#post-id: 3060-23-56
#original-date: 11.12.2008 Thu
#original-time: 11:56 PM
#original-day:  3060
#original-host: WinXP Prof SP2 (Build 2600)

Сегодня поигралась с правами доступа для флэшки, и оказалось, что всё намного проще, чем то, чем я до этого занималась. Итак, мы имеем флэшку, приватные файлы на ней, кучу свободного времени и кучу оптимистичного идиотизма ещё больше ^_^ Нужно сделать так, чтобы истерички от начальства не залезли на флэшеку, не обнаружили там десяток скриншотов с Хитоми Нишикавой, и не заорали, что мы смотрим порно на работе ^^ А ещё нам нужна будет папка, куда можно будет кидать что угодно и от куда угодно. И, разумеется, нужно чтобы вирусня не писалась. Такая программа максимум.

Что нам надо? Прежде всего нам нужно занть, что такое профили пользователей и уметь залогиниться под другим пользователем или запустить под ним программу не разлогиниваясь. Впрочем, для подготовки флэшки нам это не нужно.

Итак, для начала проведём испытания дома. Допустим, нас зовут Линда Кайе, именно это мы пишем, когда логинимся в систему. Для проверки хорошо бы создать ещё одну учётку любого типа. Проще всего это сделать через "Учётные записи пользователей" в панели управления. Впрочем, можно и под админом всё проверять.

Ещё нужно чтобы флэшка была отформатирована в NTFS. Если она в FAT, то нужно сконвертировать командой:

CONVERT U: /FS:NTFS

U: - это буква диска. Допустим, это буква нашей флэшки.

Открываем Мой компьютер и заходим на нашу флэшку. Всё читается, всё отлично. Теперь щёлкаем по диску правой клавишей мыши и открываем свойства. Переходим на вкладку "Безопасность", и щёлкаем "Дополнительно". Для начала стоит нам стать владельцами файлов, на всякий пожарный. Идём на вкладку "Владелец", и в списке выбираем себя, тоесть "Линда Кайе". Ставим галочку "Заменить владельца субконтейнеров", и жмём "Применить".

Что происходит? Мы передаём во владение своей учётке все файлы и папки на флэшке. Это нужно чтобы если что накрутим, Windows не ругалась, что у нас нет разрешения на просмотр разрешений. Ну и чтобы неожиданно не получилось, что кто-то ещё получит доступ только потому что он тоже в группе Администраторы.

Дальше мы идём на вкладку "Разрешения". Здесь скорее всего только одна запись. Но она нам не нужна, удаляем всё. Теперь начнём оформлять права. Жмём "Добавить", и в появившемся окне пишем "Линда Кайе" (не забывайте, что Вы пишете своё имя пользователя). Окей, появилось окно, в котором мы задаём права для своего пользователя. Выбираем в выпадающем списке "Для этой папки, её подпапок и файлов", что означает, что мы задаём права для всех файлов и папок начиная с текущей (тоесть, в данном случае для всего диска). В колонке "Разрешить" ставим галочку "Полный доступ". Вся колонка должна отметиться. Галочка ниже должна быть снята. Жмём "Ok".

Что происходит? Мы задали права доступа для всех файлов на диске, тоесть открыли себе полный доступ. Теперь все файлы и каталоги, которые наследуют эти права, будут доступны нам.

Жмём "Применить", и снова проверяем - всё должно читаться.

/* Тут я отмечу, что раньше я делала такую штуку. Ставила галочку "Заменить права для дочерних объектов", а потом долго ждала каогда они все заменятся. Этого делать не стоит, потому что права наследуются всеми файлами и папками. */

Теперь проверим как оно будет работать у другого пользователя. Запускаем что-нибудь вроде FAR, Total Commander или Xenon под учёткой другого пользователя. Это делается через "Запуск от имени" в контекстном меню программы. Открываем диск U, и убеждаемся, что нам этого не дают сделать. Отлично. Мы на верном пути - тоже самое увидет имтеричное начальство, когда попытается посмотреть, что вы там делаете на это флэшке.

Кстати, чтобы дать доступ для антивирусов, стоит также добавть пользователя SYSTEM, как мы только что добавили себя, хотя это может быть и черевато ^^ Например, флэшка становится беззащитной перед вирусами, запущенными как службы.

Хорошо. Теперь посмотрим, что мы можем сделать ещё. Если в Ваших планах только защита информации, то тут можно остановиться. Но если Вы хотите, чтобы было красиво, чтобы иконка у флэшки выводилась через Autorun.INF, и чтобы был публичный каталог, идём дальше.

