На томах с файловой системой NTFS Вы можете установить разрешения безопасности для файлов и папок. Эти разрешения предоставляют или запрещают доступ к файлам и папкам. Для просмотра текущих разрешений безопасности выполните следующее:
1.
В
Проводнике (Windows Explorer) выберите файл или папку для просмотра параметров безопасности и щелкните правой кнопкой мыши.
2.
В контекстном меню выберите команду
Свойства (Properties) и перейдите на вкладку
Безопасность (Security) диалогового окна.
3.
В списке
Имя (Name) выберите пользователя, контакт, компьютер или группу разрешения которых Вы хотите просмотреть. Если флажки в области
Разрешения: (Permissions) затенены, значит, разрешения унаследованы от родительского объекта.
Общее представление о разрешениях для файлов и папок
В Таблице 13-3 отражены базовые разрешения, применимые к файлам и папкам.
Существуют следующие базовые разрешения на доступ к файлам: Полный доступ (Full Control), Изменить (Modify), Чтение и Выполнение (Read & Execute), Чтение (Read) и Запись (Write).
Для папок применимы такие базовые разрешения: Полный доступ (Full Control), Изменить (Modify), Чтение и Выполнение (Read & Execute), Список содержимого папки (List Folder Contents), Чтение (Read) и Запись (Write).
При установке разрешений для файлов и папок всегда следует учитывать следующее:
•
Для запуска сценариев достаточно иметь разрешение на Чтение (Read). Разрешение на Выполнение файла (особое разрешение Execute File) не обязательно.
•
Для доступа к ярлыку и связанному объекту требуется разрешение на Чтение (Read).
•
Разрешение на Запись в файл (особое разрешение Write Data) при отсутствии разрешения на Удаление файла (особое разрешение Delete) все еще позволяет пользователю удалять содержимое файла.
•
Если пользователь имеет базовое разрешение Полный доступ (Full Control) к папке, он может удалять любые файлы в такой папке, независимо от разрешений на доступ к этим файлам.
Таблица 13-3 – Базовые разрешения для файлов и папок в Windows 2000
Базовое разрешение
Значение для папок
Значение для файлов
Чтение (Read)
Разрешает обзор папок и просмотр списка файлов и подпапок
Разрешает просмотр и доступ к содержимому файла
Запись (Write)
Разрешает добавление файлов и подпапок
Разрешает запись данных в файл
Чтение и Выполнение (Read & Execute)
Разрешает обзор папок и просмотр списка файлов и подпапок; наследуется файлами и папками
Разрешает просмотр и доступ к содержимому файла, а также запуск исполняемого файла
Список содержимого папки (List Folder Contents)
Разрешает обзор папок и просмотр списка файлов и подпапок; наследуется только папками
Не применимо
Изменить (Modify)
Разрешает просмотр содержимого и создание файлов и подпапок; допускает удаление папки
Разрешает чтение и запись данных в файл; допускает удаление файла
Полный доступ (Full Control)
Разрешает просмотр содержимого, а также создание, изменение и удаление файлов и подпапок
Разрешает чтение и запись данных, а также изменение и удаление файла
Базовые разрешения созданы при помощи объединения в логические группы особых разрешений, которые показаны в Таблице 13-4 (для файлов) и 13-5 (для папок). Особые разрешения можно назначить индивидуально, используя дополнительные параметры настройки. При изучении особых разрешений для файлов, необходимо учитывать следующее:
•
Если группе или пользователю явно не определены права доступа, то доступ к файлу для них закрыт.
•
При вычислении действующих разрешений пользователя принимаются во внимание все разрешения назначенные пользователю, а также группам, членом которых он является. Например, если пользователь GeorgeJ имеет доступ на Чтение (Read), и в то же время входит в группу Techies, у которой доступ на изменение (Modify), то в результате, у пользователя GeorgeJ появляется доступ на изменение (Modify). Если группу Techies включить в группу Администраторы (Administrators) с полным доступом (Full Control), то GeorgeJ будет полностью контролировать файл.
Таблица 13-4 – Особые разрешения для файлов
Особые разрешения
Полный доступ (Full Control)
Изменить (Modify)
Чтение и выполнение (Read & Execute)
Чтение (Read)
Запись (Write)
Выполнение файлов (Execute File)
X
X
X
Чтение данных (Read Data)
X
X
X
X
Чтение атрибутов (Read Attributes)
X
X
X
X
Чтение дополнительных атрибутов (Read Extended Attributes)
X
X
X
X
Запись данных (Write Data)
X
X
X
Дозапись данных (Append Data)
X
X
X
Запись атрибутов (Write Attributes)
X
X
X
Запись дополнительных атрибутов (Write Extended Attributes)
X
X
X
Удаление (Delete)
X
X
Чтение разрешений (Read Permissions)
X
X
X
X
X
Смена разрешений (Change Permissions)
X
Смена владельца (Take Ownership)
X
В Таблице 13-5 показаны особые разрешения, используемые для создания базовых разрешений для папок. При изучении особых разрешений для папок необходимо учитывать следующее:
•
При установке разрешений для родительской папки можно привести элементы разрешений файлов и подпапок в соответствие с разрешениями текущей родительской папки. Для этого нужно установить флажок
Сбросить разрешения для всех дочерних объектов и включить перенос наследуемых разрешений (Reset Permissions On All Child Objects And Enable Propagation Of Inheritable Permissions).
