Управление разрешениями на файлы и папки
Данная лабораторная работа посвящена вопросам управления разрешениями на файлы и папки Windows. Правильно настроенное управление доступом к файлам позволяет избежать многих проблем, связанных с безопасностью, как на рабочей станции, так и на серверах (в особенности, выполняющих роль файлового сервера).
Пользователи (как доменные, так и локальные), группы пользователей и компьютеры (далее будем называть их всех субъектами) имеют уникальные идентификаторы безопасности – SID. Под этим идентификатором система и "знает" субъекта. SID имеет уникальное значение в пределах домена и формируется во время создания пользователя или группы, либо когда компьютер регистрируется в домене.
Когда пользователь при входе в систему вводит имя и пароль, ОС выполняет проверку правильности пароля и, если пароль правильный, создает маркер доступа для пользователя. Маркер включает в себя SID пользователя и все SID'ы групп, в которые данный пользователь входит.
Для объектов, подлежащих защите (таких как файлы, папки, реестр Windows), создается дескриптор безопасности. С ним связывается список управления доступом (Access Control List – ACL), который содержит информацию о том, каким субъектам даны те или иные права на доступ к данному объекту. Чтобы определить, можно ли предоставить запрашиваемый субъектом тип доступа к объекту, ОС сравнивает SID в маркере доступа субъекта с SID, содержащимися в ACL.
Разрешения суммируются, при этом запрещения являются более приоритетными, чем разрешения. Например, если у пользователя есть разрешение на чтение файла, а у группы, в которую он входит – на запись, то в результате пользователь сможет и читать, и записывать. Если у пользователя есть разрешение на чтение, а группе, в которую он входит, чтение запрещено, то пользователь не сможет прочитать файл.
Если говорить о файлах и папках, то механизмы защиты на уровне файловой системы поддерживаются только на дисках с файловой системой NTFS. Файловая система FAT (и ее разновидность – FAT32) не предполагает возможности хранения ACL, связанного с файлом.
Теперь перейдем к практической части работы. Выполняться она будет на компьютере с операционной системой Windows Server 2008, входящем в домен. Для выполнения работы понадобятся две учетные записи – администратора (далее будем называть его Administrator) и пользователя, не входящего в группу администраторов (будем называть его TestUser). Также понадобится тестовая группа (TestGroup). Все группы и учетные записи доменные, поэтому управление ими будем производить с помощью оснастки Active Directory Users and Computers.
Начнем с того, что работая под учетной записью Administrator, создадим новую папку Test. В ее свойствах выберем вкладку Security (рис. 9.1). В отличие от предыдущих версий операционных систем Windows, в Windows Vista и Windows Server 2008 на этой вкладке можно только просматривать имеющиеся разрешения. Чтобы их изменять, надо нажать кнопку Edit, что даст возможность изменять список контроля доступа к файлу (рис. 9.2).
Рис. 9.1. Просмотр разрешений
Рис. 9.2. Изменение разрешений
Задание
Выполните действия, аналогичные описанным выше. Убедитесь, что пользователь TestUser отсутствует в списке доступа к папке, но есть в группе Users (последнее проверяется с помощью оснастки Active Directory Users and Computers, т.к. пользователь и группа доменные).
Выполните переключение пользователей, зайдите в систему под учетной записью TestUser, попробуйте открыть папку и создать в ней новый файл. Какие из этих действий удались? Почему?
Снова выполните переключение пользователей. Под учетной записью Administrator добавьте в список доступа к файлу пользователя TestUser и дайте ему разрешение на изменение (modify). Пробуйте снова выполнить задание.
Как мы убедились, можно добавлять пользователей в список доступа. Теперь попробуем под учетной записью Administrator удалить группу Users. Сделать это не удастся и появится предупреждение (рис. 9.3) о том, что эти разрешения наследуются от родительского объекта. Для того чтобы отменить наследование, надо на вкладке Security (рис. 9.1) нажать кнопку Advanced. В появившемся окне (рис. 9.4) видно, что отмечено свойство Include inheritable permissions from this object's parent. Это значит, что объект наследует родительский ACL, а в его собственный можно только добавлять разрешения или запрещения. Если нажать кнопку Edit и сбросить эту галочку, будет задан вопрос, что делать с унаследованным списком – его можно скопировать ( Copy ) в ACL объекта или убрать (Remove). Чаще всего чтобы не потерять нужные настройки, выполняется копирование, а потом уже список исправляется.
