Instytut Elektroniki
Wydział Automatyki, Elektroniki i Informatyki
Politechniki Śląskiej
SIECI KOMPUTEROWE
LABORATORIUM
Instrukcja do ćwiczenia nr 3
Gliwice 2011
Ćwiczenie 3
Poufność i bezpieczeństwo w
systemie Windows Server cz.I.
Lokalne konta użytkowników i
grup
3.1 Wstęp
Celem ćwiczenia jest zapoznanie uczestnika laboratorium Sieci Kompute-
rowych z zagadnieniami poufności i bezpieczeństwa systemu Windows Server
oraz tworzeniem lokalnych kont użytkowników i grup.
Po zainstalowaniu i skonfigurowaniu serwera Windows, głównym zadaniem
administratora systemu jest zarządzanie zasobami tegoż serwera. W ćwicze-
niu omówione zostaną wybrane aspekty związane z administrowaniem lokal-
nymi kontami użytkowników i grup oraz zasobami dyskowymi z systemem
plików New Technology File System (NFS).
3.2 Zarządzanie lokalnymi użytkownikami i
grupami
Do typowych zadań administratora serwera Windows należy zarządzanie
lokalnymi użytkownikami i grupami.
Do zadań związanych bezpośrednio z zarządzaniem użytkownikami zaliczyć
można:
Ćwiczenie 3 - Zarządzanie lokalnymi użytkownikami i grupami 3
" Tworzenie konta użytkownika lokalnego
" Resetowanie hasła dla konta użytkownika lokalnego
" Wyłączanie lub uaktywnianie konta użytkownika lokalnego
" Usuwanie konta użytkownika lokalnego
" Zmienianie nazwy konta użytkownika lokalnego
" Przypisywanie skryptu logowania kontu użytkownika lokalnego
" Przypisywanie folderu macierzystego kontu użytkownika lokalnego
Poniżej omówione zostaną sposoby i metody realizacji tych zadań.
3.2.1 Aby utworzyć konto użytkownika lokalnego
1. Otwórz przystawkę Zarządzanie komputerem
2. W drzewie konsoli kliknij węzeł Użytkownicy
Zarządzanie komputerem/Narzędzia systemowe/
Użytkownicy i grupy lokalne/Użytkownicy
3. W menu Akcja kliknij polecenie Nowy użytkownik
4. W wyświetlonym oknie dialogowym wpisz odpowiednie informacje
5. Zaznacz lub wyczyść następujące pola wyboru:
" Użytkownik musi zmienić hasło przy następnym logowaniu
" Użytkownik nie może zmienić hasła
" Hasło nigdy nie wygasa
" Konto jest wyłączone
3.2.2 Aby zresetować hasło dla konta użytkownika lo-
kalnego
1. Otwórz przystawkę Zarządzanie komputerem.
2. W drzewie konsoli kliknij węzeł Użytkownicy.
Ćwiczenie 3 - Zarządzanie lokalnymi użytkownikami i grupami 4
Zarządzanie komputerem/Narzędzia systemowe/
Użytkownicy i grupy lokalne/Użytkownicy
3. Kliknij prawym przyciskiem myszy konto użytkownika, którego hasło
chcesz zresetować, a następnie kliknij polecenie Ustaw hasło.
4. Przeczytaj komunikat ostrzegawczy, a w celu kontynuacji kliknij przy-
cisk Kontynuuj.
5. W polach Nowe hasło i Potwierdz
hasło wpisz nowe hasło, a następnie
kliknij przycisk OK.
3.2.3 Aby wyłączyć lub uaktywnić konto użytkownika
lokalnego
1. Otwórz przystawkę Zarządzanie komputerem.
2. W drzewie konsoli kliknij węzeł Użytkownicy.
Zarządzanie komputerem/Narzędzia systemowe/
Użytkownicy i grupy lokalne/Użytkownicy
3. Kliknij prawym przyciskiem myszy konto użytkownika, które chcesz
zmienić, a następnie kliknij polecenie Właściwości.
4. Wykonaj jedną z następujących czynności:
" Aby wyłączyć zaznaczone konto użytkownika, zaznacz pole wybo-
ru Konto jest wyłączone.
" Aby uaktywnić zaznaczone konto użytkownika, wyczyść pole wy-
boru Konto jest wyłączone.
5. Gdy konto użytkownika zostanie uaktywnione, użytkownik może logo-
wać się normalnie.
3.2.4 Aby usunąć konto użytkownika lokalnego
1. Otwórz przystawkę Zarządzanie komputerem.
2. W drzewie konsoli kliknij węzeł Użytkownicy.
Zarządzanie komputerem/Narzędzia systemowe/
Użytkownicy i grupy lokalne/Użytkownicy
3. Kliknij prawym przyciskiem myszy konto użytkownika, które chcesz
usunąć, a następnie kliknij polecenie Usuń.
Ćwiczenie 3 - Zarządzanie lokalnymi użytkownikami i grupami 5
3.2.5 Aby zmienić nazwę konta użytkownika lokalnego
1. Otwórz przystawkę Zarządzanie komputerem.
2. W drzewie konsoli kliknij węzeł Użytkownicy
Zarządzanie komputerem/Narzędzia systemowe/
Użytkownicy i grupy lokalne/Użytkownicy
3. Kliknij prawym przyciskiem myszy konto użytkownika, którego nazwę
chcesz zmienić, a następnie kliknij polecenie Zmień nazwę.
4. Wpisz nową nazwę użytkownika, a następnie naciśnij klawisz ENTER
3.2.6 Aby przypisać skrypt logowania kontu użytkow-
nika lokalnego
1. Otwórz przystawkę Zarządzanie komputerem.
2. W drzewie konsoli kliknij węzeł Użytkownicy
Zarządzanie komputerem/Narzędzia systemowe/
Użytkownicy i grupy lokalne/Użytkownicy
3. Kliknij prawym przyciskiem myszy żądane konto użytkownika, a na-
stępnie kliknij polecenie Właściwości.
4. Na karcie Profil w polu Skrypt logowania wpisz nazwę pliku i ścieżkę
względną do skryptu.
3.2.7 Aby przypisać folder macierzysty kontu użytkow-
nika lokalnego
1. Otwórz przystawkę Zarządzanie komputerem.
2. W drzewie konsoli kliknij węzeł Użytkownicy.
Zarządzanie komputerem/Narzędzia systemowe/
Użytkownicy i grupy lokalne/Użytkownicy
3. Kliknij prawym przyciskiem myszy konto użytkownika, dla którego
chcesz określić folder macierzysty, a następnie kliknij polecenie Wła-
ściwości.
Ćwiczenie 3 - Zarządzanie lokalnymi użytkownikami i grupami 6
4. Na karcie Profil wykonaj jedną z następujących czynności:
" Aby określić lokalny folder macierzysty, kliknij opcję Ścieżka lo-
kalna, a następnie wpisz ścieżkę. Na przykład:
c:\użytkownicy\ewa
" Aby określić folder macierzysty na zasobie udostępnionym, kliknij
opcję Połącz, kliknij odpowiednią literę dysku, a następnie wpisz
ścieżkę sieciową. Na przykład:
\\airedale\użytkownicy\adam
Uwagi dotyczące zarządzania użytkownikami lokalnymi
" Aby wykonać te procedury, użytkownik musi być członkiem grupy Użyt-
kownicy zaawansowani lub Administratorzy na komputerze lokalnym
albo mieć delegowane odpowiednie uprawnienia. Jeśli komputer jest
przyłączony do domeny, procedury te być może będą mogli wykonać
członkowie grupy Administratorzy domeny.
" Ze względów bezpieczeństwa zalecane jest wykonanie tych procedur
przy użyciu funkcji Uruchom jako.
" Aby otworzyć przystawkę Zarządzanie komputerem, kliknij przycisk
Start, kliknij polecenie Panel sterowania, kliknij dwukrotnie ikonę
" Narzędzia administracyjne, a następnie kliknij dwukrotnie ikonę Zarzą-
dzanie komputerem.
" Nazwa użytkownika nie może być taka sama, jak jakakolwiek inna na-
zwa użytkownika lub grupy na administrowanym komputerze. Nazwa
może zawierać maksymalnie 20 znaków (małych i wielkich liter), z wy-
jątkiem następujących symboli:
" / \ [ ] : ; | = , + * ? < >
" Nazwa użytkownika nie może składać się z samych kropek (.) lub spacji.
" W polu Hasło i Potwierdz
hasło można wpisać hasło składające się z
maksymalnie 127 znaków. Jeśli sieć składa się jednak z komputerów z
zainstalowanym systemem Windows 95 lub Windows 98, należy korzy-
stać z haseł o maksymalnej długości 14 znaków. Jeśli hasło jest dłuższe,
zalogowanie się do sieci z tych komputerów może być niemożliwe.
Ćwiczenie 3 - Zarządzanie lokalnymi użytkownikami i grupami 7
" Gdy konto użytkownika jest wyłączone, użytkownik nie może się zalo-
gować.
" W okienku szczegółów konto jest wyświetlane ze znakiem X na ikonie.