•
Создаваемые файлы наследуют некоторые разрешения от родительского объекта. Эти разрешения показаны, как разрешения файла по умолчанию.
Таблица 13-5 – Особые разрешения для папок
Особые разрешения
Полный доступ (Full Control)
Изменить (Modify)
Чтение и выполнение (Read & Execute)
Список содержимого папки (List Folder Contents)
Чтение (Read)
Запись (Write)
Обзор папок (Traverse Folder)
X
X
X
X
Содержание папки (List Folder)
X
X
X
X
X
Чтение атрибутов (Read Attributes)
X
X
X
X
X
Чтение дополнительных атрибутов (Read Extended Attributes)
X
X
X
X
X
Создание файлов (Create Files)
X
X
X
Создание папок (Create Folders)
X
X
X
Запись атрибутов (Write Attributes)
X
X
X
Запись дополнительных атрибутов (Write Extended Attributes)
X
X
X
Удаление подпапок и файлов (Delete Subfolders and Files)
X
Удаление (Delete)
X
X
Чтение разрешений (Read Permissions)
X
X
X
X
X
X
Смена разрешений (Change Permissions)
X
Смена владельца (Take Ownership)
X
Установка разрешений для файлов и папок
Для установки разрешений для файлов и папок выполните следующее:
1.
В
Проводнике (Windows Explorer) выберите файл или папку и щелкните правой кнопкой мыши.
2.
В контекстном меню выберите команду
Свойства (Properties) и в диалоговом окне перейдите на вкладку
Безопасность (Security), показанную на Рисунке 13-12.
Рисунок 13-12 – Настройка базовых разрешений для файлов или папок на вкладке Безопасность (Security)
3.
В списке
Имя (Name) перечислены пользователи или группы, имеющие доступ к файлу или папке. Чтобы изменить разрешения для этих пользователей или групп, выполните следующее:
• Выделите пользователя или группу, разрешения для которых Вы хотите изменить.
• Используйте список
Разрешения: (Permissions) для задания или отмены разрешений.
Совет.Флажки унаследованных разрешений затенены. Для отмены унаследованного разрешения измените его на противоположное.
4.
Для установки разрешений пользователям, контактам, компьютерам или группам, которых нет в списке
Имя (Name), нажмите кнопку
Добавить (Add). Появится диалоговое окно
Выбор: Пользователь, Компьютер или Группа (Select Users, Computers, Or Groups), показанное на Рисунке 13-13.
Рисунок 13-13 – Выделите пользователей, компьютеры и группы, для которых необходимо разрешить или запретить доступ.
5.
Используйте диалоговое окно
Выбор: Пользователь, Компьютер или Группа (Select Users, Computers, Or Groups) для выбора пользователей, компьютеров или групп, для которых Вы хотите установить разрешения доступа. Это окно содержит поля, описание которых приводится ниже:
•
Искать в (Look In) Этот раскрывающийся список позволяет просмотреть доступные учетные записи других доменов. В том числе, список текущего домена, доверенных доменов и других доступных ресурсов. Чтобы увидеть все учетные записи в папке, выберите
Весь каталог (Entire Directory).
•
Имя (Name) Эта колонка показывает существующие учетные записи выбранного домена или ресурса.
•
Добавить (Add) Эта кнопка добавляет выделенные имена в список выбранных имен.
•
Проверить имена (Check Names) Эта кнопка позволяет проверить имена пользователей, компьютеров или групп в списке выбранных имен. Это может быть полезно, когда имена вводятся вручную и необходимо убедиться в их правильности.
6.
В списке
Имя (Name) выделите пользователя, контакт, компьютер или группу для настройки, затем установите или снимите флажки в области
Разрешения: (Permissions) для определения прав доступа. Повторите эти же действия и для других пользователей, компьютеров или групп.
7.
По завершении работы нажмите кнопку
OK.
