Предоставление общего (сетевого) доступа к папкам, взаимодействие сетевых и локальных разграничений доступа в рамках рабочей группы Windows.

22. Зайти в Windows под именем пользователя-локального администратора компьютера (в сети Инжэкона – это обычно student).

23. Посмотреть сетевые свойства компьютера (имя, членство в рабочей группе) – для этого следует щелкнуть на значке Мой компьютер правой кнопкой мыши и выбрать команду Свойства. Сетевое имя компьютера (полное имя) указано на вкладке Имя компьютера:

· Проверить, что компьютер включен в рабочую группу – указано имя рабочей группы.

· Если компьютер находится не в рабочей группе, а в домене, то следует исключить его из домена и добавить в рабочую группу с помощью кнопки Изменить – имя рабочей группы обычно совпадает с первой частью (до дефиса) полного имени компьютера (например, если имя компьютера: m208-03, имя рабочей группы: m208).

24. Согласно ограничениям доступа для папки папка_доступ пользователь-администратор имеет к ней полный доступ как к локальной папке. Разрешить сетевой доступ к этой папке с разрешением «только чтение». Для этого:

· Щелкнуть на папке правой кнопкой мыши и выбрать команду Свойства. Перейти на вкладку Доступ. Установить переключатель в позицию Открыть общий доступ к этой папке.

· Проверить разрешения для сетевых пользователей – щелкнуть на кнопке Разрешения и проверить, что задана единственная группа Все и указано разрешение Чтение.

· Для сохранения сделанных настроек и выхода из окна свойств щелкнуть кнопку ОК или Применить.

25. Посмотреть папку папка_доступ через локальную сеть, для чего открыть ее через Сетевое окружение:

· Щелкнуть на значке Сетевое окружение, затем щелкнуть ссылку Отобразить компьютеры рабочей группы, открыть свой компьютер, а затем общую папку папка_доступ.

· Проверить, что пользователь-администратор может только просматривать информацию при доступе к папке папка_доступ через сеть.

26. Создать на диске новую папку папка_сеть.

27. Предоставить общий доступ к папке папка_сеть, задать следующие сетевые разрешения (вкладка Доступ): Все –чтение и изменение, Пользователь-администратор – полный доступ.

28. Для папки папка_сеть задать следующие локальные права доступа (вкладка Безопасность): Пользователь-администратор – только чтение, Первый пользователь – полный доступ (других локальных разрешений у папки быть не должно – отключить наследование).

29. Проверить, открыв папку через Сетевое окружение, что Пользователь-администратор может только просматривать содержимое сетевой папки папка_сеть, а Первый пользователь может как просматривать, так и изменять содержимое папки папка_сеть.

30. Показать созданные папки преподавателю.

31. После регистрации лабораторной работы преподавателем удалить созданные папки и новых пользователей с локального компьютера.

 

ТЕМА 2. ЗАЩИТА ДОКУМЕНТОВ MS OFFICE 2010

В документах MS Office предусмотрено несколько уровней защиты, позволяющих управлять доступом к данным и их изменением. Для этих целей может быть использована служба управления правами на доступ к данным (IRM), которая устанавливается и настраивается сетевым администратором на сервере домена локальной сети Windows. IRM позволяет защитить содержимое документов MS Word, MS Excel и MS PowerPoint, а также сообщений корпоративной электронной почты, содержащие файлы такого типа в качестве вложений, и предотвратить несанкционированную передачу, копирование, изменение, печать, отправку по факсу или вставку защищенного содержимого его получателями, а также запретить копирование с помощью функции печати экрана в ОС Windows. Можно также указать срок использования файла, по истечении которого просмотреть его содержимое не удастся, внедрить корпоративные политики управления использованием и распространением данных в пределах организации. Для работы со службой IRM на компьютере каждого пользователя должен быть установлен клиент службы, позволяющий сетевому пользователю авторизоваться. Неавторизованный пользователь не сможет просматривать документы, защищенные с помощью IRM.

