Quyền truy cập và kiểm soát tệp là gì. Yêu cầu về kiến ​​thức và kỹ năng

Mạng và bảo mật thông tin là điều mà không có bất kỳ doanh nghiệp nào hoạt động là không thể. Ví dụ: bạn có bộ phận tài chính, thư ký và bộ phận bán hàng. Bạn - không muốn thư ký và bộ phận bán hàng có quyền truy cập vào các tài liệu và máy chủ từ bộ phận tài chính. Đồng thời, chỉ các chuyên gia tài chính mới được phép truy cập. Ngoài ra, bạn muốn, hay chỉ quan trọng kho lưu trữ tập tin, không thể truy cập được từ Internet, mà chỉ từ mạng nội bộ... Chúng tôi đến để giải cứu.

Phân biệt quyền truy cập của người dùng

Phân biệt quyền truy cập cho người dùng mạng là các cài đặt liên quan đến việc phân đoạn thành các phần riêng biệt và định nghĩa các quy tắc cho sự tương tác của các phần này với nhau. Nếu chúng ta nói chuyện ngôn ngữ kỹ thuậtĐây là quá trình tạo một VLAN cho từng đơn vị cụ thể và định cấu hình tính khả dụng của các VLAN này giữa chúng.

VLAN (Cục bộ ảo Mạng vùng) là sự phân chia mạng ảo thành các phần (mạng cục bộ). Theo mặc định, bộ chuyển mạch xem xét tất cả các giao diện (cổng) của nó trên cùng một mạng cục bộ. Thông qua cấu hình bổ sung, bạn có thể tạo các mạng con riêng biệt và phân bổ các cổng chuyển mạch cụ thể để hoạt động trên các mạng đó. Định nghĩa tốt hơn Một VLAN có thể được coi là một VLAN như một miền quảng bá.

Cần có sự khác biệt về quyền truy cập của người dùng khi tổ chức của bạn có các tài nguyên dành cho các chuyên gia cụ thể(ví dụ báo cáo kế toán). Do đó, bạn có thể tạo một VLAN riêng cho các chuyên viên từ bộ phận kế toán, từ chối quyền truy cập báo cáo từ các bộ phận khác.

Hạn chế truy cập mạng xã hội

Nếu bạn không muốn nhân viên của mình có quyền truy cập vào các tài nguyên cụ thể ( mạng xã hội, các trang web bị cấm), chúng tôi có thể cung cấp 4 những cách có sẵnđể làm điều này:

- Từ chối quyền truy cập cục bộ trên một PC cụ thể. Điều này có thể được thực hiện thông qua tệp / etc / hosts.

- Cấu hình ACL (Access Control List) trên bộ định tuyến biên giới. Vấn đề là từ chối quyền truy cập từ một mạng con cụ thể đến các địa chỉ cụ thể.

— Thiết lập DNS (Tên miền Hệ thống) của máy chủ. Bản chất của phương pháp là cấm phân giải các tên miền cụ thể. Điều này có nghĩa là khi bạn nhập thanh địa chỉ trình duyệt trang web vk.com, ví dụ, cái này Tên miền sẽ không được chuyển đổi thành địa chỉ IPv4 và người dùng sẽ không thể truy cập trang web này.

- Phần mềm đặc biệt. Chúng tôi cung cấp phần mềm đặc biệt (chống vi-rút) từ các đối tác của chúng tôi.

An ninh mạng

Đôi khi, thậm chí do tình cờ mở web- một trang trên Internet, có thể gây ra mối đe dọa cho toàn bộ Mạng lưới công ty chứa đựng mã độc... Đối với những trường hợp như vậy, chúng tôi đề xuất sử dụng các giải pháp từ những người dẫn đầu thị trường an ninh thông tin CNTT - các đối tác của chúng tôi.

Một trong những phương thức tấn công mạng phổ biến nhất là "lừa đảo", mục đích là lấy thông tin đăng nhập và mật khẩu của người dùng. Phần mềm của các đối tác của chúng tôi cung cấp các biện pháp bảo mật chống lại các cuộc tấn công và hỗ trợ an ninh mạng tại doanh nghiệp.

Lừa đảo- một phương pháp tấn công mạng, trong đó mục tiêu chính là lấy dữ liệu ủy quyền của người dùng. Ví dụ: nó có thể là dữ liệu đăng nhập và mật khẩu để nhập Khu vực cá nhân ngân hàng, dữ liệu từ tài khoản SIP, v.v.

Phần mềm chuyên dụng từ các đối tác của chúng tôi sẽ cung cấp cấp độ cao bảo mật thông tin:

- Bảo vệ thông tin trên những máy tính cá nhân.

- Đảm bảo tính bảo mật của việc lưu trữ dữ liệu trên máy chủ.

- Bảo vệ thông tin trong khuôn khổ giải pháp đám mây.

Thống kê bảo mật

Kaspersky Lab và B2B International đã tiến hành nghiên cứu, theo đó 98,5% doanh nghiệp vừa và nhỏ (doanh nghiệp vừa và nhỏ) đã tiếp xúc với các mối đe dọa mạng từ bên ngoài. Trong số này, 82% đã gặp phải các mối đe dọa nội bộ.