Нам нужно открыть на чтение корневой каталог, но не открывать файлы. Тоесть чтобы человек мог посмотреть что там лежит, но получал отказ на открытие файла или папки. Жмём "Добавить", и пишем "Все". Откроется знакомое окно с выбором прав доступа, но теперь уже для общей группы, в которой все пользователи.

В выпадающем списке выбираем "Только для этой папки". Это нужно для того чтобы разрешения распространялись только на текущую папку, тоесть на корневой каталог, а файлы в неё и подкаталоги затронуты не были.

В колонке "Разрешить" ставим галочки напротив следующих прав:

- Обзор папок/выполнение файлов - поскольку мы устанавливаем права для папки, выполнения файлов можно не бояться.

- Содержание папки/чтение данных - эти два пункта могут показаться одинаковыми, но это не совсем так.

- Чтение атрибутов.

- Чтение дополнительных атрибутов.

- Чтение разрешений - теоретически это ставит не нужно, но на практике, может получиться, что диск просто не откроется, хотя прав хвататет.

Жмём "Ок", а потом "Применить". Отлично. Можете проверить в запущенной под другим пользователем программе - диск открывается, но файлы и папки не читаются, нас не пускают. Представляем, гневное лицо истеричного начальства и идём дальше.

Теперь займёмся иконкой. Наверняка у вас есть на флэшке файлик Autorun.INF с примерно таким содержанием:

[Autorun] Icon=Disk U.ICO

И конечно же файл Disk U.ICO (у вас он может именоваться иначе) с иконкой. /* Хорошо бы они были скрытыми. И хорошо бы они не использовались вирусами, которые пытаются при открытии флэшки запустить страшный вирус. Тут я уж полагаюсь на вашу совесть ^^ */ В общем, нам нужно сделать так, чтобы они читались любым пользователем, но записывать в них ни чего нельзя было, чтобы вирусы не портили картину. Для этого закрываем свойства диска, открываем сам диск, выделяем найденные файлы, открываем их свойства и на вкладке "Безопасность" жмём "Дополнительно".

Тут мы видим, что некоторые права файл унаследовал от корневого каталога. В частности, тут должна быть одна или две строки: для пользователя "Линда Кайе" или для неё же и пользователя SYSTEM. Галочку "Наследовать от родительского объекта разрешения" снимать не нужно.

Привчно жмём "Добавить", задаём группу Все и жмём "Ok". Здесь нам нужно установить следующие права:

- Содержание папки/чтение данных.

- Чтение атрибутов.

- Чтение дополнительных атрибутов.

- Чтение разрешений - снова нужно, поскольку без этого права файлы открываться просто не будут.

Заметили, что теперь мы не ставим "Выполнение файлов"? Нам это право совсем не нужно. Жмём "Ok" и "Применить". Что произошло? Эти два файла продолжают наследовать все права для пользователя "Линда Кайе", тоесть мы можем открывать и править оба этих файла. Но при этом к файло добавились права, которые позволяют любому пользователю читать их содержимое. Теперь, когда вы вставите флэшку в USB порт на вражеском компьютере, Windows прочитает иконку, и отобразит её в качестве иконки диска. Но изменить эти файлы враг не сможет.

Можете проверить в программе, запущенной под другим пользователем. Файл Autorun.INF читается, но при попытке сохранить изменения, появляется сообщение об ошибке.

Отлично. Но вы наверняка уже поняли, что если под другим пользователем попытаться скопировать пару файлов в корневой каталог диска, произойдёт ошибка - нам не дадут этого сделать. Поэтому сейчас мы сделаем публичную папку, в которую можно будет писать несекретные файлы, чтобы кому-то их скинуть.

Открываем диск и создаём новую папку "~~~Public" (можете назвать её как хотите). Она тут же наследует права от корневого каталога, и открыть её под другим пользователем вы не сможете. Поэтому открывайте настройки прав доступа (наверняка вы уже запомнили как это делается). Жмём "Добавить", выбираем группу Все, и в появившемся окне выбираем в выпадающем списке "Только для этой папки". Мы должны открыть доступ ко всему содержимому папки, но при этом должны защитить её от вандалов. Поэтому ставим следующие права:

- Обзор папок / Выполнение файлов.

- Содержание папки / Чтение данных.

- Чтение атрибутов.

- Чтение дополнительных атрибутов.

- Создание файлов / Запись данных.

- Создание папок / Дозапись данных.

- Удаление подпапок и файлов - это важно. Это право позволит создавать и удалять любые файлы и папки в этой папке.

Как обычно жмём "Ok" и "Применить". Что произошло? Мы разрешили создавать подкаталоги и файлы в этой папке, разрешили открывать её и читать содержимое, а ещё разрешили удалять файлы и папки в ней. Заметьте, что это делается именно в правах папки.