" Jeśli trzeba usunąć konto użytkownika, zaleca się uprzednie wyłączenie
go. Mając pewność, że wyłączenie tych kont nie spowodowało proble-
mów, można je bezpiecznie usunąć.
" Usuniętego konta użytkownika nie można odzyskać.
" Skrypty logowania mogą zawierać destrukcyjne polecenia. Zaleca się
zapoznanie się z zawartością skryptu logowania przed przypisaniem go
użytkownikowi.
" Skrypty logowania przechowywane na komputerze lokalnym mają za-
stosowanie tylko do użytkowników logujących się na tym komputerze
lokalnym.
" Lokalne skrypty logowania muszą być przechowywane w folderze udo-
stępnionym o nazwie Netlogon lub w podfolderach tego folderu udostęp-
nionego. Jeśli folder ten nie istnieje domyślnie, należy go utworzyć. Aby
określić skrypt logowania przechowywany w podfolderze folderu Netlo-
gon, należy poprzedzić nazwę pliku względną ścieżką do tego folderu.
Aby na przykład przypisać użytkownikowi lokalnemu skrypt logowania
Start.bat przechowywany w folderze
\\NazwaKomputera\NetlogonNazwaFolderu,
w polu Skrypt logowania wpisz: przechowywany w folderze
NazwaFolderu\Startup.bat
" Folder Moje dokumenty jest wygodną alternatywą dla folderów macie-
rzystych, ale ich nie zastępuje. Każdy użytkownik ma folder Moje do-
kumenty na woluminie rozruchowym. Aby określić lokalizację folderu
użytkownika Moje dokumenty, zaloguj się jako dany użytkownik, kliknij
przycisk Start, kliknij prawym przyciskiem myszy polecenie Moje do-
kumenty, kliknij polecenie Właściwości i sprawdz
lokalizację określoną
na karcie Element docelowy.
Ćwiczenie 3 - Zarządzanie grupami 8
" Aby zmienić lokalizację docelową folderu Moje dokumenty, kliknij przy-
cisk Start, kliknij prawym przyciskiem myszy polecenie Moje dokumen-
ty, a następnie kliknij polecenie Właściwości. Na karcie Element doce-
lowy wpisz w obszarze Lokalizacja folderu docelowego nową lokalizację
folderu.
" Jeśli nie zostanie przypisany żaden folder macierzysty, system przypi-
sze domyślny lokalny folder macierzysty kontu użytkownika (w katalogu
głównym, gdzie pierwotnie zostały zainstalowane pliki systemu opera-
cyjnego).
" Aby określić ścieżkę sieciową folderu macierzystego, najpierw trzeba
utworzyć zasób udostępniony i ustawić uprawnienia zezwalające na do-
stęp użytkowników
3.3 Zarządzanie grupami
Do zadań związanych bezpośrednio z zarządzaniem grupami zaliczyć moż-
na:
" Tworzenie grupy lokalnej
" Dodawanie członka do grupy lokalnej
" Identyfikowanie członków grupy lokalnej
" Usuwanie grupy lokalnej
" Zezwalanie członkom grupy Logowanie anonimowe na członkostwo w
grupie Wszyscy na komputerze lokalnym
Poniżej omówione zostaną sposoby i metody realizacji tych zadań.
3.3.1 Aby utworzyć grupę lokalną
Przy użyciu interfejsu systemu Windows:
1. Otwórz przystawkę Zarządzanie komputerem.
2. W drzewie konsoli kliknij węzeł Grupy.
Zarządzanie komputerem/Narzędzia systemowe/
Użytkownicy i grupy lokalne/Grupy
Ćwiczenie 3 - Zarządzanie grupami 9
3. W menu Akcja kliknij polecenie Nowa grupa.
4. W polu Nazwa grupy wpisz nazwę nowej grupy.
5. W polu Opis wpisz opis nowej grupy.
6. Aby dodać członków do nowej grupy, kliknij przycisk Dodaj.
7. W oknie dialogowym Wybieranie użytkowników, komputerów lub grup
wykonaj następujące czynności:
" Aby dodać konto użytkownika lub grupy do danej grupy, w obsza-
rze Wprowadz
nazwy obiektów do wybrania wpisz nazwę konta
użytkownika lub konta grupy, które chcesz dodać do grupy, a na-
stępnie kliknij przycisk OK.
" Aby dodać konto komputera do danej grupy, kliknij opcję Typy
obiektów, zaznacz pole wyboru Komputery, a następnie kliknij
przycisk OK. W obszarze Wprowadz
nazwy obiektów do wybrania
wpisz nazwę konta komputera, które chcesz dodać, a następnie
kliknij przycisk OK.
8. W oknie dialogowym Nowa grupa kliknij przycisk Utwórz, a następnie
kliknij przycisk Zamknij.
Przy użyciu wiersza polecenia:
1. Otwórz okno wiersza polecenia.
2. Aby utworzyć grupę, wpisz:
net localgroup NazwaGrupy /add
3.3.2 Aby dodać członka do grupy lokalnej
Przy użyciu interfejsu systemu Windows:
1. Otwórz przystawkę Zarządzanie komputerem.
2. W drzewie konsoli kliknij węzeł Grupy.
Zarządzanie komputerem/Narzędzia systemowe/
Użytkownicy i grupy lokalne/Grupy
Ćwiczenie 3 - Zarządzanie grupami 10
3. Kliknij prawym przyciskiem myszy grupę, do której chcesz dodać człon-
ka, kliknij polecenie Dodaj do grupy, a następnie kliknij przycisk Dodaj.
4. W oknie dialogowym Wybieranie użytkowników, komputerów lub grup
wykonaj następujące czynności:
" Aby dodać konto użytkownika lub konto grupy do danej grupy,
w obszarze Wprowadz
nazwy obiektów do wybrania wpisz nazwę
konta użytkownika lub konta grupy, które chcesz dodać do grupy,
a następnie kliknij przycisk OK.
" Aby dodać konto komputera do danej grupy, kliknij opcję Typy
obiektów, zaznacz pole wyboru Komputery, a następnie kliknij
przycisk OK. W obszarze Wprowadz
nazwy obiektów do wybrania
wpisz nazwę konta komputera, które chcesz dodać do grupy, a
następnie kliknij przycisk OK.
Przy użyciu wiersza polecenia
1. Otwórz okno wiersza polecenia.
2. Aby dodać członka do grupy lokalnej Użytkownicy zaawansowani, wpisz:
net localgroup "NazwaGrupyUżytkownikówZaawansowanych"
"NazwaCzłonka"/add
Należy uwzględnić znaki cudzysłowów.
3.3.3 Aby zidentyfikować członków grupy lokalnej
Przy użyciu interfejsu systemu Windows:
1. Otwórz przystawkę Zarządzanie komputerem.
2. W drzewie konsoli kliknij węzeł Grupy.
Zarządzanie komputerem/Narzędzia systemowe/
Użytkownicy i grupy lokalne/Grupy
3. Kliknij prawym przyciskiem myszy grupę, której członków chcesz zi-
dentyfikować, a następnie kliknij polecenie Właściwości.
Ćwiczenie 3 - Zarządzanie grupami 11
Przy użyciu wiersza polecenia:
1. Otwórz okno wiersza polecenia.
2. Aby wyświetlić listę członków grupy Użytkownicy zaawansowani, wpisz:
net localgroup " NazwaGrupyUżytkownikówZaawansowanych "
Należy uwzględnić znaki cudzysłowów.
3.3.4 Aby usunąć grupę lokalną
Przy użyciu interfejsu systemu Windows:
1. Otwórz przystawkę Zarządzanie komputerem.
2. W drzewie konsoli kliknij węzeł Grupy.
Zarządzanie komputerem/Narzędzia systemowe/
Użytkownicy i grupy lokalne/Grupy
3. Kliknij prawym przyciskiem myszy grupę, którą chcesz usunąć, a na-
stępnie kliknij polecenie Usuń.
Przy użyciu wiersza polecenia:
1. Otwórz okno wiersza polecenia.
2. Aby usunąć grupę, wpisz:
net localgroup NazwaGrupy /delete
3.3.5 Aby zezwolić członkom grupy Logowanie anoni-
mowe na członkostwo w grupie Wszyscy na kom-
puterze lokalnym
1. Otwórz przystawkę Ustawienia zabezpieczeń lokalnych.
2. W drzewie konsoli kliknij dwukrotnie węzeł Zasady lokalne, a następnie
kliknij węzeł Opcje zabezpieczeń.
3. W okienku szczegółów kliknij prawym przyciskiem myszy pozycję Do-
stęp sieciowy: Zezwalaj na stosowanie uprawnień Wszyscy do anonimo-
wych użytkowników, a następnie kliknij polecenie Właściwości.
4. Na karcie Ustawienia zabezpieczeń lokalnych kliknij opcję Włączone.
Ćwiczenie 3 - Zarządzanie grupami 12
Uwagi dotyczące zarządzania grupami lokalnymi
" Aby otworzyć przystawkę Zarządzanie komputerem, kliknij przycisk
Start, kliknij polecenie Panel sterowania, kliknij dwukrotnie ikonę Na-
rzędzia administracyjne, a następnie kliknij dwukrotnie ikonę Zarzą-
dzanie komputerem.