Các doanh nghiệp vừa và nhỏ (doanh nghiệp vừa và nhỏ) đang thua 780 nghìn rúp từ một trường hợp vi phạm an toàn thông tin tại doanh nghiệp.

Chúng tôi sẽ giúp

Các số liệu thống kê để lại nhiều điều đáng mong đợi, nhưng bạn không nên sợ hãi. Cung cấp các biện pháp bảo mật với các giải pháp từ các đối tác của chúng tôi sẽ đóng các lỗ hổng trong mạng công ty.

Dữ liệu cá nhân, tài nguyên nội bộ, cơ sở dữ liệu và E-mail sẽ được bảo vệ và cách ly khỏi những truy cập trái phép. Hành động của những kẻ xâm nhập không thể gây hại cho doanh nghiệp của bạn.

Kế hoạch làm việc

Kiểm tra cơ sở hạ tầng mạng hiện tại của bạn

Tạo mạng cục bộ

Tổ chức bảo vệ dữ liệu trên mạng

Phân biệt quyền truy cập trong mạng. Kết nối máy tính với mạng. Sự quản lý mạng máy tính.

Bài học thực tế №15.

Phân biệt các quyền truy cập là về hạn chế quyền truy cập vào dữ liệu của một lớp nào đó của hệ thống thông tin.

Nếu máy tính được nhiều người sử dụng và thông tin cá nhân mọi người đều yêu cầu bảo vệ khỏi quyền truy cập người ngoài cuộc, sau đó sử dụng công cụ hệ thốngđược tổ chức kiểm soát truy cập cho những người dùng khác nhau MÁY TÍNH.Đối với điều này, tài khoản người dùng được tạo, mật khẩu được đặt để truy cập thông tin và khóa giải mã bí mật được tạo cho thông tin được mã hóa.

Công cụ quản trị là một thư mục trong Pa-nen Điều khiển chứa các công cụ dành cho quản trị viên hệ thống và người dùng thành thạo.

Người quản lý - người dùng có kinh nghiệm người biết cách làm việc với bất kỳ cài đặt hệ điều hành nào và giám sát hiệu suất của nó. Do đó, không có hạn chế nào đối với anh ta với sự bắt buộc bảo vệ đáng tin cậy mật khẩu tài khoản không bị người dùng khác sử dụng hoặc bị hack bởi các tiện ích đặc biệt.

P người dùng- người dùng có kinh nghiệm không đủ để quản trị chính thức, nhưng cũng quan tâm đến hoạt động đáng tin cậy của HĐH. Có quyền làm việc với các tài liệu, thư mục, thực hiện một số cài đặt và chạy các ứng dụng nhất định.

Có 4 cấp độ bảo vệ máy chủ tệp trong mạng cục bộ:

• bảo vệ bằng tên đăng ký và mật khẩu;

· Bảo vệ bằng quyền giám hộ. Quyền truy cập có thể được áp dụng cho các tệp và thư mục con (đọc, thay đổi, xóa tệp, v.v.);

• sự bảo vệ quyền tối đa thư mục (bạn có thể ngăn người dùng mạng thực hiện quyền giám hộ của họ);

· Bảo vệ bằng thuộc tính tệp (truy cập đồng thời vào tệp bởi nhiều người dùng, chỉ một người dùng, đọc, ghi, đổi tên và xóa tệp);

Để kết nối nhiều hơn hai máy tính vào một mạng cục bộ, cần có số lượng máy tính cần thiết, chuyển mạng(chuyển đổi) hoặc trung tâm mạng(trung tâm) và cáp xoắn đôi.

Cần phải kết nối các máy tính với trung tâm bằng cách sử dụng các patchcords. Cắm một đầu vào card mạng, đầu kia vào một trong các cổng trung tâm. Kết nối trung tâm với ổ cắm điện và bật nó lên.

Từ mỗi máy tính, chúng tôi đi đến Bảng điều khiển - Kết nối mạng và kiểm tra xem kết nối của chúng tôi đã được kết nối chưa. Nếu không, hãy kiểm tra xem nó đã được bật chưa thẻ lan trên máy tính và đèn phía sau máy tính có sáng hay không (nếu đèn sáng nghĩa là các máy tính đã phát hiện ra nhau, bạn chỉ cần cấu hình chúng chính xác, đó là những gì chúng tôi sẽ làm.

Hãy bắt đầu cấu hình chúng. Chúng tôi nhấn click chuột phải rẽ phải Kết nối cục bộ- Thuộc tính - Giao thức kết nối (TCP / IP).

Theo mặc định, tất cả các cài đặt được xác định tự động, nhưng chúng tôi cần đặt chúng theo cách thủ công, vì vậy chúng tôi chọn Sử dụng địa chỉ IP sau... Bây giờ các trường đã có sẵn để điền, trong đó chúng tôi sẽ nhập các thông số của mạng cục bộ của chúng tôi.

Địa chỉ IP: 192.168.1. *

Mặt nạ mạng con: 255.255.255.0 (để làm mặc định)

Bấm OK. Chúng tôi thực hiện các hành động tương tự cho các máy tính còn lại, chỉ thay đổi chữ số cuốiĐịa chỉ IP trong phạm vi được chỉ định.