Однако, вы можете проверить и убедиться, что хотя файлы и папки создаются в нашем новом каталоге, а файлы ещё и удаляются (вы можете скопировать туда десяток файлов и удалить их для проверки), открыть их вы не можете. Правильно, нужно дать права.

Привычным движением жмём "Добавить", выбираем "Все" и в появившемся окне выбираем в списке "Только для подпапок и файлов". Это означает, что устанавливаемые права распространяются на всё, что лежит в папке, но не на саму папку. Ставим галочку "Полный доступ", убеждаемся что галочка внизу не установлена, жмём "Ok" и "Применить".

Что произошло? Мы дали полный доступ ко всем файлам в каталоге для любого пользователя (то, что ожидают от флэшек), но ограничили доступ к самой папке. Иначе, если бы мы не выбрали "Только для подпапок и файлов", папку можно было бы переименовать, удалить, сотворить ещё что нехорошее.

Теперь можно проверить в программе, запущенной под другим пользователем. Сама папка ~~~Public не удялаяется, не переименовывается, и вообще тверда как гранит, в то время как в ней царит полная анархия. Здесь вы и будуте хранить файлы, которые нужно будет скинуть кому-то ещё, например, отчёты для налоговой.

Итак, теперь самое интересное, как при всей этой безопасности работать с флжшкой на работе? Да всё очень просто, нужно делать это из отдельной учётной записи, под которой вы будете запускать файл менеджер вроде FAR, Total Commander или Xenon. Программы, запущенные из него, открытые файлы, всё это будет запускаться от лица этого вашего теневого пользователя, поэтому именно ему нужно дать максимальные права, в то время как у основного пользователя, под которым в систему заходят все, будет как и у всех - мимнимум.

Итак, если ваш файл менеджер умеет показывать свойства диска, то замечательно - запускайте его под своим профилем. Например, пусть основной будет User, под ним вы работаете, под ним истеричное начальство ходит в Инет качать игрушки, а теневой - lk, под которым вы и будете смотреть флэшку. Запускайте файл менеджер под lk. Если же в нём такого нет (например, FAR или Xenon), то лучше залогиниться под этим профилем и уже там сделать всё необходимое.

Итак, свойства диска, настройки безопасности. Что мы видим? Кнопки "Добавить" и "Удалить" заблокированы. Всё правильно, нам нужно стать владельцем диска. Идём на вкладку "Владелец", выделяем себя, галочку не ставим, а нажимаем "Применить".

Что произошло? Мы стали владельцем корневого каталога диска. Это значит, что мы можем поправить права доступа, которые все файлы и папки на флэшке наследуют именно от корневого каталога. Одним изменением вы затронете всю файловую систему ^_~

Почему не нужно было ставить ту галочку? Дело в том, что это заняло бы не только уйму времени, пока бы был обработан каждый файл, но и могло обнулить все права доступа, всё что мы уже час настраиваем - у меня такое было пару раз.

Закрываем всё (кнопочками "OK", разумеется) и открываем снова. Теперь кнопка "Добавить" появилась. Жмём её и пишем lk. В выпадающем списке должно стаять "Для этой папки, её подпапко и файлов". Ставим галочку "Полный доступ" и не ставим галочку внизу. Нажимаем "Ok". Теперь уюеждаемся, что галочка "Заменить разрешения для всех дочерних объектов" не установлена, и жмём "Применить".

Однако, ни чего не работает ^^' Как же так? Просто, права не установились для подкаталогов и файлов, поскольку вы не являетесь их владельцем. Тут выход такой: придя домой, вы открываете настройки безопасности (залогинившись, естественно, под пользователем Линда Кайе) и находите в списке неизвестную учётную запись. Это lk, но поскольку такая не зарегистрирована на вашем домашенм компьютере, её имя выводится так. Теперь нужно дважды щёлкнуть по этой строке и в появившемся окошке нажать "Отчистить всё", а затем поставить галочку "Полный доступ". Жмём "Ok", "Применить" и закрываем всё.

Теперь ваша рабочая теневая учётная запись имеет полный доступ к флэшке ^_^

Итак. В конечном итоге мы получили флэшку, которую олностью могут читать только два пользователя, остальные могут попасть только в публичный каталог, а ещё флэшка защитилась от вирусов, которые правят файл Autorun.INF.

Кстати, всё это я писала, экспериментируя не с флэшкой. Мне было лень терзать настоящую флэшку, поэтому я создала контейнер в TrueCrypt на десять метров и смонтировала его как флэшку. И вот у меня уже флэшка на десять метров ^___^

#music: Noir OST II\Original SoundTrack\Colosseum