Какие методы управления доступом вам известны windows xp

Обновлено: 07.07.2024

Некоторые аспекты сетевого доступа в Windows XP

До выхода в свет операционной системы Windows XP проблем с предоставлением общего доступа к разделяемым ресурсам компьютера практически не возникало. Однако, как правило, такой доступ предоставлялся и зачастую предоставляется неконтролируемо – раздается доступ ко всем ресурсам, вплоть до системных дисков, причем для любых категорий пользователей и без ограничения полномочий. Такая практика часто приводит к нежелательным результатам.

С возрастанием роли групповых политик они стали оказывать существенное влияние на сетевую безопасность, а пользователи, недостаточно хорошо разбирающиеся в их устройстве, начали испытывать определенные затруднения. Казалось бы, общий доступ к папке предоставлен, а доступа нет. Почему? В этом мы и постараемся разобраться. Следует помнить, что все описанное далее относится к редакции Professional операционной системы Windows ХР и сети без домена Active Directory. Статья рассчитана на начинающих пользователей. Настройка доступа.

Прежде всего, необходимо настроить систему для того, чтобы доступ к компьютеру из сети стал возможен. Обыкновенно советы сводятся к следующему: отключите брандмауэр, выключите простой общий доступ, включите гостя и разрешите ему доступ. Это неправильно. Такая политика действительно позволит использовать общий доступ к ресурсам, но она никак не защищает владельца от злонамеренных действий клиентов. При таких обстоятельствах, возможно что любой пользователь сможет удалить данные на вашем жестком диске.

Итак, как сделать правильно. Заходим в свойства брандмауэра, используя соответствующий пункт Панели управления и отмечаем чекбокс Общий доступ к файлам и принтерам как показано на рис.1. Этим мы разрешаем доступ к портам TCP 139 и 445, а также UDP 1 37–138 . Вообще, при открытии сетевого доступа к разделяемым ресурсам, брандмауэр настраивается автоматически. Мы проделали эту операцию, дабы совершенно точно знать, что возможные проблемы не связаны с политиками брандмауэра.

По умолчанию Windows ищет в сети общие папки и принтеры. Можно по-разному относиться к данной возможности, но если необходимо ее задействовать, то лучше воспользоваться компонентом Одноранговая сеть, который включается через Установку и удаление программ – Компоненты Windows – Сетевые службы (Рис.2). Брандмауэр будет настроен автоматически.

Помимо того, необходимо убедиться в том, что задействована Служба общего доступа к файлам и принтерам. Проверить это можно в свойствах сетевого соединения (Рис.3). По умолчанию данная служба включена, если не используется модемное подключение.

Теперь необходимо определиться с методом доступа к компьютеру из сети. В Windows XP предусмотрены две модели доступа: «Гостевая» и «Обычная». Гостевой доступ упрощает управление разделяемыми ресурсами, но существенно ограничивает возможности, такие как удаленное администрирование, аудит и разделение ресурса между пользователями по правам доступа т.п. При выборе этой модели, все пользователи, которые пытаются подключиться к компьютеру из сети, автоматически признаются гостями операционной системы. Если никакие из вышеперечисленных функций не используются, то можно ограничиться гостевым доступом.

Гостевая модель доступа.

Чтобы воспользоваться данной моделью доступа, а она активирована в Windows по умолчанию, достаточно просто включить учетную запись Гость в оснастке управления компьютером, либо через панель управления и разрешить ему доступ из сети в политике безопасности.

Учетная запись Гость включается следующим: образом: правый клик по системному значку Мой компьютер, который, в зависимости от выбранного интерфейса ОС, «классического», либо Windows XP, находится или на «рабочем столе» или в меню «Пуск». В появившемся меню выбираем Управление. В открывшейся оснастке переходим к категории Локальные пользователи и группы, затем выбираем Пользователей, дважды щелкаем по учетной записи Гость и снимаем флажок в чекбоксе Отключить учетную запись. Затем нажимаем Применить и ОК. Красный крестик у Гостя должен исчезнуть (Рис.4). Также в оснастку Управление компьютером можно попасть через Панель управления, выбрав в ней пункт Администрирование.