Vậy là xong, quá trình này hoàn tất việc cấu hình các card mạng và bạn nên tiến hành cài đặt Nhóm.

Tìm biểu tượng Máy tính của tôi trên Màn hình nền và nhấp chuột phải vào biểu tượng đó. Trong menu mở ra, chọn Thuộc tính và chuyển đến tab Tên Máy tính. Tại đây, bạn có thể chọn tên PC của mình và nhóm làm việc mà nó sẽ thuộc về. Nhấp vào Thay đổi.

Tên của nhóm làm việc phải giống nhau cho tất cả các máy tính được kết nối với mạng cục bộ. Ví dụ WORK hoặc FIRMA. Chúng tôi thay đổi tên của nhóm trên tất cả các PC và cũng chỉ định tên cho mỗi PC. Nên gán tên có chủ ý của các máy tính trong mạng cục bộ, điều này sẽ tăng tốc độ tìm kiếm những gì bạn cần trong tương lai. Ví dụ: tên máy tính có thể đại diện cho người dùng đang sử dụng PC.

Do đó, bạn sẽ có các máy tính tương tự (Tên máy tính - Nhóm làm việc - Địa chỉ IP - Mặt nạ mạng con):

COMP1 - GROUP - 192.168.1.1 - 255.255.255.0
COMP2 - GROUP - 192.168.1.2 - 255.255.255.0
COMPX - GROUP - 192.168.1.X - 255.255.255.0

Vì vậy, chúng tôi đã cấu hình tất cả các máy tính, tất cả những gì còn lại là khởi động lại chúng. Bây giờ chúng ta hãy chỉ định truy cập chung tài nguyên của họ.

Truy cập chung

Để cho phép người dùng mạng cục bộ truy cập các thư mục và các tệp, bạn cần xác định cách chúng được chia sẻ.

Điều này được thực hiện như sau. Chúng tôi tìm thấy thư mục cần thiết mà bạn muốn mở quyền truy cập. Nhấp chuột phải vào nó và chọn Chia sẻ và Bảo mật. Tiếp theo, đặt hai hộp kiểm ở phía trước Chia sẻ thư mục này và Cho phép thay đổi tệp qua mạng, nếu bạn cho phép xóa, thay đổi hoặc thêm nội dung của nó từ xa.

Nếu máy tính của bạn có gắn máy in, bạn có thể cho phép người dùng in từ máy tính khác được kết nối với mạng cục bộ của bạn. Để thực hiện việc này, bạn cần chia sẻ máy in. Để thực hiện việc này, hãy vào Start - Control Panel - Printers and Faxes. Trong cửa sổ này, bạn sẽ thấy tất cả các máy in có sẵn, chọn máy in cần thiết và nhấp vào nó bằng nút chuột phải. Chọn mục Được chia sẻ từ menu mở ra và chọn Quyền truy cập được chia sẻ vào máy in này... Sắc thái chính là sự sẵn có của các trình điều khiển cho các phiên bản khác nhau các hệ điều hành. Điều này có nghĩa là bạn sẽ cần cài đặt trình điều khiển máy in cho tất cả các hệ điều hành mà thông qua đó người dùng sẽ sử dụng máy in từ mạng cục bộ.

V Môi trường mạng một danh sách tất cả các PC khả dụng trên mạng cục bộ sẽ mở ra.

Các mảnh vỡ.

Trong phạm vi rộng lớn của Nga, nhiều công ty và doanh nghiệp nhỏ không có quản trị hệ thống trên cơ sở lâu dài hoặc đến từng thời điểm. Công ty phát triển và sớm hay muộn một thư mục chia sẻ trên mạng, nơi mọi người có thể làm bất cứ điều gì mình muốn, trở nên nhỏ bé. Kiểm soát truy cập là bắt buộc đối với những người dùng hoặc nhóm người dùng khác nhau trên nền tảng MS Windows. Người dùng Linux và quản trị viên có kinh nghiệm, vui lòng không đọc bài viết.

Phần lớn cách tốt nhất- thuê một quản trị viên có kinh nghiệm và nghĩ đến việc mua một máy chủ. Quản trị viên có kinh nghiệm ngay tại chỗ, anh ấy sẽ quyết định có nên nâng MS lên hay không máy chủ Windows Với Thư mục hoạt động hoặc sử dụng thứ gì đó từ thế giới Linux.

Nhưng bài báo này được viết cho những ai quyết định tự mình chịu đựng ngay bây giờ, mà không sử dụng hiện đại giải pháp phần mềm... Tôi sẽ cố gắng giải thích ít nhất là làm thế nào để thực hiện một cách chính xác việc phân biệt các quyền.

