Управление файлами в Windows XP осуществляется при помощи программы Проводник или папки Мой компьютер и сводится к выполнению следующих операций:
копирование, перемещение и удаление файлов (не рассматриваются в данном курсе);
установка стандартных атрибутов;
установка дополнительных атрибутов;
назначение разрешений.
Все эти операции доступны через пункт Свойства контекстного меню, вызываемого для файла, папки или произвольной их комбинации. В зависимости от того, на каком объекте была нажата правая кнопка мыши, окно свойств будет содержать различное количество вкладок.
Щелчок правой кнопкой мыши в пустом месте рабочей области окна проводника вызывает контекстное меню для родительского объекта. Таким образом, щелчок по пустому месту внутри папки вызовет контекстное меню этой папки, а щелчок по пустому месту при просмотре содержимого корневой папки диска вызовет контекстное меню диска.
Установка стандартных атрибутов файлов и папок.
Стандартные атрибуты файлов и папок являются устаревшим примитивным средством управления доступом к файлам и папкам. В Windows XP и других современных операционных системах существуют гораздо более гибкие и удобные механизмы для управления файлами.
Стандартные атрибуты файлов и папок устанавливаются на вкладке Общие окна свойств. Вид этой вкладки для файлов и папок во многом идентичен:
Свойства папки
Свойства файла
На вкладке Общие вы можете узнать:
реальный и занимаемый на диске размер файла или папки;
количество файлов и вложенных папок (для папки);
дату и время создания, дату и время последнего изменения и открытия (для файла).
Кроме того, при помощи флажков на этой вкладке устанавливается два стандартных атрибута Только для чтения и Скрытый. Вообще, Windows XP, как и любая другая ОС Microsoft поддерживает четыре стандартных атрибута для файлов и папок, расположенных на файловых системах FAT, FAT32 и NTFS.
Атрибут
Описание
Архивный
Указывает, что файл был изменен с момента последнего архивирования или резервного копирования. Этот атрибут устанавливается большинством программ при создании и изменении файла. Этот атрибут сбрасывается программами-архиваторами и утилитами резервного копирования. Помогает архиваторам и утилитам резервного копирования обнаруживать измененные файлы.
Только для чтения
Указывает, что файл не может быть изменен. Установка этого атрибута не может служить для разграничения доступа к файлу или папке, а предназначена для того, чтобы избежать случайной перезаписи или удаления объекта. Большинство программ при попытке записать данные в такой файл или при попытке удалить его задают пользователю дополнительный вопрос о том, действительно ли он хочет удалить файл или папку.
Скрытый
Указывает, что файл или папка не отображается на экране при просмотре. Предназначен для скрытия важных системных файлов от пользователя. В большинстве программ работы с файлами, в том числе и в проводнике, есть параметр, позволяющий обойти действие этого атрибута.
Системный
Указывает, что файл или папка являются системными. В Windows 2000 используется только для обратной совместимости с MS-DOS, Windows 3.x и Windows 9x. Этим атрибутом помечены файлы, используемые для загрузки Windows 2000, в корневом каталоге системного и загрузочного дисков. Не может быть изменен через графические инструменты Windows 2000, но может быть изменен через командную строку или программами третьих производителей.
Изменение атрибутов файлов и папок происходит после нажатия кнопки ОК или Применить. Если вы изменили атрибуты для папки, то Windows XP попросит уточнить, нужно ли изменять атрибуты у вложенных папок или файлов. Процесс изменения атрибутов обычно осуществляется довольно быстро, хотя и может занять много времени, если в операции задействовано несколько тысяч файлов и папок.
Изменение стандартных атрибутов из командной строки.
Для изменения стандартных атрибутов файлов и папок из командной строки служит команда attrib, которая имеет следующий синтаксис:
Задает местоположение папки и файла (файлов), атрибуты которых должны быть изменены. Допускается применение подстановочных символов ? и *
/s
Задает обработку подходящих файлов в указанной папке и всех вложенных папках
/d
Указывает, что нужно обрабатывать не только файлы, удовлетворяющие параметру имя_файла , но и папки, удовлетворяющие тому же условию
Для смены атрибутов у файлов и папок с установленным атрибутом "системный" или "скрытый" необходимо предварительно снять эти атрибуты.
Установка дополнительных атрибутов.
В Windows NT, 2000, а затем и в Windows XP к стандартным атрибутам файлов и папок были добавлены новые атрибуты, названные дополнительными. Все эти атрибуты могут быть установлены только для файлов и папок, расположенных на томах NTFS. Файловые системы FAT и FAT32 не поддерживают дополнительные атрибуты.
Для установки дополнительных атрибутов нужно в окне свойств файла или папки щелкнуть кнопку Другие. При этом откроется окно установки дополнительных атрибутов. Вид этого окна для файлов и папок идентичен:
Дополнительные атрибуты папки
Дополнительные атрибуты файла
Рассмотрим дополнительные атрибуты подробнее.
