Jeśli opisane w poprzednim artykule ograniczenia narzucone przez system operacyjny, będące następstwem korzystania z funkcji Prostego udostępniania plików, z różnych przyczyn nie odpowiadają nam, a pracujemy w środowisku Windows XP w wersji Professional, zainstalowanego na woluminie o systemie plików NTFS, to mamy dużo większe możliwości zabezpieczenia plików, niż mogłoby się to wydawać. W tym artykule omawiamy wszelakie zagadnienia związane z kontrolowaniem dostępu dla wybranych zasobów, z wykorzystaniem uprawnień dla systemu plików NTFS.
Chcąc mieć większe możliwości konfiguracji praw dostępu do zabezpieczonych zasobów musimy dezaktywować funkcję Proste udostępnianie plików (o tym jak to zrobić mówiliśmy tutaj << LINK do wcześniejszego artykułu). Tak jak już wspominaliśmy, po wyłączeniu tej opcji, znikną narzucone ograniczenia, dzięki czemu będziemy mogli m.in.:
- Określać prawa dostępu dla każdego folderu lub pliku znajdującego się na partycji o systemie plików NTFS. Przed dezaktywacją wspomnianej powyżej funkcji, zabezpieczać mogliśmy zasoby tylko i wyłącznie w obrębie bieżącego profilu użytkownika. Dane znajdujące się na innych partycjach nie mogły być chronione przez restrykcje narzucane wraz z nadaniem praw dostępu.
- Określać typ dostępu do zasobu dla użytkowników lub grup użytkowników. Możemy zezwolić wybranym współużytkownikom komputera na dostęp na przykład tylko do plików dźwiękowych (mogą oni tylko tylko te pliki odtwarzać, usuwanie nie jest dozwolone), reszta użytkowników może mieć natomiast możliwość usuwania, modyfikowania i dodawania nowych plików. W funkcji Proste udostępnianie plików zauważamy zasadę "wszyscy albo nikt".
- Określać uprawnienia dla poszczególnych plików i folderów. Jeśli zaistnieje taka potrzeba, możemy ograniczyć dostęp do wybranego zasobu, tak że użytkownicy będą mogli np. tylko otworzyć dany plik, a nie będą mogli go nadpisać czy też usunąć.
Rozpoczynając pracę z uprawnieniami, warto zastosować domyślne ustawienia praw dostępu w obrębie własnego profilu, które to zagwarantują, iż tylko my będziemy mieli do nich dostęp. Aby to zrobić, aktywujemy opcję Uczyń ten folder folderem prywatnym w obrębie profilu, następnie dezaktywujemy funkcję Prostego udostępniania plików, kolejno przechodzimy do bardziej zaawansowanych opcji konfiguracyjnych dostępnych na zakładce Zabezpieczenie, gdzie znajdziemy uprawnienia systemu plików NTFS. Na tym etapie radzimy korzystać z gotowych zestawów uprawnień oferowanych nam przez system operacyjny Windows XP, gdyż nie znając dokładnie zasad obowiązujących przy nadawaniu praw dostępu może doprowadzić do sytuacji, w której całkowicie utracimy dostęp do zabezpieczonych danych. Warto w celu zaznajomienia się z wszelakimi ustawieniami zabezpieczeń, stworzyć przykładowy folder i to na nim przetestować różne konfiguracje, przed zastosowaniem ich na "prawdziwych" plikach i folderach.
Zaawansowane opcje praw dostępu i zabezpieczeń
Aby zmienić uprawnienia dla wybranego pliku lub folderu klikamy jego ikonę prawym przyciskiem myszy, następnie z menu kontekstowego wybieramy opcję Właściwości. W oknie dialogowym przechodzimy na zakładkę Zabezpieczenia, gdzie zobaczymy dwie sekcje: Nazwy grupy i użytkownika oraz Uprawnienia dla xxx (gdzie xxx to użytkownik lub grupa wybrana z pierwszej sekcji). To właśnie w pierwszym dziale wspomnianego już okna dialogowego znajdziemy listę grup użytkowników i użytkowników, dla których ustawione zostały jakieś uprawnienia dla tegoż właśnie pliku, czy folderu. W sekcji drugiej, znajdującej się w dolnej części okna można zobaczyć różne oferowane przez system uprawnienia dla użytkowników.
System umożliwia dodawanie do listy użytkowników oraz nadawania im praw dostępu do poszczególnych plików, bądź czynności. Restrykcje nadawać możemy także grupom użytkowników, zarówno tym już istniejącym jak i stworzonym na własne potrzeby. Jeśli grupa, bądź pojedynczy użytkownik, którym chcielibyśmy nadać, bądź zabronić pewnych akcji, związanych z naszymi zasobami, znajduje się już na liście, klikamy na jego nazwę w górnej części okna, w sekcji Nazwy grupy i użytkownika, a następnie w dolnej zaznaczamy odpowiednio pola wyboru przy opcji Zezwól lub Odmów. Jak nie trudno się domyślić oznaczenie pola w lewej części kolumny przy opcji pierwszej nadają uprawnienia, natomiast zaznaczenie tego pola w tym samym wierszu, lecz po prawej stronie kolumny odbiera uprawnienia dla wybranej operacji i tak na przykład, chcąc całkowicie odebrać prawo dostępu wybranemu użytkownikowi wystarczy zaznaczyć w kolumnie Odmów pole wyboru przy opcji Pełna kontrola. Oto charakterystyka najważniejszych oferowanych przez system Windows XP uprawnień:
- Pełna kontrola. Jak sama nazwa wskazuje daje użytkownikom lub grupie pełną swobodę wykonywanych operacji w obrębie zasobu, którego uprawnienie dotyczy. Po zaznaczeniu pola wyboru przy tej opcji automatycznie zaznaczane są także wszystkie pozostałe.
