Чтение онлайн

4. Если при наличии сертификата вы не можете открыть зашифрованный файл, то, возможно, у вас нет прав доступа к этому файлу на уровне разрешений NTFS. В таком случае следует установить необходимые разрешения с помощью вкладки Безопасность окна свойств данного файла.

Настройка шифрование диска BitLocker

В версиях Windows Vista Enterprise и Ultimate в дополнение к шифрованию файлов вы можете зашифровать целый раздел диска с помощью новой технологии шифрования, которая называется BitLocker. В этом случае зашифрованными окажутся все файлы операционной системы и приложений, файл подкачки и даже свободные секторы на диске, что гарантирует более высокий уровень безопасности, чем простое шифрование файлов.

Для использования всех возможностей BitLocker в вашем компьютере должен быть установлен доверенный платформенный модуль (Trusted Platform Module, ТРМ) – специальный микрочип, обеспечивающий дополнительные функции безопасности системы. На момент выхода Windows Vista системы с ТРМ еще являлись редкостью, но использовать шифрование BitLocker можно и без ТРМ, нужно лишь, чтобы BIOS поддерживала flash-диски USB при старте системы.

Для использования шифрования BitLocker нужно, чтобы жесткий диск был разбит как минимум на два раздела, отформатированных в файловой системе NTFS. Первый раздел должен иметь размер не менее 1,5 Гбайт и являться активным. Операционная система должна быть установлена на второй раздел, который и будет шифроваться с помощью BitLocker. Поэтому лучше выполнить конфигурирование жесткого диска до установки Windows Vista.

Если на вашей системной плате отсутствует ТРМ, необходимо включить возможность сохранения ключей на flash-диске с помощью групповой политики. Для этого выполните следующие действия.

1. В строке поиска меню Пуск введите команду gpedit.msc, нажмите Enter и подтвердите действия в окне UAC.

2. В дереве консоли откройте следующий раздел: Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Шифрование диска BitLocker.

3. Дважды щелкните на параметре Установка панели управления: включить дополнительные параметры запуска и в появившемся окне установите переключатель в положение Включен.

4. Убедитесь, что флажок Разрешить использование BitLocker без совместимого ТРМ установлен и нажмите ОК. После этого закройте окно групповой политики.

Для шифрования диска выполните следующие действия.

1. Откройте окно настройки BitLocker с помощью команды Пуск → Панель управления → Безопасность → Шифрование диска BitLocker (рис. 9.23).

Рис. 9.23. Окно настройки BitLocker

2. Щелкните на ссылке Включить BitLocker. Если данная ссылка отсутствует, возможно, конфигурация диска не соответствует требованиям BitLocker или же в системе отсутствует ТРМ и вы не задействовали сохранение ключа на flash-диск.

3. В открывшемся окне (рис. 9.24) выберите способ запуска компьютера с BitLocker. При отсутствии ТРМ единственно возможным вариантом будет Запрашивать USB-ключ запуска при запуске.

Рис. 9.24. Выбор способа запуска компьютера с BitLocker

4. В следующем окне сохраните ключ запуска на flash-диск, который следует предварительно подсоединить к компьютеру.

5. Далее вам обязательно нужно сохранить пароль восстановления, который служит для получения доступа к компьютеру при утере или порче ключа на flash-диске (рис. 9.25). Помните, что без пароля восстановления вы рискуете навсегда лишиться информации на зашифрованном диске.

Рис. 9.25. Окно сохранения пароля восстановления

6. В следующем окне будет предложено проверить систему BitLocker перед началом шифрования. Согласитесь с этим, нажав кнопку Продолжить.

7. После этого вам необходимо перезагрузить компьютер. Если при перезагрузке ключ шифрования будет считан успешно, после входа в систему начнется шифрование диска в фоновом режиме.

Если flash-диск с ключом шифрования был утерян или испорчен, выполните загрузку компьютера с помощью ранее сохраненного пароля восстановления, затем откройте окно настройки параметров BitLocker и создайте новую копию ключа. В этом же окне вы можете создать дополнительные копии пароля восстановления или же вообще отключить шифрование.

• Ограничения доступа к файлам и борьба с ними

• Управление жесткими дисками

• Средства диагностики системы

• Новые возможности администрирования с помощью групповой политики

• Автоматизация выполнения заданий с помощью планировщика

В этой главе будут рассмотрены эффективные методы и средства для выполнения некоторых административных задач. Вы узнаете, как ограничивать доступ к файлам и как обходить эти ограничения, научитесь управлять жесткими дисками, познакомитесь с новыми возможностями групповой политики Windows Vista и утилитами для диагностики системы.

Разрешения NTFS

В Windows Vista можно управлять правами доступа к файлам и папкам для различных пользователей. Эта возможность реализована в самой файловой системе NTFS в виде разрешений, которые хранятся для каждого файла или папки вместе с именем, размером, датой и другими атрибутами. При выполнении каких-либо операций с файлом или папкой сначала проверяется список имеющихся для него (нее) разрешений, и если для текущего пользователя разрешение на осуществление конкретного действия отсутствует, то пользователю будет отказано в выполнении данного действия.

В операционной системе Windows ХР по умолчанию применялся так называемый простой общий доступ к файлам, а средства управления разрешениями были скрыты. В Windows Vista режим простого общего доступа не используется, и все пользователи с соответствующими правами могут управлять разрешениями. Однако необходимость в правке разрешений вручную возникает не очень часто, поскольку система автоматически устанавливает оптимальный набор разрешений для различных объектов, по аналогии с простым общим доступом в Windows ХР. Рассмотрим основные особенности разрешений по умолчанию.

• Любой пользователь имеет полный доступ к папкам своего профиля и может управлять правами доступа к ним.

• При использовании учетной записи с правами обычного пользователя нельзя получить доступ к папкам других пользователей.

• Все пользователи могут создавать и изменять свои файлы в папке Общие или одной из ее подпапок. Файлы других пользователей можно только просматривать.

• Чтобы получить доступ к папкам другого пользователя без его разрешения, нужно обладать правами администратора и подтвердить действия в окне UAC. При этом пользователь автоматически будет добавлен в список разрешений для данного объекта.

• Пользователям запрещено изменение системных папок, например Windows или Program Files. Для выполнения этих операций нужно подтвердить ваши права в окне UAC. В целях безопасности некоторые действия запрещены даже для администраторов, но изменить системный файл можно, став его владельцем (см. далее).

Почти все папки имеют в списке доступа группу Администраторы, но поведение системы при попытке получить доступ к такой папке будет отличаться, в зависимости от того включен ли контроль учетных записей. При включенном UAC появится окно с просьбой подтвердить действия или ввести пароль учетной записи с правами администратора. При отключенном UAC для учетной записи с правами администратора доступ будет предоставлен автоматически, а для обычных пользователей доступ будет запрещен.

Изменение разрешений для отдельных папок и файлов

Для большинства пользователей будет вполне достаточным работать с разрешениями по умолчанию, но при наличии особых требований к разграничению доступа вам может понадобиться настройка разрешений вручную. Возможно, вам будет необходимо ограничить доступ к папкам, находящимся вне профиля пользователя или вообще на другом разделе. Другой распространенной задачей является разграничение доступа к файлу для нескольких пользователей, например, первому пользователю нужно открыть полный доступ, второму – только для чтения, а третьему – вообще запретить. Однако следует заметить, что система разрешений является достаточно сложной, поэтому рассмотрим лишь наиболее важные сведения, достаточные для решения основных задач администрирования.