Windows 7 средства безопасности

Чтобы застраховать себя от возможных  неприятностей при потере пароля, следует создать диск сброса пароля. Для этого нужно выполнить следующие действия.

1. Откройте окно Учетные записи пользователей, щелкнув на изображении учетной записи в меню Пуск.
2. Для запуска Мастера забытых паролей щелкните на ссылке Создание дискеты сброса пароля в левой части окна.
3. Установите дискету в дисковод или подключите flash–диск к компьютеру и нажмите кнопку Далее в первом окне Мастера забытых паролей.
4. В следующем окне выберите из списка устройство для сохранения сведений о пароле и нажмите Далее.
5. Укажите текущий пароль учетной записи и нажмите Далее, после чего на диск будет записан специальный зашифрованный файл userkey.psw.

Если вы забыли свой пароль, то сможете  воспользоваться ранее созданным  диском следующим образом.

1. Попробуйте войти в систему под любым паролем. Система сообщит вам о том, что пароль неправильный.
2. После нажатия OK вы вернетесь к экрану ввода пароля, где должна появиться ссылка Восстановить пароль.
3. Щелкните на ссылке Восстановить пароль, вставьте диск сброса пароля и нажмите кнопку Далее в первом окне Мастера сброса пароля.
4. В следующем окне выберите устройство, на котором находится информация о пароле.
5. В появившемся окне наберите новый пароль, подтвердите его и введите при необходимости подсказку для пароля.
6. После завершения работы мастера выполните вход в систему с использованием нового пароля.

1.7. Локальные пользователи и группы

Дополнительные средства для управления учетными записями пользователей и  их группами имеются в оснастке Локальные  пользователи и группы, которая является частью средства Управление компьютером и доступна в версиях «Профессиональная», «Корпоративная» и «Максимальная». Для открытия оснастки Локальные пользователи и группы щелкните правой кнопкой мыши на значке Компьютер и выберите пункт Управление. В окне Управление компьютером раскройте узел Служебные программы → Локальные пользователи и группы (рис. 7).

Рис. 7. Оснастка Локальные пользователи и группы

В оснастке Локальные пользователи и группы имеются две папки: Пользователи и Группы. Папка Пользователи содержит всех пользователей, имеющих учетные записи, а также специальные системные учетные записи. С помощью меню и кнопок оснастки можно выполнять различные действия с пользователями и группами, часть из них можно также осуществлять в рассмотренном выше окне Учетные записи пользователей. Рассмотрим некоторые операции, которые нельзя выполнить стандартными средствами Windows 7.

Выберите в дереве категорий  консоли папку Пользователи и  дважды щелкните на одной из учетных  записей в списке. В появившемся  окне (рис. 8) можно изменить следующие параметры.

Рис. 8. Окно настройки свойств пользователя

• Запретить смену пароля пользователем. Установите этот флажок для тех учетных записей, под которыми работают сразу несколько пользователей.
• Срок действия пароля не ограничен. При снятии этого флажка для пароля будут применяться ограничения, установленные с помощью средства Локальная политика безопасности. Отключив данный параметр, вы можете потребовать смены пароля при следующем входе в систему, установив одноименный флажок.
• Отключить учетную запись. Вы можете временно отключить любую учетную запись. Если в Windows ХР отключить учетную запись администратора было невозможно, то в Windows 7 эта учетная запись отключена по умолчанию и недоступна даже в безопасном режиме. Чтобы разблокировать учетную запись администратора, нужно выбрать ее в списке пользователей и снять рассматриваемый флажок.
• Заблокировать учетную запись. Если количество попыток ввода пароля ограничено, то этот флажок будет автоматически установлен при превышении установленного количества попыток. В таком случае снятие флажка позволит разблокировать учетную запись.

Для облегчения управления правами  пользователей их объединяют в группы. В папке Группы можно просмотреть  список имеющихся групп и их описание, а дважды щелкнув на выбранной группе, вы узнаете, какие пользователи в нее включены. Можно поместить пользователя сразу в несколько групп, в этом случае он получит права всех групп, членом которых является. Для изменения списка групп, к которым принадлежит пользователь, используйте вкладку Членство в группах окна свойств пользователя.

2. НАСТРОЙКА ПРАВ ДОСТУПА К ФАЙЛАМ РАЗРЕШЕНИЯ NTFS

В Windows 7 можно управлять правами доступа к файлам и папкам для различных пользователей. Эта возможность реализована в самой файловой системе NTFS в виде разрешений, которые хранятся для каждого файла или папки вместе с именем, размером, датой и другими атрибутами. При выполнении каких–либо операций с файлом или папкой сначала проверяется список имеющихся для него (нее) разрешений, и если для текущего пользователя разрешение на осуществление конкретного действия отсутствует, то пользователю будет отказано в выполнении данного действия.

