Zabezpieczenia folderów i plików na przykładzie zakładki zabezpieczenia

Każdy użytkownik posiada dane, których wolałby nie udostępniać innym. Szczególną troskę o bezpieczeństwo ważnych plików i folderów powinny przejawiać osoby, które korzystają z komputerów sieciowych i takich, których używa wielu użytkowników. Poufność danych najlepiej zabezpieczają mechanizmy szyfrowania. W systemie Windows XP mechanizmy te oparte są na systemie szyfrowania plików EFS (Encryption File System). Niestety, system EFS nie jest dostępny w Windows XP Home Edition. Ponadto, aby z niego skorzystać, należy mieć dysk twardy sformatowany w systemie NTFS.

Dane zaszyfrowane za jego pomocą są dostępne jedynie po zalogowaniu się do komputera z konta użytkownika, który te dane zaszyfrował. Oznacza to jednak, że EFS ma pewien słaby punkt - człowieka i jego lekceważące nastawienie do kwestii bezpieczeństwa. Efektywność EFS zależy bowiem od tego, czy dany użytkownik utworzy odpowiednie, długie i trudne hasło do swojego konta.

Za pomocą EFS można szyfrować zarówno foldery, jak i pojedyncze pliki. Zaszyfrowanie folderu ma tę praktyczną zaletę, iż każdy plik w takim folderze utworzony (bądź też do niego skopiowany lub przeniesiony) będzie też automatycznie szyfrowany.

Z używaniem EFS do szyfrowania plików wiąże się pewne niebezpieczeństwo. Dane odszyfrowuje się za pomocą określonego klucza kryptograficznego, związanego z kontem użytkownika i systemem operacyjnym. W razie utraty tego klucza (np. na skutek sformatowania dysku systemowego i nowej instalacji systemu czy nawet usunięcia konta użytkownika!) danych nie będzie można odszyfrować. Aby się zabezpieczyć przed taką ewentualnością, należy utworzyć agenta odzyskiwania danych, który umożliwi odszyfrowanie danych z innego konta użytkownika, w sytuacji, gdy właściwy klucz zostanie uszkodzony albo utracony. Należy także pamiętać o utworzeniu kopii zapasowej certyfikatu oraz certyfikatu agenta odzyskiwania.

Przygotowanie agenta przed zaszyfrowaniem jakiegokolwiek obiektu jest bardzo ważne, ponieważ za jego pomocą można odzyskać wyłącznie te zaszyfrowane dane, w czasie tworzenia których istniał już certyfikat agenta odzyskiwania. Aby utworzyć agenta, należy wcześniej utworzyć certyfikat odzyskiwania danych, a dopiero potem wskazać konto użytkownika, które będzie pełniło rolę agenta. Zazwyczaj agentem odzyskiwania danych jest Administrator, ale może to być inne konto zdefiniowane w systemie.

W celu utworzenia certyfikatu należy zalogować się jako Administrator, otworzyć wiersz poleceń (menu Start -Uruchom -polecenie cmd) i wpisać następujące polecenie:

cipher /r:nazwa_pliku

Następnie trzeba podać hasło, które będzie chroniło tworzone pliki agenta i certyfikatu. Po podaniu hasła komputer wygeneruje dwa pliki: .pfx oraz .cer o podanej w poleceniu cipher nazwie.

Teraz należy zalogować się na konto, które ma pełnić rolę agenta odzyskiwania (musi to być inne konto niż konto użytkownika szyfrującego dane). W menu Start Uruchom wpisujemy polecenie Certmgr.msc. Uruchomi się konsola Certyfikaty. Natępnie Certyfikaty Bieżący użytkownik Osobisty. Polecenia Akcja Wszystkie zadania Importuj. Uruchomi się Kreator importu certyfikatów, klikamy Dalej. Pojawi się okno Import pliku. W otwartym oknie podajemy ścieżkę do utworzonego wcześniej pliku .pfx oraz właściwe hasło. W kolejnym oknie zaznamy pole Oznacz ten klucz jako eksportowalny i Dalej.

Teraz należy uruchomić za pomocą wiersza poleceń konsolę Ustawienia zabezpieczeń lokalnych. W menu Start -Uruchom wpisujemy polecenie Secpol.msc i przechodzimy do Ustawień zabezpieczeń -Zasady kluczy publicznych -System szyfrowania plików. Znowu Akcja i następnie Dodaj agenta odzyskiwania danych oraz Dalej. Na ekranie wyboru agentów podajemy ścieżkę do pliku .cer, zaznacza się nowego agenta, który będzie określony nazwą USER_UNKNOWN i Dalej.

Kolejnym zabezpieczeniem stosowanego mechanizmu szyfrowania jest utworzenie kopii zapasowych certyfikatów agenta odzyskiwania i certyfikatu osobistego. Aby wykonać kopię zapasową certyfikatu agenta odzyskiwania, należy zalogować się jako Administrator.

