Rozdział 6.
Pliki i foldery na dyskach NTFS
Ćwiczenia zawarte w tym rozdziale pozwolą w pełni wykorzystać możliwości nowego systemu plików
wykorzystywanego przez
Windows
XP
.
Jednym z obsługiwanych przez
Windows
XP
systemem plików jest system
NTFS
w wersji 6. Umożliwia on
m.in. ograniczanie dostępu do plików i katalogów, kompresję, szyfrowanie i odzyskiwanie uszkodzonych
danych. Dodatkowo możliwe jest ograniczenie ilości miejsca dostępnego dla danego użytkownika i śledzenie
takich zdarzeń jak: odczyt, modyfikacja lub usuniecie danych z dysku.
Konwersja systemu plików
Ćwiczenie 6.1. Konwersja systemu plików
Podczas instalacji systemu Czytelnik miał możliwość wyboru systemu plików dla poszczególnych dysków
komputera. Jeżeli którykolwiek z dysków (w tym dyski:
rozruchowy
i
systemowy
) zostały sformatowane w
systemie
FAT
lub
FAT32
można je skonwertować do systemu
NTFS
.
1. Z menu
Start
wybierz polecenie
Uruchom...
2. W polu
Otwórz
wpisz
cmd
i naciśnij
Enter
.
3. Zostanie wywołany
wiersz
polecenia
.
4. Poleceniem służącym do konwersji systemu plików jest polecenie
convert
. Na rysunku 6.1
przedstawiona zastała składnia polecenia (wykonanie polecenie pokazanego w ostatnim wiersz
spowoduje konwersje dysku
e:
do systemu
NTFS
).
5. Wpisz polecenie
convert c: /fs:ntfs
i naciśnij klawisz
Enter
.
6. Jeżeli konwertujesz dysk rozruchowy, zostanie wyświetlony komunikat informujący o tym, że
konwersja wymaga wyłącznego dostępu do dysku i zostanie przeprowadzona podczas pierwszego
restartu systemu.
7. Uruchom ponownie komputer.
Rysunek 6.1. Menu pomocy programu
CONVERT
Ograniczenie dostępu do danych
Ćwiczenie 6.2. Folder — modyfikacja uprawnień
Każdy plik i folder umieszczony na dysku NTFS jest „własnością” jednego z użytkowników. Właściciel folderu
może w pełni nim zarządzać, w tym zabronić innym użytkownikom modyfikowania danych umieszczonych w
tym folderze.
1. Na dysku NTFS utwórz nowy folder o nazwie
prywatne
.
2. Kliknij prawym przyciskiem myszy na nowoutworzonym folderze i z podręcznego menu wybierz opcję
Udostępniania
i
zabezpieczanie
.
3. W oknie
Właściwości:
Prywatne
wybierz zakładkę
Zabezpieczanie
. Jeżeli w oknie właściwości
nie znajduje się omawiana zakładka:
a.
Z menu
Start
wybierz opcje
Panel
sterowania
.
b. Kliknij ikonę
Wygląd i kompozycje
, a następnie kliknij ikonę
Opcje folderów
.
c.
Na karcie
Widok
w obszarze
Ustawienia zaawansowane
wyczyść pole wyboru
Użyj
prostego udostępniania plików [zalecane]
(rysunek 6.2).
d. Kliknij przycisk
OK
i zamknij
Panel
sterowania
.
4. Naciśnij przycisk
Dodaj
. W polu
Wprowadź
nazwę
obiektów
do
wybrania
wpisz
Użytkownicy
zaawansowani
i naciśnij
OK
.
5. Tytuł dolnego okna zostanie zmieniony na
Uprawnienia
dla
Użytkownicy zaawansowani
.
6. Wyczyść pola
Zezwalaj
dla wierszy
Zapis i wykonanie
oraz
Wyświetlanie
zawartości
folderu
i naciśnij przycisk
OK
. Od tej chwili żaden użytkownik należący wyłącznie do grupy
Użytkownicy
zaawansowani
nie będzie mógł modyfikować danych umieszczonych w tym folderze.