- Modyfikacja. Pozwala użytkownikowi na wszystkie operacje z wyjątkiem zmiany uprawnień oraz przejmowania zasobu na własność. Zaznaczenie tej opcji jest równoznaczne z określeniem uprawnień Zapis i wykonanie oraz Zapis.
- Zapis i wykonanie. Jak nie trudno się domyślić, pozwala użytkownikowi na przeglądanie zasobu oraz uruchomienie znajdujących się w jego obszarze plików wykonywalnych.
- Wyświetlanie zawartości folderu. Daje dostęp do tych samych uprawnień co w przypadku Zapis i wykonanie, z tą różnicą, że uprawnienia dziedziczone są przez poszczególne katalogi i ich podfoldery, ale nie przez znajdujące się w nich pliki.
- Odczyt. Podstawowy rodzaj uprawnień, pozwalający użytkownikowi na przeglądanie poszczególnych zasobów, podglądanie atrybutów plików i uprawnień oraz synchronizację danych.
- Zapis. Jak sama nazwa mówi, zezwala użytkownikowi lub grupie na tworzenie, zapisywanie zasobów, odczytywanie atrybutów i uprawnień, oraz synchronizację plików i folderów.
- Uprawnienia specjalne. Zaznaczenie tego pola oznacza wybór niestandardowych opcji uprawnień (omówionych powyżej).
Możliwość nadawania lub zabraniania dostępu do zasobów mają ich właściciele, czyli osoby które dany plik lub folder utworzyły. Ponadto takie prawa mają wszyscy członkowie grupy Administratorzy oraz inni użytkownicy, posiadający odpowiednie uprawnienia.
Powyżej mowa była o nadawaniu uprawnień użytkownikom, którzy znajdują się na liście w sekcji Nazwy grupy lub użytkownika. Teraz natomiast przyjrzymy się procesowi, dodawania nowych wpisów na tą listę oraz nadawaniu im odpowiednich praw dostępu. W tym celu klikamy na wybranym folderze lub pliku prawym przyciskiem myszy i wybieramy Właściwości, następnie w oknie dialogowym, które ukarze się naszym oczom przechodzimy na zakładkę Zabezpieczenia. Klikamy przycisk Dodaj..., znajdujący się w środkowej części okna dialogowego, następnie wpisujemy nazwę użytkownika, którego chcielibyśmy dodać do listy, w polu tekstowym znajdującym się w dolnej części okna Wybieranie: Użytkownicy lub Grupy.
Chcąc wprowadzić więcej niż jeden wpis, wystarczy je tylko oddzielić średnikami, aby sprawdzić czy podane nazwy są poprawne klikamy Sprawdź nazwy. Gdy wprowadzone nazwy są prawidłowe, zatwierdzamy zmiany przyciskiem OK, dodając tym samym wprowadzone wpisy na wspomnianą listę. Teraz pozostaje określenie dla nich odpowiednich uprawnień, należy jednak pamiętać że:
- Nadając, lub usuwając prawa, należy pamiętać by proces ten zaczynać będąc w katalogu nadrzędnym i stopniowo zmieniając lokalizację. Domyślnie uprawnienia nadawane dla jakiegoś katalogu są dziedziczone przez wszystkie jego podfoldery i pliki.
- Wszystkie udostępnione dane zlokalizować w jednym miejscu, gdyż łatwo stracić kontrolę nad zastosowanymi uprawnieniami w momencie, gdy zasoby, do których są przypisane "porozrzucane" pliki są po różnych folderach, partycjach itp.
- Nadawać uprawnienia całym grupom. Jeśli zaistniała potrzeba nadania kilku użytkownikom uprawnienia na poziomie niestandardowym, warto połączyć ich w jedną grupę i to właśnie dla tej grupy zastosować odpowiednie uprawnienia.
- Unikać stosowania uprawnień specjalnych. Jeśli nie oswoiłeś się jeszcze w wystarczającym stopniu z wszystkimi rodzajami uprawnień, odradza się stosowania tych niestandardowych konfiguracji, te oferowane domyślnie przez system Windows XP powinny w zupełności wystarczyć.
- Nadawać użytkownikom poziom dostępu, który jest im potrzebny. Jest to bardzo cenna uwaga, gdy obawiamy się, iż niedoświadczeni współużytkownicy komputera mogliby nieumyślnie usunąć udostępnione zasoby.
Stosowanie się do powyżej wymienionych uwag nie jest w żadnym stopniu wymagane, pozwala to tylko na zaoszczędzenie jakże cennego dzisiaj czasu oraz usprawni pracę z nadawaniem odpowiednich uprawnień wybranym użytkownikom.
