Уровни разрешений настраиваются для ограничения доступа пользователей или групп пользователей к определенным данным. Файловые системы FAT32 и NTFS позволяют использовать общий доступ к папкам и разрешения уровня папок для пользователей с доступом к сети. Разрешения для папок показаны на рис. 1. Дополнительная безопасность разрешений уровня файлов предоставляется только файловой системой NTFS. Разрешения уровня файлов показаны на рис. 2.

Для настройки разрешений уровня файлов или папок используйте следующий путь:

Щелкните файл или папку правой кнопкой мыши и выберите Свойства > Безопасность > Правка

При настройке разрешений для сетевого ресурса на компьютере с файловой системой NTFS создайте сетевой ресурс и назначьте пользователям или группам общие разрешения. Сетевой ресурс доступен только пользователям и группам с разрешениями NTFS и общими разрешениями.

Для настройки разрешений для папки в Windows 7 используйте следующий путь:

Щелкните папку правой кнопкой мыши и выберите пункт Предоставить общий доступ

Существует четыре варианта общего доступа к файлу:

Для настройки разрешений для папки в Windows Vista используйте следующий путь:

Щелкните папку правой кнопкой мыши и выберите пункт Предоставить общий доступ

Для настройки разрешений для папки в Windows XP используйте следующий путь.

Щелкните папку правой кнопкой мыши и выберите пункт Общий доступ и безопасность

Все файловые системы отслеживают ресурсы, но только файловые системы с журналами (специальными областями, в которых записываются изменения файлов до их фактического применения) могут регистрировать доступ по пользователям, дате и времени. В файловой системе FAT32 отсутствуют журналирование и возможности шифрования. Как следствие, в тех случаях, когда требуется усиленная защита, обычно используется файловая система NTFS. Если необходима повышенная безопасность, можно использовать определенные служебные программы, например CONVERT, для обновления файловой системы FAT32 до NTFS. Процесс преобразования является необратимым. Перед переходом важно четко определить цели. Сравнение двух файловых систем показано на рис. 3.

Принцип предоставления минимальных привилегий

Пользователи должны быть ограничены только необходимыми ресурсами в компьютерной системе или сети. Они не должны иметь доступ ко всем файлам на сервере, например, если необходим доступ только к одной папке. Может быть проще предоставить пользователям доступ ко всему диску, но более надежно ограничить доступ только папкой, необходимой для выполнения их работы. Это называется принципом предоставления минимальных привилегий. Ограничение доступа к ресурсам также предотвращает доступ к ним вредоносных программ в случае заражения компьютера пользователя.

Ограничение разрешений пользователей

Разрешения на файлы и сетевые ресурсы могут быть предоставлены отдельным пользователям или через членство в группе. Если пользователю или группе отказано в разрешениях для сетевого ресурса, этот отказ переопределяет все другие предоставленные разрешения. Например, если вы отказываете кому-либо в разрешениях для сетевого ресурса, этот ресурс будет недоступен для пользователя, даже если он является администратором или входит в группу администраторов. В локальной политике безопасности должны быть указаны ресурсы и типы доступа, разрешенные для каждого пользователя и группы.

При изменении разрешений для папки можно применить эти же разрешения для всех вложенных папок. Это называется наследованием разрешений. Наследование разрешений — это простой способ быстрого применения разрешений ко множеству файлов и папок. Если установлены разрешения для родительской папки, то файлы и папки, созданные внутри нее, наследуют ее разрешения.