Переходим в оснастку редактора групповых политик – нажимаем Пуск, выбираем Выполнить, вводим GPEDIT.MSC и нажимаем ОК. В открывшейся оснастке находим ветвь Назначение прав пользователя (Рис.5), затем – пункт Отказ в доступе к компьютеру по сети, дважды щелкаем по нему, подсвечиваем Гостя, нажимаем Удалить, Применить, ОК.

В принципе все, гостевой доступ включен, но есть тонкости:

  • Изменение в политике безопасности применяются через полтора часа (90 мин.) по умолчанию. Принудительно применить параметры можно двумя способами: осуществив перезагрузку ОС, либо используя принудительное обновление групповой политики. Сделать это можно следующим образом: Пуск, Выполнить, вводим gpupdate /force (без кавычек) и нажимаем ОК.
  • Если вы меняли модель доступа ранее, то верните ее назад к гостевой модели, как показано на рис.6 или рис. 7.

Обычная модель доступа.

Теперь рассмотрим более правильный с моей точки зрения вариант с “Обычной” моделью доступа, которую еще называют «Классической».

Итак, модель сетевого доступа выбрана «Обычная». Это значит, что все пользователи, пытающиеся попасть на компьютер из сети, автоматически перестают быть гостями. При этом Windows начнет производить проверку их верительных данных на предмет совпадения с хранящимися на локальном компьютере учетными записями, а также проверку полномочий доступа, предоставленных этим пользователям. В этом случае имеется возможность создавать локальных пользователей и задавать им права доступа к папкам и подпапкам. Это пригодится, когда надо открыть доступ к определенной папке одному пользователю, но закрыть другому. При простом общем доступе сделать это невозможно, поскольку все клиенты используют одну учетную запись – «Гость».

В политиках безопасности существует пункт, регламентирующий использование пустых паролей. По умолчанию использование пустых паролей допускается только для консольного входа. Если кто-то из пользователей, кроме «Гостя» должен попадать в систему с пустым паролем, то значение данного пункта надо перевести в положение «Отключен». Тем самым разрешается доступ к компьютеру по сети учетным записям, имеющим пустой пароль. Но имейте ввиду, что тем самым открывается доступ с пустыми паролями и к так называемым «административным» разделяемым ресурсам, что совсем не безопасно.

Есть в «Обычной» модели сетевого доступа и недостаток, но недостаток этот скорее в головах пользователей, которые оставляют пароль администраторов пустым или ставят «12345» или qwerty. Если пустой пароль «Администратора» это принципиально, то тогда надо его либо переименовать, либо отключить (не бойтесь, в безопасном режиме «Администратор» включен всегда), либо запретить ему доступ по сети, добавив его к имеющим такой запрет, как на рис.5 Конкретные действия зависят от ваших потребностей.

Авторизация при выбранной «Обычной» модели сетевого доступа происходит следующим образом. Вначале Windows проверяет связку логин – пароль (верительные данные) на предмет совпадения с локальными учетными записями. Если верительные данные совпали и учетная запись имеет соответствующие права, то доступ разрешается. Если совпал только логин, то доступ запрещается и выдается ошибка 5. Если же таких верительных данных нет в локальной базе, то пользователь считается «Гостем» и дальнейшие действия производятся в зависимости от состояния этой учетной записи (включена или отключена) и прав доступа, в т.ч. и доступа по сети. В этом случае, если «Гость» отключен или ему запрещен доступ по сети, а также в случае если происходит попытка авторизоваться с пустым паролем, но подобные действия запрещены политикой безопасности, то Windows пошлет «ident» запрос и пользователь увидит окно с предложением ввести правильные имя пользователя и пароль. Если включить «Гостя», то можно задать смешанный режим доступа, когда существуют ресурсы, право доступа к котором дано «Гостю» и, возможно прочим пользователям, а также защищенные папки, куда разрешен доступ определенным лицам на чтение или на запись.

Несколько советов.
Если вы не хотите потерять свои данные, то следуйте простейшим правилам безопасности, как вы следуете правилам личной гигиены.

