Содержание

Тема 1. Защита файлов и папок в операционной системе windows xp 3

Лабораторная работа №1. 4

Создание учетных записей пользователей, шифрование и управление доступом к файлам и папкам на локальном компьютере 4

Тема 2. Защита документов ms office 2007 15

Лабораторная работа №2. Защита документов MS Word 2007 17

Лабораторная работа №3. Защита книг MS Excel 2007 28

Тема 3. Защита документов ms office от макровирусов 45

Лабораторная работа №4. Использование цифровой подписи в макросах 47

Тема 1. Защита файлов и папок в операционной системе windows xp

Для защиты локальных папок и файлов в операционной системе (ОС) Windows XP могут быть использованы возможности шифрования или разграничения доступа к данным.

Шифрование является прозрачным для пользователя, зашифровавшего файл. Это означает, что перед использованием файл не нужно расшифровывать. Можно, как обычно, открыть файл и изменить его.

Файлы и папки могут быть зашифрованы только на дисках с файловой системой NTFS. Шифрование обеспечивается с помощью файловой системы EFS (Encrypted File System), являющейся, по сути, надстройкой NTFS.

Зашифрованные файлы и файлы из зашифрованной папки доступны для просмотра или выполнения только тому пользователю, который установил шифрование. Остальным пользователям запрещен просмотр и копирование зашифрованных файлов и папок, однако они могут их удалить. Таким образом, шифрование папки или файла не защищает их от удаления.

Зашифрованный файл или папка расшифровываются, если они перемещаются на диск, не являющийся диском с файловой системой NTFS.

Если шифруется папка, все файлы и подпапки, созданные в зашифрованной папке, автоматически шифруются. Рекомендуется использовать шифрование на уровне папки.

Когда шифруется отдельный файл, система запросит подтверждение необходимости зашифровать также и папку, содержащую этот файл. Если подтверждение получено, все файлы и подпапки, добавляемые в папку в будущем, будут зашифрованы при добавлении от имени того пользователя, который их добавил.

Разграничение (управление) доступа к данным заключается в предоставлении авторизованным пользователям системы определенных прав на доступ (чтение, изменение, удаление и т.д.) к локальным файлам и папкам. Тип доступа определяется разрешениями, назначенными файлам или папкам.

После того как установлены разрешения на доступ к родительской папке, создаваемые в ней новые файлы и подпапки будут наследовать эти разрешения. Можно предотвратить наследование разрешений.

С помощью разграничения доступа можно определять более дифференцированную систему прав на работу с файлами и папками, чем с помощью шифрования. Возможности шифрования и разграничения доступа могут совмещаться.

Лабораторная работа №1.

Создание учетных записей пользователей, шифрование и управление доступом к файлам и папкам на локальном компьютере

Замечание. Шифрование и разграничение доступа к файлам и папкам на локальном компьютере доступно только в том случае, если диск отформатирован с файловой системой NTFS. Все файлы и папки для выполнения заданий создаются на диске с файловой системой NTFS.

Задание

Создать двух локальных пользователей ОС Windows. Для созданных пользователей и пользователя-администратора настроить ограничения на просмотр локальных файлов и папок (средствами шифрования), разграничить доступ (задать различные уровни доступа) к локальным и сетевым папкам в рамках рабочей группы Windows.

Технология выполнения в среде ОС Windows XP

Задание 1. Создать двух локальных пользователей операционной системы (ОС) Windows XP, таких, что: оба они не являются администраторами, причем первый пользователь может работать на компьютере и устанавливать программы, а второй – только работать на компьютере, программы он устанавливать не может.

Создание и управление учетными записями локальных пользователей в операционной системе Windows.

1. Если текущий сеанс ОС Windows XP не позволяет администрировать компьютер, то зайти с правами администратора. Для этого завершить текущий сеанс командой Пуск|Завершение сеанса, выбрать пункт Смена пользова­теля, и выбрать имя пользователя-администратора по указанию преподавателя (в сетевых аудиториях Инжэкона обычно это пользователь с именем student).

