- •Средства поддержки безопасности компьютера в Windows 2000
- •Параметры безопасности по умолчанию
- •Общие сведения о шифровании файлов
- •Работа с зашифрованными файлами
- •Важные сведения о efs
- •Могут быть зашифрованы только файлы и папки, находящиеся на томах ntfs.
- •Рекомендации по использованию efs
- •Как зашифровать файл или папку
- •Использование оснастки «Групповая политика»
Рекомендации по использованию efs
Зашифруйте папку «Мои документы», если в ней сохраняется большинство документов. Это гарантирует шифрование личных документов по умолчанию.
Зашифруйте папку Temp, чтобы любые временные файлы, создаваемые программами, шифровались автоматически.
Шифруйте папки вместо отдельных файлов, чтобы временные файлы, создаваемые программами в процессе редактирования, также были зашифрованы.
С помощью команды Экспорт из объекта MMC «Сертификаты», сделайте на гибком диске резервные копии сертификата шифрования файлов и связанного закрытого ключа. Храните гибкий диск в безопасном месте. Если сертификат шифрования файлов будет утерян (из-за сбоя диска или по какой-либо другой причине), с помощью команды Импорт из объекта MMC «Сертификаты» сертификат и связанный закрытый ключ могут быть восстановлены с гибкого диска, а зашифрованные файлы — открыты.
Как зашифровать файл или папку
В проводнике Windows щелкните правой кнопкой мыши файл или папку, которые требуется зашифровать, и выберите из контекстного меню команду Свойства.
На вкладке Общие нажмите кнопку Другие.
Установите флажок Шифровать содержимое для защиты данных.
Примечания
Чтобы запустить проводник, нажмите кнопку Пуск и выберите команды Программы, Стандартные и Проводник.
Файлы и папки могут быть зашифрованы только на томах с файловой системой NTFS.
Сжатые файлы и папки не шифруются. Если флажок Сжимать содержимое для экономии места на диске установлен, снимите его и установите флажок Шифровать содержимое для защиты данных.
Системные файлы не могут быть зашифрованы.
Когда шифрование производится на удаленном компьютере, проверьте, что файл или папка зашифрованы. Для этого вернитесь к свойствам папки или файла, нажав кнопку Другие, и проверьте, что флажок Шифровать содержимое для защиты данных установлен.
Когда шифруется папка, система запросит подтверждение необходимости зашифровать также файлы и подпапки в данной папке. Если подтверждение получено, все файлы и подпапки, расположенные в папке, шифруются, так же как и все файлы и подпапки, которые будут добавлены в папку в будущем. Если выбрано шифрование только папки, все файлы и подпапки в данной папке остаются незашифрованными. Однако любые файлы и подпапки, добавляемые в папку в будущем, будут зашифрованы при добавлении.
Когда шифруется отдельный файл, система запросит подтверждение необходимости зашифровать также и папку, содержащую этот файл. Если подтверждение получено, все файлы и подпапки, добавляемые в папку в будущем, будут зашифрованы при добавлении.
Программы, создающие временные рабочие файлы, могут поставить под угрозу безопасность шифрования файла. При работе с такими программами используйте шифрование на уровне папки, а не отдельных файлов.
Разрешения файлов и папок (только для дисков NTFS)
При задании разрешений для файла или папки требуется указать пользователей и группы, которым должен быть разрешен или запрещен доступ, а затем указать тип доступа.
При назначении разрешений объектам лучше использовать учетные записи групп, так как при необходимости разрешения или ограничения доступа того или иного пользователя его просто нужно будет добавить в соответствующую группу. Например, руководителям можно назначить полный доступ к папке, которая содержит отчеты, и назначить пользователям право на запись, чтобы они могли копировать отчеты в данную папку, но не читать ее содержимое.
Разрешения можно устанавливать только на дисках, использующих файловую систему NTFS.
Установка, просмотр, смена и удаление разрешений на доступ к файлам и папкам
Откройте проводник и найдите файл или папку для установки разрешений.
Щелкните файл или папку правой кнопкой мыши, выберите пункт Свойства и перейдите на вкладку Безопасность.
Выполните одно из следующих действий.
Чтобы установить разрешения для новой группы или пользователя, нажмите кнопку Добавить. Введите имя группы или пользователя для наделения разрешениями в формате домен\имя и нажмите кнопку ОК, чтобы закрыть это диалоговое окно.
Чтобы сменить или удалить разрешения на доступ существующей группы или пользователя, выберите имя этой группы или пользователя.
В области Разрешения установите флажки Разрешить или Запретить для каждого разрешения, которое нужно установить или отменить. Чтобы удалить группу или пользователя из списка разрешений, нажмите кнопку Удалить.
Примечания.
Чтобы открыть проводник, нажмите кнопку Пуск и выберите команды Программы, Стандартные и Проводник.
Разрешения на доступ к файлам и папкам можно устанавливать только на дисках, использующих файловую систему NTFS.
Изменять разрешения могут только владелец и пользователи, обладающие соответствующим разрешением.
Группы и пользователи, обладающие разрешением на доступ к папке «Полный доступ», могут удалять файлы и подпапки в этой папке независимо от разрешений на доступ к этим файлам и подпапкам.
Если флажки в области Разрешения затенены или кнопка Удалить недоступна, значит, файл или папка унаследовали разрешения от родительской папки.
Разрешения общих папок
Если пользователь является членом группы «Администраторы» или «Опытные пользователи», он может предоставлять папки на своем локальном компьютере для совместного использования пользователями других компьютеров. Путем назначения разрешений общей папке на диске NTFS, FAT или FAT32 доступ по сети к данной папке может быть разрешен или ограничен.
