Как спрятать информацию? Часть 3

Вторник, 11 Сентября 2012 г. 16:52 + в цитатник

© автор Олег Михайлец

В первой и второй частях рассказывалось о сокрытии информации. Сейчас поговорим о правах и об ограничении доступа к данным – возможностях, которые предоставляет сама операционная система.

Кто тут в цари крайний?

Ни для кого, надеюсь, не секрет, что не все пользователи равны между собой. Есть администратор, который может практически всё, пользователи с разным уровнем доступа и бесправные гости. Постоянно использовать администраторские права заманчиво, большинство так и делает, но с точки зрения безопасности это не совсем правильно. Любая программа стартует с правами того, кто ее запустил, и что она сделает, имея слишком много прав, можно только предполагать. Да и вирусы не дремлют.

В идеале работать надо обычным пользователем, а администраторскими правами пользоваться только для настройки и конфигурации системы. Тем более что разработчики операционных систем изначально так и планировали и даже предусмотрели возможность из-под одного пользователя запускать программы от имени другого. Нажмите правой кнопкой мыши на иконке любой программы, и вы увидите кроме простого «Открыть» ещё и «Запуск от имени». А для консоли и командных файлов есть команда runas. Очень просто и удобно. Работаете пользователем, а если возникла необходимость что-то изменить в системе, то запускаете нужную программу от имени администратора.

Ты сюда не ходи, ты туда ходи!

Так что нам даёт такое разделение на пользователей? Возможность ограничить доступ к папкам и файлам! Нажмите на любой папке правую кнопку мыши и из выпавшего меню выберите пункт «Свойства». На закладке «Безопасность» (если её нет – читайте далее) видно, кто какими правами обладает и что может делать.

Сама операционная система (пользователь SYSTEM) и группа администраторов (а их может быть и не один) имеют полный доступ и все возможные права. Это логично. А вот простые смертные уже имеют ограничения. Можно добавить пользователя, которого нет в списке, или убрать существующего. Например, если лишить права «Список содержимого папки», то пользователь ничего в ней не увидит. Для него папка будет пустой. А если оставить только это право и убрать остальные, то увидит всё, но сделать ничего не сможет. Под кнопкой «Дополнительно» скрываются более подробные настройки. Можно определить владельца, настроить аудит (т.е. слежение за действиями пользователей в этой папке), определить наследуемость прав.

Если у вас нет закладки «Безопасность», то тут возможны две причины. Для пользователей Windows XP Pro всё довольно просто. Надо открыть любую папку и в меню выбрать «Сервис» - «Свойства папки» - «Вид». В открывшемся списке убрать галочку напротив пункта «Использовать простой общий доступ к файлам» и потом нажать «Ok». Для пользователей Windows XP Home всё гораздо печальнее. В ней нет такого пункта и закладка «Безопасность» не появится. Но есть возможность воспользоваться утилитой командной строки cacls. Метод более сложный и требующий некоторых навыков, но что уж есть.

Таможня даёт добро

Вроде всё красиво и элегантно. Захотел – дал права, не захотел – отнял. Но, как обычно, есть одно большое «НО». Все эти права действуют, только если загружена ваша операционная система. Достаточно загрузиться с CD, флэшки или получить доступ к жесткому диску, подключив его к другому компьютеру, и будет доступно всё. От загрузки с внешних носителей вас спасёт пароль на BIOS, но при большом желании и наличии достаточного времени для вскрытия компьютера даже это препятствие можно обойти.

Методов и способов много, но полной гарантии сохранности данных от несанкционированного доступа не даст ни один из них. Зато мы можем увеличить время, которое понадобится злоумышленнику для поиска и получения доступа к нашим данным, и не исключено, что ему просто надоест. Комбинируйте, пробуйте. Используйте разные методы в зависимости от ценности информации и не забывайте, что соотношение «цена/качество» действует и здесь. Слишком сложные методики доступа к информации могут вам скоро надоесть, и вы бросите это дело.

Берегите себя и свои тайны!

Рубрики:

Полезные советы
интернет

Процитировано 21 раз
Понравилось: 13 пользователям

Voldar обратиться по имени утилита CACLS (в помощь Home Edition) Вторник, 11 Сентября 2012 г. 22:14 (ссылка)

Еще...

(Для пользователей Windows XP Home всё гораздо печальнее. )

Не совсем так...
нест сервисной вкладки, но такая возмозность есть.

используя команду Windows cacls
возможно управлять разрешениями

Как было описано в примерах
-создайте текстовый файл с расширением .bat

-пропишите нужные строки
(пример:)

cacls C:\Dir /P USER:F (полный доспуп к папке C:\Dir)

cacls C:\Dir /P USER:N (к папке C:\Dir нет доступа)

C:\Dir - путь к папке
/P - замена разрешений для указанного пользователя
USER:F - пользователь:полный доступ

____________________
полная справка по команде CACLS
Просмотр и изменение таблиц управления доступом (ACL) к файлам

CACLS имяФайла [/T] [/E] [/C] [/G имя:доступ] [/R имя [...]]
[/P имя:доступ [...]] [/D имя [...]]
имяФайла Вывод таблиц управления доступом.
/T Замена таблиц управления доступом для указанных файлов
в текущем каталоге и всех подкаталогах.
/E Изменение таблицы управления доступом вместо ее замены.
/C Продолжение при ошибках отказа в доступе.
/G имя:доступ Определение разрешений для указанных пользователей.
"доступ": R Чтение
W Запись
C Изменение (запись)
F Полный доступ
/R имя Отзыв разрешений для пользователя (только вместе с /E).
/P имя:доступ Замена разрешений для указанного пользователя.
"доступ": N Отсутствует
R Чтение
W Запись
C Изменение (запись)
F Полный доступ
/D имя Запрет на доступ для указанного пользователя.
Для выбора нескольких файлов используются подстановочные знаки.
В команде можно указать несколько пользователей.

Сокращения:
CI - Наследование контейнерами (Container Inherit).
ACE будет унаследован папками.
OI - Наследование объектами (Object Inherit).
ACE будет унаследован файлами.
IO - Только наследованное (Inherit Only).
ACE не будет применим к текущему файлу/папке.

_______________________
INFO:

1. Настройка системы безопасности Windows XP своими руками Помогай-ка

2. Как запретить доступ к документам на диске

3. Windows XP

Ответить С цитатой В цитатник