W konsoli Secpol.msc przechodzimy do Ustawień zabezpieczeń -Zasady kluczy publicznych - System szyfrowania plików. Prawym przyciskiem myszy wybieramy certyfikat i klikamy na pozycję Akcja -Wszystkie zadania -Eksportuj, co uruchomi Kreatora eksportu certyfikatów. W nowym oknie zaznaczamy pole wyboru Certyfikat X.509 szyfrowany binarnie algorytmem DER (.CER), a następnie klikamy Dalej. Teraz należy określić ścieżkę i nazwę eksportowanego pliku, kliknąć Dalej oraz Zakończ.

Z kolei, aby wykonać kopię zapasową osobistego certyfikatu użytkownika szyfrującego dane, należy zalogować się na konto, którego certyfikat będzie eksportowany. Następnie, na zakładce Zawartość okna Opcje internetowe (w Internet Explorerze) kliknąć przycisk Certyfikaty .

W nowo otwartym oknie wskazujemy zakładkę Osobiste i wybieramy certyfikat, którego zamierzonym celem jest System plików szyfrowania. Po dokonaniu wyboru klikamy przycisk Eksportuj a następnie Dalej. W kolejnym oknie zaznaczamy pole Tak, eksportuj klucz prywatny i dwa razy klikamy przycisk Dalej. Na koniec pozostaje podanie (wybranie) hasła do pliku .pfx i określenie ścieżki i nazwy eksportowanego pliku oraz kliknięcie Dalej i Zakończ.

Wyeksportowany certyfikat osobisty przyda się, kiedy powstanie konieczność odczytania zaszyfrowanych danych na innym komputerze. Za pomocą wykonanej kopii certyfikat będzie można na taki komputer zaimportować.

Warto też pamiętać, że istnieją dane, których zaszyfrować za pomocą EFS nie można. Oprócz wspomnianych już plików skompresowanych, nie można szyfrować plików i folderów znajdujących się w katalogu systemowym Windows.

Po zaszyfrowaniu wybranych plików/folderów i zalogowaniu się z własnego konta, użytkownik w praktyce nie dostrzeże różnicy pomiędzy pracą na danych zaszyfrowanych i niezaszyfrowanych. Jednym z bardziej widocznych przejawów działania EFS będzie to, iż nazwy danych zaszyfrowanych będą wyświetlane w kolorze zielonym, a niezaszyfrowanych w kolorze czarnym.

System EFS gwarantuje, że inni użytkownicy nie będą mogli odczytywać lub edytować naszych plików, ale w przypadku standardowych ustawień systemu mogą np. usunąć zaszyfrowany plik. Dlatego kolejny etap zabezpieczenia danych polega na odpowiedniej konfiguracji praw dostępu do plików/folderów poszczególnych użytkowników.

Szyfrowanie folderów w systemie plików NTFS

Aby zaszyfrować folder, należy kliknąć na nim prawym przyciskiem myszy i wybrać z menu kontekstowego opcję Właściwości, a następnie zakładkę Ogólne i przycisk Zaawansowane. Jeśli przycisk Zaawansowane jest niewidoczny to najprawdopodobniej dysk, na którym znajduje się zaznaczony folder, nie jest sformatowany w systemie plików NTFS.

W nowo otwartym oknie należy wybrać pozycję Szyfruj zawartość, aby zabezpieczyć dane. Trzeba przy tym pamiętać, by szyfrowany katalog nie zawierał skompresowanych plików. Jeśli mamy tę pewność, możemy kliknąć na przycisk OK, a następnie jeszcze raz OK w oknie Właściwości i rozpocząć szyfrowanie. Zobaczymy w tym momencie okno dialogowe Potwierdzenie zmiany atrybutów. Tutaj możemy postanowić, czy chcemy zastosować szyfrowanie wobec tylko danego foldera lub wobec danego foldera i jego podfolderów. Wybranie pierwszej możliwości (tylko folder) oznacza w praktyce, że system nie zaszyfruje plików już znajdujących się we wskazanym katalogu, ale wszystkie, które od tej pory tam się znajdą, będą już szyfrowane.

Następnie Windows przeprowadzi właściwe szyfrowanie. Jak możemy się przekonać w oknie Eksploratora Windows, wszystkie zaszyfrowane foldery są wyświetlone na zielono. System Windows XP dopuszcza także szyfrowanie pojedynczych plików.

Okno właściwości pliku/folderu - jak zmieniać prawa dostępu

Dostęp do zakładki zabezpieczenia

Aby móc korzystać z zaawansowanych opcji udostępniania, trzeba wyłączyć proste udostępnianie plików (Eksploratora Windows ? Narzędzia ? Widok, odznaczamy pole Użyj prostego udostępniania plików). Następnie klikamy prawym klawiszem myszy w plik lub tabelę, i wybieramy polecenie Właściwości.

Użytkownicy i grupy

Ta część okna zawiera użytkowników i grupy użytkowników, którym przypisano uprawnienia do wybranego folderu lub pliku. Zaznaczenie pozycji na liście wyświetla w dolnym polu konfigurację zabezpieczeń do użytkownika lub grupy.