Используйте разрешения на доступ к папкам NTFS, если общая папка расположена на диске NTFS. Разрешения NTFS работают на локальном компьютере и в сети.
Разрешения принтеров
Так как общий принтер доступен всем пользователям сети, может возникнуть необходимость в ограничении доступа к нему путем присваивания некоторым пользователям разрешений на использование принтеров. Например, можно присвоить всем пользователям подразделения, не являющимся администраторами, разрешение «Печать», а всем руководителям — разрешения «Печать» и «Управление документами». При этом все пользователи и руководители смогут печатать документы, а руководители, кроме того, получат возможность изменять состояние печати любого отправленного на принтер документа.
Аудит
Аудит используется для отслеживания учетных записей пользователей, используемых для доступа к файлам и другим объектам, попыток входа в систему, выключения и перезапусков компьютеров и т. п. Перед началом аудита требуется сначала указать с помощью групповой политики типы событий, для которых следует проводить аудит. Например, чтобы выполнять аудит папки, необходимо сначала включить Аудит доступа к объектам в политике аудита, входящей в групповую политику. Аудит затем настраивается точно таким же образом, каким назначаются разрешения. Выбирается объект, например файл или папка, затем выбираются пользователи и группы, действия которых следует отслеживать. Наконец, следует выбрать действия, для которых должен проводиться аудит, например попытки открытия или удаления папки с ограниченным доступом. Можно проводить аудит как для успешных операций, так и для тех, которые потерпели неудачу. Аудит осуществляется путем просмотра журнала безопасности с помощью средства просмотра событий.
Настройка, просмотр, изменение и отмена аудита файла или папки
Откройте проводник и найдите файл или папку для настройки параметров аудита.
Щелкните файл или папку правой кнопкой мыши, выберите пункт Свойства и перейдите на вкладку Безопасность.
Нажмите кнопку Дополнительно и перейдите на вкладку Аудит.
Выполните одно из следующих действий.
Чтобы настроить аудит для новой группы или пользователя, нажмите кнопку Добавить. В поле Имя введите имя пользователя и нажмите кнопку ОК, чтобы автоматически открыть диалоговое окно Элемент аудита.
Чтобы просмотреть или изменить параметры аудита для имеющейся группы или пользователя, выберите соответствующее имя и нажмите кнопку Показать/Изменить.
Чтобы отменить аудит для имеющейся группы или пользователя, выберите соответствующее имя и нажмите кнопку Удалить. Пропустите шаги 5, 6 и 7.
При необходимости выберите в списке Применять диалогового окна Элемент аудита объекты для проведения аудита. Список Применять доступен только для папок.
В списке Доступ установите флажок Успех, Отказ или оба этих флажка для каждого типа доступа, аудит которого требуется проводить.
Если требуется предотвратить применение этих элементов аудита к файлам и подпапкам в дереве, установите флажок Применять этот аудит к объектам....
Важно!
Для возможности аудита файлов и папок в Windows 2000 необходимо предварительно включить параметр Аудит доступа к объектам в разделе «Политика аудита» оснастки «Групповая политика». Если этого не сделать, при настройке аудита файлов и папок будет выдано сообщение об ошибке, а аудит файлов и папок проводиться не будет. После того как аудит в оснастке «Групповая политика» включен, просмотрите журнал безопасности в окне просмотра событий, в который заносятся все успешные и неудачные попытки доступа к файлам и папкам, подвергающимся аудиту.
Примечания
Для аудита файлов и папок пользователь должен войти в систему под именем, входящим в группу «Администраторы», или обладать в групповой политике правом Управление аудитом и журналом безопасности.
Чтобы открыть проводник, нажмите кнопку Пуск и выберите команды Программы, Стандартные и Проводник.
Аудит файлов и папок можно проводить только на дисках, отформатированных вфайловой системе NTFS.
Если флажки в списке ДоступокнаЭлемент аудитазатенены или в диалоговом окнеПараметры управления доступомнедоступна кнопкаУдалить, значит, параметры аудита унаследованы от родительской папки. Для получения дополнительных сведений о наследовании параметров аудита файлами и папками щелкните ссылку «См. также».
Так как размер журнала безопасности ограничен, файлы и папки для проведения аудита следует выбирать аккуратно. Также следует решить, какой объем дискового пространства следует отвести под хранение журнала безопасности. Максимальный размер задается в окне просмотра событий.
Права пользователей
Правами пользователя называются правила, которые задают разрешенные пользователю операции на данном компьютере. Кроме того, права пользователя определяют возможность непосредственного входа в систему (на локальном компьютере) или по сети, возможность добавления пользователей в локальные группы, удаления пользователей и т. п.
Встроенные группы включают набор уже назначенных прав пользователя. Администраторы обычно назначают права пользователя путем добавления учетной записи пользователя в одну из встроенных групп или путем создания новой группы и назначения ей определенных прав пользователя.
Пользователям, которые будут добавляться в группу, автоматически предоставляются все права пользователя, назначенные учетной записи группы. Управление правами пользователя осуществляется с помощью групповой политики.
Групповая политика
Оснастка «Групповая политика» используется для назначения политик пользователей программного обеспечения и компьютеров. Например, можно определять различные компоненты рабочего стола пользователя, например программы, доступные пользователям, значки, отображаемые на рабочем столе пользователя, параметры меню Пуск, а также возможность изменения пользователем своего рабочего стола. Оснастка «Групповая политика» также используется для назначения прав пользователей.