В предыдущей лекции мы рассказывали о сетевой безопасности и о таком понятии, как разрешения, но к этому стоит вернуться сейчас, так как разрешения доступны только на жестких дисках в формате NTFS. В этом разделе мы будем говорить о возможностях NTFS оберегать ваши файлы от посторонних глаз. В отличие от системы FAT доступ к общим ресурсам нельзя включать и отключать. NTFS обеспечивает такой уровень детализации отбора, что пропускает только тех, кому вы хотите предоставить доступ, и отсеивает всех остальных.

Разрешения отдельного пользователя

Перед тем как обсуждать разрешения пользователей и групп, а также самих файлов важно рассмотреть основы работы разрешений. Сначала мы покажем, что представляет собой наследование, а затем рассмотрим инструмент Windows XP Professional, который должен вам помогать, но может превратиться в камень преткновения, если вы не разберетесь в его функциях.

Наследование

В сети может быть всего пара пользователей, а могут быть и тысячи. При установке пользовательских разрешений для NTFS-томов и папок эта задача может быть сравнительно простой в организации, состоящей из шести человек. Как уже отмечалось в лекции 9, если организация начинает расти, то деление пользователей на специфические группы делает управление разрешениями значительно легче.

Сначала вам следует создать набор разрешений для определенной группы, например для инженеров. В таком случае, при появлении нового инженера в организации он автоматически добавляется в эту группу. Одновременно ему по наследству переходят и разрешения для данной группы.

Примечание. Наследование имеет отношение и к другим объектам NTFS-тома. Например, если вы установили разрешения для определенной папки, а затем создали в ней подпапку, то право наследования освобождает вас от создания нового набора разрешений для этой подпапки, так как она наследует разрешения родительской папки.

Если вы считаете, что группе инженеров нужно выдать или возобновить определенное разрешение, то это легко сделать. После изменения (о чем мы поговорим в этой лекции позже) новое разрешение присваивается каждому члену этой группы.

С другой стороны, какому-то конкретному инженеру может потребоваться разрешение, в котором не нуждаются остальные. Вы можете, войдя в группу инженеров, внести изменения, необходимые данному пользователю, и он получит новое разрешение, которое не будет унаследовано им по принадлежности к этой группе. В этом случае разрешение не будет распространяться на других членов группы.

Новым качеством в Windows XP Professional является простое совместное использование файла (simple file sharing). Эта функция включается при первичной инсталляции Windows XP Professional или при совместном использовании тома или папки. Чтобы подключить большее количество инструментов управления доступами пользователей, простое совместное использование файла надо отключить.

Вы можете задать вопрос, зачем же нужно простое совместное использование файлов, если эту функцию надо отключать. Только затем, чтобы облегчить процесс совместного использования файлов и папок. При включенном простом совместном использование файлов нет и множества конфигураций для осуществления доступа пользователей к файлам, принтерам и т. д. Этим обеспечивается легкий способ совместного использования файлов. Однако если вы хотите управлять тем, кто именно может получать право доступа к файлам, то простое совместное использование файлов следует отключить. Для этого проделайте следующие шаги.

1. Выберите Start\My Computer (Пуск\Мой компьютер), затем щелкните на Tools (Сервис) и выберите Folder Options (Свойства папки) .
2. В диалоговом окне Folder Options щелкните на вкладке View (Просмотр).
3. Просмотрите до конца перечень настроек в окне Advanced Settings (Дополнительные параметры) и либо установите, либо очистите флажок Use simple file sharing (Использовать простой общий доступ к файлам).
4. Нажмите на ОК.

Примечание. Само по себе отключение простого совместного использования файла не позволит вам устанавливать разрешения для файлов. Вы должны также разместить все свои файлы и папки в NTFS-томе или разделе.

Разрешения для папок и томов

Разрешения осуществляют контроль над тем, что пользователь или группа могут делать с объектом в сети или на своем локальном компьютере. Разрешения поддерживаются только при отключении простого совместного использования файла и на жестком диске в формате NTFS. В перечислены разрешения, назначаемые для папок, а в - для файлов.

Таблица 10.2. Разрешения папок
Разрешение
Change Permissions		Изменение разрешений папки.
Create Files		Создание новых файлов в данной папке.
Create Folders		Создание подкаталогов в данной папке.
Delete		Удаление папки.
Delete subfolders and files		Удаление файлов и подкаталогов, даже если у вас нет разрешения на их создание.
List Folder		Просмотр содержимого папки.
Read Attributes		Просмотр атрибутов папки.
Read Permissions		Просмотр разрешений папки.
Take Ownership		Присвоение себе прав другого пользователя на владение папкой.
Traverse Folder		Открытие папки для просмотра подкаталогов и родительских папок.
Write Attributes		Внесение изменений в свойства папки.
Таблица 10.3. Разрешения файла
Разрешение	Разрешает или запрещает это действие
Append Data	Добавление информации в конец файла без изменения существующей информации.
Change Permissions	Внесение изменений в разрешения файла.
Delete	Удаление файла.
Execute File	Запуск программы, содержащейся в файле.
Read Attributes	Просмотр атрибутов файла.
Read Data	Просмотр содержимого файла.
Read Permissions	Просмотр разрешений файла.
Take Ownership	Присвоение себе прав собственности на этот файл у другого владельца.
Write Attributes	Изменение атрибутов файла.
Write Data	Изменение содержания файла.

Создание и управление разрешениями

Создавая разрешения для отдельных файлов, папок и NTFS-томов, вы можете воспользоваться гораздо большим количеством опций безопасности, чем предлагает файловая система FAT. Вкладка Properties (Свойства) выбранной папки или тома включает в себя вкладку Security (Безопасность). Щелкнув на ней, вы можете увидеть ряд опций для управления доступом.

Для настройки разрешений данной папки или тома проделайте следующие шаги.

1. Укажите том или папку, для которых вы собираетесь устанавливать разрешения.
2. Щелкните правой кнопкой мыши на нем и выберите Properties (Свойства).
3. Выберите вкладку Security (Безопасность).

Примечание. Если NTFS-том находится в совместном использовании, то необходимо устанавливать разрешения посредством вкладки Security (Безопасность), а не используя для этого кнопку Permissions (Разрешения) на вкладке Sharing (Общий доступ).

В появившемся окне свойств вы увидите два окна. В верхнем окне содержится список пользователей и групп (). В нижнем - список разрешений для пользователя, которые можно устанавливать и регулировать. Опять же, эта вкладка доступна только для томов в формате NTFS.

Рис. 10.7. Вкладка Security (Безопасность) диалогового окна свойств

Щелкнув на определенном пользователе или группе, вы можете установить разрешения для них в нижнем окне. Доступны следующие разрешения.

• Full Control (Полный контроль). Разрешает пользователю или группе читать, создавать, изменять и удалять файлы.
• Modify (Модификация). Разрешает пользователям удалять файлы и папки, вносить изменения в разрешения или получать право собственности на файл или папку от другого пользователя.
• Read&Execute (Чтение и исполнение). Разрешает пользователям читать и запускать файлы, не внося изменений в содержание совместно используемого тома или папки.
• List Folder Contents (Список содержимого папки). Позволяет пользователям просматривать содержимое папок.
• Read (Чтение). Разрешает пользователям просматривать содержимое тома или папки. Они также могут открывать файлы, но не имеют права сохранять изменения.
• Write (Запись). Разрешает пользователям делать записи в папках или томах, но запрещает открывать файлы или просматривать список файлов.
• Special permissions (Специальные разрешения). Щелкнув на кнопке Advanced (Дополнительно), можно применять специальные разрешения.

Ограничение количества пользователей

В зависимости от размера и структуры организации, вы можете не разрешить одновременный доступ для всех желающих к одному и тому же тому. Если нужно установить ограничение на количество пользователей, имеющих одновременный доступ к тому или папке, откройте диалоговое окно Permissions (Разрешения) и выберите вкладку Sharing (Общий доступ) (рис. 10.8).

В секции User limit (Предельное число пользователей) укажите один из следующих вариантов.

• Maximum allowed Разрешить доступ для максимального числа пользователей сети.
• Allow this number of users Разрешить доступ только для указанного числа пользователей.

Более подробно о разрешениях можно узнать в гл. 9.

Файловая система (англ. file system ) - регламент, определяющий способ организации, хранения и именования данных на носителях информации. Она определяет формат физического хранения информации, которую принято группировать в виде файлов. Конкретная файловая система определяет размер имени файла, максимальный возможный размер файла, набор атрибутов файла. Некоторые файловые системы предоставляют сервисные возможности, например, разграничение доступа или шифрование файлов.

Файловые системы:

• FAT (File Allocation Table ) – файловая система, используемая в Dos и Windows
• NTFS (от англ. New Technology File System - «файловая система новой технологии») - стандартная файловая система для семейства операционных систем WindowsXP, 2003

Возможности NTFS 5.0:

· Механизм разрешений на доступ к файлам и папкам. Обеспечивает гибкую систему ограничений для пользователей и групп.