Аудит системных ресурсов
Применение аудита – это лучший способ для отслеживания событий в системах Windows 2000. Аудит можно использовать для сбора информации, связанной с использованием какого-либо ресурса. Примерами событий для аудита можно назвать доступ к файлу, вход в систему и изменения системной конфигурации. После включения аудита объекта, в журнал безопасности системы заносятся записи при любой попытке доступа к этому объекту. Журнал безопасности можно просмотреть из оснастки
Просмотр событий (Event Viewer).
Примечание.Для изменения большинства настроек аудита необходимо войти в систему с учетной записью «Администратор» или члена группы «Администраторы», или иметь право
Управление аудитом и журналом безопасности (Manage Auditing And Security Log) в групповой политике.
Установка политик аудита
Применение политик аудита существенно повышает безопасность и целостность систем. Практически каждая компьютерная система в сети должна быть настроена с ведением журналов безопасности. Настройка политик аудита доступна в оснастке
Групповая политика (Group Policy). С помощью этого компонента можно установить политики аудита для целого сайта, домена, или подразделения. Политики также могут быть заданы для персональных рабочих станций или серверов.
После выбора необходимого контейнера групповой политики можно настроить политики аудита следующим образом:
1.
Как показано на Рисунке 13-14, найти узел
Политика аудита (Audit Policy) можно продвигаясь вниз по дереву консоли:
Конфигурация компьютера (Computer Configuration),
Конфигурация Windows (Windows Settings),
Параметры безопасности (Security Settings),
Локальные политики (Local Policies),
Политика аудита (Audit Policy).
Рисунок 13-14 – Настройка политики аудита с использованием узла Политика аудита (Audit Policy) в Групповой политике (Group Policy).
2.
Существуют следующие категории аудита:
•
Аудит событий входа в систему (Audit Account Logon Events) отслеживает события, связанные с входом пользователя в систему и выходом из неё.
•
Аудит управления учетными записями (Audit Account Management) отслеживает все события, связанные с управлением учетными записями, средствами оснастки
Active Directory — пользователи и компьютеры (Active Directory Users And Computers). Записи аудита появляются при создании, изменении или удалении учетных записей пользователя, компьютера или группы.
•
Аудит доступа к службе каталогов (Audit Directory Service Access) отслеживает события доступа к каталогу Active Directory. Записи аудита создаются каждый раз при доступе пользователей или компьютеров к каталогу.
•
Аудит входа в систему (Audit Logon Events) отслеживает события входа в систему или выхода из нее, а также удаленные сетевые подключения.
•
Аудит доступа к объектам (Audit Object Access) отслеживает использование системных ресурсов файлами, каталогами, общими ресурсами, и объектами Active Directory.
•
Аудит изменения политики (Audit Policy Change) отслеживает изменения политик назначения прав пользователей, политик аудита или политик доверительных отношений.
•
Аудит использования привилегий (Audit Privilege Use) отслеживает каждую попытку применения пользователем предоставленного ему права или привилегии. Например, права архивировать файлы и каталоги.
Примечание.Политика
Аудит использования привилегий (Audit Privilege Use) не отслеживает события, связанные с доступом к системе, такие, как использование права на интерактивный вход в систему или на доступ к компьютеру из сети. Эти события отслеживаются с помощью политики
Аудит входа в систему (Audit Logon Events).
•
Аудит отслеживания процессов (Audit Process Tracking) отслеживает системные процессы и ресурсы, используемые ими.
•
Аудит системных событий (Audit System Events) отслеживает события включения, перезагрузки или выключения компьютера, а также события, влияющие на системную безопасность или отражаемые в журнале безопасности.
3.
Для настройки политики аудита дважды щелкните на нужной политике, или выберите в контекстном меню выбранной политики команду
Свойства (Properties). После этого откроется диалоговое окно
Параметр локальной политики безопасности (Properties).
4.
Установите флажок
Определить следующий параметр политики (Define These Policy Settings). Затем установите или снимите флажки
Успех (Success) и
Отказ (Failure). Аудит успехов означает создание записи аудита для каждого успешного события (например, успешной попытки входа в систему). Аудит отказов означает создание записи аудита для каждого неудачного события (например, неудачной попытки входа в систему).
5.
По завершении нажмите кнопку
OK.
Аудит операций с файлами и папками
Если задействована политика
Аудит доступа к объектам (Audit Object Access), можно использовать аудит на уровне отдельных папок и файлов. Это позволит точно отслеживать их использование. Данная возможность доступна только на томах с файловой системой NTFS.
Для настройки аудита файла и папки проделайте следующее:
1.
В
Проводнике (Windows Explorer) выберите файл или папку, для которой нужно настроить аудит. В контекстном меню выберите команду
Свойства (Properties).
2.
Перейдите на вкладку
Безопасность (Security), а затем нажмите кнопку
Дополнительно (Advanced).
3.
В диалоговом окне
Параметры управления доступом (Access Control Settings) перейдите на вкладку
Аудит (Auditing), показанную на Рисунке 13-15.