  • Берегите учетную запись администратора, не работайте под ней. Создайте себе другую, а «Администратора» либо отключите, либо переименуйте.
  • Не задавайте учетным записям «Администраторов» пустой пароль.
  • Используйте сложные пароли. Если вам лень вводить его каждый раз, то воспользуйтесь утилитой, вызываемой командой CONTROL USERPASSWORDS2 из командной строки или из меню Пуск – Выполнить, для задания авто-входа.
  • Никогда не давайте полный доступ по сети, максимум на Изменить.
  • Никогда не предоставляйте в общий доступ диски, используйте для этого папки.

Создание разделяемого ресурса – общей папки

Папку можно создавать в любом месте, но лучше это делать в корневом каталоге диска, поскольку некоторые каталоги имеют предварительно заданные разрешения. Итак, создаем папку и даем ей имя. Затем щелкаем этой папке правой кнопкой мыши и выбираем пункт Свойства. Переходим на вкладку Доступ. Переключаем радиобутон в положение Открыть общий доступ к этой папке.

Есть маленький нюанс. Если в конце названия общего ресурса проставить знак доллара – $, то папка будет не видна из сети, это так называемый скрытый разделяемый ресурс и обратиться к ней можно только указав полный путь, например: Пуск, Выполнить, \\mycomp\sharing$, OK. Можно добавить примечание. Если общих папок много, это может быть полезным. Имя общего ресурса не обязательно должно совпадать с именем общей папки, оно может быть задано произвольно.

Теперь нажимаем кнопку Разрешения и попадаем в окошко, изображенное на рис.10

Здесь задаются разрешения на сетевой доступ к папке. Если у вас файловая система FAT32, то разрешения можно задать только здесь, используя кнопки «Добавить» и «Удалить». Для тех же, кто использует NTFS особого смысла добавлять кого-то нет. Стоит только определить уровень доступа. Например, добавить право на изменение. Если же вы добавите пользователя или группу пользователей, не запутайтесь, ведь вам придется еще выставить права на вкладке Безопасность рис.11.

Перейдя на вкладку Безопасность, можно добавлять пользователей и предоставлять им права доступа. Обратите внимание, что по умолчанию полномочия уже делегированы определенным категориям пользователей. В том числе и группе «Пользователи», в которую входят созданные вами учетные записи. Это значит, такие пользователи уже имеют некоторые права. Если вы создаете папку, доступ к которой требуется не всем пользователям, то такая ситуация не приемлема. Решить эту проблему можно двумя способами.

  • Первый вариант – удалить группу и добавить конкретных пользователей (первым делом себя и на полный доступ). Windows не дает удалить? Правильно, идем в Дополнительно, снимаем галку Наследовать, жмем Применить, в появившемся окне жмем Копировать, затем ОК и возвращаемся к рис.11. Но теперь здесь можно и удалять и добавлять.
  • Второй вариант будет полезен в том случае, если вам требуется запретить доступ к общему ресурсу только для некоторых участников группы «Пользователи», разрешив при этом доступ остальным. Решением такой проблемы является добавление в список учетных записей требуемых пользователей и выставление им запрета на «Полный доступ». Теперь, хоть они и входят в группу, которой разрешен какой-то вариант доступа, они его не получат, поскольку в Windows запрещения имеют более высокий приоритет над разрешениями, о чем она вам и сообщит.

Используя данные нехитрые приемы, можно выстроить иерархию папок, с различными правами доступа, входом в которую будет единственная видная в сети папка. Преимущество такого подхода в том, что перемещением радиобутона на рис.9 в обратное положение можно разом отсечь всех пользователей, которые подключились к вашему ПК. И также легко опять предоставить доступ, когда он вновь потребуется.

Пользователям, избравшим для сетевого доступа «Гостевую» модель, открыть общий доступ к папке гораздо проще. Необходимо создать папку и дать ей имя. Затем правый клик на значке папки, выбираем Свойства и переходим на закладку Доступ, рис.12. Здесь, в нижней части окна необходимо отметить чекбокс Открыть общий доступ к этой папке и, возможно, чекбокс Разрешить изменение файлов по сети если есть необходимость того, что удаленные пользователи смогут добавлять и удалять файлы в этой папке. Также есть возможность изменить имя ресурса, под этим именем папка будет видна в сети.