2. Создать двух новых пользователей, как это требуется в задании: одного с правами установки программного обеспечения, а другого – без. Для этого:

• Щелкнуть правой кнопкой мышки на значке Мой компьютер, выбрать из контекстного меню команду Управление. В появившемся окне Управление компьютером, в левой части окна выбрать Локальные пользователи и группы, открыть папку Пользователи. В правой части окна (содержимое папки Пользователи) щелкнуть правой кнопкой мыши в пустое место и в контекстном меню выбрать команду Новый пользователь… В появившемся окне Новый пользователь:

  • задать пользователя: ввести имя учетной записи;

  • задать пароль и подтвердить его;

  • снять флажок Потребовать смену пароля при следующем входе в систему;

  • поставить флажок Запретить смену пароля пользователям.

Нажать Создать.

• Для учетной записи нового пользователя задать членство в группе. Для этого щелкнуть правой кнопкой мыши по созданной учетной записи, выбрать команду Свойства на вкладке Членство в группах добавить или удалить группы таким образом, чтобы первый пользователь имел членство в группах Пользователи и Опытные пользователи. Для добавления группы следует щелкнуть на кнопке Добавить, затем в появившемся окне Выбор: Группы щелкнуть кнопку Дополнительно. Проверить, что выбран локальный компьютер, нажать кнопку Поиск и выбрать из выданного списка нужную группу. Сохранить изменения членства в группах, нажав ОК.

• Создать учетную запись второго пользователя. Для второго пользователя задать членство только в группе Пользователи.

• Закрыть окно Управление компьютером.

3. Выяснить, какой из жестких дисков компьютера имеет файловую систему NTFS. Для этого в окне Проводника (или Мой компьютер) щелкнуть на ярлыке диска правой кнопкой мыши, выбрать команду Свойства, на вкладке Общие посмотреть значение свойства Файловая система.

4. На диске с файловой системой NTFS создать свою рабочую папку, а в ней – три подпапки (папка_шифр, папка2 и папка_доступ). С помощью приложений Word или Excel создать три произвольных документа: один из них (doc1) сохранить в папке_шифр, два других (doc2 и doc3) – в папке2.

Контрольный вопрос:

• Различаются ли полномочия первого и второго пользователей для доступа к файлам и папкам на дисках?

(Нет, для этого надо дополнительно устанавливать шифрование или разграничение доступа к файлам и папкам)

Задание 2. Зашифровать папку_шифр и файл doc2 из папки2 от имени пользователя-администратора. Шифрование делает недоступным просмотр файлов для других пользователей. При записи файла в защищенную папку он автоматически шифруется.

Шифрование данных на локальном компьютере с помощью EFS.

5. Установить шифрование папки_шифр, для этого:

• В окне Проводника (или Мой компьютер) щелкнуть правой кнопкой мыши на папке_шифр, выбрать команду Свойства.

• На вкладке Общие окна свойств папки щелкнуть кнопку Другие и установить флажок Шифровать содержимое для защиты данных. Для сохранения изменений нажать ОК.

• В окне свойств нажать кнопку Применить. В появившемся окне Подтверждение изменения атрибутов установить переклю­ча­тель в позицию К этой папке и ко всем вложенным файлам и папкам, нажать ОК.

• Имена зашифрованных файлов и папки будут выделены зеленым цветом. Если этого не произошло, следует проверить настройки отображения папки: в окне Проводника (Мой компьютер) следует выполнить команду Сервис/Свойства папки, перейти на вкладку Вид, установить флажок Отображать сжатые или зашифрованные файлы NTFS другим цветом и нажать кнопку Применить.

6. Установить шифрование файла doc2 из папки2, не шифруя саму папку и файл doc3 из этой же папки; для этого:

• В окне Проводника (или Мой компьютер) щелкнуть правой кнопкой мыши на файле doc2, выбрать команду Свойства.