Trước khi chúng ta bắt đầu, tôi muốn nói về một vài điểm:

• Bất kỳ hệ điều hành nào đều "nhận ra" và "phân biệt" người thật thông qua tài khoản của họ. Nó sẽ như thế này: một người = một tài khoản.
• Bài báo mô tả một tình huống khi công ty không có quản trị viên riêng và chưa mua, chẳng hạn như MS Windows Server. Bất kỳ MS Windows thông thường nào đồng thời phục vụ không quá 10 người cho WinXP và 20 người cho Win7 qua mạng. Điều này được thực hiện cụ thể bởi Microsoft để cửa sổ khách hàng không băng qua đường Máy chủ Windows và bạn đã không làm hỏng Doanh nghiệp của Microsoft... Hãy nhớ con số 10-20 và khi công ty của bạn có hơn 10-20 người, bạn sẽ phải nghĩ đến việc mua MS Windows Server hoặc nhờ ai đó mua giúp Linux miễn phí Một máy chủ Samba không có các hạn chế như vậy.
• Vì bạn không có quản trị viên đủ năng lực, nên máy tính thông thường của bạn có ứng dụng khách MS Windows sẽ giả vờ là máy chủ tập tin... Bạn sẽ phải sao chép tài khoản người dùng trên đó từ các máy tính khác để truy cập các tệp được chia sẻ. Nói cách khác, nếu có một nhân viên kế toán Olya có tài khoản olya trong công ty PC1, thì trên "máy chủ" này (tôi sẽ gọi nó sau đây là WinServer) bạn cần tạo tài khoản olya với mật khẩu tương tự như trên PC1.
• Người đến và đi. Nhân viên luân chuyển ở khắp mọi nơi và nếu bạn là một người nghèo, không phải là quản trị viên và được bổ nhiệm (buộc phải) hỗ trợ các vấn đề CNTT của công ty, thì đây là một số lời khuyên. Tạo tài khoản phi cá nhân. Tạo cho người quản lý - manager1, manager2. Dành cho kế toán - buh1, buh2. Hoặc một cái gì đó tương tự. Người đàn ông đi rồi à? Người khác sẽ không bị xúc phạm nếu anh ta sử dụng manager1. Đồng ý, điều này tốt hơn là sử dụng tài khoản olya cho Semyon, vì không có ai để làm lại nó, và mọi thứ đã hoạt động trong 100 năm.
• Quên những từ như: "tạo mật khẩu cho thư mục". Những ngày mà mật khẩu được áp dụng cho các tài nguyên đã không còn nữa. Triết lý làm việc với nhiều nguồn lực khác nhau đã thay đổi. Bây giờ người dùng đăng nhập vào hệ thống của mình bằng tài khoản (nhận dạng), xác nhận bản thân bằng mật khẩu của mình (xác thực) và anh ta được cấp quyền truy cập vào tất cả các tài nguyên được phép. Sau khi đăng nhập và có quyền truy cập vào mọi thứ - đó là điều bạn cần nhớ.
• Bạn nên thực hiện các hành động sau từ tài khoản Quản trị viên tích hợp sẵn hoặc từ tài khoản đầu tiên trong hệ thống, theo mặc định, tài khoản này là thành viên của nhóm Quản trị viên.

Nấu ăn.

Trong Explorer, hãy xóa quyền truy cập đơn giản vào những thứ chúng ta cần.

• MS Windows XP. Menu công cụ - Tùy chọn thư mục - Xem. Bỏ chọn Sử dụng thuật sĩ chia sẻ
• MS Windows 7. Nhấn Alt. Menu công cụ - Tùy chọn thư mục - Xem. Bỏ chọn Sử dụng chia sẻ tập tin đơn giản.

Tạo một thư mục trên máy tính WinServer của bạn để lưu trữ tài sản của bạn dưới dạng tệp đơn đặt hàng, hợp đồng, v.v. Đối với tôi, làm ví dụ, nó sẽ là C: \ dostup \. Thư mục phải được tạo trên một phân vùng có NTFS.

Truy cập qua mạng.

Trên sân khấu này cần phải chia sẻ trên mạng(share - chia sẻ) một thư mục để người dùng khác làm việc trên máy tính của họ trong mạng cục bộ này.

Và điều quan trọng nhất! Chia sẻ thư mục với giải pháp đầy đủ cho tất cả! Vâng vâng! Bạn đã nghe đúng. Nhưng những gì về kiểm soát truy cập?

Chúng tôi cho phép mọi người kết nối với thư mục trên mạng cục bộ, NHƯNG chúng tôi sẽ phân định quyền truy cập bằng các biện pháp bảo mật được lưu trữ trong hệ thống tập tin NTFS nơi đặt thư mục của chúng tôi.

• MS Windows XP. Trên thư mục mong muốn(C: \ dostup \) nhấp chuột phải và vào đó Thuộc tính. Truy cập tab - Toàn quyền truy cập .
• MS Windows 7. Trên thư mục mong muốn (C: \ dostup \), nhấp chuột phải và vào đó Thuộc tính. Tab Access - Cấu hình nâng cao. Kiểm tra hộp Chia sẻ thư mục này... Chúng tôi điền vào Ghi chú. Chúng tôi nhấn Resolution. Nhóm Mọi người phải có quyền Toàn quyền truy cập.

Người dùng và nhóm bảo mật.