Цель работы:Ознакомиться с процедурами создания ученых записей пользователей и управления их правами.

Теоретическая часть

В операционной системе Windows XP на одном и том же компьютере могут работать разные пользователи, каждый под своим именем. При входе в ОС запрашиваются имя и пароль, на основе которых происходит аутентификация пользователя.

Компьютер может работать автономно, а может быть рабочей станцией в сети. Если компьютер загружается для автономной работы или для работы в одноранговой сети , то пользователь регистрируется, используя внутренний (локальный) список имен пользователей системы.

Если компьютер загружается для работы в сети с выделенным сервером , то пользователь регистрируется, используя имя, которое ему выдал администратор сети. Список с этими именами хранится на сервере.

Данные о пользователе находятся в специальной базе данных на локальных компьютерах и на сервере. На каждого пользователя заводится отдельная учетная карточка, которая носит название учетная запись.

Windows XP использует три типа учетных записей пользователей:

  1. Локальные учетные записи для регистрации пользователей локального компьютера. База локальных учетных записей хранится на каждом компьютере своя, и содержит информацию о пользователях только данного компьютера. Создаются учетные записи администратором этого компьютера.
  2. Встроенные учетные записи пользователей создаются автоматически при установке Windows XP. Встроенных учетных записей две — Администратор и Гость. Встроенные учетные записи хранятся в той же базе, что и локальные учетные записи.
  3. Учетные записи пользователей домена хранятся на выделенном сервере и содержат данные о пользователях локальной сети.

Локальная учетная запись - это учетная запись, которой могут быть предоставлены разрешения и права на вашем компьютере. Для удобства управления локальными пользователями, их можно объединять в группы и управлять группами, чтобы не устанавливать одни и те же настройки для каждого пользователя в отдельности. Ограничения, установленные для группы, распространяются на всех пользователей этой группы.

Домен или глобальные пользователи и группы управляются сетевым администратором . Имеется возможность добавить локальных пользователей, глобальных пользователей и глобальные группы в локальные группы. Однако невозможно добавить локальных пользователей и локальные группы в глобальные группы.

Пользователи и группы важны для безопасности Windows XP поскольку позволяют ограничить возможность пользователей и групп выполнять определенные действия путем назначения им прав и разрешений. Право дает возможность пользователю выполнять на компьютере определенные действия, такие как архивирование файлов и папок или завершение работы компьютера. Разрешение представляет собой правило, связанное с объектом (например, файлом, папкой или принтером), которое определяет, каким пользователям и какого типа доступ к объекту разрешен.

Операционная система содержит несколько встроенных учетных записей пользователей и групп, которые не могут быть удалены:

Учетная запись пользователя с именем "Администратор" используется при первой установке рабочей станции или рядового сервера. Эта учетная запись позволяет выполнять необходимые действия до того, как пользователь создаст свою собственную учетную запись. Администратор является членом группы администраторов на рабочей станции или рядовом сервере.

Учетную запись "Администратор" нельзя удалить, отключить или вывести из группы администраторов, что исключает возможность случайной потери доступа к компьютеру после уничтожения всех учетных записей администраторов. Это свойство отличает пользователя "Администратор" от остальных членов локальной группы "Администраторы".

Учетная запись гостя предназначена для тех, кто не имеет реальной учетной записи на компьютере. Учетную запись "Гость" нельзя удалить, но можно переименовать или отключить. Учетной записи пользователя "Гость", как и любой другой учетной записи, можно предоставлять права и разрешения на доступ к объектам. Учетная запись "Гость" по умолчанию входит во встроенную группу "Гости", что позволяет пользователю войти в систему с рабочей станции или рядового сервера. Дополнительные права, как любые разрешения, могут быть присвоены группе "Гости" членом группы администраторов.

К стандартным группам Windows XP относятся следующие группы:

Пользователи, входящие в группу "Администраторы", имеют полный доступ на управление компьютером. Это единственная встроенная группа, которой автоматически предоставляются все встроенные права и возможности в системе. По умолчанию туда входит учетная запись "Администратор".