• На вкладке Общие окна свойств файла щелкнуть кнопку Другие и установить флажок Шифровать содержимое для защиты данных. Для сохранения изменений нажать ОК.

• В окне свойств нажать кнопку Применить. В появившемся окне Предупреждение при шифровании установить переклю­ча­тель в позицию Зашифровать только файл, нажать ОК.

7. С помощью приложений Word или Excel создать новый произвольный документ (doc4) и сохранить его в папке_шифр.

8. Завершить текущий сеанс и зайти в Windows XP с именем и паролем второго пользователя. Для этого выполнить команду Пуск|Завершение сеанса, выбрать пункт Смена пользова­теля, и выбрать имя второго пользователя.

9. В окне соответствующего приложения попытаться открыть файлы doc1, doc2, doc3, doc4. Удостовериться, что из всех названных файлов можно просмотреть только doc3.

10. Аналогично пункту 2 сделать попытку установить шифрование папки_шифр. Произошло ли шифрование папки_шифр вторым пользователем? Удостовериться, что файлы doc1 и doc4 по-прежнему не доступны для просмотра.

11. Попытаться снять шифрование с файла doc2 из папки2. Удостовериться, что снятие шифрования невозможно (выдается сообщение об ошибке изменения атрибутов папки).

12. Аналогично пункту 3 установить шифрование файла doc3.

13. Создать в папке2 новый файл doc5, произвести его шифрование.

14. Завершить текущий сеанс и зайти в Windows XP с именем и паролем пользователя-администратора. Проверить, что пользователь-администратор может просматривать только файлы doc1, doc2 и doc4, может снять шифрование с файла doc2.

15. Ответить на контрольные вопросы.

В результате выполнения заданий 1-2 должно быть получено:

папка_шифр зашифрована пользователем-администратором		папка2 не зашифрована
doc1 doc4	зашифрованы, находятся в папке, зашифрованной пользо­вателем-администратором	doc2 зашифрован пользова­телем-администратором, потом шифрова­ние снято doc3 зашифрован вторым пользователем doc5 зашифрован вторым пользователем

Контрольные вопросы:

• Почему второй пользователь не может просмотреть файл doc4, хотя когда устанавливали шифрование папки_шифр в ней находился только файл doc1?

(при добавлении файла в зашифрованную папку он тоже автоматически шифруется)

• Почему второй пользователь может просматривать файл doc3 из папки2?

(папка2 не зашифрована, первый пользователь зашифровал только один файл в ней – doc2)

• Почему второму пользователю не удается зашифровать папку_шифр?

(папка_шифр уже зашифрована другим пользователем)

• Почему пользователь-администратор может снять шифрование с файла doc2, а второй пользователь не может этого сделать?

(файл doc2 зашифрован пользователем-администратором, только тот, кто шифровал папку или файл может снять шифрование)

Задание 3. Установить для папок папка2 и папка_доступ следующие разграничения доступа:

• пользователь-администратор имеет полный доступ к содержимому папки2 и папки_доступ,

• все остальные пользователи могут просматривать незашифро­ван­ное содержимое папки2,

• первый пользователь может просматривать и изменять содержимое папок папка2 и папка_доступ, однако не может изменять полномочия других пользователей для доступа к папке_доступ,

• второй пользователь может лишь просматривать содержимое папки_доступ.

Установка разрешений (правил разграничения доступа) для локальных файлов и папок.

16. Установить разграничение доступа для папки2, для этого:

• В окне Проводника (или Мой компьютер) щелкнуть правой кнопкой мыши на папке2, выбрать команду Свойства, перейти на вкладку Безопасность.

• Если вкладка Безопасность не отображается, следует изменить параметры отображения папки. Для этого в окне Проводника (Мой компьютер) выполнить команду Сервис/Свойства папки, перейти на вкладку Вид, снять флажок Использовать простой общий доступ к файлам (рекомендуется) и нажать кнопку Применить.

