Юрий Зозуля - Windows Vista. Трюки и эффекты
4. В следующем окне сохраните ключ запуска на flash-диск, который следует предварительно подсоединить к компьютеру.
5. Далее вам обязательно нужно сохранить пароль восстановления, который служит для получения доступа к компьютеру при утере или порче ключа на flash-диске (рис. 9.25). Помните, что без пароля восстановления вы рискуете навсегда лишиться информации на зашифрованном диске.
Рис. 9.25. Окно сохранения пароля восстановления6. В следующем окне будет предложено проверить систему BitLocker перед началом шифрования. Согласитесь с этим, нажав кнопку Продолжить.
7. После этого вам необходимо перезагрузить компьютер. Если при перезагрузке ключ шифрования будет считан успешно, после входа в систему начнется шифрование диска в фоновом режиме.
Если flash-диск с ключом шифрования был утерян или испорчен, выполните загрузку компьютера с помощью ранее сохраненного пароля восстановления, затем откройте окно настройки параметров BitLocker и создайте новую копию ключа. В этом же окне вы можете создать дополнительные копии пароля восстановления или же вообще отключить шифрование.Глава 10 Администрирование системы
• Ограничения доступа к файлам и борьба с ними
• Управление жесткими дисками
• Средства диагностики системы
• Новые возможности администрирования с помощью групповой политики
• Автоматизация выполнения заданий с помощью планировщика
В этой главе будут рассмотрены эффективные методы и средства для выполнения некоторых административных задач. Вы узнаете, как ограничивать доступ к файлам и как обходить эти ограничения, научитесь управлять жесткими дисками, познакомитесь с новыми возможностями групповой политики Windows Vista и утилитами для диагностики системы.
10.1. Ограничения доступа к файлам и борьба с ними
Разрешения NTFS
В Windows Vista можно управлять правами доступа к файлам и папкам для различных пользователей. Эта возможность реализована в самой файловой системе NTFS в виде разрешений, которые хранятся для каждого файла или папки вместе с именем, размером, датой и другими атрибутами. При выполнении каких-либо операций с файлом или папкой сначала проверяется список имеющихся для него (нее) разрешений, и если для текущего пользователя разрешение на осуществление конкретного действия отсутствует, то пользователю будет отказано в выполнении данного действия.
...Внимание!
Механизм разрешений используется только на разделах с файловой системой NTFS. На разделах с файловой системой FAT/FAT32 любой пользователь имеет полный доступ ко всем файлам.
В операционной системе Windows ХР по умолчанию применялся так называемый простой общий доступ к файлам, а средства управления разрешениями были скрыты. В Windows Vista режим простого общего доступа не используется, и все пользователи с соответствующими правами могут управлять разрешениями. Однако необходимость в правке разрешений вручную возникает не очень часто, поскольку система автоматически устанавливает оптимальный набор разрешений для различных объектов, по аналогии с простым общим доступом в Windows ХР. Рассмотрим основные особенности разрешений по умолчанию.
• Любой пользователь имеет полный доступ к папкам своего профиля и может управлять правами доступа к ним.
• При использовании учетной записи с правами обычного пользователя нельзя получить доступ к папкам других пользователей.
• Все пользователи могут создавать и изменять свои файлы в папке Общие или одной из ее подпапок. Файлы других пользователей можно только просматривать.
• Чтобы получить доступ к папкам другого пользователя без его разрешения, нужно обладать правами администратора и подтвердить действия в окне UAC. При этом пользователь автоматически будет добавлен в список разрешений для данного объекта.
• Пользователям запрещено изменение системных папок, например Windows или Program Files. Для выполнения этих операций нужно подтвердить ваши права в окне UAC. В целях безопасности некоторые действия запрещены даже для администраторов, но изменить системный файл можно, став его владельцем (см. далее).
Почти все папки имеют в списке доступа группу Администраторы, но поведение системы при попытке получить доступ к такой папке будет отличаться, в зависимости от того включен ли контроль учетных записей. При включенном UAC появится окно с просьбой подтвердить действия или ввести пароль учетной записи с правами администратора. При отключенном UAC для учетной записи с правами администратора доступ будет предоставлен автоматически, а для обычных пользователей доступ будет запрещен.