В Windows 7 для личных файлов пользователей, приложений и компонентов системы  автоматически устанавливается оптимальный набор разрешений согласно следующим основным правилам.

1. Любой пользователь имеет полный доступ к папкам своего профиля и может управлять правами доступа к ним.
2. При использовании учетной записи с правами обычного пользователя нельзя получить доступ к папкам других пользователей. Однако если учетная запись администратора не защищена паролем, то любой пользователь может с ее помощью войти в систему и получить доступ к файлам.
3. Все пользователи могут создавать и изменять свои файлы в папке Общие или одной из ее подпапок. Файлы других пользователей можно только просматривать.
4. Чтобы получить доступ к папкам другого пользователя без его разрешения, нужно обладать правами администратора. При этом пользователь автоматически будет добавлен в список разрешений для данного объекта.
5. Пользователям запрещено изменение системных папок, например Windows или Program Files. Для выполнения этих операций нужно подтвердить ваши права в окне UAC. В целях безопасности некоторые действия запрещены даже для администраторов, но изменить системный файл можно, став его владельцем.

Почти все папки имеют в списке доступа группу Администраторы, но поведение системы при попытке получить доступ к такой папке будет различаться, в зависимости от того, включен ли контроль учетных записей. При включенном UAC появится окно с просьбой подтвердить действия или ввести пароль учетной записи с правами администратора. При отключенном UAC для учетной записи с правами администратора доступ будет предоставлен автоматически, а для обычных пользователей доступ будет запрещен. Если же доступ к папке или файлу запрещен даже администраторам, для его получения понадобится изменить разрешения вручную.

2.1. Изменение разрешений для отдельных папок и файлов

Для большинства пользователей  будет вполне достаточным работать с разрешениями по умолчанию, но при наличии особых требований к разграничению доступа вам может понадобиться настройка разрешений вручную. Возможно, вам будет необходимо ограничить доступ к папкам, находящимся вне профиля пользователя или вообще на другом разделе. Еще одной распространенной задачей является разграничение доступа к файлу для нескольких пользователей, например первому пользователю нужно открыть полный доступ, второму – только для чтения, а третьему – вообще запретить. Однако следует заметить, что система разрешений является достаточно сложной, поэтому рассмотрим лишь наиболее важные сведения, достаточные для решения основных задач администрирования.

Чтобы просмотреть список текущих  разрешений для файла или папки, щелкните на нем правой кнопкой мыши, выберите пункт Свойства и перейдите на вкладку Безопасность (рис. 9).

Рис. 9. Вкладка Безопасность окна свойств папки

В верхней части вкладки Безопасность содержится список пользователей и  групп, для которых установлены  разрешения или запреты. Выбрав в этом списке любое имя пользователя или группы, вы сможете увидеть его разрешения. На (рис 10) приведены значения имеющихся разрешений.

Рис. 10. Значения разрешений доступа

Для редактирования разрешений следует  нажать кнопку Изменить; в зависимости от текущих разрешений файла для этого вам могут понадобиться права администратора. После этого вы сможете изменять разрешения для имеющихся пользователей или групп, удалять их и добавлять новые. При редактировании разрешений обратите внимание на следующие моменты.

• При задании разрешения с более высоким приоритетом автоматически устанавливаются флажки зависимых разрешений.
• Установка флажка Запретить всегда имеет более высокий приоритет, чем Разрешить.
• Если вы измените разрешения для папки, то по умолчанию будут изменены разрешения всех вложенных объектов.
• Если определенные флажки недоступны, значит, данное разрешение наследуется от родительской папки. При отсутствии у текущего пользователя прав на изменение разрешений недоступными будут все флажки.
• При наличии в списке групп Администраторы, Пользователи или других соответствующие разрешения будут применены ко всем пользователям выбранной группы.

2.2. Как получить доступ к файлу или папке

Разрешения для некоторых файлов могут быть установлены так, что они будут недоступны даже администраторам. Для этого достаточно, чтобы владелец файла запретил к нему доступ другим пользователям и группам, включая администраторов. Но в некоторых случаях доступ к таким файлам необходимо получить. Вот несколько примеров.

1. Вы удалили учетную запись, а файлы пользователя с ограничениями NTFS остались.
2. Вы переустановили операционную систему, оставив при этом файлы, для которых пользователи предыдущей системы применили ограничения NTFS.
3. Вам нужно вручную удалить файлы предыдущей операционной системы. Вы не сможете это сделать обычным способом, поскольку важные системные файлы Windows Vista и Windows 7 заблокированы от изменения и удаления с помощью ограничений NTFS.