Рисунок 13-15 – Настройка политик аудита для отдельных файлов или папок на вкладке Аудит (Auditing).
4.
Чтобы параметры аудита наследовались от родительского объекта, должен стоять флажок
Переносить наследуемый от родительского объекта аудит на этот объект (Allow Inheritable Auditing Entries From Parent To Propagate To This Object).
5.
Чтобы дочерние объекты унаследовали параметры аудита текущего объекта, установите флажок
Сбросить элементы аудита для всех дочерних объектов и включить перенос наследуемых элементов аудита(Reset Auditing Entries On All Child Objects And Enable Propagation Of Inheritable Auditing Entries).
6.
Используйте список
Элементы аудита (Auditing Entries) для выбора пользователей, компьютеров или групп, действия которых будут отслеживаться. Для удаления учетной записи из этого списка, выберите ее и нажмите кнопку
Удалить (Remove).
7.
Чтобы добавить учетную запись, нажмите кнопку
Добавить (Add) для появления диалогового окна
Выбор: Пользователи, Контакты, Компьютеры или Группы (Select Users, Contacts, Computers, Or Groups), в котором выберите учетную запись для добавления. Когда нажмете
OK, появится диалоговое окно
Элемент аудита для
Имя папки или файла (Auditing Entry For New Folder), показанное на Рисунке 13-16.
Примечание.Если Вы желаете отслеживать действия всех пользователей, используйте специальную группу
Все (Everyone). В других случаях для аудита выбирайте отдельных пользователей или группы в любых комбинациях.
Рисунок 13-16 – Диалоговое окно Элемент аудита для
Имя папки или файла (Auditing Entry For New Folder), используемое для установки элементов аудита пользователю, контакту, компьютеру или группе.
8.
Если необходимо уточнить объекты для применения настроек аудита, воспользуйтесь раскрывающимся списком
Применять (Apply Onto).
9.
Установите флажки
Успех (Successful) и/или
Отказ (Failed) для необходимых событий аудита. Аудит успехов означает создание записи аудита для успешного события (например, успешного чтения файла). Аудит отказов означает создание записи аудита для неудачного события (например, неудачной попытки удаления файла). События для аудита совпадают с особыми разрешениями (Таблицы 13-4 и 13-5) за исключением синхронизации автономных файлов и папок, аудит которой невозможен.
10.
По завершении нажмите кнопку
OK. Повторите эти шаги для настройки аудита других пользователей, групп или компьютеров.
Аудит объектов каталога Active Directory
Если задействована политика
Аудит доступа к службе каталогов (Audit Directory Service Access), можно использовать аудит на уровне объектов службы каталогов Active Directory. Это позволит точно отслеживать их использование.
Для настройки аудита объекта проделайте следующее:
1.
В оснастке
Active Directory — пользователи и компьютеры (Active Directory Users And Computers) выберите контейнер объекта.
2.
Щелкните по объекту для аудита правой кнопкой мыши и в контекстном меню выберите команду
Свойства (Properties).
3.
Перейдите на вкладку
Безопасность (Security) и нажмите кнопку
Дополнительно (Advanced).
4.
Перейдите на вкладку
Аудит (Auditing) диалогового окна
Параметры управления доступом (Access Control Settings). Чтобы параметры аудита наследовались от родительского объекта, должен стоять флажок
Переносить наследуемый от родительского объекта аудит на этот объект (Allow Inheritable Auditing Entries From Parent To Propagate To This Object).
5.
Используйте список
Элементы аудита (Auditing Entries) для выбора пользователей, компьютеров или групп, действия которых будут отслеживаться. Для удаления учетной записи из этого списка, выберите ее и нажмите кнопку
Удалить (Remove).
6.
Чтобы добавить учетную запись, нажмите кнопку
Добавить (Add). Появится диалоговое окно
Выбор: Пользователи, Контакты, Компьютеры или Группы (Select Users, Contacts, Computers, Or Groups), в котором выберите учетную запись для добавления. Когда нажмете
OK, появится диалоговое окно
Элемент аудита для
Имя папки или файла (Auditing Entry For New Folder).
7.
Если необходимо уточнить объекты для применения настроек аудита, воспользуйтесь раскрывающимся списком
Применять (Apply Onto).
8.
Установите флажки
Успех (Successful) и/или
Отказ (Failed) для необходимых событий аудита. Аудит успехов означает создание записи аудита для каждого успешного события (например, успешного чтения файла). Аудит отказов означает создание записи аудита для каждого неудачного события (например, неудачной попытки удаления файла).
9.
По завершении нажмите кнопку
OK. Повторите эти шаги для настройки аудита других пользователей, контактов, групп или компьютеров.