку своих документов в окне « Мои документы» . Администратор видит такие папки каждого пользователя и может свободно изменять их содержимое. Если на вашем компьютере есть одна учетная запись администратора (остальные - ограниченные учетные записи), то создавать личные файлы не нужно. В противном случае мы должны сделать личные файлы личными, чтобы эффективно их защищать. Операция создания личных файлов проста, но вам нужно запомнить несколько деталей об этом. Прежде всего, формат файла диска должен быть NTFS. Учетная запись пользователя должна быть защищена паролем. Мы можем создавать личные файлы после входа в свою учетную запись без пароля, но это не имеет смысла, поскольку любой может войти в эту учетную запись и получить доступ к личным файлам. Параметр « Сделать эту папку личным» доступен только для нашего профиля пользователя и его подпапок ( \ Documents and Settings \ accounting_name ). Мы не можем сделать любую другую папку приватной. Функция Сделать эту папку приватной доступна только при включенном интерфейсе простого обмена файлами . Если он отключен, мы должны вручную установить права доступа NTFS (потому что функция « Сделать эту папку закрытой» на самом деле является автоматическим выполнением этой операции). Самым безопасным решением является защита всего профиля пользователя. Мы не сможем получить доступ к нашим документам, настройкам, истории недавно просмотренных веб-сайтов или просмотренным документам.

Если в нашей системе включен простой общий доступ к файлам , щелкните правой кнопкой мыши папку, выберите « Свойства» , откройте вкладку « Общий доступ » и выберите « Сделать эту папку личной» .

Если простой общий доступ к файлам отключен, нам нужно самим изменить разрешения NTFS. Для этого щелкните правой кнопкой мыши папку, затем выберите « Свойства» и откройте вкладку « Безопасность ». Мы снимаем флажок Полный контроль для всех. Мы оставляем их только пользователям Системной учетной записи и владельцу папки.

Совместное использование файлов на общем компьютере

Папка Shared Documents позволяет пользователям безопасно делиться своими документами друг с другом. Он находится в профиле « Все пользователи» (стандартный путь C: \ Documents And Settings \ All Users ). Пользователи в группе « Администраторы » имеют разрешения « Полный доступ» к этой папке. Опытные пользователи (существуют только в Windows XP Professional) имеют полные права в дополнение к возможности изменять разрешения и вступать во владение файлами в этой папке. Пользователи с ограниченными правами могут открывать, читать и создавать новые файлы, но они не могут изменять или удалять существующие файлы, если они не являются их владельцами.

Если мы хотим создать область памяти, доступную не для всех и с различными правами доступа для отдельных пользователей, нам необходимо установить разрешения NTFS в соответствии с общим пространством. Мы можем создать один каталог с подпапками для всех пользователей. Например, любой пользователь с ограничениями имеет право читать и читать файл в основной папке, а в его подпапках можно дополнительно сохранять файлы. Кроме того, пользователи могут создавать новые каталоги только в отдельных местах, чтобы не повредить структуру нашего шаблона. Чтобы настроить общедоступное место тем или иным способом, необходимо войти на вкладку « Безопасность » (щелкните правой кнопкой мыши папку, затем « Свойства и безопасность» ). Там мы можем установить права для пользователей. Нам также нужно отключить наследование разрешений. Для этого на вкладке « Безопасность » нажмите кнопку « Дополнительно» и снимите флажок с флажка « Наследовать» после того, как для родительского объекта записи разрешений применены к дочерним объектам .

Блокировка доступа к реестру

Каждая деталь конфигурации Windows сохраняется в реестре. Мы редко редактируем реестр напрямую. Когда мы меняем настройки в определенных инструментах, окна вносят косвенные изменения в реестр. Однако в Windows есть встроенный редактор реестра , благодаря которому мы можем напрямую обращаться к этой базе данных. Это полезно, когда вы хотите выполнить более сложные задачи, требующие прямого доступа к реестру. Однако при внесении изменений мы должны хотя бы понять основы этой программы. Любая ошибка может иметь серьезные последствия. К счастью, мы можем получить доступ к реестру некомпетентных пользователей. Ключи реестра имеют те же функции безопасности, что и диски NTFS. Мы можем назначить соответствующие права каждому пользователю или группе. Чтобы запустить редактор, введите в командной строке или в окне Run Regedit. Чтобы отобразить или изменить разрешения, выберите соответствующий ключ или подраздел, щелкните его правой кнопкой мыши и выберите команду « Разрешения» .

Настройки по умолчанию не позволяют пользователям с ограничениями вносить изменения, которые могут повлиять на всю систему. Это вполне разумное и ограничительное решение. Чаще вы используете возможность изменять разрешения для добавления прав пользователя (например, чтобы иметь возможность запускать программу, не приспособленную для работы в нашей системе). Конечно, мы также можем использовать их для увеличения ограничений, даже для полного блокирования доступа к реестру.

Запрет доступа к реестру

Учетная запись, которую вы хотите заблокировать, должна принадлежать группе администраторов . Поэтому мы меняем возможный аккаунт с ограничениями на аккаунт администратора. Затем мы входим в этот аккаунт. Мы запускаем редактор реестра , набирая regedit в командной строке. Мы ищем ключ HKCU \ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ \ Microsoft \ Windows \ CurrentVersion \ Policies . Подбираем Системный подраздел. Если такого ключа не существует, мы создаем его. Затем создайте новое значение DWORD с именем DisableRegistryTools и установите для него значение 1. После выключения редактора изменения вступают в силу. Если вначале мы изменили учетную запись с ограничениями на учетную запись администратора, нам необходимо восстановить ее прежнюю.

Чтобы отменить вышеуказанные изменения, выполните следующие действия. Мы входим в заблокированную учетную запись. Мы создаем ярлык для программы regedit.exe . Щелкните правой кнопкой мыши и выберите « Запуск от имени» . Мы предоставляем параметры входа в систему для учетной записи администратора. Мы ищем ключ HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ ProfileList . Мы помечаем каждый SID в этом ключе и проверяем значения ProfileImagePath . Имя пользователя должно быть в конце строки. Мы ищем SID пользователя, которому мы хотим разблокировать доступ к реестру. Выбираем ключ HKU \ SID \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System , где SID соответствует данному пользователю. Мы изменяем значение DisableRegistryTools на 0.

Похожие

Комментарии