Рис. 9.3. Предупреждение
Рис. 9.4. Дополнительные параметры безопасности
Задание
Удалите группу Users из ACL для папки.
Если редактировать разрешения пользователя из окна дополнительных параметров безопасности, то увидим список разрешений, отличный от того, что был ранее (рис. 9.5).
Рис. 9.5. Специальные разрешения
Это так называемые специальные разрешения. Стандартные разрешения (чтение/read, запись/write и т.д.) состоят из специальных. Соответствие между ними описано на рис. 9.6 (набор разрешений для папок и файлов несколько отличается, но понять, какие к чему относятся, можно по названиям). Более подробно с этой темой можно ознакомиться, например, по справочной системе Windows.
Рис. 9.6. Соответствие между специальными и стандартными разрешениями
Как уже ранее отмечалось, при определении разрешения на доступ, учитываются разрешения и запрещения, как для самого пользователя, так и для всех групп, в которые он входит. Для того чтобы узнать действующее (эффективное) разрешение, можно воспользоваться вкладкой Effective Permissions (рис. 9.4). Там, нажав кнопку Select, можно выбрать пользователя или группу, для которой будет показано эффективное разрешение.
Задание
Проверьте, чтобы у пользователя TestUser на папку, с которой работаем, было разрешение modify. Проверьте действующее эффективное разрешение.
Не заканчивая сеанса пользователя, переключитесь в сеанс пользователя Administrator. Добавьте в список разрешений на папку запрещение для группы TestGroup всех видов доступа (выберите Deny для разрешения Full Control). Внесите пользователя TestUser в группу TestGroup. Посмотрите эффективное разрешение для пользователя TestUser.
Переключитесь в сеанс пользователя TestUser. Попробуйте открыть папку и создать документ. Завершите сеанс TestUser (выполните выход из системы) и снова войдите в систему. Повторно попробуйте открыть папку и создать документ. Как можно объяснить полученный результат (подсказка есть в начале описания лабораторной)?
Теперь рассмотрим вопросы, связанные с владением папкой или файлом. Пользователь, создавший папку или файл, становится ее владельцем. Текущего владельца объекта можно узнать, если в окне дополнительных параметров безопасности (рис. 9.4) выбрать вкладку Owner.
Владелец файла может изменять разрешения на доступ к этому файлу, даже в том случае, если ему самому доступ запрещен.
Порядок смены владельца файла в Windows Server 2008 отличается от того, что было в предыдущих версиях ОС. Ранее, администратор или пользователь, имеющий на файл (папку) право Take Ownersh IP, могли стать владельцами файла. Причем, владельцем мог быть или конкретный пользователь, или группа Администраторы (Adminisrators) – другую группу владельцем было не назначить.
В Windows Server 2008 администратор (или член группы администраторов) может не только сам стать владельцем, но и передать право владения произвольному пользователю или группе. Но эта операция рассматривается как привилегированная, и доступна не всякому пользователю, имеющему право на файл.
На рис. 9.7 показано, что Администратор сделал владельцем папки Test группу TestGroup.
Рис. 9.7. Смена владельца объекта
Задание
Выполните передачу права владения группе TestGroup, куда входит пользователь TestUser. Зайдя под этой учетной записью, измените разрешения так, чтобы TestUser смог работать с папкой.
Рис. 9.8. Разрешения на общую папку
При использовании компьютера с Windows Server 2008 в качестве файлового сервера, важно учитывать, что на предоставляемые в общий доступ папки, отдельно устанавливаются разрешения, регулирующие доступ к ним по сети. Сделать это можно в свойствах папки на вкладке Sharing (рис. 9.8). В этом случае, при доступе по сети действуют и разрешения на общую папку, и разрешения NTFS. В результате получаем наиболее строгие ограничения. Например, если на общую папку установлено "только чтение", а в разрешениях NTFS – "изменение", то в итоге, подключающийся по сети пользователь сможет только читать файлы. А тот же пользователь при локальном доступе получает право на изменение (разрешения на общую папку влиять не будут).
Лабораторная работа 10