В тази инсталация на Geek School, разгледаме виртуализацията на папките, SIDs и Permission, както и файловата система за шифроване.
Не забравяйте да проверите предишните статии в серията Geek School в Windows 7:
И останете настроени за останалата част от серията през цялата тази седмица.
Windows 7 представи идеята за библиотеките, която ви позволи да имате централизирано местоположение, от което да виждате ресурси, разположени на друго място на компютъра ви. По-конкретно, функцията библиотеки ви позволява да добавяте папки от всяка точка на компютъра си в една от четирите библиотеки по подразбиране, Документи, Музика, Видео и Картини, които са лесно достъпни от навигационния екран на Windows Explorer.
Има две важни неща, които трябва да обърнете внимание на функцията на библиотеката:
За да добавите папка в библиотека, просто отидете в библиотеката и кликнете върху връзката за местоположения.
След това кликнете върху бутона за добавяне.
Сега намерете папката, която искате да включите в библиотеката, и кликнете върху бутона Включване на папката.
Това е всичко за него.
Операционната система Windows използва SIDs, за да представи всички принципи на сигурността. SID са само струнни променливи дължини с буквено-цифрови знаци, които представляват машини, потребители и групи. SID адресите се добавят към списъците за управление на достъпа (списъци за контрол на достъпа) всеки път, когато давате разрешение на потребител или група на файл или папка. Зад кулисите SIDs се съхраняват по същия начин, както всички останали обекти с данни са: в двоичен. Когато обаче виждате SID в Windows, той ще се покаже с помощта на по-четлив синтаксис. Често няма да виждате никаква форма на SID в Windows; най-често срещаният сценарий е, когато дадете на някого разрешение на ресурс, след което изтрийте потребителския си профил. Тогава SID ще се появи в ACL. Така че нека разгледаме типичния формат, в който ще видите SID в Windows.
Нотата, която ще видите, има определен синтаксис. По-долу са различните части на SID.
Използвайки моя SID в изображението по-долу, ще разделим различните секции, за да получим по-добро разбиране.
Структурата на SID:
'С' - Първият компонент на SID е винаги "S". Това е префикс на всички SID и е там, за да информира Windows, че това, което следва е SID.
'1' - Вторият компонент на SID е ревизионният номер на спецификацията SID. Ако спецификацията SID трябваше да се промени, тя би осигурила обратна съвместимост. От Windows 7 и Server 2008 R2 спецификацията SID все още е в първата ревизия.
'5' - Третият раздел на SID се нарича идентификационен орган. Това определя в какъв обхват се генерира SID. Възможните стойности за тази част от SID могат да бъдат:
- 0 - Нула орган
- 1 - Световен орган
- 2 - Местен орган
- 3 - Създател
- 4 - Не-уникален орган
- 5 - NT орган
'21' - Четвъртият компонент е под-орган 1. Стойността "21" се използва в четвъртото поле, за да се уточни, че следващите подрегиони определят местната машина или домейна.
'1206375286-251249764-2214032401' - Те се наричат второстепенни 2, 3 и 4 съответно. В нашия пример това се използва за идентифициране на локалната машина, но може да бъде и идентификаторът на даден домейн.
'1000' - Под-орган 5 е последният компонент в нашия SID и се нарича RID (Относителен идентификатор). RID е относим към всеки принцип на сигурност: имайте предвид, че всички обекти, дефинирани от потребителя, тези, които не са доставени от Microsoft, ще имат RID от 1000 или повече.
Принципът на сигурност е всичко, което е свързано със SID. Те могат да бъдат потребители, компютри и дори групи. Принципите на сигурност могат да бъдат местни или да са в контекста на домейна. Управлявате местните принципи за сигурност чрез модула Local Users and Groups, под управлението на компютъра. За да стигнете дотам, кликнете с десния бутон върху прекия път на компютъра в стартовото меню и изберете управление.
За да добавите нов принцип за сигурност на потребителите, можете да отидете в папката "Потребители" и да кликнете с десния бутон и да изберете "Нов потребител".