Typy uprawnień

Pełna kontrola - pozwala użytkownikowi na wykonanie dowolnej operacji z obiektem, łącznie ze zmianą uprawnień czy przejęciem go na własność. Modyfikacja - pozwala na odczyt, wykonanie, zapis i zmianę obiektu w folderze, ale nie pozwala na zmianę uprawnień oraz przejmowanie plików na własność.

Zapis i wykonanie pozwala jedynie na odczyt, dodawanie i wykonanie obiektów w katalogu, chroniąc je jednocześnie przed modyfikacją. Wyświetlenie zawartości folderu - pozwala na przegląd zawartości obiektu, jednocześnie blokując użytkownikowi dalsze akcje, np. odczyt czy zapis. Odczyt - umożliwia przeglądanie zawartości folderów, oglądanie zawartości plików, odczytywanie uprawnień oraz synchronizowanie plików. Zapis - pozwala na tworzenie plików, zapisywanie danych i odczytywanie atrybutów.

Dodawanie i usuwanie

Za pomocą przycisków Dodaj i Usuń można manipulować zawartością listy użytkowników/grup, których uwzględniamy przy konfiguracji. W ten sposób możemy także zmieniać uprawnienia dostępu do danego obiektu.

Nadawanie i odbieranie uprawnień

Uprawnienia widoczne są w dwóch kolumnach Zezwalaj i Odmów. Zaznaczając odpowiednie pola możemy przydzielać lub odbierać uprawnienia. Należy pamiętać, że odebranie uprawnień użytkownikowi spowoduje uniemożliwienie dostępu lub blokadę operacji na pliku, nawet jeśli użytkownik należy do grupy, która ma prawo wykonywać daną operację.

Opcje Zaawansowane

Pod przyciskiem Zaawansowane możemy tworzyć bardzo złożone konfiguracje zabezpieczeń i praw dostępu. Mniej zaawansowani użytkownicy powinni ograniczyć się do modyfikowania opcji w głównym oknie zabezpieczeń.

Dostęp do plików i folderów

Jeżeli chcemy, by nasze pliki były niedostępne dla innych użytkowników, możemy to zrobić na kilka sposobów.

Na początek oznaczamy profil danego użytkownika jako prywatny - tym samym pliki przechowywane w danym profilu (m.in. zawartość foldera Moje dokumenty) staną się niewidoczne dla innych osób korzystających tego samego komputera. Z menu Start wybieramy Uruchom i wpisujemy polecenie

%systemdrive%\documents and settings

Teraz prawym przyciskiem myszy klikamy ikonę osobistego folderu użytkownika (folder ten ma nazwę taką, jak konto danego użytkownika) i z menu kontekstowego wybieramy Właściwości. Przechodzimy do zakładki Udostępnianie i zaznaczamy pole wyboru Uczyń ten folder folderem prywatnym. Aby potwierdzić zmiany, należy wybrać OK.

Za pomocą NTFS można m.in. ustalić prawa dostępu do każdego pliku lub folderu, nadawać różne typy dostępu różnym użytkownikom i ich grupom, przypisywać plikom różne strumienie i wiele, wiele więcej.

Niestety, użytkownicy Windows XP Home Edition nie mają dostępu do zaawansowanych opcji udostępniania plików i przydziału uprawnień - poniższe działania dotyczą jedynie Windows XP Professional.

Aby sprawdzić uprawnienia NTFS dla pliku lub folderu lub/i dokonać ich edycji, prawym przyciskiem myszy wybieramy ikonkę pliku/folderu i z menu kontekstowego wybieramy Właściwości, a w oknie, które się otworzy - zakładkę Zabezpieczenia

Uprawnieniami w Windows XP rządzą pewne ogólne zasady. Po pierwsze użytkownik, który utworzył plik/folder, jest jego właścicielem i może przydzielać do niego uprawnienia innym użytkownikom. Prawa do przydziału uprawnień innym użytkownikom mają także użytkownicy z grupy Administratorzy.

Aby dodać nowe uprawnienie, należy kliknąć przycisk Dodaj. Pojawi się okno dialogowe, w którym wprowadzamy użytkownika lub grupę użytkowników. Po kliknięciu OK wskazany użytkownik pojawi się na liście wraz z domyślnymi uprawnieniami. Teraz można je zmienić, zaznaczając odpowiednie pola w kolumnach Zezwalaj i Odmów.

Warto jednak pamiętać o pewnych szczegółach. Przykładowo: kopiowanie plików/folderów pomiędzy dyskami sformatowanymi w systemie NTFS a dyskami sformatowanymi w systemie FAT32 skutkuje utratą wszelkich uprawnień, ponieważ system FAT32 nie umożliwia ich przechowania. Radzimy więc korzystać wyłącznie z dysków twardych sformatowanych w systemie NTFS

4

---