• Проверить, что на вкладке безопасности невозможно изменение прав или удаление перечисленных на ней пользователей и групп. Разрешения для этих пользователей перенеслись на папку от диска, на котором эта папка была создана.

• На вкладке безопасности нажать кнопку Дополнительно и снять флажок Наследовать от родительского объекта применимые к дочерним объектам разрешения. При снятии флажка в окне предупреждения Безопасность нажать кнопку Копировать. Для выхода из окна Дополнительные параметры безопасности нажать ОК.

• Проверить, что теперь возможно изменение разрешений для пользователей.

• Изменить существующие разрешения, удаляя или добавляя флажки в столбце Разрешить, удалить или добавить новых пользователей таким образом, что:

  1. пользователь-администратор имеет возможность изменять разрешения для текущей папки. Следует установить для этого пользователя разрешение Полный доступ. При установке разрешения Полный доступ пользователь автоматически получает все остальные имеющиеся разрешения.

  2. остальным пользователям разрешен только просмотр файлов, находящихся в папке. Для группы Все (или Пользователи) следует оставить только следующие разрешения: Чтение и выполнение, Список содержимого папки, чтение. Не следует оставлять «лишние» разрешения и пользователей, даже если они были изначально установлены для папки, так как это может привести к нарушению политики безопасности, установленной для вашей папки.

• Добавить в список пользователей на вкладке Безопасность первого пользователя и разрешить ему вносить изменения в содержимое папки. Для этого выполнить команду Добавить, в появившемся окне Выбор: Пользователи или группы нажать кнопку Дополнительно. Проверить, что выбран локальный компьютер и нажать кнопку Поиск. Выбрать из выданного списка имя первого пользователя, нажать ОК. Нажать ОК в окне добавления пользователя.

• Для первого пользователя установить все разрешения, кроме разрешения Полный доступ.

• Для сохранения разрешений нажать кнопку Применить, затем закрыть окно свойств папки2.

17. С помощью приложений Word или Excel создать произвольный документ (doc6) и сохранить его в папке_доступ.

18. Установить разграничение доступа для папки_доступ, для этого:

• В окне Проводника щелкнуть правой кнопкой мыши на папке_доступ, выбрать команду Свойства, перейти на вкладку Безопасность.

• С помощью кнопки Добавить пополнить список пользователей, имеющих доступ к папке:

Пользователь-администратор,

первый пользователь,

второй пользователь.

• Задать разрешения для пользователей. Для пользователя, который указан преподавателем как администратор, задать Полный доступ;

• Для первого пользователя задать все разрешения, кроме полного доступа (Изменить, Чтение и выполнение, Список содержимого папки, Чтение, Запись);

• Для второго пользователя задать разрешения Чтение и выполнение, Список содержимого папки, Чтение.

• На вкладке безопасности нажать кнопку Дополнительно и снять флажок наследования разрешений Наследовать от родительского объекта применимые к дочерним объектам разрешения. При снятии флажка в окне предупреждения Безопасность нажать кнопку Удалить – наследуемые от диска, на котором создана папка, пользователи и группы и связанные с ними разрешения будут удалены.

• Нажать кнопку Применить.

19. Завершить текущий сеанс и зайти в Windows XP с именем и паролем первого пользователя. Проверить, что первый пользователь:

• не может просматривать зашифрованный файл doc2 из папки2, но может удалить этот файл,

• может создать новый документ doc7 или подпапку в папке_доступ, изменять содержимое файлов в папке_доступ,

• не может изменить свои (и чужие) полномочия доступа к папке2 и папке_доступ.

20. Завершить текущий сеанс и зайти в Windows XP с именем и паролем второго пользователя. Проверить, что второй пользователь:

• может просматривать файлы doc3 и doc5, находящийся в папке2, но не может изменить или удалить этот файл;

• не может добавить новые документы или подпапки в папку2 и папку_доступ.

• в папке_доступ может просматривать файлы, но не может их менять и удалять.

• не может изменить свои полномочия доступа к папке2 и папке_доступ.

21. Ответить на контрольные вопросы.

Замечание. При необходимости изменить права доступа первого или второго пользователей к папкам, следует завершить текущий сеанс и зайти в Windows XP с именем и паролем пользователя, имеющего права администратора.

Контрольные вопросы:

• Почему второй пользователь может просматривать файлы doc3 и doc5 в папке2, хотя для него не заданы разрешения на доступ? (Разрешения на просмотр файлов второй пользователь получает от группы, в которую он входит –группы всех пользователей Все или Пользователи)

• Сможет ли второй пользователь добавить новый файл в папку_шифр? (Да, папка не имеет ограничений доступа)

• Сможет ли второй пользователь удалить файл doc1 из зашифрованной папки_шифр? (Да, папка зашифрована, но не имеет ограничений доступа)

• Какие возможности обеспечивает шифрование, а какие – разграничение доступа?

Задание 4. Предоставить общий доступ к локальным папкам в рамках рабочей группы, задать ограничения для доступа к папкам через сеть.

Предоставление общего (сетевого) доступа к папкам, взаимодействие сетевых и локальных разграничений доступа в рамках рабочей группы Windows.

22. Зайти в Windows под именем пользователя-локального администратора компьютера (в сети Инжэкона – это обычно student).

23. Посмотреть сетевые свойства компьютера (имя, членство в рабочей группе) – для этого следует щелкнуть на значке Мой компьютер правой кнопкой мыши и выбрать команду Свойства. Сетевое имя компьютера (полное имя) указано на вкладке Имя компьютера.

• Проверить, что компьютер включен в рабочую группу – указано имя рабочей группы.

• Если компьютер находится не в рабочей группе, а в домене, то следует исключить его из домена и добавить в рабочую группу с помощью кнопки Изменить – имя рабочей группы обычно совпадает с первой частью (до дефиса) полного имени компьютера (например, если имя компьютера: m208-03, имя рабочей группы: m208).

24. Согласно ограничениям доступа для папки папка_доступ пользователь-администратор имеет к ней полный доступ как к локальной папке. Разрешить сетевой доступ к этой папке с разрешением «только чтение». Для этого:

• Щелкнуть на папке правой кнопкой мыши и выбрать команду Свойства. Перейти на вкладку Доступ. Установить переключатель в позицию Открыть общий доступ к этой папке.

• Проверить разрешения для сетевых пользователей – щелкнуть на кнопке Разрешения и проверить, что задана единственная группа Все и указано разрешение Чтение.

• Для сохранения сделанных настроек и выхода из окна свойств щелкнуть кнопку ОК или Применить.

25. Посмотреть папку папка_доступ через локальную сеть, для чего открыть ее через Сетевое окружение:

• Щелкнуть на значке Сетевое окружение, затем щелкнуть ссылку Отобразить компьютеры рабочей группы, открыть свой компьютер, а затем общую папку папка_доступ.

• Проверить, что пользователь-администратор может только просматривать информацию при доступе к папке папка_доступ через сеть.

26. Создать на диске новую папку папка_сеть. Для папки папка_сеть задать следующие локальные права доступа (вкладка Безопасность): Пользователь-администратор – только чтение, Первый пользователь – полный доступ (других локальных разрешений у папки быть не должно – отключить наследование).

27. Предоставить общий доступ к папке папка_сеть, задать следующие сетевые разрешения (вкладка Доступ): Все –чтение и изменение, Пользователь-администратор – полный доступ.

28. Проверить, открыв папку через Сетевое окружение, что Пользователь-администратор может только просматривать содержимое сетевой папки папка_сеть, а Первый пользователь может как просматривать, так и изменять содержимое папки папка_сеть.

29. Показать созданные папки преподавателю.

30. После регистрации лабораторной работы преподавателем удалить созданные папки и пользователей с локального компьютера.