Ако кликнете два пъти върху потребител, можете да го добавите към група за защита в раздела "Членове".
За да създадете нова група за сигурност, отидете в папката Групи от дясната страна. Кликнете с десния бутон върху бялото и изберете Нова група.
В Windows има два типа разрешения за файлове и папки. Първо, има разрешенията за споделяне. На второ място, има разрешения за NTFS, които също се наричат "разрешения за сигурност". Осигуряването на споделените папки обикновено се извършва с комбинация от споделяне и NTFS разрешения. Тъй като това е така, важно е да запомните, че винаги се прилага най-рестриктивното разрешение. Например, ако разрешението за споделяне дава разрешение за четене на Everyone за сигурност, но разрешението за NTFS позволява на потребителите да променят файла, разрешението за споделяне ще има предимство и потребителите няма да могат да извършват промени.Когато зададете разрешенията, LSASS (Local Security Authority) контролира достъпа до ресурса. Когато влезете, получавате означение за достъп с него на SID. Когато отидете за достъп до ресурса, LSASS сравнява SID, който сте добавили към списъка за контрол на достъпа (ACL). Ако SID е в ACL, той определя дали да разрешава или отказва достъп. Независимо какви разрешения използвате, има различия, така че нека да разгледаме по-добре да разберем кога трябва да използваме това.
Споделяне на разрешения:
NTFS разрешения:
Windows 7 купи по нова "лесна" техника за споделяне. Опциите са променени от Read, Change и Full Control към Read и Read / Write. Идеята е част от цялостния манталитет на Homegroup и улеснява споделянето на папка за хора, които не са компютърно грамотни. Това става чрез контекстното меню и споделя с вашата домашна група лесно.
Ако искате да споделите с някой, който не е в домашната група, винаги можете да изберете опцията "Специфични хора ...". Което би довело до по-подробен диалог, в който бихте могли да зададете потребител или група.
Има само две разрешения, както вече споменахме. Заедно те предлагат схема за защита на всички или нищо за вашите папки и файлове.
- Прочети разрешението е опцията "изглежда, не докосвайте". Получателите могат да отварят, но да не променят или изтриват файл.
- Чети пиши е опцията "направи нищо". Получателите могат да отварят, променят или изтриват файл.
Старият диалогов прозорец за споделяне има повече опции, като например опцията за споделяне на папката под различен псевдоним. Това ни позволи да ограничим броя на едновременните връзки, както и да конфигурираме кеширането. Нито една от тези функции не е загубена в Windows 7, а е скрита под опция "Разширено споделяне". Ако кликнете с десния бутон на мишката върху папка и отидете в нейните свойства, можете да намерите тези настройки "Разширено споделяне" в раздела "Споделяне".
Ако кликнете върху бутона "Разширено споделяне", който изисква идентификационни данни на местен администратор, можете да конфигурирате всички настройки, които сте познавали в предишните версии на Windows.
Ако кликнете върху бутона "разрешения", ще ви бъдат представени 3-те настройки, с които всички сме запознати.
NTFS Permissions позволяват много грълен контрол над вашите файлове и папки. С това казано, количеството на зрялост може да бъде обезсърчително за новодошлия. Можете също така да зададете разрешение за NTFS на базата на файл, както и на основа на папка. За да зададете разрешение за NTFS във файл, трябва да кликнете с десния бутон на мишката върху файловете и да отидете в раздела за сигурност.
За да редактирате разрешенията за NTFS за потребител или група, кликнете върху бутона за редактиране.
Както може да се види, има доста разрешения на NTFS, така че нека ги разбием. Първо, ще разгледаме разрешенията за NTFS, които можете да зададете във файл.
- Пълен контрол ви позволява да четете, пишете, променяте, изпълнявате, променяте атрибути, разрешения и поемате собствеността върху файла.
- Промяна ви позволява да четете, пишете, променяте, изпълнявате и променяте атрибутите на файла.