Rysunek 6.2. Aby wyświetlić zakładkę Zabezpieczanie należy zmienić domyślne ustawienia folderów
Ćwiczenie 6.3. Odebranie uprawnień do folderu danej grupie uzytkowników
Ponieważ użytkownik może być członkiem więcej niż jednej grupy odznaczenie opcji
Zezwalaj
dla niektórych
tylko grup, w których znajduje się konto użytkownika nie powoduje odebranie mu praw do pliku lub folderu.
Usuńmy jedno z kont utworzonych w poprzednim rozdziale z grupy
Użytkownicy
(konto powinno zostać jedynie
członkiem grupy
Użytkownicy
zaawansowani
).
1. Wyloguj się i zaloguj kolejno na oba konta utworzone w ćwiczeniu 5.7. Zauważ, że jeden użytkownik
nadal ma dostęp do folderu
prywatne
(ten użytkownik, który nadal jest członkiem grupy
Użytkownicy
).
2. Zaloguj się ponownie na swoje konto użytkownika.
7. Kliknij prawym przyciskiem myszy na folderze
prywatne
i z menu podręcznego wybierz opcję
Udostępniania
i
zabezpieczanie
.
3. W polu
Nazwy
grupy
lub
użytkownika
zaznacz
Użytkownicy
zaawansowani
. Tytuł dolnego
okna zostanie zmieniony na
Uprawnienia
dla
Użytkownicy
.
4. Zaznacz pole
Odmów
dla wiersza
Modyfikacja
, tak jak zostało to pokazane na rysunku 6.3. Ponieważ
pozostałe uprawnienia (z wyjątkiem uprawnienia
Pełna
kontrola
) zależą od uprawnienia do
modyfikacji, system automatycznie potwierdzi odebranie tych uprawnień.
5. Naciśnij przycisk
OK
. Zostanie wyświetlony komunikat ostrzegający przed konsekwencjami jawnego
odbierania uprawnień. Naciśnij przycisk
OK
.
Rysunek 6.3. Zabezpieczenia folderów
Ćwiczenie 6.4. Nadawanie uprawnień do danego pliku
1. Przejdź do folderu
prywatne
.
2. Ustaw kursor myszki tak, aby nie wskazywał żadnego z elementów okna i naciśnij prawy przycisk
myszy.
3. Z menu podręcznego wybierz opcję
Nowy
|
Obraz
–
mapa
bitowa
. W folderze zostanie utworzony
nowy plik.
4. Kliknij prawym przyciskiem myszy na ikonie nowego pliku i z podręcznego menu wybierz opcję
Właściwości
.
5. W polu
Właściwości:
Nowy
obraz
–
mapa
bitowa
wybierz opcję
Zabezpieczenia
.
6. Naciśnij przycisk
Dodaj
. W polu
Wprowadź
nazwę
obiektów
do
wybrania
wpisz nazwę konta
użytkownika należącego wyłącznie do grupy
Użytkownicy
.
7. Tytuł dolnego okna zostanie zmieniony (w moim przypadku) na
Uprawnienia
dla
danka.
Ponieważ
to konto należy do grupy
Użytkownicy
, automatycznie ma nadane, takie same jak grupa, prawa do
wszystkich obiektów znajdujących się w katalogu
prywatne
. Zaznacz opcję
Odmów
dla wiersza
Pełna
kontrola
.
8. Naciśnij przycisk
OK
. Wszystkie uprawnienia użytkownika do pliku zostały odebrane.
9. Przełącz się na wybranego w kroku 6. użytkownika. Pomimo że użytkownik ma dostęp do plików w
katalogu
poufne
, modyfikacja pliku
Nowy obraz – mapa bitowa
jest niemożliwa.
Kopiowanie plików i folderów
Ponieważ każdy obiekt (taki jak plik lub folder) „dziedziczy” uprawnienia od folderu nadrzędnego, to podczas
kopiowania i przenoszenia obiektów uprawnienia te mogą ulec zmianie.
Ćwiczenia 6.5. Zmiana właściwości kopiowanych obiektów
Kopiowane lub przenoszone pomiędzy dyskami NTFS obiekty otrzymują uprawnienia nadrzędnego obiektu
docelowego. Jedynym wyjątkiem od tej zasady jest przenoszenie obiektów w ramach pojedynczej partycji —
wtedy obiekt zachowuje wszystkie swoje uprawnienia. Aby sprawdzić prawdziwość powyższej reguły:
1. Otwórz folder
prywatne
.
2. Wyświetl i zapamiętaj uprawnienia poszczególnych grup i użytkowników do pliku
Nowy obraz – mapa
bitowa
.
3. Skopiuj plik do głównego katalogu na dysku rozruchowym.
4. Wyświetl uprawnienia do pliku
Nowy obraz – mapa bitowa
. Zauważ, że na liście poszczególnych grup i
użytkowników nie ma grupy
Użytkownicy
zaawansowani
i użytkownika
danka
.
Inspekcja dostępu do danych
Ćwiczenie 6.6 Monitorowanie dostępu do katalogu
Celem ćwiczenia jest włączenie inspekcji dostępu do folderu
prywatne
.
1. Uruchom menu
Start
|
Wszystkie
programy
|
Narzędzia
administracyjne
|
Zasady
zabezpieczeń
lokalnych
.
2. Rozwiń folder
Zasady
lokalne
i wybierz opcję
Zasady
inspekcji
.
3. Dwukrotnie kliknij zasadę
Przeprowadź
inspekcję
dostępu
do
obiektów
. Zostanie wyświetlone
okno pokazane na rysunku 6.4
4. Zaznacz opcje
Sukces
oraz
Niepowodzenie
.
5. Naciśnij klawisz
OK
i zamknij okno konsoli
Zasady
zabezpieczeń
lokalnych
.
Rysunek 6.4. Monitorowanie zarówno udanych jak i zakończonych niepowodzenie prób dostępu do folderu
8. Kliknij prawym przyciskiem myszki na folderze
prywatne
i z menu podręcznego wybierz opcję
Udostępniania
i
zabezpieczanie
.
9. Wybierz opcje
Zabezpieczenia
|
Zaawansowane
|
Inspekcja
.
10. Kliknij przycisk
Dodaj
. Zostanie wyświetlone okno pokazane na rysunku 6.5.
11. W polu
Wprowadź
nazwę
obiektów
do
wybrania
wpisz
Wszyscy
. Sprawdź poprawność nazwy i
naciśnij
OK
.
12. Zostanie wyświetlone okno
Wpis
inspekcji
dla
prywatne
. Zaznacz opcję
Powodzenie
i
Niepowodzenie
dla wiersza
Pełna
kontrola
.
W praktyce nie stosuje się tak dokładnej modyfikacji obiektu. Monitorowanie dla każdego użytkownika
zarówno udanych, jak i nieudanych prób dostępu w krótkim czasie skończyłoby się zapełnieniem
Dziennika
zabezpieczenia
.
13. Naciśnij klawisz
OK
. Zostanie zamknięte okno
Zaawansowane
ustawianie
zabezpieczeń
dla
prywatne
.
14. Naciśnij przycisk
OK
. Od tej chwili jakakolwiek modyfikacja zawartości folderu zostanie odnotowana w
Dzienniku
zabezpieczenia
.
Rysunek 6.5. Określanie grup użytkowników „poddanych” inspekcji
Ćwiczenie 6.7 Przeglądanie Dziennika zabezpieczenia
Aby sprawdzić kto modyfikował zwartość folderu
prywatne
:
1. Uruchom menu
Start
|
Wszystkie
programy
|
Narzędzia
administracyjne
|
Podgląd
zdarzeń
.
