Встроенные системные группы

Встроенные системные группы существуют на всех компьютерах под управлением Windows XP Professional. Системные группы не имеют определенных членств, которые можно изменять, но в них входят различные пользователи в разное время, в зависимости от того, каким образом пользователь получает доступ к системе или ресурсам.

Системные группы не видны, когда Вы администрируете группы, но они доступны при назначении прав и разрешений для ресурсов. Windows XP Professional организует членство в системных группах в зависимости от вила доступа к компьютеру, а не от личности пользователя.

Все (Everyone) - Все пользователи, которые имеют доступ к компьютеру. По умолчанию при форматировании тома в NTFS, труппе Все (Everyone) предоставляется разрешение полного доступа.

Это вызывало проблемы в более ранних версиях Windows, в том числе и Microsoft Windows 2000. В Windows XP Professional анонимный вход в систему теперь не включен в группу Все (Everyone). При переходе с Windows 2000 Professional на Windows XP Professional ресурсы с разрешениями для группы Все (Everyone), а не специально для группы анонимного входа в систему, недоступны группе анонимного входа в систему

Прошедшие проверку (Authenticated Users) - Все пользователи с действительными учетными записями пользователя на компьютере.

(Если ваш компьютер — часть домена, все пользователи включаются в Active Directory)

Создатель-владелец (Creator Owner) - Эта учетная запись пользователя для тех, кто создал или владеет ресурсом. Если ресурс создает член группы администраторов, то ресурсом владеет группа администраторов

Сеть (Network) - Любой пользователь с удаленным подключением к общему ресурсу на этом компьютере.

Интерактивные (Interactive) - Учетная запись для пользователя, вошедшего в систему. Члены интерактивной группы могут пользоваться физическими ресурсами системы. При входе в систему они получают доступ к ресурсам компьютера интерактивно.

Анонимный вход (Anonymous Logon) - Любая учетная запись, подлинность которой Windows XP Professional подтвердить не может.

Удаленный доступ (Dialup) - Любой пользователь, кто в настоящее время имеет удаленный доступ к компьютеру через модем.

Обеспечение безопасности с помощью разрешений NTFS.

Разрешения NTFS доступны только на томах NTFS и используются для явного указания того, какие пользователи и группы могут получать доступ к файлам и папкам и какие действия они могут совершать с содержимым этих файлов и папок.

Существуют следующие разрешения NTFS для папок: Чтение(Read), Запись(Write), Слисок содержимого папки(List Folder Contents), Чтение и выполнение(Read & Execute), Изменить(Modify) и Полный доступ(Full Control).

Существуют следующие разрешения NTFS для файлов; Чтение(Read), Запись(Write), Чтение и выполнение(Read & Execute), Изменить(Modify) и Полный доступ(Full Control).

Администраторы, владельцы файлов или папок и пользователи, имеющие разрешение Полный доступ(Full Control), могут устанавливать разрешения NTFS для других пользователей и групп для управления доступом к файлам и папкам.

В NTFS хранится список управления доступом (ACL), который содержит список всех пользователей и групп, которым был разрешен доступ к файлу или папке, тип установленного доступа для каждого файла и папки на томе NTFS.

Пользователь, пытающийся получить доступ к ресурсу, должен иметь разрешение соответствующего типа.

Вы можете устанавливать множественные разрешения отдельным пользователям или группам при помощи установки разрешений отдельному пользователю и каждой группе, членом которой является пользователь.

Рзрешения NTFSдля файлов имеют больший приоритет, чем

разрешения NTFS для папок.

Эффективные разрешении пользователя для ресурса основаны на

разрешениях NTFS, назначаемых отдельному пользователю и всем группам, к которым он принадлежит.

Управление дисковыми квотами

Дисковые квоты используются для управления объемом хранимых данных в распределенных средах.

2) Дисковые квоты не учитывают сжатие - Пользователь отвечает за каждый распакованный байт независимо от того, какой объем дискового пространства используется в действительности. Одна из причин этого заключается в том, что степень сжатия зависит от типа файлов.

3) Свободное пространство для приложений зависит от предела квоты – выделяется остаток дисковой квоты.

Рисунок 4 – Квоты пользователей

С помощью диалогового окна Записи квот (Quota     Entries For) можно просмотреть следующую информацию:

    • объем дискового пространства, используемый каждым из пользователей;

    • значения порога предупреждения и предела квоты для каждого пользователя;

    • пользователи, превысившие порог предупреждения;

    • пользователи, превысившие предел квоты.

Использование EFS.

Файловая система Microsoft Encrypting File System (EFS) предоставляет возможность шифрации данных, хранящихся на дисках NTFS.

Encrypting File System (EFS) –не поддерживается в "домашних" версиях (Windows XP Home Edition, Windows Vista Basic и Windows Vista Home Premium).

EFS использует симметричное шифрование для защиты файлов, а также ассиметричное шифрование для защиты случайно-сгенерированного ключа шифрования для каждого файла.

1) Каждый файл шифруется с помощью симметричного алгоритма шифрования (более быстрый способ шифрования).

Используется случайно-сгенерированный ключ для каждого файла, называемый File Encryption Key (FEK),

2) FEK - (случайный для каждого файла ключ симметричного шифрования) защищается путём ассиметричного шифрования на базе алгоритма RSA.

Рисунок 5 - Схема шифрования EFS

Рисунок 6 - Пример шифрования файла средствами EFS.