· Сжатие файлов и папок. Встроенные средства сжатия данных позволяют экономить пространство на дисках, при этом все процедуры выполняются "прозрачно" для пользователя.

· Шифрование данных. Encrypting File System (EPS, Шифрующая файловая система) обеспечивает конфиденциальность хранящейся информации, причем в Windows Server 2003 устранены некоторые издержки этого механизма, допускающие "утечку информации".

· Дисковые квоты. Можно ограничить пространство, занимаемое на томе отдельными пользователями.

· Механизм точек повторной обработки (reparse points). Позволяет, в частности, реализовать точки соединения (junction points), с помощью которых целевая папка (диск) отображается в пустую папку (эта процедура называется монтированием диска), находящуюся в пространстве имен файловой системы NTFS 5.0 локального компьютера. Целевой папкой может служить любой допустимый путь Windows Server 2003.

· Распределенное отслеживание ссылок на файлы. Этот механизм позволяет сохранять актуальной ссылку на файл, даже если он был переименован или перемещен на другой том, расположенный на том же компьютере или на другом компьютере в пределах домена.

· Разреженные (sparse) файлы. NTFS эффективно хранит такие файлы, содержащие большое количество последовательных пустых байтов.

· Журнал изменений (change journal), где регистрируются все операции доступа к файлам и томам.

Центром файловой системы NTFS является файл, называемый главной таблицей файлов (Master File Table, MFT ). Он создается при форматировании тома для NTFS. MFT состоит из массива записей размером 1 Кбайт. Каждая запись идентифицирует один файл, расположенный на диске. NTFS оценивает размер файла, если он не больше 1 Кбайт, он запоминается в записи MFT.

При форматировании дисковые тома размечаются на кластеры – это минимальное пространство, выделяемое на диске для файлов.

Чтобы иметь возможность изменять права доступа к файлам и папкам вы берите в главном меню Проводника: Сервис -> Свойства папки . В появившемся окне снимите галочку Использовать простой общий доступ .

Для изменения прав доступа выберите в контекстном меню над файлом или папкой выберите пункт Общий доступ и безопасность и перейдите на вкладку Безопасность .

Здесь вы можете указать права каждого пользователя или группы на чтение, запись, выполнение этого файла или папки.

Изменить права доступа может владелец файла, которого можно увидеть, нажав Дополнительно и выбрав вкладку Владелец . Любой администратор может сделать себя владельцем файла или папки.

Чтобы зашифровать или сжать файл или папку выберите в контекстном меню над ним Свойства->Другие .

Будьте осторожны с шифрованием, если система будет переустановлена, зашифрованные файлы будут потеряны.

Задания:

1. Создайте на диске D: папку Тайна и закройте доступ к ней всем, кроме себя.

2. Создайте папку Библиотека и разрешите всем только чтение (не запись).

3. Найдите большой файл формата.doc, сожмите его, используя свойства NTFS, насколько меньше места он теперь занимает на диске, сравните со сжатием в.zip

4. Зашифруйте этот же файл (что придется для этого сделать?), проверьте его недоступность под другим пользователем.

5. Можно ли сжать зашифрованный файл используя.zip?

6. Создайте временного пользователя, поставьте пароль, под этим пользователем зашифруйте файл, затем под именем администратора сбросьте пароль у этого пользователя, будет ли доступен зашифрованный файл?

7. Подключите один из дисков как папку к другому диску, а букву с этого диска уберите (т.е. чтобы он был виден только как папка)

9. …

Реестр, tweaker’ы.

Источник: ru.wikipedia.org

Реестр Windows - база данных параметров и настроек операционной системы Microsoft Windows. Реестр содержит информацию и настройки для аппаратного обеспечения, программного обеспечения, пользователей, предустановки. При любых изменениях в Панели управления, ассоциациях файлов, системных политиках, инсталлированном ПО, все эти изменения фиксируются в реестре. Без реестра работа операционной системы невозможна.

Реестр Windows был введён для упорядочения информации, хранившейся до этого во множестве INI-файлов, которые использовались для хранения настроек до того как появился реестр.

Реестр расположен в нескольких файлах (sam, security, software, system) в папке %SystemRoot%\System32\Config , и в папке профилей пользователей компьютера (Ntuser.dat ). Для изменения реестра используется Редактор реестра : Пуск -> Выполнить -> regedit.

Помните, что редактор не проверяет правильность задания параметров, поэтому даже при опечатке любое изменение будет сохранено, что может привести к нежелательным последствиям. Сам по себе реестр не восстановится, и операционная система может отказаться загружаться.

По этой причине, прежде всего, сделайте резервную копию реестра или того раздела, который собираетесь изменить. Для этого на ветке (разделе) реестра нажмите правую кнопку и выберите Экспортировать , эта ветка будет сохранена в текстовом файле формата .reg . Впоследствии её можно будет импортировать в реестр – двойной щелчок на этом файле или правая кнопка и Слияние .

Реестр Windows ХР и Windows 2003 содержит следующие разделы (или поддеревья, или кусты):

· HKEY_CLASSES_ROOT – Данный раздел содержит сведения о файловых расширениях и программы, которые этим расширениям соответствуют. Здесь также содержится информация, необходимая для работы технологий СОМ и OLE. Некоторые данные, связанные с названным выше, содержатся в ключе HKEY_LOCAL_MACHINE\Software\Classes

· HKEY_CURRENT_USER – Здесь находится информация, которая касается активного на данный момент пользователя

· HKEY_LOCAL_MACHINE – Раздел содержит информацию о конфигурации компьютера и о том, как будут обрабатываться запуск и остановка установленных в системе служб и оборудования. Здесь также содержится информация, которая относится к SAM (Security Accounts Manager) и политикам безопасности. Данная ветвь наиболее интенсивно используется приложениями

· HKEY_USERS – Раздел содержит данные о пользователях компьютера. Каждому пользователю назначается определенная запись, название которой соответствует идентификатору SID данного пользователя

· HKEY_CURRENT_CONFIG – Эта ветвь связана с подключами в HKEY_LOCAL_MACHINE\System\CurrentControlSet\Hardware Profiles\Current. Данный раздел содержит информацию, которая относится к аппаратному обеспечению и используется в процессе предварительной загрузки, чтобы разрешить взаимосвязи определенного аппаратного обеспечения

Tweaker - программа тонкой настройки и оптимизации операционных систем семейства Windows. Используется как замена Редактора реестра Windows. Преимущества: наличие описания ключей реестра, наличие поиска и возможности ‘откатить’ изменения. Недостатки: иногда используются недокументированные возможности, Microsoft не рекомендует пользователям редактировать реестр.

Задания:

10. Используя Редактор реестра

a) Изменить ключи реестра, чтобы на экране приветствия использовалось сглаживание ClearType, изменить скринсейвер, возникающий при экране приветствия

b) Найти и экспортировать регистрационную информацию программы Nero(или другой)

11. Используя Tweaker (например, NeoTweaker)

a) Сделать так, чтобы на значках на рабочем столе не отображались стрелки

b) Попробуйте режим активного окна (x-мышь, как в unix) – окно становится активным при наведении на него указателя мыши, без дополнительного щелчка

c) Отключить автозапуск CD (автозапуск может быть небезопасен)

d) Отключить встроенную функцию записи CD

e) Изменить редактор html-кода в Internet Explorer с Блокнота на DreamWeaver

f) Сделайте так, чтобы на всплывающей подсказке над часами показывался день недели, а не только дата

g) Сделайте так, чтобы показывались команды, выполняемые при загрузке и выключении компьютера – это поможет выяснить, на что система тратит много времени

h) Установить задержку появления меню 100мс вместо 400мс

i) Отключить Диспетчер пакетов QoS (ускорит работу сети на 20%)

j) Измените процент свободного места на жестком диске, при котором система будет выдавать предупреждение о его нехватке

k) Отключите отправку в Microsoft отчетов об ошибках (в целях безопасности, экономии трафика и чтобы не надоедали вопросы после зависания какой-нибудь программы)

l) Включить автоматическое дописывание путей в командной строке по клавише Tab (т.е. вместо длинного пути вы можете написать первые символы и нажать Tab)

m) Сделать так чтобы NumLock был включен при загрузке

n) …

Службы.

Источник: computerra.ru, oszone.net

Служба Microsoft Windows - это приложение, работающее в фоновом режиме. Некоторые службы автоматически запускаются при загрузке компьютера, другие - только при возникновении определённых событий. Как правило, службы не имеют пользовательского интерфейса. Службы используются для реализации функциональности, работающей на протяжении длительного отрезка времени, и не требующей вмешательства пользователей, работающих на компьютере. Службы могут выполняться в контексте безопасности учетной записи, отличной от учетной записи текущего пользователя или учетной записи по умолчанию.