Кроме того, открытие и просмотр документов MS Word, книг MS Excel, баз данных MS Access, презентаций PowerPoint и других документов MS Office 2010 могут быть ограничены с помощью парольной защиты (пароль для открытия файла). При установке пароля на открытие документа содержимое файла шифруется. Алгоритмы шифрования, применяемые в MS Office 2010, зависят от алгоритмов, доступ к которым можно получить через интерфейсы API в ОС Windows. При шифровании документов в формате Open XML (DOCX, XSLX, PPTX и т. д.) в качестве алгоритма шифрования по умолчанию выбран AES.

Для документов MS Word и MS Excel также имеется возможность установки парольной защиты на сохранение внесенных изменений (пароль разрешения записи). Если пользователю не известен пароль разрешения записи, он может открыть документ в режиме «только для чтения». В этом случае возможно внесение изменений в текст документа, однако нельзя сохранить измененный файл документа под старым именем. Для сохранения изменений требуется ввести новое имя файла.

Пароль на открытие, пароль разрешения записи устанав­лива­ются на файл, то есть относятся к документу/книге в целом.

Кроме паролей на файл в целом, имеются возможности защиты отдельных элементов документов MS Office:

· Парольная защита от просмотра элементов книги Excel (строк, столбцов, листов). Невозможно защитить от просмотра часть документа MS Word, отдельные ячейки книги MS Excel;

· Парольная защита от изменения частей (разделов) документа Word, содержимого отдельных ячеек и их диапазонов в Excel, структуры листа (вставка, удаление и форматирование строк и столбцов), структуры книги (добавление и удаление листов, отображение, скрытые листов), изменение размеров, положения или видимости окна, настроенного для отображения книги Excel;

· Разграничение доступа (возможности изменения) к диапазонам ячеек MS Excel для локальных и сетевых пользователей ОС Windows.

Следует учитывать, что функциональные возможности парольной защиты на отдельные элементы MS Excel (скрытие данных и защита листов и книг) и MS Word (защита разделов) не предназначены для защиты данных или важных сведений в документах MS Office.

Они используются для более понятного представления сведений, скрывая сведения или формулы, которые могут сбить с толку некоторых пользователей. Эти средства служат также для предотвращения случайного изменения данных пользователями. Скрытые или защищенные паролем данные внутри документов MS Office не шифруются. Пароли на внесение изменений и защиту частей документа хранятся в документе в хешированном виде. Поэтому при определенных усилиях и наличии времени пользователи смогут просмотреть и изменить все сведения внутри документа MS Office, если они имеют доступ к самому документу (пароль на открытие документа не установлен или известен).

Чтобы предотвратить изменение данных и обеспечить безопасность важных сведений, следует ограничить доступ к файлам (пароль на открытие файла), содержащим подобные сведения, сохранив их в расположениях, доступных только пользователям, прошедшим аутентификацию (разграничение доступа к файлам и папкам средствами ОС).

В документах MS Office имеется возможность заверять цифровой подписью как документ в целом, так и внедренный в документ код макросов на языке VBA. Наличие действительной цифровой подписи гарантирует целостность (неизменность) содержимого, а также аутентичность и неотрекаемость (подтверждение авторства и невозможность отказа от него).

Полноценная проверка подлинности цифровых подписей возможна в том случае, если они выданы сетевым сервером аутентификации (в домене локальной сети), либо доверенным центром сертификации в Интернете. Если же используется локальный сертификат, создаваемый самим пользователем с помощью утилиты selfcert.exe (Digital Certificate for VBA Projects, Цифровой сертификат для проектов VBA), то проверить на другом компьютере подлинность подписи, созданной с его помощью, будет невозможно. Кроме того, другие пользователи локального компьютера также не будут доверять такой подписи.

Для понимания архитектуры безопасности MS Access необходимо помнить, что база данных не является файлом, подобным книге MS Excel или документу MS Word. В отличие от них база данных представляет собой набор объектов: таблиц, форм, запросов, макросов, отчетов, которые часто являются взаимозависимыми. Например, при создании формы ввода данных нельзя вводить в нее или хранить в ней данные, если элементы управления в этой форме не связаны с таблицей.

В старых версиях MS Access (от 97 до 2003) имелась возможность задать разграничение доступа к объектам внутри базы данных (защита на уровне пользователей). Имелась возможность создавать пользователей и группы пользователей базы данных и задавать разрешения на использование ими объектов базы. В MS Access 2010 не поддерживается защита на уровне пользователя для баз данных, созданных в новом формате (ACCDB и ACCDE-файлы). Это связано с изменением идеологии защиты баз данных, когда наилучшим способом защиты считается хранение таблиц на сервере и использование возможностей разграничения доступа, предоставляемых SQL-сервером.