Bạn cần tạo các tài khoản người dùng cần thiết. Hãy để tôi nhắc bạn rằng nếu các tài khoản người dùng khác nhau được sử dụng trên nhiều máy tính cá nhân của bạn, thì tất cả chúng phải được tạo trên "máy chủ" của bạn và với cùng một mật khẩu. Điều này chỉ có thể tránh được nếu bạn có quản trị viên có năng lực và các máy tính trong Active Directory. Không? Sau đó, cẩn thận tạo tài khoản của bạn.

• MS Windows XP.
  Người dùng cục bộ và Nhóm - Người dùng. Menu hành động - Người dùng mới.
• MS Windows 7. Bảng điều khiển - Công cụ quản trị - Quản lý máy tính.
  Người dùng cục bộ và Nhóm - Người dùng. Menu hành động - Tạo người dùng.

Bây giờ đến lượt điều quan trọng nhất - các nhóm! Nhóm cho phép bạn bao gồm tài khoản người dùng và đơn giản hóa các thao tác với việc cấp quyền và kiểm soát truy cập.

Dưới đây sẽ được giải thích về "lớp phủ" của các thư mục và tệp, nhưng bây giờ điều chính là hiểu một suy nghĩ. Quyền đối với các thư mục hoặc tệp sẽ được cấp cho các nhóm, có thể hiểu theo nghĩa bóng là so với các vùng chứa. Và các nhóm sẽ "chuyển giao" quyền cho các tài khoản có trong đó. Đó là, bạn cần phải suy nghĩ ở cấp độ nhóm, chứ không phải ở cấp độ tài khoản cá nhân.

• MS Windows XP. Bảng điều khiển - Công cụ quản trị - Quản lý máy tính.
  
• MS Windows 7. Bảng điều khiển - Công cụ quản trị - Quản lý máy tính.
  Người dùng cục bộ và Nhóm - Nhóm. Menu hành động - Tạo nhóm.

Cần đưa vào nhóm bắt buộc tài khoản bắt buộc. Ví dụ: trên nhóm Kế toán, nhấp chuột phải và vào đó Thêm vào nhóm hoặc Thuộc tính và có một nút Thêm. Trong lĩnh vực Nhập tên của các đối tượng để chọn nhập tên của tài khoản được yêu cầu và nhấp vào Kiểm tra tên... Nếu mọi thứ đều chính xác, thì tài khoản sẽ được thay đổi thành loại tài khoản TÊN MÁY CHỦ. Trong hình trên, tài khoản buh3 đã bị cưỡng chế thành WINSERVER \ buh3.

Vì vậy, các nhóm bắt buộc đã được tạo và các tài khoản người dùng được đưa vào các nhóm bắt buộc. Nhưng trước giai đoạn gán quyền cho các thư mục và tệp bằng cách sử dụng nhóm, tôi muốn thảo luận một số điểm.

Có đáng bận tâm với một nhóm không nếu nó có một tài khoản? Tôi nghĩ nó đáng giá! Nhóm cho sự linh hoạt và nhanh nhẹn. Ngày mai, bạn sẽ cần phải cấp cho một người B nữa các quyền tương tự như cho một người nhất định với tài khoản A. Bạn chỉ cần thêm tài khoản B vào nhóm đã có A và thế là xong!

Sẽ dễ dàng hơn nhiều khi các quyền được chỉ định cho các nhóm chứ không phải cho từng cá nhân. Bạn chỉ cần thao tác với các nhóm và bao gồm các tài khoản cần thiết trong đó.

Quyền truy cập.

Bạn nên thực hiện các hành động sau từ tài khoản Quản trị viên tích hợp sẵn hoặc từ tài khoản đầu tiên trong hệ thống, theo mặc định, tài khoản này là thành viên của nhóm Quản trị viên.

Vì vậy, chúng ta đã đến giai đoạn mà phép thuật của việc phân biệt quyền truy cập cho các nhóm khác nhau và thông qua chúng cho cả người dùng (chính xác hơn là tài khoản của họ), diễn ra.

Vì vậy, chúng tôi có một thư mục tại C: \ dostup \, mà chúng tôi đã cung cấp cho tất cả nhân viên trên mạng. Ví dụ, bên trong thư mục C: \ dostup \, chúng ta sẽ tạo các thư mục Thỏa thuận, Đơn hàng, Kế toán MC. Giả sử có một nhiệm vụ phải làm:

• thư mục Thỏa thuận phải ở chế độ chỉ đọc cho Kế toán. Đọc và viết cho một nhóm Người quản lý.
• thư mục UUCHMTs phải có thể truy cập được đối với Kế toán để đọc và ghi. Nhóm người quản lý không có quyền truy cập.
• thư mục Đơn đặt hàng nên ở chế độ chỉ đọc cho Kế toán và Người quản lý.

Trên thư mục Hiệp ước, bấm chuột phải và vào đó Thuộc tính - tab Bảo mật. Chúng tôi thấy rằng một số nhóm và người dùng đã có quyền truy cập vào nó. Các quyền này được kế thừa từ dostup gốc \ và đến lượt nó từ cha mẹ C:

Chúng tôi sẽ làm gián đoạn sự kế thừa quyền này và chỉ định danh sách mong muốn của chúng tôi.