Во время работы Windows XP запущено множество служб, но не все из них полезны для нормальной работы вашего компьютера. Для просмотра списка запущенных служб необходимо проделать следующее:

· Пуск – Выполнить – cmd – net start – список запущенных служб ,

• или Пуск – Выполнить – cmd – services.msc,
• или Пуск – Администрирование – Службы

Таблица 1. Службы Windows 2000/XP/2003 Server
Название службы	Описание службы	Возможность выключения
Bluetooth Support Service	Поддерживает Bluetooth-устройства, установленные на компьютере, и обнаруживает другие устройства в радиусе действия	Выключить, если вы не используете устройства, соединяющиеся с вашим ПК с помощью Bluetooth-связи
DHCP-клиент	Управляет конфигурацией сети посредством регистрации и обновления IP-адресов и DNS-имен
DNS-клиент	Разрешает для данного компьютера DNS-имена в адресах и помещает их в кэш. Если служба остановлена, не удастся разрешить DNS-имена и разместить службу каталогов Active Directory контроллеров домена	Если сеть не используется, можно безболезненно выключить ее
Fax	Позволяет отправлять и получать факсимильные сообщения, используя ресурсы этого компьютера и сетевые ресурсы	Если не используем данную функцию, то смело выключаем ее
MS Software Shadow Copy Provider	Управляет теневыми копиями, полученными при помощи теневого копирования тома	В большинстве случаев можно выключить
QoS RSVP	Обеспечивает рассылку оповещений в сети и управление локальным трафиком для QoS-программ и управляющих программ	Вкупе с выключением резервирования трафика QoS полностью отключает резервирование канала QoS. Выключить
NetMeeting Remote Desktop Sharing	Разрешает проверенным пользователям получать доступ к рабочему столу Windows через корпоративную интрасеть, используя NetMeeting. Если эта служба остановлена, удаленное управление рабочим столом недоступно	Вряд ли кто-то захочет доверить управление своим ПК кому-то другому. Прибавим к этому потенциальную опасность несанкционированного проникновения в систему и сделаем вывод - выключить
Telnet	Позволяет удаленному пользователю входить в систему и запускать программы, поддерживает различных клиентов TCP/IP Telnet, включая компьютеры с операционными системами Unix и Windows. Если эта служба остановлена, удаленный пользователь не сможет запускать программы	Если эта функция не используется, обязательно выключаем ее, иначе грозит опасность несанкционированного проникновения в систему
Автоматическое обновление	Загрузка и установка обновлений Windows. Если служба отключена, то на этом компьютере будет нельзя использовать возможности автоматического обновления или веб-узел Windows Update	Выключить, так как любые обновления всегда можно выполнить вручную
Адаптер производительности WMI	Предоставляет информацию о библиотеках производительности от поставщиков WMI HiPerf	В большинстве случаев можно выключить, хотя, возможно, кому-то может понадобиться
Беспроводная настройка	Предоставляет автоматическую настройку адаптеров 802.11	Если не пользуемся Wi-Fi, то выключить
Брандмауэр Windows/общий доступ к Интернету (ICS)	Обеспечивает поддержку служб трансляции адресов, адресации и разрешения имен или предотвращает вторжение служб в домашней сети или сети небольшого офиса	Если вы используете FireWall стороннего производителя и ваш ПК не является интернет-шлюзом для другого ПК в сети, то смело выключайте
Вторичный вход в систему	Позволяет запускать процессы от имени другого пользователя. Если служба остановлена, этот тип регистрации пользователя недоступен	Выключить, иначе эта служба может стать причиной несанкционированного проникновения в систему
Диспетчер автоподключений удаленного доступа	Создает подключение к удаленной сети, когда программа обращается к удаленному DNS- или NetBIOS-имени или адресу	Используется очень редко, поэтому можно смело выключить
Диспетчер сеанса справки для удаленного рабочего стола	Управляет возможностями удаленного помощника. После остановки службы удаленный помощник будет недоступен	Создает потенциальную опасность проникновения в систему, а помощь от нее сомнительная. Выключить
Диспетчер сетевого DDE	Управляет сетевыми общими ресурсами динамического обмена данными (DDE). Если служба остановлена, сетевые общие ресурсы DDE не будут доступны
Диспетчер очереди печати	Загружает в память файлы для последующей печати	Нет принтера - выключить
Журналы и оповещения производительности	Управляет сбором данных о производительности с локального или удаленных компьютеров. Сбор выполняется на основе заданного расписания и обеспечивает запись этих данных в журналы или инициирует оповещение	В большинстве ситуаций запись данных о производительности не потребуется. Спокойно выключаем
Источник бесперебойного питания	Управляет источниками бесперебойного питания, подключенными к компьютеру.	Нет ИБП, выключить
Координатор распределенных транзакций	Координация транзакций, охватывающих несколько диспетчеров ресурсов, таких как базы данных, очереди сообщений и файловые системы. Если служба остановлена, транзакции выполнены не будут	Если ПК не является сервером, использующим базы данных, можно смело выключить
Модуль поддержки NetBIOS через TCP/IP	Включает поддержку службы NetBIOS через TCP/IP (NetBT) и разрешения NetBIOS-имен в адреса	Если по каким-то причинам нужна поддержка NetBIOS через TCP/IP, эту службу не трогаем. Но в большинстве случаев ее можно спокойно выключить
Монитор инфракрасной связи	Поддерживает IrDA-устройства, установленные на компьютере, и обнаруживает другие устройства в радиусе действия	Если вы не используете устройства, соединяющиеся с вашим ПК с помощью инфракрасной связи, выключить
Обозреватель компьютеров	Обслуживает список компьютеров в сети и выдает его программам по запросу. Если служба остановлена, список не будет создан или обновлен	Если сеть не используется, то выключить, хотя, в общем-то, достаточно оставить ее включенной на одном ПК в вашей сети
Планировщик заданий	Позволяет настраивать расписание автоматического выполнения задач на этом компьютере. Если служба остановлена, эти задачи не могут быть запущены в установленное расписанием время	Если вы не испытываете острого желания запускать программы автоматически в установленное время, то выключить
Сервер	Обеспечивает общий доступ к файлам, принтерам и именованным каналам для данного компьютера через сетевое подключение. Если служба остановлена, эти функции выполнить не удастся	Если сеть не используется, можно безболезненно выключить
Служба времени Windows	Управляет синхронизацией даты и времени на всех клиентах и серверах в сети. Если служба остановлена, синхронизация даты и времени будет недоступна	Если сеть не используется, то выключить, хотя и при наличии сети выключение этой службы в большинстве случаев не помешает
Служба обнаружения SSDP	Включить обнаружение UPnP-устройств в домашней сети	Если сеть не используется, то выключить, да и при наличии сети нужна редко
Справка и поддержка	Обеспечивает возможность работы центра справки и поддержки на этом компьютере. Если служба остановлена, центр справки и поддержки будет недоступен	Выключить, так как толку от этой поддержки... Хотя если вам без этой службы не обойтись, можете оставить включенной
Служба сетевого DDE	Обеспечивает сетевой транспорт и безопасность для динамического обмена данными (DDE) в программах, выполняющихся на одном или на нескольких компьютерах. Если служба остановлена, сетевой транспорт и безопасность DDE будут недоступны	Если сеть не используется, можно безболезненно выключить
Удаленный реестр	Позволяет удаленным пользователям изменять параметры реестра на этом компьютере. Если служба остановлена, реестр может быть изменен только локальными пользователями, работающими на этом компьютере	Вряд ли кто-то захочет доверить управление своим реестром кому-то другому. Прибавим сюда потенциальную опасность несанкционированного проникновения в систему и сделаем вывод: выключить
Служба терминалов	Предоставляет возможность нескольким пользователям интерактивно подключаться к компьютеру и отображает рабочий стол и приложения на удаленных компьютерах. Является основой для удаленного рабочего стола (включая удаленное администрирование), быстрого переключения пользователей, удаленного помощника и служб терминалов	Если сеть не используется, можно безболезненно выключить. Да и при наличии сети хорошо подумайте, надо ли вам, чтобы кто-то кроме вас имел доступ к вашему ПК?
Служба восстановления системы	Выполняет функции восстановления системы. Чтобы остановить службу, следует отключить восстановление системы на вкладке "Восстановление системы" свойств компьютера	Если вам не нужно откатывать систему к определенной дате, то выключить, поскольку служба требует много места на жестком диске. Я, правда, не стал этого делать, так как иногда при ошибках, случившихся по моей вине, приходилось откатывать систему
Служба регистрации ошибок	Позволяет регистрировать ошибки для служб и приложений, выполняющихся в нестандартной среде	Для большинства пользователей бесполезная служба. Выключить
Сетевой вход в систему	Поддерживает сквозную идентификацию событий входа учетной записи для компьютеров домена	Если сеть не используется или сеть без доменов, то выключить
Служба сетевого расположения (NLA)	Собирает и хранит сведения о размещении и настройки сети и уведомляет приложения об их изменении	Если сеть не используется, можно безболезненно выключить
Служба сообщений	Посылает и получает сообщения, переданные администраторами или службой оповещений. Не имеет отношения к MSN Messenger. Если служба остановлена, оповещение передано не будет	Если сеть не используется, можно безболезненно выключить
Уведомление о системных событиях	Протоколирует системные события в сети (такие как регистрация в Windows) и изменения в подаче электропитания. Уведомляет подписчиков из разряда "COM+системное событие", рассылая оповещения	Можно спокойно выключить. Эта служба редко кому нужна
Совместимость быстрого переключения пользователей	Управление приложениями, которые требуют поддержки в многопользовательской среде	В большинстве случаев выключить, так как программ, которые используют эту службу, очень мало. Правда, есть одно "но": если вы хотите работать под своей учетной записью, не прерывая процессов другой учетной записи, эту службу выключать нельзя
Смарт-карты	Управляет доступом к устройствам чтения смарт-карт. Если служба остановлена, компьютер не сможет считывать смарт-карты	Если вы не пользуетесь смарт-картами, выключить
Служба загрузки изображений (WIA)	Обеспечивает службы получения изображений со сканеров и цифровых камер	Если сканер и цифровая камера не используются на данном ПК, выключить

Задания:

1. Настроить так называемую ‘игровую’ конфигурацию служб, когда отключаются все службы, кроме самых необходимых, для обеспечения максимальной производительности компьютера.