Однако при открытии базы данных из более ранних версий Access, имеющей защиту на уровне пользователя, в Access 2010 эти параметры будут продолжать действовать. При преобразовании подобной базы данных в новый формат приложение MS Access автоматически удаляет все параметры безопасности и применяет правила защиты ACCDB- и ACCDE-файлов.

В MS Access 2010 предусмотрена модель безопасности, которая упрощает процесс защиты базы данных и ее открытия с включенной защитой:

· возможен просмотр данных даже при отключенном коде MS Visual Basic для приложений (VBA) или отключенных компонентах в базе данных;

· eсли файлы базы данных расположены в надежном месте, например в папке или в общем сетевом ресурсе, которые указаны как надежные, они будут открываться и обрабатываться без сообщений с предупреждениями и запроса о включении или отключении содержимого. Однако, код VBA в подписанных базах данных не будет работать, пока издатель не будет признан надежным, а также в том случае, если подпись станет недействительной.

Когда центр управления безопасностью определяет, что база данных не имеет состояния доверенной, MS Access 2010 открывает ее в режиме отключения, то есть отключает любое выполняемое содержимое:

· Код VBA и все ссылки в нем, а также все небезопасные выражения;

· Небезопасные макрокоманды во всех макросах. «Небезопасными» являются команды, позволяющие пользователю изменять базу данных или получать доступ к ресурсам вне базы данных;

· Запросы на изменение (добавляют, обновляют или удаляют данные);

· Управляющие запросы (DDL-запросы, используются для создания или изменения объектов базы данных, таких как таблицы и процедуры);

· SQL-запросы к серверу (отправляют команды непосредственно на сервер базы данных, поддерживающий стандарт Open Database Connectivity (ODBC). Запросы к серверу работают с таблицами на сервере, минуя ядро базы данных Access);

· Элементы управления ActiveX.

В версиях Access ранее 2007 для применения сертификата безопасности к индивидуальным компонентам базы данных использовался редактор Visual Basic. MS Access 2007/2010 упрощает и ускоряет процесс добавления подписи и распространения базы данных. Цифровая подпись будет удостоверять, что все макросы, программные модули и иные исполняемые компоненты базы данных поступили именно от владельца подписи и что их никто не изменял с момента подписывания базы данных.

После создания ACCDB или ACCDE-файла можно упаковать его, применить к пакету цифровую подпись, а затем распространить подписанный пакет среди других пользователей. Средство подписывания пакетов помещает базу данных в файл развертывания Access (с расширением.ACCDC), подписывает пакет, а затем помещает пакет, подписанный кодом, в указанное расположение. Пользователи затем могут извлекать базу данных из пакета и работать непосредственно в ней, а не в файле пакета.

При извлечении базы данных из подписанного пакета и перемещении в надежное расположение ее открытие происходит без отображения панели сообщений. Если база данных из подписанного пакета отправляется в ненадежное расположение, но имеется надежный сертификат пакета, и подпись действительна, то также нет необходимости решать вопрос о доверии.

Средство шифрования в Access 2010 сочетает в себе два улучшенных средства прежних версий – кодирование и пароли баз данных. При использовании пароля для шифрования базы данных все данные становятся нечитаемыми в других программах, и для того чтобы открыть эту базу данных, пользователи должны вводить пароль.

В MS Office 2010 доступна новая технология шифрования, более надежная, чем в Office 2007. При желании в MS Access 2010 можно использовать технологию шифрования сторонних компаний.

 

Лабораторная работа №2. Защита документов MS Word 2010

Задание

Создать шаблон делового письма, содержащий текст шапки и подписи стандартного письма организации, с защищенными от изменения реквизитами. Средняя часть письма (содержание письма) доступно для изменения.

При этом в защищенных шапке и подпись письма следует предусмотреть возможность изменения следующих данных:

· исходящий номер и дата создания письма могут быть изменены (набраны) с клавиатуры;

· фамилия исполнителя может быть выбрана из списка.

Открытие файла письма должно быть защищено паролем.