" Aby otworzyć przystawkę Zarządzanie komputerem, kliknij przycisk
Start, kliknij polecenie Panel sterowania, kliknij dwukrotnie ikonę Na-
rzędzia administracyjne, a następnie kliknij dwukrotnie ikonę Zarzą-
dzanie komputerem.
" Aby otworzyć wiersz polecenia, kliknij przycisk Start, wskaż polece-
nie Wszystkie programy, wskaż polecenie Akcesoria, a następnie kliknij
polecenie Wiersz polecenia.
" Aby usunąć członka z grupy lokalnej, zaznacz konto użytkownika, konto
komputera lub konto grupy na liście Członkowie, a następnie kliknij
przycisk Usuń.
" Aby wykonać tę procedurę, użytkownik musi być członkiem grupy Użyt-
kownicy zaawansowani lub Administratorzy na komputerze lokalnym
albo mieć delegowane odpowiednie uprawnienia. Jeśli komputer jest
przyłączony do domeny, procedurę tę być może będą mogli wykonać
członkowie grupy Administratorzy domeny. Ze względów bezpieczeń-
stwa zalecane jest wykonanie tej procedury przy użyciu funkcji Uru-
chom jako.
" Domyślnie dołączenie grupy zabezpieczeń Wszyscy do tokenu dostępu
użytkownika anonimowego jest wyłączone.
" Jeśli komputer zostanie przyłączony do domeny, do grupy lokalnej moż-
na dodawać konta użytkowników, konta komputerów i konta grup z tej
domeny i z zaufanych domen.
" Nazwa grupy lokalnej nie może być taka sama jak nazwa innej grupy
grupy lub innego użytkownika na administrowanym komputerze lokal-
nym. Nazwa może zawierać maksymalnie 256 znaków (małych i wielkich
liter), z wyjątkiem następujących symboli:
" / \ [ ] : ; | = , + * ? < >
" Nazwa grupy nie może składać się wyłącznie z kropek (.) lub spacji.
Ćwiczenie 3 - System plików NTFS (New Technology File System) 13
" Nie można usunąć następujących grup domyślnych:
1. Administratorzy
2. Operatorzy kopii zapasowych
3. Goście
4. Operatorzy konfiguracji sieci
5. Użytkownicy dzienników wydajności
6. Użytkownicy monitora wydajności
7. Użytkownicy zaawansowani
8. Operatorzy drukowania
9. Użytkownicy pulpitu zdalnego
10. Replikator
11. Użytkownicy
" Ogranicz liczbę użytkowników w grupie Administratorzy, ponieważ człon-
kowie grupy Administratorzy na komputerze lokalnym mają uprawnie-
nia Pełna kontrola na tym komputerze.
" Po usunięciu grupy i utworzeniu nowej grupy o tej samej nazwie na-
leży ustawić nowe uprawnienia dla nowej grupy; nie odziedziczy ona
uprawnień przyznanych starej grupie.
" Usunięcie grupy lokalnej polega na usunięciu tylko grupy; nie oznacza
usunięcia kont użytkowników, kont komputerów ani kont grup, które
były członkami usuniętej grupy.
" Usuniętej grupy nie można odzyskać.
" Wszystkie prawa i uprawnienia przypisane danej grupie są przypisane
każdemu członkowi tej grupy.
3.4 System plików NTFS (New Technology
File System)
W podrozdziale zostaną podane najważniejsze informacje dotyczące za-
bezpieczania plików za pomocą uprawnień NTFS.
Podczas ustawiania uprawnień systemu plików NTFS należy przestrzegać
podanych niżej najważniejszych wskazówek:
Ćwiczenie 3 - System plików NTFS (New Technology File System) 14
1. Uprawnienia należy przypisywać raczej grupom, a nie użytkownikom.
Ponieważ bezpośrednie zarządzanie kontami użytkowników jest nieefek-
tywne, przypisywanie uprawnień bezpośrednio użytkownikom należy
stosować w sytuacjach wyjątkowych.
2. Jeśli jest to możliwe, należy unikać zmieniania domyślnych uprawnień
dla obiektów systemu plików, szczególnie w przypadku folderów sys-
temowych i folderów głównych. Zmiana uprawnień domyślnych może
spowodować nieoczekiwane problemy z dostępem lub obniżyć poziom
bezpieczeństwa.
3. Nigdy nie należy odmawiać dostępu do obiektu grupie Wszyscy. Jeśli
grupa Wszyscy nie będzie miała dostępu do obiektu, obejmie to również
administratorów. Lepszym rozwiązaniem jest usunięcie grupy Wszyscy,
pod warunkiem, że uprawnienia do tego obiektu będą przydzielane in-
nym użytkownikom, grupom lub komputerom. Może być również ko-
nieczne udzielenie uprawnienia Pełna kontrola grupie Administratorzy
i kontu System lokalny.
4. Dziedziczone uprawnienia Odmów nie uniemożliwiają dostępu do obiek-
tu, jeśli obiekt ma jawny wpis uprawnienia Zezwalaj. Jawne uprawnie-
nia mają wyższy priorytet od uprawnień odziedziczonych, nawet od
odziedziczonych uprawnień Odmów.
5. Uprawnienia Odmów powinny być używane tylko w następujących szcze-
gólnych przypadkach:
6. Aby wykluczyć podzbiór grupy mającej uprawnienia Zezwalaj.
7. Aby wykluczyć jedno specjalne uprawnienie, gdy użytkownikowi lub
grupie zostało już przypisane uprawnienie Pełna kontrola.
8. Należy zachować ostrożność podczas konfigurowania uprawnień NTFS
dla witryny sieci Web. Niewłaściwie ustawione uprawnienia mogą unie-
możliwić uprawnionym użytkownikom dostęp do żądanych plików i ka-
talogów. Na przykład nawet jeśli użytkownik ma właściwe prawa do
oglądania i wykonywania programu, może nie mieć uprawnień do do-
stępu do określonej biblioteki DLL, wymaganej do uruchomienia tego
programu. Aby zagwarantować użytkownikom bezpieczny i niezakłóco-
ny dostęp do plików, należy umieścić powiązane ze sobą pliki w tym sa-
mym katalogu, a następnie przypisać odpowiednie uprawnienia NTFS
do katalogu.
Ćwiczenie 3 - System plików NTFS (New Technology File System) 15
3.4.1 Hierarchia uprawnień
Standardowo, uprawnienia obiektów dziedziczone są przez pliki i podo-
biekty (podfoldery). Wyróżnić można dwa rodzaje uprawnień:
" Uprawnienia jawne - dołączane bezpośrednio do obiektu lub jednostki
organizacyjnej (OU), która może obejmować uprawnienia do plików i
folderów.
" Uprawnienia dziedziczone - propagowane od obiektu nadrzędnego do
obiektu podrzędnego.
3.4.2 Zaawansowane uprawnienia zabezpieczeń NTFS
Standardowe uprawnienia NTFS zapewniają wszystkie rodzaje kontroli,
wymagane do zabezpieczenia zasobów, istnieją jednak przypadki, w których
uprawnienia NTFS nie zapewniają specyficznego poziomu dostępu, jaki na-
leży przyznać użytkownikom. Aby stworzyć specyficzny poziom dostępu, na-
leży przypisać do zasobu uprawnienia specjalne. Lista uprawnień specjalnych
zapewniające dodatkowe poziomy dostępu do wykonania działań, na które
NTFS może zezwolić lub ich zabronić.
" Przechodzenie poprzez folder/Wykonanie pliku - uprawnienie Przecho-
dzenie poprzez folder zezwala lub zabrania na dostęp do pliku w sy-
tuacji, gdy użytkownik ten nie posiada odpowiednich uprawnień do
zawierającego ten plik katalogu, ale posiada je w stosunku do samego
pliku. Prawo to można stosować tylko do folderów. Uprawnienie to ma
zastosowanie tylko w stosunku do tych użytkowników i grup, którym
poprzez zasady grup nie przyznano prawa Pomijanie sprawdzania prze-
biegu. (domyślnie grupa Wszyscy otrzymuje prawo Pomijanie spraw-
dzania przebiegu). Ustawienie dla folderu uprawnienia Przechodzenie
poprzez folder nie powoduje automatycznego ustawienia Wykonanie
pliku. Uprawnienie Wykonanie pliku przyznaje lub odmawia użytkow-
nikowi prawa do uruchamiania plików zawierających programy. Prawo
to stosuje się jedynie do plików.
" Odczyt atrybutów - zezwala lub odmawia przeglądania atrybutów pliku
lub folderu takich jak Tylko do odczytu lub Ukryty
" Odczyt atrybutów rozszerzonych - zezwala bądz
odmawia przeglądania
rozszerzonych atrybutów pliku bądz
folderu. Niektóre rozszerzone atry-
buty definiują same aplikacje we właściwy dla siebie sposób. Należą do
nich również dwa atrybuty NTFS - kompresji i szyfrowania.