- Прочетете и изпълнете ще ви позволи да показвате данните, атрибутите, собственика и разрешенията на файла и да стартирате файла, ако е програма.
- Прочети ще ви позволи да отворите файла, да видите неговите атрибути, собственик и разрешения.
- пиша ще ви позволи да записвате данни във файла, да добавяте към файла и да четете или променяте неговите атрибути.
NTFS Permissions for folders имат малко по-различни опции, така че нека да ги разгледаме.
- Пълен контрол ще ви позволи да четете, пишете, променяте и изпълнявате файлове в папката, променяте атрибути, разрешения и поемате собствеността върху папката или файловете в нея.
- Промяна ще ви позволи да четете, пишете, променяте и изпълнявате файлове в папката и да променяте атрибутите на папката или файловете в нея.
- Прочетете и изпълнете ще ви позволи да показвате съдържанието на папката и да показвате данните, атрибутите, собственика и разрешенията за файлове в папката и да стартирате файлове в папката.
- Списък на съдържанието на папките ще ви позволи да показвате съдържанието на папката и да показвате данните, атрибутите, собственика и разрешенията за файлове в папката и да пускате файлове в папката
- Прочети ще ви позволи да показвате данните, атрибутите, собственика и разрешенията на файла.
- пиша ще ви позволи да записвате данни във файла, да добавяте към файла и да четете или променяте неговите атрибути.
В обобщение, потребителските имена и групи са представяния на буквено-цифров низ, наречен SID (Security Identifier). Разрешенията за споделяне и за NTFS са свързани с тези SID. Споделянето на разрешения се проверява от LSSAS само когато се осъществява достъп през мрежата, докато Permissions на NTFS се комбинират с Permissions за споделяне, за да се позволи по-подробно ниво на сигурност за ресурси, достъпни по мрежата, както и на местно ниво.
Сега, след като научихме за двата метода, които можем да използваме, за да споделяме съдържание на нашите компютри, как всъщност става въпрос за достъп до тях през мрежата? Това е много просто. Просто въведете следното в навигационната лента.
\ именакомпютъра \ именасподеляне
Забележка: Очевидно ще трябва да замени името на компютъра за името на компютъра, който е хостинг на споделянето и името на акаунта за името на акцията.
Това е чудесно за еднократни връзки, но какво ще кажете за по-голяма корпоративна среда? Разбира се, не е нужно да преподавате на потребителите си как да се свързвате с мрежов ресурс, като използвате този метод. За да постигнете това, ще искате да настроите мрежово устройство за всеки потребител, по този начин можете да го посъветвате да съхранява документите си на "H" устройството, вместо да се опитва да обясни как да се свържете с акция. За да настроите устройство, отворете Компютър и кликнете върху бутона "Карта мрежово устройство".
След това просто въведете пътя UNC на споделянето.
Вероятно се чудите дали трябва да направите това на всеки компютър и за щастие отговорът е "не". По-скоро можете да напишете партида скрипт, за да автоматизирате автоматично показването на дисковете за потребителите си при влизане и да ги разположите чрез груповата политика.
Ако дисектираме командата:
Windows включва възможността за шифроване на файлове в NTFS том. Това означава, че само вие ще можете да декриптирате файловете и да ги преглеждате. За да шифровате файл, просто щракнете с десния бутон върху него и изберете свойства от контекстното меню.
След това кликнете върху разширено.
Сега поставете отметка в квадратчето Шифроване на защитените данни, след което щракнете върху OK.
Сега продължете напред и приложете настройките.
Трябва само да шифроваме файла, но имате и възможността да шифровате родителската папка.
Обърнете внимание, че след като файлът е шифрован, той се превръща в зелен.
Сега ще забележите, че само вие ще можете да отворите файла и другите потребители на същия компютър няма да могат да го отворят. Процесът на шифроване използва шифроване с публичен ключ, затова пазете криптиращите ключове в безопасност. Ако ги загубите, файлът ви е изчезнал и няма начин да го възстановите.