Nhấp vào nút Nâng cao - tab Quyền - nút Thay đổi quyền.

Đầu tiên, chúng tôi làm gián đoạn việc kế thừa các quyền từ cha mẹ. Bỏ chọn hộp Thêm quyền được thừa kế từ các đối tượng mẹ. Chúng tôi sẽ được cảnh báo rằng quyền của phụ huynh sẽ không áp dụng cho đối tượng này(v trong trường hợp nàyđây là thư mục của Hiệp ước). Lựa chọn: Hủy bỏ hoặc Xóa hoặc Thêm. Nhấp vào Thêm và các quyền từ cha mẹ sẽ vẫn là quyền thừa kế, nhưng các quyền của cha mẹ sẽ không còn áp dụng cho chúng tôi nữa. Nói cách khác, nếu trong tương lai, quyền truy cập của phụ huynh (thư mục dostup) bị thay đổi, điều này sẽ không ảnh hưởng đến thư mục con của Thỏa thuận. Thông báo trong lĩnh vực này Thừa hưởng từ chi phí không được thừa kế... Đó là, sự kết nối cha mẹ - con cái xé nát.

Bây giờ cẩn thận loại bỏ quyền phụ rời đi Toàn quyền truy cập dành cho Quản trị viên và Hệ thống. Chúng tôi lần lượt chọn tất cả các loại Đã xác minh và chỉ Người dùng và xóa bằng nút Xóa.

Thêm nút trong cửa sổ này Tùy chọn bổ sung Bảo vệ dành cho những quản trị viên có kinh nghiệm, những người có thể đặt các quyền đặc biệt, đặc biệt. Bài viết hướng đến kiến ​​thức của một người dùng có kinh nghiệm.

Chúng tôi đánh dấu vào ô Thay thế tất cả các quyền của đối tượng con bằng các quyền được kế thừa từ đối tượng này và bấm OK. Quay lại và OK một lần nữa để quay lại đầu óc đơn giản Tính chất.

Cửa sổ này sẽ cho phép bạn đạt được những gì bạn muốn một cách đơn giản hóa. Nút Sửa đổi sẽ hiển thị cửa sổ Quyền Nhóm.

Nhấp vào Thêm. Trong một cửa sổ mới, viết Kế toán và nhấp vào "Kiểm tra Tên" - Ok. Theo mặc định, quyền truy cập "đọc" được cấp ở dạng đơn giản hóa. Các hộp kiểm trong cột Cho phép được tự động đặt thành "Đọc và Thực thi", "Danh sách nội dung thư mục", "Đọc". Chúng tôi hài lòng với điều này và nhấp vào OK.

Bây giờ, theo điều khoản tham chiếu của chúng tôi, chúng tôi cần cấp quyền đọc và ghi cho nhóm Người quản lý. Nếu chúng ta đang ở trong cửa sổ Thuộc tính, sau đó một lần nữa Thay đổi - Thêm - ổ đĩa trong Người quản lý - Kiểm tra tên. Thêm các hộp kiểm Thay đổi và Ghi trong cột Cho phép.

Bây giờ bạn cần phải kiểm tra mọi thứ!

Làm theo ý nghĩ. Chúng tôi đã yêu cầu rằng thư mục Hợp đồng không được kế thừa các quyền từ dostup mẹ của nó. Chúng tôi đã ra lệnh cho các thư mục con và tệp bên trong thư mục Treaty kế thừa quyền từ nó.

Chúng tôi đã áp đặt các quyền truy cập sau đối với thư mục Thỏa thuận: nhóm Kế toán chỉ được đọc tệp và mở các thư mục bên trong và nhóm Người quản lý phải tạo, sửa đổi tệp và tạo thư mục.

Do đó, nếu một tệp tài liệu được tạo bên trong thư mục Hợp đồng, nó sẽ có quyền từ cha của nó. Người dùng có tài khoản riêng của họ sẽ có thể truy cập các tệp và thư mục đó thông qua nhóm của họ.

Đi tới thư mục Thỏa thuận và tạo tệp kiểm tra thỏa thuận1.txt

Nhấp chuột phải vào nó và có tab Thuộc tính - Bảo mật - Nâng cao - Quyền hiệu quả.

Bấm Chọn và ghi tài khoản của kế toán bất kỳ, ví dụ buh1. Chúng ta có thể thấy rõ ràng rằng buh1 đã nhận được quyền từ các Kế toán viên nhóm của mình, người có quyền đọc đối với thư mục mẹ của Thỏa thuận, thư mục này "mở rộng" quyền cho các đối tượng con của nó.

Chúng tôi thử manager2 và thấy rõ ràng rằng trình quản lý có quyền đọc và ghi, vì nó là thành viên của nhóm Managers, nhóm này cấp quyền như vậy cho thư mục này.

Hoàn toàn theo cùng một cách, tương tự với thư mục Thỏa thuận, quyền truy cập được áp dụng cho các thư mục khác, tuân theo các điều khoản tham chiếu của bạn.

Điểm mấu chốt.

