Bezpieczeństwo dostępu do danych w systemie Windows oraz UAC User Account Control
Cele: Jak działa system uprawnień Podstawowa konfiguracja i możliwości Kontrolowanie dostępu do zasobów komputera członkom rodziny / innym pracownikom firmy
Role w jakich możemy się znaleźć: Praca na komputerze w korporacji, który jest skonfigurowany przez administratora Praca na komputerze w firmie, bez specjalnej konfiguracji – warunki zachowania prywatności Praca na własnym komputerze w domu - warunki zachowania prywatności przed innym członkami rodziny / domu / pokoju
Rodzaje użytkowników – w kontekście mechanizmu UAC Grupa użytkowników standardowych – członkowie mają najmniejsze uprawnienia, ale podobnie jak w grupie administratorów mogą je w razie potrzeby podnieść. Różnicą jest, że wymagane jest hasło administratora do wykonania operacji Grupa administratorów w trybie Admin Aproval – członkowie mają uprawnienia standardowego użytkownika, ale w razie potrzeby można je podnieść poprzez zatwierdzenie monitu w oknie dialogowym . Domyślny rodzaj konta w Windows Vista i 7 . Administrator – ukryte, nieaktywne wbudowane konto administratora pozwalające wykonać wszelkie czynności na komputerze. Konto to ma wyłączony mechanizm UAC i jest identyczne do konta administratora z Windows XP
UserAccountControlSettings.exe
Jakie jeszcze inne uprawnienia: Sterowanie dostępem do plików i folderów Możliwość zmiany własnego hasła do systemu Dostęp do komputera w tylko określonych godzinach, czas dostępu do komputera Określanie listy komputerów z jakich dana osoba może się logować Określanie listy komputerów do których dana osoba może się logować Możliwość udostępniania folderów lub drukarek
Co to jest konto gościa? Konto gościa to konto użytkownika, który nie dysponuje stałym kontem na komputerze lub w domenie. Umożliwia innym osobom korzystanie z komputera, nie zezwalając jednocześnie na dostęp do prywatnych plików użytkowników. Osoby używające konta gościa nie mogą instalować oprogramowania ani sprzętu, nie mogą zmieniać ustawień ani tworzyć haseł. Konto gościa musi zostać włączone, aby można było z niego korzystać. Bardzo istotne podczas udostępniania danych w sieci w sposób prosty
Kontrolowanie dostępu do folderu i plików
Na czym polega dziedziczenie uprawnień Każdy plik lub folder powstający w danym folderze będzie miał taki sam poziom uprawnień Dany użytkownik będzie miał dostęp do wszystkich plików i podfolderów na takim samym poziomie.
Co daje wyłączenie dziedziczenia obiektów ? Możliwość zmiany uprawnień w obiektach podrzędnych (folderach i plikach) Brak możliwości podglądu / edycji w tym szukanie ich Częściowa możliwość ukrywania danych także przed administratorem, dostęp jest możliwy tylko przez przejęcie własności
Jakie to daje możliwości Można blokować dostęp do danego folderu, zarówno w trybie do odczytu jak i zapisu Kontrolowanie informacji kto ma uprawnienia do folderu (odczyt uprawnień) Kontrola nadawania uprawnień
Szczególne uprawnienia folderów użytkownika Dane użytkownika są przechowywane w następujących lokalizacjach: C:\Documents and settings (Windows XP, 2000) C:\Users (Windows 7,8) – system tłumaczy nazwę na uzytkownicy Dostęp do folderów ma tylko aktualnie zalogowany użytkownik oraz grupa administratora Oznacza to, że inny zalogowany użytkownik nie będzie miał dostępu do prywatnych folderów
Foldery użytkowników Każdy użytkownik posiadający swoje konto ma własne foldery, najważniejsze to: Dokumenty (Documents) Obrazy (Pictures) Pulpit (Desktop) Favorites (Ulubione)
Domyślny poziom uprawnień w innych folderach Dostęp mają użytkownicy lub Wszyscy (Windows 2000), oznacza to, że każdy zalogowany użytkownik ma domyślny dostęp do folderów tworzonych na głównej ścieżce dysku
Nie ma użytkownika EU07 ? Dlatego że jest on użytkownikiem komputera
Szczególne zabezpieczenia plików (aplikacji) Można kontrolować uruchamianie konkretnych programów
Podstawowe narzędzia administratora gpedit.msc secpol.msc net user cacls/xcacls Szablony administracyjne: Group Policy