3. Включить службы, отвечающие за работу локальной сети и интернета.

4. …

Драйверы, directX.

К ак и в реальном мире, в мире компьютеров и интернета есть вещи, которыми мы можем обладать и есть вещи, которыми мы обладать не можем. А не можем потому, что не имеем на них прав. Объяснять, для чего собственно были придуманы все эти разрешения и права доступа, полагаем, не нужно. Если бы их не было, любой пользователь мог бы просматривать, изменять и удалять любые не принадлежащие ему файлы не только на локальных машинах, но и на серверах.

С понятиями прав и разрешений на файлы более или менее знакомы все пользователи. Но что в действительности они собой представляют и как система определяет, какой файл можно просматривать или изменять, а какой нет? Давайте попробуем разобраться.

Начнем с того, что большая часть всех данных хранится на дисках в виде файлов, к которыми пользователи тем или иным образом получают доступ. Пример, когда пользователь получает доступ к файлам не напрямую, а через веб-сервер, мы рассматривать не будем. Скажем лишь, что такие данные, помимо прочих разрешений, также имеют особое разрешение share , наличие которого проверяется при обращении к удалённому серверу.

Атрибуты и ACL

При работе через сервер права доступа выдаются сервером, при непосредственной же работе с дисками через интерфейс локальной машины права доступа выдаются на уровне файловой системы NTFS . Как это работает? А вот как. Каждый записанный в NTFS файл представляет собой не только данные, помимо них он также хранит служебную информацию - атрибуты и ACL (Access Control List) . Кстати, атрибуты и ACL имеют не только файлы, но и папки.

Что такое атрибуты файла, вы, в принципе, должны знать сами. Скрытый, системный, индексируемый или неиндексируемый, доступный только для чтения, готовый к архивированию - всё это называется атрибутами и просматривается в свойствах файла или папки. За права же доступа отвечают метаданные ACL. И если атрибуты описывают свойства объекта, то ACL указывает, кто именно и какие действия с этим объектом может производить. ACL также именуют разрешениями.

Структуру ACL можно представить в виде таблицы с тремя колонками.

Первая колонка содержит уникальный идентификатор пользователя (SID) , вторая - описание прав (read, write и т.д.) , третья - флаг , указывающий разрешено ли конкретному SID пользоваться этими правами или нет. Он может принимать два значения: true (да) и false (нет) .

Основных прав доступа в NTFS четыре:

Read разрешает только чтение файла.
Write разрешает чтение и запись.
Modify разрешает чтение, запись, переименование, удаление и редактирование атрибутов.
Full Control даёт пользователю неограниченную власть над файлом. Помимо всего перечисленного, имеющий права Full Control пользователь может редактировать метаданные ACL . Все прочие права доступа возможность изменения ACL не предоставляют.

Владелец объекта

Кроме атрибутов и разрешений, каждый объект в файловой системе NTFS имеет своего владельца. Таковым может выступать локальный администратор, пользователь, TrustedInstaller, система и т.д. Владелец может изменять права доступа к своему файлу, однако локальный администратор имеет право назначить владельцем такого файла самого себя, следовательно, получить на него полные права, то есть Full Control .

Так как файлов на диске может быть очень много и большая их часть располагается во вложенных каталогах, для удобного и быстрого изменения их прав доступа необходим какой-то механизм. Для этого в NTFS есть такая вещь как наследование .

Правило наследования простое и укладывается оно в одну формулировку: при своём создании каждый дочерний объект автоматически наследует разрешения ближайшего родительского объекта. Приведём пример. Если вы создали папку «А» , а в ней папку «Б» , то папка «Б» будет иметь те же разрешения, что и папка «А» . Следовательно, все файлы в папке «Б» получат разрешения папки «А» .

Явные и неявные разрешения

Все разрешения, которые наследуются автоматически, именуются неявными (implicit) . И напротив, разрешения, которые устанавливаются вручную путём изменения ACL , называются явными (explicit) . Отсюда вытекают два правила:

На одном уровне вложенности запрещающее разрешение имеет более высокий приоритет. Если для одного SID было задано и разрешающее, и запрещающее разрешение, то действовать будет запрет.
Явное разрешение имеет более высокий приоритет, чем неявное. Если запрет на какой-то объект был унаследован от родителя, а затем на него было установлено явное разрешение, то оно получит приоритет.

Таким образом в NTFS формируются комбинации разрешений и запретов. И если расположить приоритеты разрешений в порядке убывания, то получим примерно такую картину:

1. Явный запрет
2. Явное разрешение
3. Неявный запрет
4. Неявное разрешение

Особенности наследования при копировании и перемещении файлов

До этого момента мы говорили о наследовании при создании файлов в родительских или дочерних каталогах. В случаях копирования или перемещения объекта правила наследования меняются .

При копировании объекта с одного тома на другой, например, с диска «С» на диск «D» копируемый объект всегда получает права или разрешения того раздела или расположенного в нём каталога, в который он копируется. Те же правила действуют при перемещении файлов между разными томами.

При перемещении в пределах одного тома, перемещаемый объект сохраняет свою ACL , изменяется только ссылка на него в таблице MFT .

При копировании в пределах одного тома копируемый объект получает ACL от ближайшего вышестоящего родительского каталога.

Для начала этого вполне достаточно, чтобы иметь более-менее чёткое представление о том, как работают законы разрешений в NTFS. На самом деле разрешений в файловой системе существует гораздо больше разрешений. Большинству простых пользователей их знать необязательно, а вот будущим системным администраторам такие знания могут очень даже пригодится.

Для управления доступом пользователей к папкам и файлам используется детализированная и сложная система разрешений. Механизм управления доступом к объектам Windows — один из самых детализированных среди известных операционных систем. Для файлов и папок существует не менее 14 разрешений NTFS, которые могут быть включены или блокированы — и проверены. Эти разрешения можно назначать файлам или папкам и пользователям или группам. Кроме того, можно назначать порядок наследования разрешений для файлов или папок и пользователей или групп. В лабиринте разрешений легко заблудиться. В данной статье речь пойдет о том, как действуют разрешения для папок и файлов, и о наиболее эффективных способах их применения.

Основы доступа к объектам

Пользователь никогда не входит в непосредственное “соприкосновение” с каким-либо объектом Windows. Весь доступ к объектам осуществляется через программы (например, Windows Explorer, Microsoft Office) или процессы. Программа, которая обращается к ресурсам от лица пользователя, выполняет процедуру, которая называется имперсонализацией (impersonation). Программа, которая обращается к удаленному ресурсу, выполняет процедуру, которая называется делегированием (delegation).

После регистрации пользователя его системный идентификатор (System Identifier — SID) и идентификаторы SID группы обрабатываются процессом lsass.exe, который генерирует маркер безопасного доступа пользователя. В маркер безопасного доступа вводится и другая информация, в том числе о назначенных пользователю правах (разрешениях), ID сеанса пользователя (уникален для каждого сеанса), маске разрешений с детальным описанием типа запрошенного доступа. Права, назначенные пользователю, можно увидеть с помощью команды

Если программа обращается от лица пользователя к защищенному ресурсу, то монитор защиты (security reference monitor) Windows запрашивает у программы маркер безопасного доступа пользователя. Затем монитор защиты анализирует маркер, чтобы определить эффективные разрешения пользователя, и разрешает или запрещает выполнение запрошенной пользователем операции. Эффективные разрешения более подробно описаны ниже.

Разрешения Share

Каждый защищенный объект Windows — в том числе файлы, папки, общие ресурсы, принтеры и разделы реестра — поддерживает разрешения безопасности. Любую папку Windows можно сделать общедоступной, чтобы разрешить дистанционный доступ. Разрешения Share можно назначать любым объектам folder и printer в Windows, но разрешения применяются, только если обращение к объекту происходит через сетевой ресурс. К разрешениям Folder Share относятся Full Control, Change и Read.