• Sử dụng phân vùng NTFS.
• Khi phân định quyền truy cập vào thư mục (và tệp), sau đó thao tác nhóm.
• Tạo tài khoản cho từng người dùng. 1 người = 1 tài khoản.
• Bao gồm các tài khoản trong các nhóm. Tài khoản có thể được đăng nhập cùng một lúc các nhóm khác nhau... Nếu tài khoản nằm trong một số nhóm và bất kỳ nhóm nào cho phép điều gì đó, thì điều này sẽ được phép cho tài khoản.
• Cột Từ chối (Quyền từ chối) được ưu tiên hơn Cho phép. Nếu một tài khoản nằm trong một số nhóm và một số nhóm cấm điều gì đó và một nhóm khác cho phép điều đó, thì tài khoản này sẽ bị từ chối.
• Xóa tài khoản khỏi nhóm nếu bạn muốn từ chối quyền truy cập nhóm này cho.
• Cân nhắc việc thuê quản trị viên và đừng xúc phạm anh ta bằng tiền.

Đặt câu hỏi trong các ý kiến ​​và yêu cầu, sửa chữa.

Các cảnh quay video cho thấy trương hợp đặc biệt, khi bạn chỉ cần từ chối quyền truy cập vào một thư mục, sử dụng thực tế là từ chối các quy tắc được ưu tiên hơn việc cho phép các quy tắc.

Kiểm soát truy cập.

Một hệ thống tự động, tùy thuộc vào mức độ phức tạp và các nhiệm vụ được thực hiện, có thể được đặt trong một, hai, ba, v.v. phòng, tầng, tòa nhà. Do sự khác biệt về nhiệm vụ chức năng và công việc với các tài liệu khác nhau cần đảm bảo phân định quyền truy cập của người dùng vào nơi làm việc, thiết bị và thông tin của họ. Điều này được đảm bảo bằng cách bố trí nơi làm việc của người dùng trong các phòng riêng biệt, được đóng bằng nhiều loại khóa trên cửa ra vào với các cảm biến được cài đặt trên chúng báo động chống trộm hoặc việc sử dụng đặc biệt hệ thống tự động kiểm soát truy cập vào cơ sở bằng mã thông báo hoặc thẻ có mã cá nhân của chủ sở hữu được ghi lại trong bộ nhớ của nó.

Kiểm soát truy cập trong hệ thống tự động bao gồm việc phân chia thông tin lưu chuyển trong đó thành các phần và tổ chức truy cập thông tin đó cho các quan chức phù hợp với trách nhiệm chức năng và quyền hạn. Nhiệm vụ của việc phân định quyền tiếp cận thông tin như vậy là để giảm số lượng các quan chức không liên quan đến nó trong việc thực hiện các chức năng của họ, tức là bảo vệ thông tin khỏi kẻ xâm nhập giữa những người dùng hợp pháp.

Nhiệm vụ chính của việc kiểm soát và phân biệt quyền truy cập (PCRD) là ngăn chặn việc truy cập trái phép, kiểm soát và phân định quyền truy cập thông tin được bảo vệ. Đồng thời, việc phân định quyền truy cập thông tin và phần mềm để xử lý thông tin cần được thực hiện phù hợp với chức trách, quyền hạn của cán bộ - người sử dụng, nhân viên phục vụ và người quản lý công việc.

Nguyên tắc cơ bản của việc xây dựng PCRD là chỉ những tham chiếu đến thông tin như vậy mới được phép và thực hiện, có chứa các dấu hiệu tương ứng của quyền hạn được phép. Vì những mục đích này, việc nhận dạng và xác thực người dùng, thiết bị, v.v. được thực hiện, việc phân chia thông tin và chức năng xử lý của nó phù hợp với yêu cầu thiết lập kiểm soát truy cập, cài đặt và nhập quyền của người dùng

Việc phân chia thông tin và chức năng xử lý thông tin thường được thực hiện trên các cơ sở sau:

Theo mức độ quan trọng;

Theo mức độ bí mật;

Bằng các chức năng được thực hiện bởi người dùng, thiết bị;

Theo tên của các tài liệu;

Bằng các loại tài liệu;

Theo kiểu dữ liệu;

Theo tên của tập, tệp, mảng, bản ghi;

Bằng tên người dùng;

Bằng các chức năng xử lý thông tin: đọc, ghi, thực thi;

Theo thời gian trong ngày.

Có tính đến việc truy cập được thực hiện từ các phương tiện kỹ thuật khác nhau, có thể bắt đầu phân định bằng cách phân định quyền truy cập vào phương tiện kỹ thuật bằng cách đặt chúng trong các phòng riêng biệt. Tất cả các chức năng chuẩn bị của bảo trì thiết bị, sửa chữa, bảo trì, khởi động lại phần mềm và các chức năng khác phải được tách biệt về mặt kỹ thuật và tổ chức khỏi các nhiệm vụ chính của hệ thống. Tổ hợp các công cụ tự động hóa và tổ chức bảo trì cần được xây dựng như sau:

Bảo dưỡng IS trong quá trình hoạt động phải được thực hiện bởi nhân viên kỹ thuật đặc biệt mà không được tiếp cận thông tin cần bảo vệ;

Các chức năng bảo mật thông tin phải được thực hiện bởi một đơn vị đặc biệt trong tổ chức sở hữu IP, mạng máy tính hoặc ACS;

Việc tổ chức người dùng truy cập vào bộ nhớ IS phải cung cấp khả năng phân định quyền truy cập vào thông tin được lưu trữ trong đó, với mức độ chi tiết đầy đủ và phù hợp với các cấp quyền của người dùng được chỉ định;

Đăng ký và tài liệu về thông tin công nghệ và hoạt động nên được tách biệt.