Ćwiczenie 3 - System plików NTFS (New Technology File System) 16
" Tworzenie plików/Zapis danych - zezwala bądz
odmawia prawa do two-
rzenia plików wewnątrz folderu. Zapis danych zezwala bądz
odmawia
prawa do dokonywania zmian w plikach i nadpisywania ich bieżącej
zawartości. Prawo to stosuje się jedynie do plików.
" Tworzenie folderów/Dołączanie danych - zezwala bądz
odmawia prawa
tworzenia podkatalogów wewnątrz folderu. Dołączanie danych zezwa-
la bądz
odmawia do dopisywania danych na końcu istniejącego pliku,
lecz nie do zmiany, usuwania lub nadpisywania istniejących już w nim
danych.
" Zapis atrybutów - zezwala bądz
odmawia prawa do zmieniania atrybu-
tów pliku lub folderu takich jak Tylko do odczytu, Ukryty.
" Zapis rozszerzonych atrybutów - zezwala bądz
odmawia prawa do zmie-
niania rozszerzonych atrybutów pliku lub folderu.
" Usuwanie podfolderów i plików - zezwala bądz
odmawia prawa do usu-
wania znajdujących się wewnątrz folderu plików zabezpieczeń podka-
talogów, nawet jeżeli użytkownik nie posiada uprawnienia Usuwanie do
usuwanego pliku lub podkatalogu.
" Usuwanie - zezwala bądz
odmawia prawa do usuwania plików i kata-
logów. Jeżeli użytkownik nie posiada uprawnienia Usuwanie do pliku
lub katalogu, ciągle może je usunąć o ile posiada uprawnienie Usuwanie
podfolderów i plików w stosunku do folderu nadrzędnego.
" Odczyt uprawnień - zezwala bądz
odmawia prawa do odczytywania
uprawnień zastosowanych do pliku lub folderu, takich jak Pełna kon-
trola, Zapis, Odczyt.
" Zmiana uprawnień - zezwala bądz
odmawia prawa do zmieniania upraw-
nień zastosowanych do pliku lub folderu takich jak Pełna kontrola, Za-
pis, Odczyt.
" Przejęcie na własność - Zezwala bądz
odmawia prawa do przejęcia pli-
ku lub folderu na własność. Właściciel pliku lub folderu może zawsze
zmienić jego uprawnienia, niezależnie od tego, jakie zastosowano upraw-
nienia w celu jego ochrony.
" Synchronizacja - zezwala bądz
odmawia prawa do tego, aby różne wątki
mogły oczekiwać na zwolnienie uchwytu do pliku zabezpieczeń w ten
sposób synchronizować się z innymi, sygnalizującymi to wątkami. Ten
Ćwiczenie 3 - System plików NTFS (New Technology File System) 17
rodzaj uprawnienia ma zastosowanie jedynie dla programów wielowąt-
kowych i wieloprocesorowych.
Uprawnienia zabezpieczeń mogą ulec zmianie w wyniku operacji kopio-
wania lub przenoszenia. Jeżeli plik lub folder jest kopiowany w obrębie te-
go samego woluminu NTFS, dziedziczy uprawnienia nowej lokalizacji. Jeżeli
plik lub folder jest przenoszony w obrębie tego samego woluminu NTFS, je-
go uprawnienia się nie zmieniają. Jeżeli plik lub folder jest kopiowany bądz

przenoszony na inny wolumin NTFS, dziedziczy uprawnienia nowej lokaliza-
cji. Należy również zapamiętać, jeżeli pliki lub foldery zostaną przeniesione na
wolumin FAT, utracą one posiadane uprawnienia NTFS, ponieważ woluminy
typu FAT nie obsługują uprawnień NTFS.
3.4.3 Uprawnienia do plików i folderów
Grupy lub użytkownicy, którym przyznano uprawnienie Pełna kontrola do
folderu, mogą usuwać z tego folderu dowolne pliki niezależnie od uprawnień
chroniących plik.
Uwagi
" Uprawnienia Wyświetlanie zawartości folderu oraz Odczyt i wykona-
nie są inaczej dziedziczone, chociaż mają takie same uprawnienia spe-
cjalne. Uprawnienie Wyświetlanie zawartości folderu jest dziedziczone
przez foldery, a nie przez pliki, i powinno się pojawiać tylko wtedy, gdy
użytkownik przegląda uprawnienia do folderu. Uprawnienie Odczyt i
wykonanie jest dziedziczone zarówno przez pliki, jak i przez foldery, i
jest widoczne zawsze wtedy, gdy użytkownik przegląda uprawnienia do
pliku lub do folderu.
" Aby uzyskać informacje dotyczące uprawnień i opis każdego uprawnie-
nia specjalnego, zobacz sekcję Tematy pokrewne.
" W rodzinie systemów Windows Server do grupy Wszyscy nie należą
domyślnie użytkownicy anonimowi, więc uprawnienia udzielone grupie
Wszyscy nie mają wpływu na grupę użytkowników anonimowych.
3.4.4 Połączone uprawnienia
Po wprowadzeniu różnorodnych uprawnień, określenie jaka ich kombina-
cja dotyczy konkretnego użytkownika może stać się skomplikowane. Jeżeli
folder ma uprawnienia udziału i uprawnienia zabezpieczeń, jak wpływa to na
Ćwiczenie 3 - System plików NTFS (New Technology File System) 18
Tabela 3.1: Uprawnienia do plików i folderów
Uprawnienia Pełna Mo Zapis Wyświet-
specjalne kon- dy- i lanie Od- Za-
tro- fika- wykona- zawartości czyt pis
la cja nie folderu
Przechodzenie
przez folder/ x x x x
Wykonywanie
pliku
Wyświetlanie
zawartości x x x x x
folderu/
Odczyt danych
Odczyt x x x x x
atrybutów
Odczyt
atrybutów x x x x x
rozszerzonych
Tworzenie
plików/ x x x
Zapis danych
Tworzenie
folderów/ x x x
Dołączanie
danych
Zapis x x x
atrybutów
Zapis atrybutów x x x
rozszerzonych
Usuwanie podfol- x
derów i plików
Usuwanie x x
Odczyt x x x x x x
uprawnień
Zmiana x
uprawnień
Przejęcie x
na własność
Synchroni- x x x x x x
-zowanie
Ćwiczenie 3 - System plików NTFS (New Technology File System) 19
dostęp użytkowników do zasobów ? Zapamiętać należy następujące zasady
łączenia uprawnień:
" Jeżeli użytkownik jest związany z wieloma uprawnieniami udziału, są
one łączone i przypisywany jest najwyższy poziom dostępu.
" Jeżeli użytkownik jest związany z wieloma uprawnieniami zabezpieczeń,
są one łączone i przypisywany jest najwyższy poziom dostępu.
" Jeżeli użytkownik jest związany z uprawnieniami udziału i uprawnienia-
mi zabezpieczeń zasobu, są one łączone i przypisywane są uprawnienia
bardziej restrykcyjne.
3.4.5 Przydziały i konwertowane woluminy NTFS
Przydziały dysku funkcjonują na wszystkich woluminach NTFS na kom-
puterach pracujących w systemach operacyjnych Windows 2000, Windows
XP/Vista/7 lub systemach z rodziny Windows Server. Pliki i woluminy prze-
konwertowane z systemu FAT lub FAT32 na system NTFS są automatycznie
przypisane administratorowi, dlatego dotyczące ich przydziały są powiązane
z kontem Administrator. Nie powoduje to jednak żadnych problemów, po-
nieważ administratorzy mogą wykorzystywać woluminy w nieograniczonym
zakresie. To zagadnienie dotyczy tylko plików istniejących przed konwersją na
system NTFS; pliki utworzone po konwersji należą do odpowiedniego użyt-
kownika. Przydziały dysku są tworzone na podstawie własności plików, dlate-
go zmiany wprowadzone na woluminie, które mają wpływ na stan własności
plików (w tym konwersja systemu plików), mogą wpływać na przydziały dys-
ku na woluminie. Przed skonwertowaniem istniejącego woluminu z jednego
systemu plików na inny należy rozważyć zmiany własności, które mogą wy-
nikać z konwersji.
3.4.6 Korzystanie z systemów plików NTFS z syste-
mami NFS
W systemie UNIX plik ma jednego właściciela i jest przypisany do poje-
dynczej grupy o określonych, przyznanych uprawnieniach (odczyt/zapis/wy-
konywanie). Osobne uprawnienia są przyznawane innym użytkownikom, któ-
rzy nie są członkami grupy będącej właścicielem pliku. System plików NTFS
umożliwia jednak przypisanie uprawnień do wielu użytkowników lub grup
niezależnie. Na przykład można określić, że użytkownik A może mieć dostęp
do odczytu i zapisu, a użytkownik B  dostęp tylko do odczytu. Ten sam
Ćwiczenie 3 - System plików NTFS (New Technology File System) 20
plik może także mieć określone uprawnienia dla jednej lub większej liczby
grup. Celem usługi Serwer systemu plików NFS jest zapewnianie spójnego,
intuicyjnego (oraz zrozumiałego dla użytkowników) mapowania uprawnień
do plików, z którymi mogą współpracować klienci systemu UNIX.