Субъекты безопасности, которым присвоено право полного доступа (Full Control) к объекту, могут производить с объектом почти любые операции. Они могут удалить, переименовать, копировать, переместить и изменить объект. Пользователь с правом Full Control может изменить разрешения Share объекта и стать владельцем объекта (если он уже не является владельцем и не имеет разрешения Take Ownership). Таким образом, любой пользователь с разрешением Full Control может отменить разрешения других лиц, в том числе администратора (хотя администратор может всегда вернуть себе владение и разрешения). Возможность изменять разрешения — обязательное требование любой операционной системы с избирательным управлением доступом (discretionary access control — DAC), такой как Windows.

В большинстве случаев, основное разрешение доступа к ресурсу, необходимое обычным пользователям – Change. С помощью разрешения Change пользователь может добавлять, удалять, изменять и переименовывать любые ресурсы в соответствующей папке. Разрешение Read обеспечивает просмотр, копирование, переименование и печать объекта. Пользователь с разрешением Read может копировать объект в другое место, в котором имеет право Full Control.

Разрешения NTFS

Если в Windows используется файловая система NTFS (а не FAT), то все файлы, папки, разделы реестра и многие другие объекты имеют разрешения NTFS. Разрешения NTFS применяются как при локальном, так и при дистанционном доступе к объекту. Для просмотра и изменения разрешений NTFS файла или папки достаточно щелкнуть правой кнопкой мыши на объекте, выбрать пункт Properties и перейти к вкладке Security.

В Таблице 1 показаны 7 суммарных разрешений NTFS. Суммарные разрешения представляют собой различные комбинации 14 более детализированных разрешений, показанных в Таблице 2. Просмотреть детализированные разрешения можно, открыв диалоговое окно Advanced Security Settings для объекта щелчком на кнопке Advanced во вкладке Security, а затем щелкнуть на кнопке Edit во вкладке Permissions. Знакомиться с детализированными разрешениями объекта (особенно требующего повышенной безопасности) — полезная привычка, хотя для этого требуется больше усилий. Суммарные разрешения не всегда точно отражают состояние детализированных разрешений. Например, мне приходилось видеть суммарное разрешение Read, хотя в действительности пользователь имел разрешение Read & Execute.

Аналогично разрешению Full Control Share, разрешение Full Control NTFS предоставляет владельцам большие возможности. Пользователи, не являющиеся администраторами, часто имеют разрешение Full Control в своем домашнем каталоге и других файлах и папках. Как уже отмечалось, обладатель прав такого уровня может изменять разрешения файла и назначить себя владельцем. Вместо того чтобы предоставлять пользователям разрешение Full Control, можно дать им лишь право Modify. Если пользователь — владелец файла, то при необходимости можно вручную запретить ему изменять разрешения.

Технически, разрешения NTFS известны как избирательные списки управления доступом (discretionary ACL — DACL). Разрешения аудита известны как системные ACL (SACL). Большинство защищенных объектов NTFS располагают разрешениями обоих видов.

Влияние доверительных отношений Windows

По умолчанию все домены и леса Windows 2000 и более поздних версий имеют двусторонние доверительные отношения со всеми другими доменами леса. Если домен доверяет другому домену, то все пользователи в доверенном домене имеют те же разрешения безопасности в доверяющем домене, что и группа Everyone и группа Authenticated Users доверяющего домена. В любом домене многие разрешения этим группам назначаются по умолчанию, и доверительные отношения неявно обеспечивают широкие права, которые не были бы предоставлены в ином случае. Следует помнить, что если доверительные отношения не носят выборочного характера, то любые разрешения, предоставляемые группам Everyone и Authenticated Users, назначаются и всем другим пользователям в лесу.

Проверка разрешений из командной строки

Администраторы часто используют такие инструменты командной строки, как subinacl.exe, xacls.exe и cacls.exe для проверки разрешений NTFS. Subinacl входит в набор ресурсов Windows Server 2003 Resource Kit Tools. С помощью Subinacl можно просматривать и изменять разрешения NTFS для файлов, папок, объектов, разделов реестра и служб. Самая важная возможность Subinacl — скопировать разрешения пользователя, группы или объекта и применить их к другому пользователю, группе или объекту в том же или другом домене. Например, при перемещении пользователя из одного домена в другой в Windows создается новая учетная запись user; все ранее существовавшие SID или разрешения, связанные с первоначальным пользователем, отменяются. Скопировав разрешения в новую учетную запись user с помощью Subinacl, можно сделать их идентичными. Xcacls функционирует аналогично Subinacl и входит в состав комплекта ресурсов Windows 2000 Server Resource Kit.

Программа Cacls описана в опубликованной компанией Microsoft статье “Undocumented CACLS: Group Permissions Capabilities”. Это более старый инструмент, который появился в составе Windows со времени Windows NT. Cacls не столь полезна, как Subinacl или Xacls, но утилита всегда имеется в системе Windows. С помощью Cacls можно просматривать и изменять файлы и разрешения по пользователям и группам, но не создавать детализированные разрешения NTFS. В настоящее время возможности Cacls ограничены работой с разрешениями No Access, Read, Change и Full Control, которые соответствуют разрешениям NTFS, но не разрешением Share. Кроме того, разрешение Read программы Cacls соответствует разрешению Read & Execute системы NTFS.

Наследование

По умолчанию все файлы, папки и разделы реестра наследуют разрешения от родительского контейнера. Наследование можно активизировать или отключить для индивидуальных файлов, папок или разделов реестра и для отдельных пользователей или групп. Как мы видим на Экране 1, поле Apply To на вкладке Permissions диалогового окна Advanced Security Settings показывает, ограничено ли действие конкретного разрешения текущим контейнером, или оно распространяется на подпапки и файлы. Администратор может назначить разрешение (для отдельных пользователей), которые наследуются или нет. В данном примере группа Everyone имеет разрешение Read & Execute в текущей папке, и это разрешение не наследуется.

Если файл или папка наследует большинство своих разрешений, но имеет также и набор явно заданных разрешений, то последние всегда имеют приоритет перед унаследованными правами. Например, можно предоставить пользователю разрешение Full Control-Deny в корневом каталоге конкретного тома, и задать наследование этих разрешений всеми файлами и папками диска. Затем можно назначить любому файлу или папке на диске право доступа, которое отменяет унаследованный режим Full Control-Deny.

Эффективные разрешения

Монитор защиты Windows определяет эффективные разрешения пользователей (реальные разрешения, которыми они располагают на практике) с учетом нескольких факторов. Как отмечалось выше, монитор защиты сначала собирает информацию об индивидуальной учетной записи пользователя и всех группах, к которым он принадлежит, и обобщает все разрешения, назначенные всем пользовательским и групповым SID. Если разрешения Deny и Allow существуют на одном уровне, то, как правило, приоритет имеет Deny. Если приоритет получает Full Control-Deny, то пользователь, как правило, не имеет доступа к объекту.

По умолчанию при учете разрешений NTFS и Share (пользователь подключается к ресурсу через сеть) монитор защиты должен собрать все разрешения Share и NTFS. В результате эффективные разрешения пользователя представляют собой набор разрешений, предоставленных как разрешениями Share, так и NTFS.

Например, в конечном итоге у пользователя могут оказаться Share-разрешения Read и Change, и NTFS-разрешения Read и Modify. Эффективные разрешения — самый ограниченный набор разрешений. В данном случае разрешения почти идентичны. Эффективными разрешениями будут Read и Change/Modify. Многие администраторы ошибочно полагают, что эффективные разрешения — только Read, из-за плохих, чрезмерно упрощенных примеров или устаревшей документации.

В диалоговом окне Advanced Security Settings в Windows XP и более новых версиях появилась вкладка Effective Permissions (см. Экран 2). К сожалению, на вкладке Effective Permissions отражаются только разрешения NTFS. Не учитывается влияние разрешений Share, групп на базе действий, членства в которых пользователь не имеет, и других факторов, таких как файловая система с шифрованием (Encrypting File System — EFS). Если EFS активизирована для файла или папки, то пользователь с соответствующими разрешениями NTFS и Share может лишиться возможности доступа к объекту, если не имеет права доступа EFS к папке или файлу.

• Осмотрительно предоставлять разрешения Full Control обычным пользователям. Полезно назначить им вместо этого разрешение Modify. В большинстве случаев такой подход обеспечивает пользователям все необходимые разрешения, не позволяя изменять права или присваивать себе владение.
• Аккуратно работайте с группой Everyone; лучше использовать группу Authenticated Users (или Users), или специальную группу с ограниченными правами. Важные упущения группы Authenticated Users — отсутствие Guest и неаутентифицированного пользователя.
• Нередко сетевых администраторов просят ввести гостевые учетные записи для сторонних пользователей (например, консультантов, подрядчиков, внештатных программистов). Но права обычного пользователя часто избыточны для гостя. Следует сформировать и использовать группу, права которой по умолчанию сильно урезаны (например, разрешение Full Control-Deny для корневых каталогов), а затем явно разрешить доступ только к файлам и папкам, необходимым данной гостевой учетной записи. Явно назначаемые разрешения предпочтительны, поскольку предоставляют гостевым пользователям именно те разрешения, которые необходимы для их работы, но не больше.
• Следует проявлять осторожность, налагая запреты на группы Everyone и Users, так как администраторы входят и в эти группы.
• В случае доверительных отношений с другими доменами полезно применять одностороннее и селективное доверие, чтобы ограничить права пользователей доверенного домена.
• Необходимо периодически осуществлять аудит разрешений NTFS и Share, чтобы убедиться в том, что они максимально ограничены.

Используя эти рекомендации и справочные таблицы с кратким описанием всех разрешений, можно смело отправляться в лабиринт файловой системы. Администратор сможет уверенно назначать разрешения для файлов, папок, пользователей и групп.

Таблица 1. Сводка разрешений NTFS

Разрешение	Действие
	Обеспечивает просмотр, копирование, печать и переименование файлов, папок и объектов. Не позволяет запускать выполняемые программы, кроме файлов сценариев. Позволяет считывать разрешения объектов, атрибуты объектов и расширенные атрибуты (например, бит Archive, EFS). Позволяет составить список файлов и подпапок папки
	Разрешения чтения, плюс создание и перезапись файлов и папок
List (Folders Only)	Позволяет просматривать имена файлов и подпапок внутри папки
	Чтение разрешений и запуск программных файлов
	Предоставляет все разрешения, кроме возможности присвоить владение и назначать разрешения. Позволяет читать, удалять, изменять и перезаписывать файлы и папки
	Обеспечивает полное управление папками и файлами, в том числе позволяет назначать разрешения
Special Permissions	Позволяет составлять комбинации из 14 более детальных разрешений, которые не входят ни в одно из остальных 6 суммарных разрешений. К этой группе относится разрешение Synchronize

Таблица 2. Детальные разрешения NTFS

Разрешение	Действие
Traverse Folder / Execute File	Traverse Folder позволяет перемещаться по папкам для доступа к другим файлам и папкам, даже если субъект безопасности не имеет разрешений в транзитной папке. Применяется только к папкам. Traverse Folder вступает в силу, только если субъект безопасности не имеет разрешения Bypass traverse checking user (предоставляется группе Everyone по умолчанию). Execute File позволяет запускать программные файлы. Назначение разрешения Traverse Folder для папки не устанавливает автоматически разрешения Execute File для всех файлов в папке
List Folder / Read Data	Обеспечивает просмотр имен файлов и подпапок в папке. List Folder воздействует только на содержимое папки — оно не влияет на то, будет ли внесена в список папка, для которой назначается разрешение. Read Data позволяет просматривать, копировать и печатать файлы
	Субъект безопасности видит атрибуты объекта (например, Read-only, System, Hidden)
Read Extended Attributes	Субъект безопасности видит расширенные атрибуты объекта (например, EFS, Compression)
Create Files / Write Data	Create Files позволяет создавать файлы внутри папки (применяется только к папкам). Write Data позволяет вносить изменения в файл и перезаписывать существующий контент (применяется только к файлам)
Create Folders / Append Data	Create Folders позволяет создавать папки внутри папки (применяется только к папкам). Append Data позволяет вносить изменения в конец файла, но не изменять, удалять или перезаписывать существующие данные (применяется только к файлам)
Write Attributes	Определяет, может ли субъект безопасности записывать или изменять стандартные атрибуты (например, Read-only, System, Hidden) файлов и папок. Не влияет на содержимое файлов и папок, только на их атрибуты.
Write Extended Attributes	Определяет, может ли субъект безопасности записывать или изменять расширенные атрибуты (например, EFS, Compression) файлов и папок. Не влияет на содержимое файлов и папок, только на их атрибуты
Delete Subfolders and Files	Позволяет удалять подпапки и файлы, даже если разрешение Delete не предоставлено подпапке или файлу
	Позволяет удалять папку или файл. При отсутствии разрешения Delete для файла или папки ее можно удалить, если имеется разрешение Delete Subfolders and Files в родительской папке
Read Permissions
Change Permissions	Позволяет изменять разрешения (например, Full Control, Read, Write) файла или папки. Не позволяет изменять сам файл
	Определяет, кто может быть владельцем файла или папки. Владельцы всегда могут иметь Full Control, и их разрешения в файле или папке не могут быть постоянно отменены, если при этом не отменяется и право владения
	Администраторы редко используют это разрешение. Применяется для синхронизации в многопотоковых, многопроцессных программах и определяет взаимодействие между несколькими потоками, которые обращаются к одному ресурсу

Для чего в большинстве случаев в организации нужен сервер? Active Directory, RDS, сервер печати и еще куча мелких и крупных сервисов. Самая заметная всем роль, пожалуй, это файловый сервер. С ним люди, в отличие, от других ролей работают осознаннее всего. Они запоминают в какой папке что лежит, где находятся сканы документов, где их отчеты, где факсы, где общая папка, в которой можно все, куда доступ только одному из отделов, куда другому, а о некоторых они вообще не догадываются

О доступе к сетевым и локальным папкам на сервере я и хочу поговорить.

Доступ к общим ресурсам на сервере осуществляется, как все прекрасно знают, по протоколу SMB уже 3.0. Доступ по сети к папкам можно ограничивать SMB и NTFS-разрешениями. SMB-разрешения работают только при доступе к общей папке по сети и не имеют никакого влияния на доступность той или иной папки локально. NTFS-разрешения работают, как по сети, так и локально, обеспечивая намного больше гибкости в создании прав доступа. SMB и NTFS разрешения работают не отдельно, а дополняют друг друга, по принципу наибольшего ограничения прав.

Для того, чтобы отдать папку в общий доступ в Server 2012 в группе SMB Share Cmdlets , появился командлет New-SMBShare. На примере этого командлета мы увидим все возможности, доступные при создании общей папки, кроме кластерных конфигураций (это отдельная большая тема).

Создание новой общей папки выглядит очень просто:
net share homefolder=s:\ivanivanov /grant:"admin",full /grant:"folderowner",change /grant:"manager",read /cache:programs /remark:"Ivanov" или
new-smbshare homefolder s:\ivanivanov –cachingmode programs –fullaccess admin –changeaccess folderowner –readaccess manager –noaccess all –folderenumerationmode accessbased -description "Ivanov"

Разбираемся:

-name имя общей папки в сети, может отличаться от имени папки на локальном компьютере. Имеет ограничение в 80 символов, нельзя использовать имена pipe и mailslot.

Path путь к локальной папке, которую нужно отдать в общий доступ. Путь должен быть полным, от корня диска.

Cachingmode настройка автономности файлов в общей папке.

Что такое автономный файл?

Автономный файл – это копия файла, находящегося на сервере. Эта копия находится на локальном компьютере и позволяет работать с файлом без подключения к серверу. При подключении изменения синхронизируются. Синхронизируются в обе стороны: если вы сделали изменения в своем автономном файле – при следующем подключении файл на сервере будет изменен; если кто-то сделал изменения на сервере – то ваша локальная копия будет изменена. Если изменения произошли в обоих файлах сразу – получаем ошибку синхронизации и придется выбирать, какую версию сохранить. Для совместной работы использовать эту возможность я бы не стал, но если для каждого пользователя наделать шар и ограничить доступ для других чтением, без возможности записи получаем следующие плюшки:

• Работа не зависит от сети – может сгореть свитч, может перезагружаться сервер, может оборваться провод или выключиться точка доступа – пользователь работает со своей копией, не замечая, что у вас там какая-то авария, при восстановлении сетевого подключения его работа уходит на сервер.
• Пользователь может работать работу где угодно: на даче, в автобусе, в самолете – в тех местах, где подключение к VPN по каким-то причинам недоступно.
• Если даже пользователь работает через VPN, но подключение или очень медленное, или постоянно обрывается – проще работать с автономной копией и синхронизировать изменения, чем пытаться что-то сделать на сервере.
• Пользователь сам может выбирать что и когда синхронизировать, если дать ему такую возможность.

Принимает следующие значения:

• none – файлы недоступны автономно, для доступа к файлам нужен доступ к серверу
• manual – пользователи сами выбирают файлы, которые будут доступны автономно
• programs – все в папке доступно автономно (документы и программы (файлы с расширением *.exe, *.dll))
• documents – документы доступны, программы нет
• branchcache – кэширование вместо локального компьютера пользователя происходит на серверах BranchCache, пользователи сами выбирают автономные файлы

-noaccess, -readaccess, -changeaccess, -fullaccess разрешения общего доступа (share permissions).

У этих разрешений есть одно большое преимущество – они очень простые.

Noaccess secretary,steward – секретарше и завхозу нечего делать в общих папках бухгалтерии
-readaccess auditor – аудитор, проверяющий работу бухгалтерии может видеть имена файлов и подпапок в общей папке, открывать файлы для чтения, запускать программы.
-changeaccess accountant – бухгалтеры в своей общей папке могут создавать файлы и подпапки, изменять существующие файлы, удалять файлы и подпапки
-fullaccess admin – fullaccess это readaccess+changeaccess плюс возможность изменять разрешения.

При создании общей папки автоматически применяется наиболее ограничивающее правило – группе «Все» дается право на чтение.