Атрибут
Описание
Папка (файл) готова для архивирования
Является стандартным атрибутом "архивный", который описан выше
Разрешить индексирование папки (содержимого) для быстрого поиска
Разрешает службе индексирования индексировать все файлы папки (или выбранный файл). При индексировании анализируется содержимое файла (в зависимости от его типа), полученная информация сохраняется в специальной базе данных, которая используется службой индексирования для последующего быстрого поиска файлов по содержанию и другим параметрам (автор или тема документа и т.п.)
Сжимать содержимое для экономии места на диске
Включает сжатие файлов. При установке этого атрибута включается сжатие для всех файлов внутри этой папки. Сжатие файлов может сэкономить значительный объем дискового пространства, особенно при сжатии папок с документами. Сжатие файлов не сильно замедляет работу с этими файлами в силу особенностей организации файловой системы NTFS и ее драйвера
Шифровать содержимое для защиты данных
Новый атрибут, впервые появился в Windows 2000. Включает шифрование данных. При установке этого атрибута включается шифрование для всех файлов внутри этой папки. Механизм шифрования данных имеет ряд особенностей, поэтому будет подробно рассмотрен ниже
Индексирование файлов достаточно сильно замедляет сохранение и изменение таких файлов. Причиной этого является полное переиндексирование содержимого файла при каждом его изменении. Атрибуты сжатия и шифрования файла являются взаимоисключающими. В текущей версии NTFS шифрованные файлы не могут сжиматься средствами операционной системы.
Шифрование файлов.
Шифрованная файловая система (Encrypting File System, EFS) поддерживает шифрование файлов, хранимых на томах NTFS. Шифрование в EFS базируется на технологии открытого ключа и обеспечивается интегрированной в систему службой. Это позволяет:
облегчить управление зашифрованными файлами;
защитить важные файлы от несанкционированного доступа к ним других пользователей и злоумышленников даже в случае изъятия жесткого диска из компьютера и подключения его к другому компьютеру;
обеспечить прозрачную дешифрацию файлов при обращении к ним законного владельца;
производить прозрачное копирование и перемещение шифрованных файлов - все файловые операции производятся без дешифрации файлов;
хранить шифрованные данные пользователя на различных компьютерах в локальной сети и в перемещаемых профилях - сертификат пользователя хранится на сервере в центре сертификатов, что позволяет использовать этот сертификат с любого компьютера в домене.
Пользователь, обладающий закрытым ключом к зашифрованному файлу, может открывать этот файл и работать с ним, как с обычным документом - расшифровывание будет производиться системой автоматически. Пользователю, не имеющего такого ключа, файл не доступен. При работе с шифрованными файлами Windows XP поддерживает безопасность на должном уровне. Это означает, что шифруются все рабочие копии файла. При необходимости Вы можете осуществить шифрование и временных файлов. Данные зашифрованных файлов не сохраняются в файле подкачки. Все это гарантирует, что данные зашифрованного файла не появятся на диске в расшифрованном виде. Кроме того, EFS содержит специальный механизм, предназначенный для восстановления доступа к шифрованным файлам в случае утери закрытого ключа. Это может произойти при удалении сертификата или пользователя, которому этот сертификат принадлежал. Механизм восстановления доступа к зашифрованным данным осуществляется специальным агентом восстановления, параметры которого определяются групповыми политиками. В общем случае работа агента сводится к предоставлению специального ключа, который может быть использован для расшифровывания файла. Пользователи, имеющие право восстанавливать данные, зашифрованные другими пользователями, определяются в групповых политиках.
Шифрованная файловая система может использоваться для шифрования файлов, расположенных на других компьютерах. Однако данные в этом случае передаются по сети в незашифрованном виде. При необходимости шифровать данные и при передаче по локальной сети необходимо использовать специализированные протоколы (SSL, IPSec и т.п.).
Для шифрования файла необходимо соблюдение следующих условий:
файл не должен быть сжатым (Windows XP самостоятельно отслеживает выполнение этого условия и, при необходимости, разархивирует файл);
пользователь, шифрующий файл, должен иметь цифровой сертификат, позволяющий ему шифровать файлы (Windows XP самостоятельно генерирует запрос на получение сертификата в момент шифрования файла).
Процесс шифрования файла.
Механизм шифрации файлов заключается в следующем: на томе NTFS создается папка, которая будет зашифрована. Чтобы ее зашифровать, откройте окно Свойства для этой папки, на вкладке Общие нажмите кнопку Другие и включите флажок Шифровать содержимое для защиты данных. Все файлы, помещенные в эту папку будут зашифрованы, а сама папка помечена как зашифрованная. На самом деле шифруются только файлы в этой папке, а не сама папка.
Для фактического шифрования файла используются быстрые ключи симметричного шифрования. Для шифрования каждого блока файла используется отдельный симметричный ключ. Все симметричные ключи, использованные для шифрования файла, шифруются двумя ключами - открытым ключом пользователя и открытым ключом агента восстановления. В зашифрованном виде эти ключи сохраняются в полях Data Decryption Field (DDF) и Data Recovery Field (DRF).