3.4.7 Ustawianie, przeglądanie, zmienianie lub usuwa-
nie uprawnień do plików i folderów
Aby ustawić, przeglądać, zmienić lub usunąć uprawnienia do plików i
folderów
1. Otwórz Eksploratora Windows.
2. Kliknij prawym przyciskiem myszy plik lub folder, dla którego chcesz
ustawić uprawnienia, kliknij polecenie Właściwości, a następnie kliknij
kartę Zabezpieczenia.
3. Wykonaj jedną z następujących procedur:
" Aby ustawić uprawnienia dla grupy lub użytkownika, których nie
ma w polu Nazwy grupy lub użytkownika, kliknij przycisk Dodaj.
Wpisz nazwę grupy lub użytkownika, dla których chcesz ustawić
uprawnienia, a następnie kliknij przycisk OK.
" Aby zmienić lub usunąć uprawnienia dla istniejącej grupy lub
użytkownika, kliknij nazwę grupy lub użytkownika.
4. Wykonaj jedną z następujących procedur:
" Aby udzielić lub odmówić uprawnienia, w polu Uprawnienia dla
użytkownik lub grupa zaznacz pole wyboru Zezwalaj lub Odmów.
" Aby usunąć grupę lub użytkownika z pola Nazwy grupy lub użyt-
kownika, kliknij przycisk Usuń.
Uwagi
" Aby otworzyć Eksploratora Windows, kliknij przycisk Start, wskaż po-
lecenie Wszystkie programy, wskaż polecenie Akcesoria, a następnie
kliknij polecenie Eksplorator Windows.
" W rodzinie systemów Windows Server grupa Wszyscy nie zawiera już
grupy Logowanie anonimowe.
Ćwiczenie 3 - System plików NTFS (New Technology File System) 21
" Uprawnienia do plików i folderów można ustawiać tylko na dyskach
twardych używających systemu plików NTFS.
" Aby zmienić uprawnienia, musisz być właścicielem lub mieć odpowied-
nie uprawnienia przyznane przez właściciela.
" Grupy lub użytkownicy, którym udzielono uprawnienia Pełna kontro-
la dla folderu, mogą usuwać pliki i podfoldery znajdujące się w tym
folderze niezależnie od uprawnień chroniących pliki i podfoldery.
" eśli pola wyboru w obszarze Uprawnienia dla użytkownik lub grupa są
zacieniowane lub jeśli przycisk Usuń jest niedostępny, oznacza to, że
plik lub folder odziedziczył uprawnienia po folderze nadrzędnym. Aby
uzyskać więcej informacji dotyczących wpływu dziedziczenia na pliki i
foldery, zobacz sekcję Tematy pokrewne.
" Dodawany nowy użytkownik lub grupa mają domyślnie udzielone upraw-
nienia Odczyt i wykonanie, Wyświetlanie zawartości folderu oraz Od-
czyt.
3.4.8 Ustawianie, przeglądanie, zmienianie lub usuwa-
nie uprawnień specjalnych
Aby ustawić, przeglądać, zmienić lub usunąć uprawnienia specjalne
1. Kliknij prawym przyciskiem myszy obiekt, dla którego chcesz ustawić
uprawnienia zaawansowane lub specjalne, kliknij polecenie Właściwo-
ści, a następnie kliknij kartę Zabezpieczenia.
2. Kliknij przycisk Zaawansowane, a następnie wykonaj jedną z następu-
jących czynności:
" Aby ustawić uprawnienia specjalne dla dodatkowej grupy lub użyt-
kownika - kliknij przycisk Dodaj. W polu Wprowadz
nazwę obiek-
tu do wybrania (przykłady) wpisz nazwę użytkownika lub grupy,
a następnie kliknij przycisk OK.
" Aby wyświetlić lub zmienić uprawnienia specjalne dla istniejącej
grupy lub użytkownika - kliknij nazwę grupy lub użytkownika, a
następnie kliknij przycisk Edytuj.
" Aby usunąć istniejącą grupę lub użytkownika oraz ich uprawnienia
specjalne - kliknij nazwę grupy lub użytkownika, a następnie klik-
nij przycisk Usuń. Jeśli przycisk Usuń jest niedostępny, wyczyść
Ćwiczenie 3 - System plików NTFS (New Technology File System) 22
pole wyboru Dziedzicz po obiekcie nadrzędnym wpisy uprawnie-
nia stosowane do obiektów podrzędnych. Uwzględnij je razem z
wpisami tutaj zdefiniowanymi, a następnie kliknij przycisk Usuń.
3. W polu Uprawnienia zaznacz albo wyczyść pole wyboru Zezwalaj lub
Odmów.
4. W polu Zastosuj dla zaznacz foldery lub podfoldery, do których chcesz
zastosować te uprawnienia.
5. Aby skonfigurować zabezpieczenia tak, aby podfoldery i pliki nie dzie-
dziczyły tych uprawnień, wyczyść pole wyboru Zastosuj te uprawnienia
jedynie dla obiektów i/lub kontenerów znajdujących się wewnątrz tego
kontenera.
6. Kliknij przycisk OK, a następnie w oknie Zaawansowane ustawienia
zabezpieczeń dla NazwaObiektu kliknij przycisk OK.
Uwagi
" Aby otworzyć Eksploratora Windows, kliknij przycisk Start, wskaż po-
lecenie Wszystkie programy, wskaż polecenie Akcesoria, a następnie
kliknij polecenie Eksplorator Windows.
" Grupa Wszyscy nie zawiera już uprawnienia Logowanie anonimowe.
" Po zaznaczeniu pola wyboru Dziedzicz po obiekcie nadrzędnym wpisy
uprawnienia stosowane do obiektów podrzędnych. Uwzględnij je ra-
zem z wpisami tutaj zdefiniowanymi plik lub folder odziedziczy wpisy
uprawnień po obiekcie nadrzędnym.
" Uprawnienia można ustawiać tylko na dyskach sformatowanych w sys-
temie plików NTFS.
" Jeśli pola wyboru w obszarze Uprawnienia są zacieniowane, uprawnie-
nia są dziedziczone po folderze nadrzędnym.
" Aby zmienić uprawnienia, musisz być właścicielem lub mieć odpowied-
nie uprawnienia przyznane przez właściciela.
" Grupy lub użytkownicy, którym przyznano uprawnienie do folderu Peł-
na kontrola, mogą usuwać pliki i podfoldery znajdujące się w tym fol-
derze niezależnie od uprawnień chroniących pliki i podfoldery.
Ćwiczenie 3 - System plików NTFS (New Technology File System) 23
Przestroga
Jeśli zaznaczysz pole wyboru Zamień wpisy uprawnienia na wszystkich
obiektach podrzędnych na wpisy tutaj pokazane, stosowane do obiektów pod-
rzędnych, wszystkie wpisy uprawnień wszystkich podfolderów i plików zosta-
ną zastąpione wpisami dziedziczonymi po obiekcie nadrzędnym. Po kliknięciu
przycisku Zastosuj lub OK nie można cofnąć tej operacji, czyszcząc pole wy-
boru.
3.4.9 System szyfrowania plików
Dostęp do pliku zaszyfrowanego jest niemożliwy bez klucza systemu szy-
frowania plików, nawet jeśli użytkownik ma niezbędne uprawnienia. System
szyfrowania plików (EFS, Encrypting File System) zapewnia podstawową
technologię szyfrowania plików używaną do przechowywania zaszyfrowanych
plików na woluminach systemu NTFS. Użytkownik pracuje z zaszyfrowanym
plikiem lub folderem podobnie jak z innymi plikami i folderami. Szyfrowanie
jest przezroczyste dla użytkownika, który zaszyfrował plik. Oznacza to, że
nie musi on ręcznie odszyfrowywać zaszyfrowanego pliku przed jego użyciem.
Można otwierać i zmieniać plik tego typu tak jak inne pliki. System EFS
jest używany podobne jak uprawnienia dotyczące plików i folderów. Obie
metody mogą być wykorzystywane do ograniczania dostępu do danych. Na
przykład nieuwierzytelniona osoba, który uzyska fizyczny dostęp do zaszy-
frowanych plików lub folderów, nie będzie mogła ich odczytać. Jeżeli intruz
będzie usiłował otwierać lub kopiować zaszyfrowany plik lub folder, pojawi
się komunikat informujący o odmowie dostępu. Uprawnienia dotyczące pli-
ków i folderów nie zabezpieczają przez fizycznymi atakami nieupoważnionych
osób. Folder lub plik można szyfrować lub odszyfrowywać, ustawiając wła-
ściwości szyfrowania folderów i plików, podobnie jak inne atrybuty, takie jak
tylko do odczytu, skompresowany lub ukryty. Podczas szyfrowania folderu
automatycznie są szyfrowane wszystkie utworzone w nim pliki i podfoldery.
Zalecane jest szyfrowanie na poziomie folderu. Plik lub folder można również
zaszyfrować lub odszyfrować poleceniem cipher.