Изменение разрешений для отдельных папок и файлов
Для большинства пользователей будет вполне достаточным работать с разрешениями по умолчанию, но при наличии особых требований к разграничению доступа вам может понадобиться настройка разрешений вручную. Возможно, вам будет необходимо ограничить доступ к папкам, находящимся вне профиля пользователя или вообще на другом разделе. Другой распространенной задачей является разграничение доступа к файлу для нескольких пользователей, например, первому пользователю нужно открыть полный доступ, второму – только для чтения, а третьему – вообще запретить. Однако следует заметить, что система разрешений является достаточно сложной, поэтому рассмотрим лишь наиболее важные сведения, достаточные для решения основных задач администрирования.
Чтобы просмотреть список текущих разрешений для файла или папки, щелкните на нем правой кнопкой мыши, выберите пункт Свойства и перейдите на вкладку Безопасность (рис. 10.1).
Рис. 10.1. Вкладка Безопасность окна свойств папки
В верхней части вкладки Безопасность содержится список пользователей и групп, для которых установлены разрешения или запреты. Выбрав в этом списке любое имя пользователя или группы, вы сможете увидеть его разрешения. В табл. 10.1 приведены значения имеющихся разрешений.
Для редактирования разрешений следует нажать кнопку Изменить и подтвердить действия в окне UAC, если вы не являетесь владельцем файла. После этого вы сможете изменять разрешения для имеющихся пользователей или групп, удалять их и добавлять новые. При редактировании разрешений обратите внимание на следующие моменты.
• При задании разрешения с более высоким приоритетом автоматически устанавливаются флажки зависимых разрешений.
• Установка флажка Запретить всегда имеет более высокий приоритет, чем Разрешить.
• Если вы измените разрешения для папки, то по умолчанию будут изменены разрешения всех вложенных объектов.
Таблица 10.1. Значения разрешений доступа• Если определенные флажки недоступны, значит, данное разрешение наследуется от родительской папки. При отсутствии у текущего пользователя прав на изменение разрешений недоступными будут все флажки.
• При наличии в списке групп Администраторы, Пользователи или других соответствующие разрешения будут применены ко всем пользователям выбранной группы....Внимание!
Устанавливая разрешения, будьте предельно осторожны. Не изменяйте за один сеанс сразу несколько разрешений, обязательно проверяйте работоспособность системы после внесения изменений. Не изменяйте разрешения для учетных записей SYSTEM и Trustedlnstaller, это может нарушить работу операционной системы.
Получение полного доступа к системным файлам
В Windows Vista используется новый механизм защиты системных ресурсов WRP (Windows Resource Protection), благодаря которому значительно усложняется несанкционированное изменение системных файлов и параметров реестра. Механизм WRP повышает устойчивость системы к различным вредоносным программам, но для выполнения некоторых трюков может понадобиться модификация одного или нескольких системных файлов.
Например, для изменения рисунка экрана приветствия нужно модифицировать файл C:WindowsSystem32imageres.dll. Вы можете скопировать данный файл во временную папку, выполнить с ним необходимые изменения, но скопировать измененный файл на прежнее место у вас не получится даже при наличии прав администратора и отключенном UAC.
Проанализировав установленные разрешения для любого системного файла, мы увидим, что полный доступ к файлу предоставлен только учетной записи Trustedlnstaller, а всем остальным доступ разрешен только для чтения. Учетная запись Trustedlnstaller соответствует системной службе Установщик модулей Windows, которая может изменить системный файл в случае установки обновлений операционной системы.
Если вы попытаетесь изменить установленные разрешения, то потерпите неудачу, поскольку учетная запись Trustedlnstaller также является владельцем всех системных файлов. Для получения доступа нужно сначала изменить владельца файла, а затем уже назначить нужные права доступа. Последовательность действий может быть такой.