Для шифрования EFS использует Microsoft Base Cryptographic Provider. Этот провайдер осуществляет шифрование с использованием ключа длиной 56 бит. Начиная с пакета обновления 2 для Windows 2000, для шифрования используется ключ длиной 128 бит. Расшифровывание данных осуществляется в обратном порядке. Содержимое поля DDF расшифровывается закрытым ключом пользователя, пытающегося открыть файл. В случае успеха, содержимое файла расшифровывается с использованием симметричных ключей. EFS самостоятельно обнаруживает факт шифрования файла и осуществляет поиск закрытого ключа пользователя. Если EFS не может выполнить расшифровывание файла, пользователю выдается сообщение об ошибке доступа к файлу. При удалении администратором учетной записи пользователя, пользователь теряет все зашифрованные файлы. Чтобы этого избежать, заранее создайте дискету восстановления паролей, откройте окно Учетные записи пользователей и в разделе Связанные задачи выберите пункт Предотвратить потерю паролей.
Дешифрация.
Чтобы файл сделать незашифрованным отключите флажок Шифровать содержимое для защиты данных (Свойства файла -> Другие).
Использование агента восстановления.
Если открытый ключ владельца файла недоступен, то агент восстановления может расшифровать файл, воспользовавшись своим закрытым ключом для расшифровывания поля DRF. Если агент восстановления находится на другом компьютере в сети, то для расшифровывания файл должен быть перемещен на тот компьютер, на котором находится закрытый ключ агента восстановления. Также можно перенести закрытый ключ агента на компьютер, содержащий восстанавливаемые файлы. Однако копирование закрытого ключа на другой компьютер является серьезным нарушением безопасности, поэтому настоятельно не рекомендуется.
На локальном компьютере агентом восстановления по умолчанию является локальный администратор. Если компьютер подключен к домену, то агентом восстановления по умолчанию является администратор домена.
Регулярная смена агентов восстановления обеспечит более высокий уровень безопасности системы. Однако при смене агента восстановления, старый агент восстановления теряет доступ к файлу и не может быть использован для его восстановления. Поэтому Microsoft рекомендует хранить сертификаты восстановления и закрытые ключи до тех пор, пока не будут обновлены все файлы, при шифровании которых использовались эти ключи.
Лицо, назначенное агентом восстановления, обладает специальным сертификатом, содержащим закрытый ключ, предназначенный для восстановления шифрованных файлов. Агент восстановления не должен предпринимать специальных действий для получения доступа к зашифрованному файлу. Если его ключ может быть использован для расшифровывания поля DRF, Windows XP автоматически предоставит ему доступ к файлу. При восстановлении зашифрованного файла рекомендуется сразу же произвести его дешифрацию, отключив флажок Шифровать содержимое для защиты данных в свойствах файла.
Шифрование файлов из командной строки.
Все операции по шифрованию и расшифровыванию файлов также могут быть выполнены из командной строки при помощи утилиты cipher, которая имеет следующий синтаксис:
Шифрует указанные файлы и папки. При шифровании папок атрибуты устанавливаются таким образом, что все вновь добавляемые в папку файлы также будут шифроваться.
/D
Расшифровывает указанные файлы и папки. При расшифровывании папок также расшифровываются все файлы в них.
/S:папка
Распространяет операцию на все вложенные папки, содержащиеся в указанной папке.
/A
Распространяет операцию как на файлы, так и на папки. Обратите внимание, что при модификации шифрованного файла в нешифрованной папке, он может быть расшифрован. Поэтому шифруйте не только файл, но и папку, в которой он содержится.
/I
Продолжать операцию при возникновении проблем с одним из файлов. Если этот ключ не указан, то процесс прерывается.
/F
Выполняет операцию шифрования для всех файлов, даже если они уже зашифрованы. Если этот ключ не указан, то шифруются только нешифрованные файлы. При указании ключа файл сначала дешифруется, после чего шифруется заново. Это ключ удобен в случаях замены агента восстановления.
/Q
Во время процесса шифрования/расшифровывания выводит на экран только наиболее важную информацию.
/H
Обрабатывает файлы с атрибутами "скрытый" и "системный". По умолчанию такие файлы не обрабатываются.
имя_файла [...]
Имя шифруемого файла (файлов), папки или шаблон. Вы можете указывать несколько файлов или папок, разделяя их пробелами.
/K
Создает для пользователя, запустившего cipher, новый ключ для шифрования файлов. При указании этого ключа все остальные ключи игнорируются.
/W:папка
Затирает все неиспользуемое пространство на диске. При указании этого ключа все остальные ключи игнорируются. Папка, указываемая как параметр, может быть расположена в любом месте диска. Если эта папка является точкой подключения другого тома, то будет затерто неиспользуемое пространство на этом томе.
Без параметров cipher отображает информацию о шифровании текущей папки и всех файлов, в ней содержащихся.
Отключение EFS.
Администратор может полностью запретить использовать шифрование файлов очистив параметры Политики открытого ключа. В операционной системе Windows XP шифрование файлов не возможно без агента восстановления, а значит пустая политика восстановления делает шифрование невозможным и отключает EFS.