Podczas pracy z zaszyfrowanymi plikami i folderami należy uwzględnić
następujące informacje:
" Można szyfrować tylko pliki i foldery znajdujące się na woluminach
NTFS. Do szyfrowania plików za pomocą oprogramowania WebDAV
(Web Distributed Authoring and Versioning) niezbędny jest system
NTFS, ponieważ oprogramowanie WebDAV z nim współpracuje.
" Nie można szyfrować skompresowanych plików lub folderów. Plik lub
Ćwiczenie 3 - System plików NTFS (New Technology File System) 24
folder, który oznaczono jako przeznaczony do szyfrowania, zostanie
wcześniej zdekompresowany.
" Zaszyfrowane pliki mogą zostać odszyfrowane po skopiowaniu lub prze-
niesieniu ich do woluminu, który nie jest woluminem systemu NTFS.
" Niezaszyfrowane pliki przeniesione do zaszyfrowanego folderu są auto-
matyczne szyfrowane w nowym folderze. Odwrotne działanie nie po-
woduje jednak automatycznego odszyfrowania plików. Pliki muszą być
odszyfrowywane jawnie.
" Nie można szyfrować plików z atrybutem Systemowy ani plików znaj-
dujących się w głównym katalogu systemowym.
" Zaszyfrowanie folderu lub pliku nie chroni przed usunięciem lub wyświe-
tlaniem plików lub katalogów. Każda osoba posiadająca odpowiednie
uprawnienia może usuwać lub wyświetlać szyfrowane foldery lub pliki.
W związku z tym zalecane jest korzystanie z systemu EFS w połączeniu
z uprawnieniami NTFS.
" Szyfrowane lub odszyfrowywane mogą być pliki i foldery znajdujące
się na komputerze zdalnym przystosowanym do szyfrowania zdalnego.
Jeżeli jednak zaszyfrowany plik jest otwierany poprzez sieć, to dane
transmitowane przez sieć w trakcie tego procesu nie są szyfrowane.
Do szyfrowania danych transmitowanych w sieci należy używać innych
protokołów, takich jak SSL/TLS (Single Socket Layer/Transport Layer
Security) lub zabezpieczenia IPSec. Oprogramowanie WebDAV może
jednak szyfrować plik lokalnie i transmitować je w formie zaszyfrowanej.
3.4.10 Szyfrowanie i odszyfrowywanie danych
System szyfrowania plików (EFS, Encrypting File System) pozwala bez-
piecznie przechowywać dane. System EFS chroni dane, szyfrując je w wybra-
nych plikach i folderach systemu plików NTFS. System EFS jest zintegrowany
z systemem plików, więc jest łatwy w zarządzaniu, odporny na ataki i prze-
zroczysty dla użytkownika. Jest on szczególnie przydatny do zabezpieczania
danych na komputerach, takich jak komputery przenośne, które łatwo mogą
paść łupem złodzieja. Nie można szyfrować i odszyfrowywać plików znajdu-
jących się na woluminach systemu FAT. System EFS został zaprojektowany
pod kątem bezpiecznego przechowywania danych na komputerach lokalnych.
Nie obsługuje więc bezpiecznej transmisji plików za pośrednictwem sieci. Al-
ternatywnym rozwiązaniem tego problemu może być zastosowanie innych
technologii, na przykład zabezpieczeń IPSec w połączeniu z systemem EFS.
Ćwiczenie 3 - System plików NTFS (New Technology File System) 25
3.4.11 Odzyskiwanie danych
Możliwość odzyskania danych jest bardzo ważna, jeśli trzeba odzyskać
dane zaszyfrowane przez pracownika, który odszedł z pracy, lub gdy użyt-
kownik zgubi klucz prywatny. Oferowana przez System szyfrowania plików
(EFS) możliwość odzyskiwania danych jest częścią ogólnych zasad zabezpie-
czeń systemu. Na przykład po utracie certyfikatu szyfrowania pliku i sko-
jarzonego z nim klucza prywatnego spowodowanej awarią dysku, pożarem
czy innym zdarzeniem dane może odzyskać osoba pełniąca funkcję agenta
odzyskiwania. W środowisku biznesowym organizacja może odzyskać dane
zaszyfrowane przez zwolnionego pracownika.
System EFS korzysta z zasad odzyskiwania, zapewniając wbudowane od-
zyskiwanie danych. Zasady odzyskiwania to zasady klucza publicznego, które
umożliwiają wyznaczenie jednego lub kilku kont użytkowników jako agentów
odzyskiwania. Zasada odzyskiwania jest konfigurowana lokalnie dla kompute-
rów autonomicznych. W przypadku komputerów w sieci zasady odzyskiwania
konfiguruje się na poziomie domeny, jednostki organizacyjnej lub indywidual-
nego komputera i mają zastosowanie do wszystkich komputerów z systemem
Windows XP/Vista/7 i systemami z rodziny Windows Server, dla których
zostały skonfigurowane. Certyfikaty odzyskiwania wystawia urząd certyfika-
cji, a użytkownik zarządza nimi za pomocą przystawki Certyfikaty w konsoli
Microsoft Management Console (MMC). W każdej domenie system z ro-
dziny Windows Server implementuje domyślne zasady odzyskiwania dla tej
domeny podczas konfigurowania pierwszego kontrolera domeny. Administra-
torowi domeny wystawiany jest podpisany przez siebie certyfikat. Certyfikat
ten wyznacza administratora domeny na agenta odzyskiwania. Aby zmienić
domyślną zasadę odzyskiwania dla domeny, należy zalogować się jako admi-
nistrator do pierwszego kontrolera domeny. Dodatkowi agenci odzyskiwania
mogą być dodawani do tej zasady, a oryginalny agent odzyskiwania może
być usunięty w dowolnej chwili. Podsystemy zabezpieczeń systemu Windows
XP/Vista/7 i systemów z rodziny Windows Server obsługują egzekwowanie,
replikację i buforowanie zasad odzyskiwania, więc użytkownicy mogą imple-
mentować szyfrowanie plików w systemie, który pracuje tymczasowo w trybie
offline, na przykład na komputerze przenośnym. Ten proces jest podobny do
logowania się na koncie domeny przy użyciu buforowanych poświadczeń. Aby
uzyskać więcej informacji, zobacz Zmienianie zasady odzyskiwania dla kom-
putera lokalnego i Tworzenie zasad odzyskiwania dla domeny.
Agent odzyskiwania to osoba autoryzowana do odszyfrowywania danych
zaszyfrowanych przez innego użytkownika. Agenci odzyskiwania nie potrze-
bują innych uprawnień, aby pełnić tę funkcję. Są oni użyteczni, na przy-
kład gdy trzeba odszyfrować dane zaszyfrowane przez zwolnionego pracow-
Ćwiczenie 3 - System plików NTFS (New Technology File System) 26
nika. Przed dodaniem agenta odzyskiwania dla domeny należy się upewnić,
że dla każdego agenta odzyskiwania wystawiono certyfikat X.509v3. Każ-
dy agent odzyskiwania ma specjalny certyfikat i skojarzony klucz prywatny,
który umożliwia odzyskanie danych zgodnie z zasadą odzyskiwania. Agent
odzyskiwania musi za pomocą polecenia Eksportuj w przystawce Certyfikaty
konsoli MMC wykonać kopię zapasową certyfikatu odzyskiwania i skojarzo-
nego z nim klucza prywatnego i umieścić ją w bezpiecznej lokalizacji. Po
wykonaniu kopii zapasowej należy usunąć certyfikat odzyskiwania za pomo-
cą przystawki Certyfikaty w konsoli MMC. Następnie, gdy trzeba wykonać
operację odzyskiwania danych użytkownika, należy najpierw przywrócić cer-
tyfikat odzyskiwania i skojarzony z nim klucz prywatny za pomocą polecenia
Importuj z przystawki Certyfikaty w konsoli MMC. Po odzyskaniu danych
certyfikat odzyskiwania powinien zostać ponownie usunięty. Powtarzanie pro-
cesu eksportu nie jest konieczne. Aby dodać agentów odzyskiwania dla do-
meny, należy dodać ich certyfikaty do istniejącej zasady odzyskiwania.
3.4.12 Zarządzanie certyfikatami
W systemie szyfrowania plików (EFS) zawartość plików jest szyfrowana
przy użyciu kryptografii opartej na kluczach publicznych. Używane klucze
są uzyskiwane z certyfikatu użytkownika i wszystkich dodatkowych użyt-
kowników oraz wyznaczonych skonfigurowanych agentów odzyskiwania. Cer-
tyfikaty mogą również zawierać informacje o kluczach prywatnych, dlatego
muszą być prawidłowo zarządzane. Certyfikaty używane przez system EFS
mogą być uzyskiwane z urzędu certyfikacji lub tworzone automatycznie przez
komputer. Certyfikat systemu EFS uzyskiwany z urzędu certyfikacji musi się
również odwoływać do dostawcy usług kryptograficznych (CSP, Cryptogra-
phic Service Provider) oraz odpowiedniego identyfikatora obiektu (tak zwa-
nego identyfikatora OID). System EFS może korzystać z podstawowego albo
rozszerzonego dostawcy CSP. Aby system EFS mógł używać certyfikatu, te
dwa atrybuty muszą być w nim prawidłowo ustawione. Certyfikat i klucz
prywatny wszystkich wyznaczonych agentów odzyskiwania powinny być wy-
eksportowane na dysk wymienny i przechowywane w bezpiecznym miejscu
aż do chwili, kiedy będą potrzebne.
3.4.13 Weryfikacja ważności certyfikatu
Z założenia certyfikaty nie są ważne w nieskończoność. Istnieje ryzyko, że
z upływem czasu osoba niepowołana może określić odpowiedni klucz prywat-
ny i będzie w stanie zagrozić danym zaszyfrowanym przy jego użyciu. Z tego
powodu certyfikaty mają okres ważności określający czas, w którym są uważa-
Ćwiczenie 3 - System plików NTFS (New Technology File System) 27
ne za ważne. Po wygaśnięciu okresu ważności trzeba uzyskać nowy certyfikat
do szyfrowania danych. Standardowo istniejący certyfikat i klucz prywatny są
jednak zachowywane, aby można było nadal odszyfrowywać starsze dane. Ist-
nieje również możliwość odwołania ważnych certyfikatów przez wystawiający
je urząd certyfikacji. Jest kilka powodów, które mogą sprawić, że certyfikat
może stracić wiarygodność, np. złamanie klucza prywatnego podmiotu certy-
fikatu lub stwierdzenie, że certyfikat został uzyskany w drodze oszustwa. Po
odwołaniu certyfikat jest umieszczany na liście odwołania certyfikatów (CRL,
Certificate Revocation List) prowadzonej przez urząd certyfikacji. Podczas
szyfrowania pliku system EFS sprawdza okres ważności certyfikatu użytkow-
nika, a także agenta odzyskiwania. W czasie dodawania nowego użytkowni-
ka do istniejącego pliku system EFS sprawdza stan odwołania dodawanego
certyfikatu oraz jego ścieżkę certyfikacji prowadzącą do zaufanego główne-
go urzędu certyfikacji. Jeśli certyfikat okazuje się nieprawidłowy (z powodu
wygaśnięcia, odwołania albo niemożności utworzenia łańcucha), nie zostaje
użyty, a użytkownik zazwyczaj jest o tym powiadamiany.
3.4.14 Szyfrowanie lub odszyfrowywanie plików lub fol-
derów
1. Szyfrowanie pliku lub folderu
(a) Otwórz Eksploratora Windows.
(b) Kliknij prawym przyciskiem myszy plik lub folder, który chcesz
zaszyfrować, a następnie kliknij polecenie Właściwości.
(c) Na karcie Ogólne kliknij przycisk Zaawansowane.
(d) Zaznacz pole wyboru Szyfruj zawartość, aby zabezpieczyć dane, a
następnie kliknij przycisk OK.
(e) W oknie dialogowym Właściwości kliknij przycisk OK, a następnie
wykonaj jedną z następujących czynności:
" Aby zaszyfrować plik i folder nadrzędny, w oknie dialogowym
Ostrzeżenie o szyfrowaniu kliknij przycisk Szyfruj plik i folder
nadrzędny.
" Aby zaszyfrować tylko plik, w oknie dialogowym Ostrzeżenie
o szyfrowaniu kliknij przycisk Szyfruj tylko plik.
" Aby zaszyfrować tylko folder, w oknie dialogowym Potwier-
dzanie zmiany atrybutów kliknij przycisk Zastosuj zmiany tyl-
ko do tego folderu.
Ćwiczenie 3 - System plików NTFS (New Technology File System) 28
" Aby zaszyfrować folder oraz zawarte w nim podfoldery i pliki,
w oknie dialogowym Potwierdzanie zmiany atrybutów klik-
nij przycisk Zastosuj zmiany do tego folderu, podfolderów i
plików.
Uwagi
" Aby otworzyć Eksploratora Windows, kliknij przycisk Start,
wskaż polecenie Wszystkie programy, wskaż polecenie Akce-
soria, a następnie kliknij polecenie Eksplorator Windows.
" Można szyfrować tylko pliki i foldery na woluminach systemu
plików NTFS.
" Nie można szyfrować skompresowanych plików lub folderów.
Podczas szyfrowania skompresowany plik lub folder zostanie
zdekompresowany.
" Nie można szyfrować plików z atrybutem Systemowy oraz pli-
ków znajdujących się w głównym folderze systemowym.
" Jeśli użytkownik zdecyduje się na szyfrowanie folderu nad-
rzędnego podczas szyfrowania pojedynczego pliku, szyfrowane
będą wszystkie pliki i podfoldery dodawane do danego folderu
w przyszłości.
" Jeśli użytkownik zdecyduje się na szyfrowanie wszystkich pli-
ków i podfolderów podczas szyfrowania folderu, szyfrowane
będą zarówno wszystkie pliki i podfoldery obecnie znajdujące
się w danym folderze, jak i pliki i foldery dodawane do tego
folderu w przyszłości. Jeżeli użytkownik zdecyduje się jedynie
na szyfrowanie folderu, to wszystkie aktualnie znajdujące się
w nim pliki i podfoldery nie będą szyfrowane. Wszystkie pli-
ki i podfoldery dodane do danego folderu w przyszłości będą
jednak szyfrowane.
2. Odszyfrowywanie pliku lub folderu
(a) Otwórz Eksploratora Windows.
(b) Kliknij prawym przyciskiem myszy zaszyfrowany plik lub folder,
a następnie kliknij polecenie Właściwości.
(c) Na karcie Ogólne kliknij przycisk Zaawansowane.
(d) Wyczyść pole wyboru Szyfruj zawartość, aby zabezpieczyć dane.
Uwagi
" Aby otworzyć Eksploratora Windows, kliknij przycisk Start,
wskaż polecenie Wszystkie programy, wskaż polecenie Akce-
soria, a następnie kliknij polecenie Eksplorator Windows.
Ćwiczenie 3 - System plików NTFS (New Technology File System) 29
" Podczas odszyfrowywania folderu wyświetlany jest komunikat
proponujący odszyfrowanie wszystkich plików i podfolderów
w danym folderze. Jeżeli użytkownik zdecyduje się jedynie na
odszyfrowanie folderu, to znajdujące się w nim zaszyfrowane
pliki i foldery pozostaną zaszyfrowane. Nowe pliki i foldery
utworzone w odszyfrowanym folderze nie będą jednak auto-
matycznie szyfrowane.
3. Przystosowywanie serwera zdalnego do szyfrowania plików
(a) Otwórz przystawkę Użytkownicy i komputery usługi Active Direc-
tory.
(b) Zlokalizuj nazwę serwera zdalnego, kliknij ją prawym przyciskiem
myszy, a następnie kliknij polecenie Właściwości.
(c) Kliknij kartę Delegacja.
(d) Zaznacz opcję Ufaj temu komputerowi w delegowaniu tylko do
określonych usług.
(e) Z listy dostępnych usług wybierz usługę Magazyn chroniony oraz
usługę Common Internet File System (CIFS).
Uwagi
" Aby wykonać tę procedurę, użytkownik musi być członkiem
grupy Administratorzy domeny lub Administratorzy przed-
siębiorstwa w usłudze Active Directory albo mieć delegowane
odpowiednie uprawnienia. Ze względów bezpieczeństwa zale-
cane jest wykonanie tej procedury przy użyciu funkcji Uru-
chom jako.
" Aby otworzyć przystawkę Użytkownicy i komputery usługi
Active Directory, kliknij przycisk Start, kliknij polecenie Pa-
nel sterowania, kliknij dwukrotnie ikonę Narzędzia admini-
stracyjne, a następnie kliknij dwukrotnie ikonę Użytkownicy
i komputery usługi Active Directory.
" Podczas szyfrowania plików na serwerze WebDAV komputer
nie musi być zaufany w kwestii delegowania.
" Komputera w innym lesie nie można skonfigurować do szyfro-
wania, nawet jeżeli ustanowiono relację zaufania.
4. Szyfrowanie pliku lub folderu na komputerze zdalnym
(a) Otwórz Eksploratora Windows.
Ćwiczenie 3 - System plików NTFS (New Technology File System) 30
(b) W menu Narzędzia kliknij polecenie Mapuj dysk sieciowy, a na-
stępnie postępuj zgodnie z instrukcjami wyświetlanymi w oknie
dialogowym Mapowanie dysku sieciowego.
(c) Kliknij prawym przyciskiem myszy plik lub folder, który chcesz
zaszyfrować, a następnie kliknij polecenie Właściwości.
(d) Na karcie Ogólne kliknij przycisk Zaawansowane.
(e) Zaznacz pole wyboru Szyfruj zawartość, aby zabezpieczyć dane.
Uwagi
" Można szyfrować tylko pliki i foldery na woluminach systemu plików
NTFS.
" Nie można szyfrować skompresowanych plików lub folderów. Podczas
szyfrowania skompresowany plik lub folder zostanie zdekompresowany.