Общая последовательность получения  доступа такая: сначала нужно сделать себя владельцем объекта, затем назначить права полного доступа к нему. Для примера рассмотрим подробно порядок получения доступа к папке, которая осталась от удаленной учетной записи. Для выполнения этих действий нужно обладать правами администратора.

1. Щелкните правой кнопкой мыши на нужном файле или папке, выберите пункт Свойства и перейдите на вкладку Безопасность. При этом вы можете получить предупреждение о том, что у вас нет прав на просмотр или изменение разрешений, а сам список разрешений окажется пустым.
2. Чтобы перейти в окно смены владельца, вы можете нажать кнопку Продолжить, если такая имеется на вкладке Безопасность. При отсутствии данной кнопки нажмите кнопку Дополнительно и в появившемся окне перейдите на вкладку Владелец (рис. 11).

Рис. 11. Вкладка Владелец окна дополнительных параметров безопасности

3. Если элементы управления на вкладке Владелец недоступны, нажмите кнопку Изменить.
4. В списке доступных владельцев выберите имя своей учетной записи, установите флажок Заменять владельца подконтейнеров и объектов (этот флажок присутствует только для папок) и нажмите OK.
5. В дополнительном окне система предложит предоставить вам права полного доступа. Согласитесь с этим, нажав OK. Если это окно не появится, разрешения придется настраивать вручную.
6. Закройте все окна с помощью кнопки OK и повторно откройте вкладку Безопасность, после чего вы сможете просматривать и изменять разрешения для объекта.

Некоторые действия на вкладке Безопасность могут быть недоступными, поскольку  объект унаследовал разрешения от родительского объекта. Чтобы отменить наследование, снова щелкните на кнопке Дополнительно, затем нажмите кнопку Изменить и снимите флажок Добавить разрешения, наследуемые от родительских объектов. После нажатия OK выберите в появившемся окне кнопку Добавить и снова нажмите OK.

3. ЗАШИТА ИНФОРМАЦИИ С ПОМОЩЬЮ ШИФРОВАНИЯ

Функция шифрования файлов и папок  на уровне файловой системы имелась  еще в Windows 2000/ХР, в Windows Vista была добавлена  возможность шифрования целых  разделов жесткого диска (технология BitLocker), а в Windows 7 также появилась возможность шифрования сменных носителей на основе flash–памяти (BitLocker To Go).

Шифрование  файлов и папок доступно в редакциях  «Профессиональная», «Корпоративная» и «Максимальная», а шифрование жестких и сменных дисков – только в редакциях «Корпоративная» и «Максимальная». В домашних выпусках Windows 7 можно расшифровывать файлы при наличии ключа или сертификата шифрования, а также работать со сменными носителями, которые были зашифрованы в редакциях «Корпоративная» и «Максимальная».

3.1. Шифрование файлов и папок

Для обеспечения шифрования используется шифрующая файловая система (EFS), которая  является надстройкой NTFS, следовательно, шифрование принципиально невозможно на разделах FAT32. Шифрование на уровне файловой системы выполняется при открытии или сохранении документов и практически незаметно для пользователя. Рекомендуется шифровать не файлы, а папки – это приведет к автоматическому шифрованию всех находящихся в них файлов. Чтобы зашифровать файл или папку, выполните следующие действия.

1. Щелкните правой кнопкой мыши на нужном объекте и выберите пункт Свойства.
2. На вкладке Общие нажмите кнопку Другие, чтобы открыть окно Дополнительные атрибуты (рис. 12).
3. Установите флажок Шифровать содержимое для защиты данных, после чего нажмите OK, а потом еще раз OK в окне Свойства.
4. Вы получите дополнительный запрос на шифрование всего содержимого папки. Если согласиться с этим, то все файлы в этой папке будут зашифрованы.

Рис. 12 Дополнительные атрибуты папки (доступны только на NTFS–разделах)

При первом обращении к функции  шифрования вам будет предложено создать архивную копию ключа и сертификата шифрования. Это нужно сделать обязательно, иначе вы можете навсегда потерять доступ к вашим файлам, например после удаления учетной записи или переустановки операционной системы.

Для этого щелкните на сообщении  в области уведомлений и в  появившемся окне выберите вариант Архивировать сейчас.

1. Нажмите кнопку Далее в первом окне Мастера экспорта сертификатов.
2. В следующем окне мастера (Формат экспортируемого файла) можно оставить все настройки по умолчанию и снова нажать Далее.
3. Укажите пароль для защиты сертификата и имя файла, в котором он будет сохранен. После щелчка на кнопке Готово вы получите сообщение об успешном экспорте сертификата.