Члены группы "Операторы архива" могут архивировать и восстанавливать файлы на компьютере, независимо от всех разрешений, которыми защищены эти файлы. Также они могут входить на компьютер и выключать его, но не могут изменять параметры безопасности.

Члены группы опытных пользователей могут создавать учетные записи пользователей, но могут изменять и удалять только созданные ими учетные записи. Они могут создавать локальные группы и удалять пользователей из локальных групп, которые они создали. Они также могут удалять пользователей из групп "Опытные пользователи", "Пользователи" и "Гости".

Они не могут изменять группы "Администраторы" и "Операторы архива", не могут являться владельцами файлов, не могут выполнять архивирование и восстановление каталогов, не могут загружать и выгружать драйверы устройств или управлять журналами безопасности и аудита.

Члены группы пользователей могут выполнять наиболее распространенные задачи, например запуск приложений, использование локальных и сетевых принтеров , завершение работы и блокировка рабочих станций. Пользователи могут создавать локальные группы, но изменять могут только те, которые они создали. Пользователи не могут организовывать общий доступ к каталогам или создавать локальные принтеры .

Группа "Гости" позволяет случайным или разовым пользователям войти в систему со встроенной учетной записью гостя рабочей станции и получить ограниченные возможности. Члены группы "Гости" могут только прекратить работу компьютера.

Управление учетными записями пользователей и группами осуществляется пользователями, входящими в группу Администраторы.

Настройка разрешений для файлов и папок.

Настройка разрешений задает тип доступа, разрешенный пользователю или группе. Например, всему финансовому отделу предоставляется разрешение на запись и чтение файла payroll.dat, содержащего данные платежной ведомости организации. При настройке разрешений устанавливается уровень доступа для групп и пользователей. Например, одному из пользователей разрешается читать содержимое файла, другому — вносить изменения в файл, а всем остальным пользователям запрещается любой доступ к файлу. Для принтеров устанавливаются аналогичные разрешения, позволяющие некоторым пользователям настраивать принтеры, а остальным — только печатать на них. Изменить разрешения, связанные с файлом или папкой, может только их владелец или тот, кому предоставлено соответствующее разрешение.

Разрешения для группы.

Лучше присваивать разрешения не пользователям, а группам, поскольку при этом исчезает необходимость управлять доступом для каждого отдельного пользователя. Если это возможно, следует вместо отдельных разрешений предоставлять разрешение Full control (Полный контроль). Настройка Deny (Запретить) применяется, чтобы исключить какую-либо подгруппу той группы, для которой установлено разрешение Allowed (Разрешено), или отменить отдельное разрешение для группы или пользователя, которым уже предоставлен полный контроль.

Вид предоставляемого разрешения зависит от типа объекта. Например, для файла и для раздела реестра предоставляются разные разрешения. Однако существуют общие виды разрешений, в т. ч. на следующие операции:

Как настроить, просмотреть, изменить или удалить разрешения для файла и папки.

1. Откройте проводник Windows, для этого нажмите кнопку Start (Пуск), выберите последовательно пункты All Programs (Все программы), Accessories (Стандартные) и щелкните Windows Explorer (Проводник).

2. Найдите файл или папку, для которых требуется настроить разрешения.

3. Щелкните файл или папку правой кнопкой мыши, выберите пункт Properties (Свойства) и щелкните вкладку Security (Безопасность). (Если вкладка Security (Безопасность) не видна, это может означать, что компьютер не подключен к домену).

4. Выполните одно из следующих действий:

5. Выполните одно из следующих действий:

6. Если флажки в поле Permissions for user or group (Разрешения для пользователя или группы) затенены или кнопка Remove (Удалить) недоступна, то файл или папка унаследовали разрешения, установленные для родительской папки.

Как вывести на экран вкладку Security.

На вкладке View (Вид) в группе Advanced settings (Дополнительные параметры) снимите флажок Use simple file sharing [Recommended] (Использовать простой общий доступ к файлам (рекомендуется)).

Модели и методы контроля доступа: что вам подходит?