Эти разрешения применяются только для пользователей, получивших доступ к общей папке по сети. При локальном входе в систему, например в случае терминального сервера, и секретарша и завхоз увидят в бухгалтерии все, что пожелают. Это исправляется NTFS-разрешениями. SMB-разрешения применяются ко всем файлам и папкам на общем ресурсе. Более тонкая настройка прав доступа осуществляется также NTFS-разрешениями.

Concurrentuserlimit c помощью этого параметра можно ограничить максимальное число подключений к папке общего доступа. В принципе, также можно использовать для ограничения доступа к папке, дополняя NTFS-разрешения, только надо быть точно уверенным в необходимом количестве подключений.

Description описание общего ресурса, которое видно в сетевом окружении. Описание – это очень хорошая вещь, которой многие пренебрегают.

Encryptdata шифрование

В SMB до версии 3.0 единственным способом защитить трафик от файлового сервера клиенту был VPN. Как его реализовать зависело полностью от предпочтений системного администратора: SSL, PPTP, IPSEC-туннели или еще что-нибудь. В Server 2012 шифрование работает из коробки, в обычной локальной сети или через недоверенные сети, не требуя никаких специальных инфраструктурных решений. Его можно включить как для всего сервера, так и для отдельных общих папок. Алгоритмом шифрования в SMB 3.0 является AES-CCM , алгоритмом хеширования вместо HMAC-SHA256 стал AES-CMAC . Хорошая новость в том, что SMB 3.0 поддерживает аппаратный AES (AES-NI), плохая новость в том, что Россия не поддерживает AES-NI.

Чем грозит включение шифрования? Тем, что работать с зашифрованными общими папками смогут только клиенты, поддерживающие SMB 3.0, то есть Windows 8. Причина опять же, максимально допустимое ограничение прав пользователей. Предполагается, что администратор знает, что он делает и при необходимости даст доступ для клиентов с другой версией SMB. Но так как SMB 3.0 использует новые алгоритмы шифрования и хеширования трафик клиентов с другой версией SMB шифроваться не будет, нужен VPN. Пустить всех клиентов на файловый сервер с включенным шифрованием поможет команда set-smbserverconfiguration –rejectunencryptedaccess $false
В конфигурации по умолчанию (запрещен нешифрованный трафик к зашифрованным общим папкам), при попытке доступа к папке клиента с версией SMB ниже 3.0 на клиенте мы получим «Ошибку доступа». На сервере в журнал Microsoft-Windows-SmbServer/Operational будет добавлено событие 1003, в котором можно будет найти IP-адрес клиента, пытавшегося получить доступ.

Шифрование SMB и EFS – это разные вещи, никак не связанные друг с другом, то есть его можно применять на FAT и ReFS томах.

Folderenumerationmode Это Access-Based Enumeration. С включенным Access-Based Enumeration пользователи, не имеющие доступа к общей папке, просто не увидят ее на файловом сервере и будет меньше вопросов, почему у меня нет доступа к той или этой папке. Пользователь видит свои доступные папки и не пытается лезть в чужие дела. По умолчанию – выключено.

• accessbased – включить
• unrestricted – выключить

-temporary Этот ключ создает временную общую папку, доступ к которой будет прекращен после перезагрузки сервера. По умолчанию создаются постоянные общие папки.

NTFS-разрешения

С помощью NTFS-разрешений мы можем более детально разграничить права в папке. Можем запретить определенной группе изменять определенный файл, оставив возможность редактирования всего основного; в одной и той же папке одна группа пользователей может иметь права изменения одного файла и не сможет просматривать другие файлы, редактируемые другой группой пользователей и наоборот. Короче говоря, NTFS-разрешения позволяют нам создать очень гибкую систему доступа, главное самому потом в ней не запутаться. К тому же NTFS-разрешения работают, как при доступе к папке по сети, дополняя разрешения общего доступа, так и при локальном доступе к файлам и папкам.

Существует шесть основных (basic) разрешений, которые являются комбинацией из 14 дополнительных (advanced) разрешений.

Основные разрешения

Полный доступ (fullcontrol) – полный доступ к папке или файлу, с возможностью изменять права доступа и правила аудита к папкам и файлам

Изменение (modify) – право чтения, изменения, просмотра содержимого папки, удаления папок/файлов и запуска выполняемых файлов. Включает в себя Чтение и выполнение (readandexecute), Запись (write) и Удаление (delete).

Чтение и выполнение (readandexecute) – право открывать папки и файлы для чтения, без возможности записи. Также возможен запуск выполняемых файлов.

Список содержимого папки (listdirectory) – право просматривать содержимое папки

Чтение (read) – право открывать папки и файлы для чтения, без возможности записи. Включает в себя Содержание папки / Чтение данных (readdata), Чтение атрибутов (readattributes), Чтение дополнительных атрибутов (readextendedattributes) и Чтение разрешений (readpermissions)

Запись (write) – право создавать папки и файлы, модифицировать файлы. Включает в себя Создание файлов / Запись данных (writedata), Создание папок / Дозапись данных (appenddata), Запись атрибутов (writeattributes) и Запись дополнительных атрибутов (writeextendedattributes)

Дополнительные разрешения

Я ставил на папку только 1 из 14 разрешений и смотрел, что получается. В реальном мире, в большинстве случаев хватает основных разрешений, но мне было интересно поведение папок и файлов с максимально урезанными правами.

Траверс папок / выполнение файлов (traverse) – право запускать и читать файлы, независимо от прав доступа к папке. Доступа к папке у пользователя не будет, (что находится в папке останется загадкой) но файлы в папке будут доступны по прямой ссылке (полный, относительный или UNC-путь). Можно поставить на папку Траверс папок, а на файл любые другие разрешения, которые нужны пользователю для работы. Создавать и удалять файлы в папке у пользователя не получится.

Чтение атрибутов (readattributes) – право просматривать атрибуты (FileAttributes) папки или файла.
Просматривать содержимое папки или файлов или изменить какие-либо атрибуты нельзя.

Чтение дополнительных атрибутов (readextendedattributes) – право просматривать дополнительные атрибуты папки или файла.

Единственное, что я смог найти по дополнительным атрибутам – это то, что они используются для обеспечения обратной совместимости с приложениями OS/2. (Windows Internals, Part 2: Covering Windows Server 2008 R2 and Windows 7). Больше мне о них ничего не известно.

Создание файлов / запись данных (writedata) – дает пользователю возможность создавать файлы в папке, в которую у него нет доступа. Можно копировать файлы в папку и создавать в папке новые файлы. Нельзя просматривать содержимое папки, создавать новые папки и изменять уже существующие файлы. Пользователь не сможет изменить какой-либо файл, даже если он является владельцем этого файла – только создавать.

Создание папок / дозапись данных (appenddata) – дает пользователю возможность создавать подпапки в папке и добавлять данные в конец файла, не изменяя существующее содержание.

Проверка

C созданием подпапок все понятно: ni c:\testperms\testappend –itemtype directory отработает, как ожидается - создаст в недоступной для просмотра пользователем папке testperms подпапку testappend. Попробуем добавить строку в конец файла – сэмулируем ведение какого-нибудь лога. newevent >> c:\testperms\user.log Отказано в доступе.
Хм… В CMD не работает. А если так. ac c:\testperms\user.log newevent ac: Отказано в доступе по пути "C:\testperms\user.log".
А по конвейеру? "newevent" | out-file c:\testperms\user.log -append out-file: Отказано в доступе по пути "C:\testperms\user.log".
И так не работает.

Начинаем сеанс черной магии: используем класс File, метод AppendText . Получаем объект лога.
$log = ::appendtext("c:\testperms\user.log") Исключение при вызове "AppendText" с "1" аргументами: "Отказано в доступе по пути "c:\testperms\user.log"."
Думаю, что AppendAllText пробовать уже не стоит
$log = ::appendalltext("c:\testperms\user.log","newevent") Исключение при вызове "AppendAllText" с "2" аргументами: "Отказано в доступе по пути "c:\testperms\user.log"."
Дело, в принципе, ясное. Только права на дозапись данных в файл вышеперечисленным способам не хватает, им нужна запись в файл. Но вместе с этим мы дадим возможность на изменение файла, а не только добавление записей, то есть открываем потенциальную возможность уничтожить все содержимое файла.

Нам нужно пересмотреть концепцию: давайте будем не получать объект лога, а создадим новый, в котором зададим все интересующие нас параметры. Нам нужно что-то где мы можем явно указать права доступа. Нам нужен FileStream , а конкретнее нам поможет FileStream Constructor (String, FileMode, FileSystemRights, FileShare, Int32, FileOptions) . Нужны следующие параметры:

• Путь к файлу – понятно
• Как открывать файл – открыть файл и найти конец файла
• Права доступа к файлу – дозапись данных
• Доступ для других объектов FileStream – не нужен
• Размер буфера – по умолчанию 8 байт
• Дополнительные опции - нет

Получается примерно так:
$log = new-object io.filestream("c:\testperms\user.log",::append,::appenddata,::none,8,::none)
Работает! Объект лога мы создали, попробуем туда что-нибудь записать . Метод FileStream.Write принимает входящие значения в байтах. Перегоняем событие, которое мы хотим записать, в байты – класс Encoding , метод GetEncoding (нам не нужны кракозябры на выходе) и GetBytes (собственно, конвертирование)
$event = "Произошло новое событие." $eventbytes = ::getencoding("windows-1251").getbytes($event)
Параметры FileStream.Write:
Что писать; откуда начинать писать; количество байт, которые нужно записать
Записываем:
$log.write($eventbytes,0,$eventbytes.count)
Проверяем.
gc c:\testperms\user.log gc: Отказано в доступе по пути "C:\testperms\user.log ".
Все нормально, у пользователя нет прав на просмотр написанного. Перелогиниваемся под администратором.
gc c:\testperms\user.log Произошло новое событие.
Все работает.