2. Wybierz
Dziennik
Zabezpieczenia
. W oknie po prawej stronie zostanie wyświetlona lista
zarejestrowanych zdarzeń.
3. Jeżeli chcesz poznać więcej szczegółów o konkretnym zdarzeniu kliknij na nim dwukrotnie lewym
przyciskiem myszki. (Na rysunku 6.6 wyświetlono zanotowane szczegóły dotyczące usunięcia pliku
dump
przez użytkownika
Administrator
używającego programu
Windows Commander
.
Rysunek 6.6. Kontrola działań użytkowników w systemie
Kompresja i szyfrowanie danych
Ćwiczenie 6.8. Szyfrowanie danych
Kolejnym, obok uprawnień, mechanizmem gwarantującym poufność danych jest szyfrowanie dysków, folderów
lub plików. Jedną osobą, która będzie miała dostęp do zaszyfrowanych danych jest ich właściciel oraz
Agent
odzyskiwania (domyślnie rolę agenta odzyskiwania pełni
Administrator
). Aby zaszyfrować zawartość folderu
prywatne
:
1. Kliknij prawym przyciskiem myszy folder
prywatne
.
2. Wybierz opcję
Właściwości
|
Ogólne
|
Zaawansowane
.
3. Zaznacz opcję
Szyfruj
zawartość,
aby
zabezpieczyć
dane
.
4. Naciśnij przycisk
OK
. Zostanie zamknięte okno
Atrybuty
zaawansowane
.
5. Naciśnij przycisk
OK
. Zawartość folderu została zaszyfrowana i jest dostępna wyłącznie dla właściciela
danych (i administratora).
Niemożliwe jest zarówno otwieranie, jak i kopiowanie zaszyfrowanych plików.
Ćwiczenie 6.9. Kompresja folderów
Celem ćwiczenia jest skompresowanie zawartości folderu
Documents
and
Settings
.
1. Kliknij prawym przyciskiem myszy folder
Documents
and
Settings
.
2. Wybierz opcję
Właściwości
|
Ogólne
|
Zaawansowane
3. Zaznacz opcję
Kompresuj
zawartość,
aby
zaoszczędzić
miejsce
na
dysku
i naciśnij
OK
.
Zostanie zamknięte okno
Atrybuty
zaawansowane
.
4. Naciśnij klawisz
OK
. Zostanie wyświetlone okno potwierdzenia zmiany atrybutów. Wybierz opcję
Zastosuj zmiany do tego
folderu
,
podfolderu
i
plików
i naciśnij
OK
.
Rysunek 6.7. Zmiana atrybutów dotycząca foldera wraz z wszystkimi umieszczonymi w nim folderami i plikami
Ograniczanie ilości miejsca dostępnego dla
użytkowników
Celem ćwiczenia jest ograniczenie maksymalnej ilości danych możliwych do przechowywania na dysku
rozruchowym wszystkim użytkownikom (z wyjątkiem
Administratora
)
1. Kliknij prawym przyciskiem myszy na ikonie dysku rozruchowego.
2. Wybierz opcję
Właściwości
|
Przydział
.
3. Zaznacz, jak zostało to pokazane na rysunku 6.8 opcje
Włącz
zarządzanie
przydziałami
i
Odmów
miejsca
na
dysku
użytkownikom
przekraczającym
limit
przydziału
.
4. Ustaw ilość dostępnego dla użytkowników miejsca na dysku oraz poziom, po przekroczeniu którego
system wyświetli ostrzeżenie.
5. Jeżeli dla któregoś z użytkowników chcesz ustawić inne wartości limitu miejsca na dysku, wybierz
opcje
Wpis
przydziałów
, dodaj nazwę użytkownika lub grupy, a następnie w okienku
Ustawianie
przydziału
dla
LOLEK\miś
wpisz nowe wartości poziomu limitu i ostrzeżenia.
6. Naciśnij klawisz
OK
.
Rysunek 6.8. Ograniczenie ilości dostępnego dla użytkownika miejsca na dysku