" Nie można szyfrować plików z atrybutem Systemowy ani plików znaj-
dujących się w głównym katalogu systemowym.
" W środowisku domeny szyfrowanie zdalne jest domyślnie wyłączone.
Aby włączyć szyfrowanie dla określonego komputera, administrator sie-
ci może oznaczyć dany komputer jako zaufany w kwestii delegowania.
Aby uzyskać więcej informacji, skontaktuj się z administratorem sieci.
" Podczas szyfrowania folderu wyświetla się komunikat proponujący za-
szyfrowanie wszystkich plików i podfolderów w danym folderze. Po za-
akceptowaniu tej propozycji wszystkie dodawane do folderu pliki i pod-
foldery są szyfrowane automatycznie.
" Tymczasowe pliki robocze tworzone przez niektóre programy mogą
zmniejszać stopień zabezpieczenia plików uzyskany dzięki szyfrowaniu.
Podczas pracy w programach tego typu należy szyfrować na poziomie
folderu, a nie na poziomie poszczególnych plików.
Literatura
1. Materiały powstałe przy współudziale wykładowców autoryzowanych ośrod-
ków szkoleniowych Microsoft Poradnik Administratora Windows Server
2008, Microsoft TechNet 2008.
Ćwiczenie 3 - Problemy do rozwiązania przed ćwiczeniem 31
2. Microsoft Technet - Windows Server TechCenter Biblioteki techniczni sys-
temów Windows Server,
(http://technet.microsoft.com/pl-pl/library/cc728909.aspx)
3. Rand Morimoto, Michael Noel, Omar Droubi, Ross Mistry, Chris Amaris
Windows Server 2008 PL. Księga eksperta, Helion 2009.
4. Jeffrey R. Shapiro Windows Server 2008 PL. Biblia, Helion 2009.
5. William R. Stanek Microsoft Windows Server 2008 R2 Vademecum ad-
ministratora, wyd. II, Microsoft Press 2010.
3.5 Problemy do rozwiązania przed ćwicze-
niem
1. Zapoznać się z treścią instrukcji pozostałych ćwiczeń laboratoryjnych,
które dotyczą systemu sieciowego Windows Server;
2. Zapoznać się z  Przewodnikiem po pomocy i sposobach uzyskiwania
informacji , udostępnionym na stronach Windows Server TechCenter
(http://technet.microsoft.com/pl-pl/library/cc728909.aspx);
3. Uzupełnić wiadomości dotyczące systemu Windows 2008 Serwer oraz
zapoznać się z treścią  Biblioteki technicznej Windows Server 2008 i
Windows Server 2008 R2 , udostępnionej na stronach Microsoft Tech-
net - Windows Server TechCenter
(http://technet.microsoft.com/pl-pl/library/dd349801(WS.10).aspx);
4. Uzupełnić swoją wiedzę i zapoznać się z treścią artykułów zgromadzo-
nych na Internetowym Portalu Społeczności Windows Server System
(http://www.wss.pl/ArticlesList.aspx);
5. Uzupełnić swoją wiedzę i zapoznać się z treścią artykułów zgromadzo-
nych na Internetowym Portalu Jama Mastaha
(http://infojama.pl/Artykuly.aspx);
6. Skopiować z Platformy Zdalnej Edukacji Instytutu Elektroniki
(http://platforma.polsl.pl/rau3) udostępnione pliki i zapoznać się
z ich zawartością - w tym z prezentacją multimedialną dotyczącą po-
krewnego serwera sieciowego - Microsoft Small Business 2003 Server.
Ćwiczenie 3 - Program ćwiczenia 32
3.6 Program ćwiczenia
3.6.1 Zarządzanie grupą użytkowników
1. Na serwerze Windows utworzyć użytkowników S?ANIA, S?ELA i S?JAN
(gdzie ? to numer sekcji);
2. Na serwerze Windows utworzyć grupę o nazwie S?GRUPA (gdzie ? to
numer sekcji);
3. Zapisać do zasobu S?GRUPA użytkowników S?ANIA i S?ELA;
4. Na wskazanym przez prowadzącego dysku utworzyć następującą struk-
turę katalogów i plików (gdzie ? to numer sekcji):
\USERS?\S?GRUPA\S?ANIA
\USERS?\S?GRUPA\S?ANIA\SEKRETY
\USERS?\S?GRUPA\S?ANIA\SEKRETY\sekrety.txt
\USERS?\S?GRUPA\S?ELA\
\USERS?\S?GRUPA\S?ELA\SEKRETY
\USERS?\S?GRUPA\S?ELA\SEKRETY\sekrety.txt
\USERS?\S?GRUPA\S?JAN\
\USERS?\S?GRUPA\S?JAN\SEKRETY
\USERS?\S?GRUPA\S?JAN\SEKRETY\sekrety1.txt
\USERS?\S?GRUPA\S?JAN\SEKRETY\sekrety2.txt
\USERS?\S?GRUPA\ZASOBY\
\USERS?\S?GRUPA\ZASOBY\PROGRAMY
\USERS?\S?GRUPA\ZASOBY\DANE
\USERS?\S?GRUPA\ZASOBY\DANE\example.txt
5. Począwszy od zasobu USERS? nadać użytkownikowi S?JAN i ADMINEK
pełne prawa w drzewie do plików i folderów;
6. W katalogu SEKRETY użytkownika S?JAN:
" Utworzyć dwa pliki tekstowe sekrety1.txt oraz sekrety2.txt;
" Włączyć szyfrowanie obu plików w katalogu SEKRETY użytkownika
S?JAN;
" Ustawić użytkowników którzy mogą uzyskiwać przezroczysty do-
stęp do plików - S?JAN, S?ANIA, ADMINEK. Właściwy certyfikat
zostanie wygenerowany w momencie zaszyfrowania przez danego
użytkownika dowolnego pliku w systemie (w tym celu można za-
łożyć w katalogu TEMP dowolny plik tekstowy i zaszyfrować go);
Ćwiczenie 3 - Program ćwiczenia 33
" Użytkownikom S?ANIA i S?ELA nadać prawo odczytu samego ka-
talogu SEKRETY;
7. Katalog S?ANIA uczynić katalogiem domowym użytkownika S?ANIA;
8. Katalog S?ELA uczynić katalogiem domowym użytkownika S?ELA;
9. W odpowiednim podkatalogu katalogu domowego użytkownika S?ANIA
utworzyć plik tekstowy sekrety.txt i nadać użytkownikowi S?ELA pra-
wo odczytu tego pliku;
10. W odpowiednim podkatalogu katalogu domowego użytkownika S?ELA
utworzyć plik tekstowy
sekrety.txt i nadać użytkownikowi S?ANIA prawo odczytu oraz edycji
tego pliku;
11. Zasobowi S?GRUPA nadać następujące prawa w odpowiednich katalo-
gach:
" W katalogu ZASOBY - prawa: wyświetlenie zawartości folderu oraz
odczyt;
" W katalogu DANE - prawa: wyświetlenie zawartości folderu, odczyt
oraz zapis;
" W katalogu DANE utworzyć plik tekstowy example.txt;
" W katalogu PROGRAMY - prawa: zapis i wykonanie, wyświetlenie
zawartości folderu oraz odczyt;
" Do katalogu PROGRAMY skopiować wskazany przez prowadzącego
plik wykonywalny oraz usunąć możliwość uruchamiania tegoż pli-
ku użytkownikowi S?ELA (prawo pliku zapis i wykonanie);
12. Zapisać wszystkich utworzonych użytkowników do grupy Użytkownicy
pulpitu zdalnego i sprawdzić czy:
" Użytkownicy S?JAN i ADMINEK mają pełna kontrolę nad gałęzią
S?GRUPA;
" Użytkownik S?JAN ma pełny dostęp do zaszyfrowanych plików
sekrety1.txt oraz sekrety2.txt;
" Użytkownik S?ANIA ma pełna kontrolę nad swoim katalogiem do-
mowym;
" Użytkownik S?ANIA może dokonywać modyfikacji plików:
sekrety.txt w katalogu domowym użytkownika S?ELA oraz
example.txt w katalogu DANE;
Ćwiczenie 3 - Program ćwiczenia 34
" Użytkownik S?ANIA może uruchamiać plik wykonywalny z katalo-
gu PROGRAMY;
" Użytkownik S?ANIA ma nieograniczony dostęp do zaszyfrowanych
plików sekrety1.txt oraz sekrety2.txt;
" Użytkownik S?ELA ma pełna kontrolę nad swoim katalogiem do-
mowym;
" Użytkownik S?ELA może dokonywać modyfikacji plików:
sekrety.txt w katalogu domowym użytkownika S?ANIA oraz
example.txt w katalogu DANE;
" Użytkownik S?ELA może uruchamiać plik wykonywalny z katalogu
PROGRAMY;
" Użytkownik S?ELA ma dostęp do zaszyfrowanych plików sekrety1.txt
oraz sekrety2.txt.
13. Po sprawdzeniu poprawności wykonania ćwiczenia przez prowadzącego
usunąć - wszystkie stworzone obiekty.