Папке, в которой находится файл кроме разрешения Создание папок / дозапись данных должно быть еще выдано разрешение Содержание папки / Чтение данных. На файл хватает только Создание папок / дозапись данных с отключенным наследованием. Полностью оградить пользователя (а пользователем может быть и злоумышленник) от файлов, в которые он должен что-то писать не получится, но с другой стороны, кроме списка файлов в папке, пользователь ничего не увидит и не сможет сделать.

Вывод из этого простой: в батниках реализовать безопасное логирование чего-либо не получится, PowerShell спасает умение работать c .NET объектами.

Запись атрибутов (writeattributes) – разрешаем пользователю изменять атрибуты файла или папки. Вроде все просто. Но вот только что ответить на вопрос: «Фотографии моих котиков занимают почти все место в моем профиле и у меня не остается места для деловой переписки. Я бы хотел сжать папку с котиками, но у меня требуют прав администратора. Вы же говорили, что у меня есть право менять атрибуты папок. Это же атрибут? Почему я не могу его поменять?»

Да, пользователю с правом записи атрибутов можно менять почти все видимые атрибуты файлов и папок, кроме атрибутов сжатия и шифрования. Технически, пользователю дается право выполнять функцию SetFileAttributes . А сжатие файлов выполняется функцией DeviceIOControl , которой нужно передать параметр FSCTL_SET_COMPRESSION и сжатие файлов является далеко не единственной ее работой. С помощью этой функции мы можем управлять всеми устройствами и их ресурсами в системе и, наверное, дать пользователю это право на выполнение этой функции означает сделать его администратором.

С шифрованием история похожа: функция EncryptFile , которая как раз и отвечает за шифрование, требует, чтобы у пользователя были права Содержание папки / Чтение данных, Создание файлов / Запись данных, Чтение атрибутов, Запись атрибутов и Синхронизация на объект. Без них ничего не получится.

Запись расширенных атрибутов (writextendedattributes) . Ну это тех, которые используются для обратной совместимости с приложениями OS/2, ага. Ну, а еще в расширенные атрибуты файла C:\Windows\system32\services.exe с недавних пор начали записывать троянов (ZeroAccess.C). Может быть стоит их отключать на самом верхнем уровне? На этот вопрос я не могу дать ответ, теоретически – может быть и стоит, практически в продакшене – я не пробовал.

Удаление подпапок и файлов. (deletesubdirectoriesandfiles) Интересное разрешение, применяемое только к папкам. Суть в том, чтобы разрешить пользователю удалять подпапки и файлы в родительской папке, не давая разрешения Удаление.

Допустим, есть каталог товаров, в который пользователи заносят данные. Есть родительская папка Catalog, внутри подпапки по алфавиту, от A до Z, внутри них какие-нибудь наименования. Наименования меняются каждый день, что-то добавляется, что-то изменяется, что-то устаревает и устаревшую информацию нужно удалять. Но будет не очень хорошо, если кто-нибудь по запарке или злому умыслу грохнет весь каталог K, что очень возможно, если у пользователей есть право Удаление. Если забрать у пользователей право Удаление, то администратору можно смело менять работу, потому что он весь день будет выполнять запросы на удаление того или иного наименования.

Вот тут и включается Удаление подпапок и файлов. На всех буквах алфавита отключается наследование и пользователям добавляется право Удаление подпапок и файлов. В итоге, в папке catalog пользователи не смогут удалить ни одну букву, но внутри букв могут удалять все, что угодно.

Удаление (delete). Здесь все просто. Удаление - это удаление. Не работает без права Чтение.

Чтение разрешений (readpermissions) дает право пользователю просматривать разрешения на папке или файле. Нет права – пользователь не видит разрешения на вкладке «Безопасность»

Смена разрешений (changepermissions) – разрешает пользователю менять разрешения, по сути делает пользователя администратором папки. Можно использовать, например, для делегирования полномочий техподдержке. Без права чтения разрешений не имеет никакого смысла. Смена разрешений не подразумевает смену владельца папки.

Смена владельца (takeownership) – для начала, кто такой владелец. Владелец – это пользователь, создавший файл или папку.

Особенностью владельца является то, что у него есть полный доступ к созданной папке, он может раздавать разрешения на свою созданную папку, но что важнее – никто не может лишить владельца права изменять разрешения на его папку или файл. Если Вася создал папку, дал полный доступ Пете, а Петя зашел и грохнул доступ пользователей к папке вообще и Васи в частности, то Вася без особого труда может восстановить статус-кво, так как он является владельцем папки. Изменить владельца папки Петя не сможет, даже если у него есть разрешение Смена владельца. Более того, даже Вася не может изменить владельца, несмотря на то, что папку создал он. Право Смена владельца относится только к группе Администраторы или Администраторы домена.

Но если Петя внутри Васиной папки создал файл и не дал Васе доступа к нему, то Васе остается только думать и гадать, что же внутри этого файла такого секретного. Вася не сможет изменить права доступа к файлу, потому что владельцем файла является Петя. Также Вася не сможет изменить владельца файла – изменение владельца подконтейнеров и объектов также является привилегией группы Администраторы, к которой Вася не относится. Единственный оставшийся у Васи вариант – смотреть на Петин файл внутри своей папки.

Управляем

В CMD для управления разрешениями используется хорошо всем известная icacls. В PowerShell управление NTFS-разрешениями выглядит примерно так:

Получить объект, на который мы будем устанавливать разрешения
$acl = get-acl c:\testperms
Соорудить строку с правами с помощью класса System.Security.AccessControl.FileSystemAccessRule . Можем задать следующие параметры:

• группа/имя пользователя – для кого делаем ACL
• разрешение – ACE (принимает значения, указанные в посте)
• применяется к – в GUI это выпадающий список в дополнительных параметрах безопасности. На самом деле принимает всего 3 значения: none (только к этой папке), containerinherit (применяется ко всем подпапкам), objectinherit (применяется ко всем файлам). Значения можно комбинировать.
• применять эти разрешения к объектам и контейнерам только внутри этого контейнера (чекбокс в GUI) – также 3 значения: none (флажок снят), inheritonly (ACE применяется только к выбранному типу объекта), nopropagateinherit (применять разрешения только внутри этого контейнера).
• правило – разрешить (allow) или запретить (deny)

Строка с правами по умолчанию будет выглядеть так:
$permission = “contoso.com\admin”,”fullcontrol”,”containerinherit,objectinherit”,”none”,”allow”
Сделать новую ACE с определенными выше разрешениями
$ace = new-object security.accesscontrol.filesystemaccessrule $permission
И применить свежесозданную ACE к объекту
$acl.setaccessrule($ace) $acl | set-acl c:\testperms

Применяем на практике

Вооружившись знаниями о SMB и NTFS разрешениях, комбинируя их можно создавать правила доступа абсолютно любой сложности. Несколько примеров:

Тип	SMB-разрешения	NTFS-разрешения
Папка для всех (Public)	Пользователи – Чтение/запись	Пользователи – Изменение
Черный ящик. Пользователи скидывают конфиденциальные отчеты, предложения, кляузы – руководство читает.	Пользователи – Чтение/запись Руководство – Чтение/запись	Пользователи – Запись, применяется Только для этой папки. Предполагается, что запись файла в эту папку – билет в один конец, так как удобного способа редактирования без права Просмотр содержимого папки сохраненных в этой папке файлов не существует (удобного для пользователей способа записи в такую папку, кстати, тоже не существует). А просмотр нарушает конфиденциальность. Руководство – Изменение.
Приложения	Пользователи – Чтение	Пользователи – Чтение, Чтение и выполнение, Просмотр содержимого папки. Естественно, некоторые приложения могут требовать дополнительных прав для своей работы. Но в общем случае, например, хранение системных утилит для диагностики (того же SysInternals Suite) этого вполне хватает.
Профили пользователей	Каждому пользователю – Чтение/запись на его папку	Каждому пользователю – Изменение на его папку.

Разрешения в Windows – противоречивая штука. С одной стороны – основные разрешения довольно просты и покрывают 90% случаев. Но когда начинает требоваться более тонкая настройка: разные группы пользователей, одна папка, требования безопасности к общим папкам – то разобраться с дополнительными разрешениями, наследованиями и владельцами бывает довольно сложно.

Надеюсь, я не запутал никого еще больше.