Việc sử dụng các mã mật khẩu, được lưu trữ trong bộ nhớ của người dùng và IS, được sử dụng rộng rãi làm định danh cá nhân để thực hiện phân định. Để giúp người dùng trong các hệ thống có yêu cầu cao hơn, các giá trị lớn của mã mật khẩu được ghi lại trên phương tiện đặc biệt - chìa khóa điện tử, mã thông báo, thẻ thông minh, v.v.

Khả năng cơ bản của sự khác biệt bởi các thông số được chỉ định phải được cung cấp với một dự án IP. Và sự phân định cụ thể trong hoạt động của IS là do người tiêu dùng xác lập và do đơn vị chịu trách nhiệm bảo mật thông tin của anh ta nhập vào hệ thống.

Vì những mục đích này, trong việc thiết kế các phương tiện tính toán để xây dựng IS, những điều sau đây được thực hiện:

Sự phát triển của hệ điều hành với khả năng nhận ra sự khác biệt của quyền truy cập thông tin được lưu trữ trong bộ nhớ của máy tính, PC, máy chủ;

Cách ly các khu vực tiếp cận;

Chia cơ sở dữ liệu thành các nhóm;

Các thủ tục kiểm soát cho các chức năng được liệt kê.

Phát triển và thực hiện các nhiệm vụ chức năng để phân định và kiểm soát truy cập thiết bị và thông tin trong khuôn khổ IS này và ACS (mạng) nói chung;

Phát triển phần cứng để nhận dạng và xác thực người dùng;

Sự phát triển của Công cụ phần mềm kiểm soát và quản lý kiểm soát truy cập;

Xây dựng tài liệu hoạt động riêng biệt cho các phương tiện nhận dạng, xác thực, phân định và kiểm soát truy cập.

Việc lựa chọn các dấu hiệu kiểm soát truy cập cụ thể và sự kết hợp của chúng được thực hiện theo điều khoản tham chiếu khi thiết kế phần mềm cho một hệ thống tự động.

Thông tin cần bảo vệ phải được đặt trong các vùng bộ nhớ không chồng chéo. Trong bất kỳ khu vực nào trong số này, một tập hợp các đối tượng thông tin được lưu trữ, mỗi đối tượng trong số đó phải được bảo vệ. Bảo vệ trong trường hợp này được giảm xuống thực tế là việc tiếp cận đối tượng thông tin được thực hiện thông qua một lối vào có bảo vệ duy nhất. Chức năng "bảo vệ" bao gồm nhận dạng người dùng theo tên (hoặc số điều kiện) và mã của mật khẩu được trình bày. Trường hợp kiểm tra có kết quả dương tính thì được phép thừa nhận thông tin theo quyền hạn được giao. Các thủ tục này được thực hiện theo từng yêu cầu của người dùng: yêu cầu, phát hành lệnh, v.v. Để không phải nhập mật khẩu mỗi lần, thuận tiện khi lưu trữ mật khẩu đã trình bày trên một phương tiện vật lý đặc biệt (chìa khóa, thẻ), trước khi nhập hệ thống máy tính phải được người dùng chèn vào một ổ cắm đặc biệt AWP. Ngoài ra, sau khi loại bỏ phương tiện có mật khẩu khỏi khe cắm, quyền truy cập vào hệ thống ngay lập tức bị chặn.

Nếu các yêu cầu về bảo vệ thông tin đối với một hệ thống cụ thể cho phép sử dụng bộ mật khẩu thủ công, thì cần đảm bảo rằng mật khẩu được trình bày nằm trong bộ nhớ của AWP này khi các lệnh gọi lặp lại trong quá trình làm việc với thông tin. . Bộ nhớ trong máy tính trung tâm chỉ được phép nếu nó được liên kết với số có điều kiện của AWP nhất định, tức là tất cả các lệnh gọi tiếp theo trong máy tính trung tâm chỉ được chấp nhận để xử lý với số AWP có điều kiện mà từ đó mã mật khẩu được lưu trữ được xuất trình. Khi kết thúc công việc, để loại trừ khả năng bị xâm nhập trái phép từ bên ngoài người dùng bên ngoài cần phải nhập lệnh thích hợp từ AWP, theo đó mật khẩu đã được trình bày và lưu trữ trước đó sẽ bị xóa. Một thông báo sẽ được hiển thị về thực tế xóa trên AWS của người dùng. Để kiểm tra hoạt động cuối cùng rất hữu ích nếu lặp lại một trong các cuộc gọi trước đó mà không có mật khẩu và bị thuyết phục về điều này bởi phản ứng tiêu cực của hệ thống máy tính.