Контроль и управление правом доступа решают задачи по защите от незаконного проникновения на объекты и несанкционированного использования ресурсов. Выбор модели управления доступом — это определяющий, ключевой элемент защиты, который обеспечивает необходимый уровень безопасности для организаций и информационных систем любого назначения. Практическую действенность показали четыре научно разработанных модели и метода управления доступом, в которых учтены как специфики субъектов, так и степень важности безопасности объектов или ресурсов.

Модели управления доступом подразделяются на следующие категории:

  • дискреционное (избирательное) управление;
  • обязательный (мандатный) метод управления;
  • ролевая модель управления;
  • управление доступом на основе правил.

Дискреционный контроль доступа

Избирательный метод управления доступом предусматривает право владельца или администратора объекта определять и контролировать всех, кто имеет доступ к системе или ресурсам, основываясь на идентификационной информации о субъектах (ключи доступа), допущенных к контролируемой системе. Модель дискреционного доступа не представляет сложности в настройке и управлении, и совместима с большинством программного обеспечения и операционных систем, таких как Windows и других. При этом, администратор создает списки допускаемых к объекту и вид использования ресурса.

Преимущество дискреционного контроля доступа заключается в том, что администратор может легко и быстро настроить разрешения, определяя, кто и куда получает доступ. При этом, он основывается на интересах деятельности учреждения и режиме общей политики безопасности организации. Недостатком является то, что слишком много полномочий предоставляется администратору списка. Это может повлечь неумышленное предоставление доступа посторонним субъектам, которые могут нарушить целостность системы безопасности организации и распорядиться ресурсом без ведома владельца.

Мандатный контроль доступа

Обязательное или принудительное управление доступом считается наиболее ограничительной формой доступа, поскольку оно предоставляет контроль и управление системой и точками доступа только владельцу объекта или администратору системы. В обязательной модели контроля доступа применяется такое понятие, как метка объекта или мандат, который определяет степень важности ресурса и присваивается ему в момент создания. В мандатной модели пользователям не разрешается изменять уровень доступа к ресурсам, превышая тот, который изначально установлен администратором.

Если требуется повысить уровень доступа, то создается новый профиль с учетными данными пользователя. Администратору предоставлено право изменять настройки только в соответствии параметрами системы, которые определяются общей политикой безопасности объекта. Обязательный контроль доступа целесообразно использовать на объектах и для организаций, где требуется максимальная безопасность и ограничения. Это такие структуры как военные и правительственные учреждения, а также корпорации, которые считают необходимым применять повышенный уровень безопасности.

Модель ролевого управления доступом

Основной принцип ролевой модели предполагает распределение функций персонала с учетом вида деятельности организации в целом или работы конкретного подразделения, либо при выполнении отдельного проекта. При использовании ролевого метода нет нужды определять тип доступа для каждого отдельного пользователя ресурсом. Достаточно установить степень допуска для роли, которую исполняет пользователь ресурса в соответствии с должностными обязанностями или при выполнении отдельной задачи. При этом, допуск строго определен ролью исполняемой сотрудником и не выходит за пределы, предписанные изначальным сценарием.

Преимущество ролевого метода заключается в том, что доступом к ресурсу может пользоваться несколько пользователей, которые назначены на одну и ту же роль или наоборот — один сотрудник назначается на исполнение несколько ролей без пересмотра индивидуального уровня доступа. Однако, если в интересах работы исполнитель требует расширить сферу допуска, предусмотренную ролью, то администратор пересматривает степень доступа для каждого конкретного случая. Метод ролевого управления СКУД наиболее подходит для динамичных и изменчивых облачных систем управления.

Контроль и управление доступом на основе правил

Эта форма управления схожа с ролевым методом, но отличается тем, что владельцами объектов и администраторами ресурсов устанавливаются четкие правила по ограничению доступа к объекту в определенное время суток или разрешается только с конкретного устройства. Кроме того, разрешения к доступу могут быть определены количеством предыдущих попыток входа или местом нахождения пользователя. Также разрешения на доступ могут быть определены комбинацией установленных правилами действий.

Эта модель отлично подходит для управления доступом в организациях, располагающих большим количеством объектов с разной степенью уровня доступа и различным регламентом работы. Гибкость системы безопасности на основе правил позволяет определять множество комбинаций доступа в зависимости от меняющейся обстановки.

Читайте также: