Практическая работа №3 Права на доступ к файлам и каталогам в NTFS Цель: Получить навыки управления правами доступа в NTFS, усвоить принципы работы ACL и ACE. Необходимо: 1) Компьютер с установленной системой VirtualBox 2) Установленная в VirtualBox операционная система Windows 2000\2003\XP 3) Учетная запись пользователя с правами администратора. 4) Справочная система MS Windows Краткие теоретические сведения В файловой системе NTFS реализована возможность достаточно гибкого управления правами доступа к файлам и каталогам. В MS Windows реализованы две отдельных схемы контроля доступа к файлам и каталогам: - контроль доступа к файлам и каталогам на уровне файловой системы - контроль доступа к каталогам по сети (sharing). В первом случае контроль осуществляется системой на основе записей в ACL (Access Control List) привязанных к файлам и каталогам. Права назначаются в Explorer (контекстное меню – Общий доступ и безопасность… закладка Безопасность). Существует возможность назначить сгруппированные права (они перечислены в закладке Безопасность) и подробные права (список доступен через кнопку Дополнительно). Права, по умолчанию, наследуются от родительского каталога к вложенным файлам и к каталогам. Наследование можно отключать. По каждому праву можно установить разрешение и прямой запрет. Подробное описание прав можно найти в справке Windows. Легенда: В компании «Новые Технологии» участились случаи утечки данных. Было принято решение, среди прочих мер, организовать систему обмена файлами между отдельными сотрудниками и разными группами сотрудников, средствами политик безопасности доступными в операционной системе Windows. Порядок выполнения работы: 1) Создать группы пользователей: бухгалтера, мененджеры, рядовые сотрудники и пользователя директор. Пользователи создаются в оснастке «Локальные пользователи и группы». Доступ к ней можно получить через консоль «управление компьютером» (Панель управления – Администрирование – Управлением компьютера) 2) Создать в корневом каталоге диска «С» систему каталогов представленную на рисунке * 3) В каталоге Reports on wages создать файл help.txt 4) Назначить права группе пользователей рядовые сотрудники так чтобы: пользователь, состоящий в группе смог бы копировать файлы "drag-and-drop" в каталог Reports for managers, но не смог бы просматривать его содержимое пользователь, состоящий в группе, смог бы изменять содержимое файла help.txt но не удалять 1 5) 6) 7) 8) 9) пользователь, состоящий в группе, смог бы переименовать каталог Usual documents, но при этом не смог бы поменять на него атрибуты и права других пользователей назначить группе пользователей бухгалтеры следующие права: пользователь, состоящий в группе не смог бы просмотреть или изменить содержимое папки Reports for managers он смог бы изменять содержимое остальных каталогов и создавать в них файлы. назначить группе пользователей менеджеры следующие права: пользователь, состоящий в группе имеет возможность полного редактирования содержимого всех папок кроме Reports for managers запретить пользователю состоящему в группе возможность удаления файлов из каталога Reports for managers Пользователю директор реализовать возможность полного редактирования всех каталогов и их содержимого Обеспечить общий доступ к папке Usual documents со всех компьютеров сети, воспользовавшись командой Net Share. Выполнить пункт 5, с помощью утилиты calcs или xcalcs. Проверить работу прав можно или войдя в систему под другим пользователем, или воспользоваться службой RanAs (консольная команада ranus), или воспользоваться системой управления удаленным рабочим столом). В отчет: на адрес [email protected] в заголовке письма: №группы ФИО №работы латинскими буквами (например: 5555 Fedor Sumkin 3) В отчет ответы на вопросы: 1) списки прав на каталоги и файлы всех пользователей и групп (скриншоты или вывод консольных команд). 2) Тексты команд из пунктов 8 и 9 и их консольный вывод. 3) ответы на вопросы: - в чем смысл прав запрещения, если простое не назначение прав разрешения субъекту безопасности не позволяет ему получать соответствующий доступ? - в чем смысл механизма владения файлом или каталогом? - что это за группы Creator Owner, System (и еще Everyone)? Кто их создает? Кто в них входит? Какие у них SID? - какие консольные утилиты, позволяют назначать права NTFS (Resorce Kit Windows 2003 server)? - как взаимодействуют системы контроля прав доступа по сети и через каталоги NTFS? Отчет выслать в течении 2-х недель после выполнения работы. Еще одна неделя отводится на ответы на возможные вопросы и исправления. 2