Копирование и перемещение файлов и папок
Чтобы выполнить операцию копирования, пользователь должен обладать правами на чтение и запись. Пользователь, выполняющий операцию, становится владельцем новой папки или файла.
Случай №1.
При копировании файлов и папок в рамках одного раздела системы NTFS, а также при копировании и перемещении на другой раздел NTFS, права доступа наследуются от папки назначение.
Случай №2.
При перемещении файлов и папок в рамках одного раздела NTFS. Пользователь выполнивший перемещении получает статус создателя-владельца. И при перемещении\копировании на файловую систему FAT права теряются.
Рекомендации по планированию разрешений:
1. Все файлы группируются по папкам, для того чтобы разрешения можно было установить для папок, а не для отдельных файлов.
2. Установить для пользователей только необходимый уровень доступа.
3. Создать группы согласно необходимому типу доступа, отдельным пользователям определять разрешения только в случае необходимости.
4. Для папок с данными и файлами приложений рекомендуется устаавливать разрешение на чтение и выполнение для групп администраторы и пользователи.
5. Для папок с общими данными устанавливается чтение и запись для пользователей, и полный доступ к создателю\владельцу. За счет пользователи смогут изменять свои документы, а чужие документы только читать.
6. Запрещать разрешения можно, только если необходимо запретить отдельный тип доступа определенному пользователю или группе.
7. Поощрять пользователей в установке разрешений для файлов и папок которые они создают.
Проблема с разрешениями
1. Пользователь обращается к администратору с вопросом «не могу получить доступ к файлу или папке»
2. Администратор добавляет пользователя в группу, которая работает с файлами из определенной папки. Пользователь сообщает администратору, что доступ к файлу невозможен.
3. Пользователь, добравшись до папки, удаляет оттуда файл, хотя разрешения на удаления файла у него не было.
Аудит
Это процесс отслеживания действий пользователя и действий операционной системы Windows, называемых событиями. Подсистема аудита это инструмент для поддержания безопасности сети и одна из функций групповой политики. Необходимы условия установки и администрирования Аудита – это наличие права пользователя, которая называется управление аудитом и журналом безопасности. И по умолчанию этим правом обладает только группа администраторов. Все события отслеживаются в журнале безопасности, каждая запись в журнале содержит сведения о выполненном действии, о пользователе выполнившим действие, о событии, произошедшем при этом, о дате и времени наступления события. А также о том было ли событие успешным. Политика аудита определяет, какие типы событий система должна записывать в журнал безопасности.
Чтобы отследить подключение к сети пользователей, не имеющих учетные записи проверять доступ к ресурсам в журнале нужно для группы «Все», а не для группы «Пользователи».
Настройка аудита выполняется в два действия:
1. Задание политики аудита. Выбираются типы событий подлежащих регистрации. В параметрах указывается какие попытки следует отслеживать удачные или не удачные. Чтобы настраивать параметры используется оснастка «Групповая политика» и раздел «Локальные политики»
| Параметр | Успех | Неудача |
| 1)Вход в систему под заданной учетной записью (только если компьютер входит в состав домена) | + | + |
| 2)Управление учетными записями (создание, изменение, удаление, переименование, включение\выключение учетной записи, а также изменение пароля) | + | + |
| 3)Для регистрации событий этого типа надо сконфигурировать аудит для определенных объектов Active Directory. | + | + |
| 4)Вход в систему локальный или вход через сеть | + | + |
| 5)Доступ к объектам, файлам, папкам, принтерам, но при этом сами объекты нужно настроить для аудита | ||
| 6)Изменение системной политики (изменение пользовательских параметров безопасности, прав пользователя и политики аудита) | ||
| 7)Использование привилегий | ||
| 8)Отслеживание процесса (отслеживание выполнения дейсвтий программами) | ||
| 9)Системные события (перезапуск или выключения компьютера, а также события влияющие на безопасность системы) |
2. Разрешение аудита для заданных ресурсов.
Чтобы настроить аудит для папки файла или принтера нужно в свойствах объекта выбрать кнопку «Дополнительно», а затем вкладку «Аудит».
| Доступ | Успех | Неудача |
| 1)Переход в папку\выполнение файла | + | + |
| 2)Получение списка файлов чтения данных | ||
| 3)Чтение атрибутов | ||
| 4)Чтение расширенных атрибутов | ||
| 5)Создание файлов и запись данных | ||
| 6)Запись атрибутов и запись расширенных атрибутов | ||
| 7)Удаление вложенных файлов и папок | ||
| 8)Удаление самого объекта | ||
| 9)Чтение разрешений | ||
| 10)Смена разрешений и смена владельца |
Для принтера отслеживается печать на принтере, управление принтером, управление документами, чтение разрешений, смена владельца и смена разрешений.
Для просмотра журнала безопасности запускается средство Event Viewer, которое отображает информацию из журнала
1) Error – указывает на серьезную ошибку или сбой в системе
2) Warning – указывает на вероятность возникновения ошибки
3) Information – уведомление, описывающее действие успешно выполненное приложением, драйвером или службой
4) Auditing – Аудит. Отображение сообщений об успешных и неуспешных попытках доступа к контролируемому ресурсу.
Все события записываются в журналы, наиболее распространенными из которых являются
1) Application Log – в журнале приложений записываются события виде сообщений приложений. В нем содержатся сообщения первых трех типов.
2) System log – Журнал системы. Сообщения записывают системные компоненты Windows. Записываются сообщения о неудачной загрузке компонентов системы при запуске. . В нем содержатся сообщения первых трех типов.
3) Security Log – Журнал безопасности. Содержит события аудит, такие как удачные и неудачные входы в систему и доступ к ресурсам.
Настройка аудита в зависимости от требований сети:
1. Успешное использование ресурсов, если эта информация необходима для планирования
2. Успешное использование важной и конфидециальной информации.