Rozdział 6.

Pliki i foldery na dyskach NTFS

Ćwiczenia zawarte w tym rozdziale pozwolą w pełni wykorzystać możliwości nowego systemu plików
wykorzystywanego przez Windows XP.
Jednym z obsługiwanych przez Windows XP systemem plików jest system NTFS w wersji 6. Umożliwia on m.in.
ograniczanie dostępu do plików i katalogów, kompresję, szyfrowanie i odzyskiwanie uszkodzonych danych.
Dodatkowo możliwe jest ograniczenie ilości miejsca dostępnego dla danego użytkownika i śledzenie takich
zdarzeń jak: odczyt, modyfikacja lub usuniecie danych z dysku.

Konwersja systemu plików

Ćwiczenie 6.1. Konwersja systemu plików
Podczas instalacji systemu Czytelnik miał możliwość wyboru systemu plików dla poszczególnych dysków
komputera. Jeżeli którykolwiek z dysków (w tym dyski: rozruchowy i systemowy) zostały sformatowane w
systemie FAT lub FAT32 można je skonwertować do systemu NTFS.
1. Z menu Start wybierz polecenie Uruchom...
2. W polu Otwórz wpisz cmd i naciśnij Enter.
3. Zostanie wywołany wiersz polecenia.
4. Poleceniem służącym do konwersji systemu plików jest polecenie convert. Na rysunku 6.1
przedstawiona zastała składnia polecenia (wykonanie polecenie pokazanego w ostatnim wiersz
spowoduje konwersje dysku e: do systemu NTFS).
5. Wpisz polecenie convert c: /fs:ntfs i naciśnij klawisz Enter.
6. Jeżeli konwertujesz dysk rozruchowy, zostanie wyświetlony komunikat informujący o tym, że
konwersja wymaga wyłącznego dostępu do dysku i zostanie przeprowadzona podczas pierwszego
restartu systemu.
7. Uruchom ponownie komputer.
Rysunek 6.1. Menu pomocy programu CONVERT

Ograniczenie dostępu do danych

Ćwiczenie 6.2. Folder — modyfikacja uprawnień
Każdy plik i folder umieszczony na dysku NTFS jest „własnością” jednego z użytkowników. Właściciel folderu
może w pełni nim zarządzać, w tym zabronić innym użytkownikom modyfikowania danych umieszczonych w
tym folderze.
1. Na dysku NTFS utwórz nowy folder o nazwie prywatne.
2. Kliknij prawym przyciskiem myszy na nowoutworzonym folderze i z podręcznego menu wybierz opcję
Udostępniania i zabezpieczanie.

3. W oknie Właściwości: Prywatne wybierz zakładkę Zabezpieczanie. Jeżeli w oknie właściwości

nie znajduje się omawiana zakładka:
a. Z menu Start wybierz opcje Panel sterowania.
b. Kliknij ikonę Wygląd i kompozycje, a następnie kliknij ikonę Opcje folderów.
c. Na karcie Widok w obszarze Ustawienia zaawansowane wyczyść pole wyboru Użyj
prostego udostępniania plików [zalecane] (rysunek 6.2).

d. Kliknij przycisk OK i zamknij Panel sterowania.

4. Naciśnij przycisk Dodaj. W polu Wprowadź nazwę obiektów do wybrania wpisz Użytkownicy
zaawansowani i naciśnij OK.
5. Tytuł dolnego okna zostanie zmieniony na Uprawnienia dla Użytkownicy zaawansowani.
6. Wyczyść pola Zezwalaj dla wierszy Zapis i wykonanie oraz Wyświetlanie zawartości
folderu i naciśnij przycisk OK. Od tej chwili żaden użytkownik należący wyłącznie do grupy
Użytkownicy zaawansowani nie będzie mógł modyfikować danych umieszczonych w tym folderze.
Rysunek 6.2. Aby wyświetlić zakładkę Zabezpieczanie należy zmienić domyślne ustawienia folderów

Ćwiczenie 6.3. Odebranie uprawnień do folderu danej grupie uzytkowników

Ponieważ użytkownik może być członkiem więcej niż jednej grupy odznaczenie opcji Zezwalaj dla niektórych
tylko grup, w których znajduje się konto użytkownika nie powoduje odebranie mu praw do pliku lub folderu.
Usuńmy jedno z kont utworzonych w poprzednim rozdziale z grupy Użytkownicy (konto powinno zostać jedynie
członkiem grupy Użytkownicy zaawansowani).
1. Wyloguj się i zaloguj kolejno na oba konta utworzone w ćwiczeniu 5.7. Zauważ, że jeden użytkownik
nadal ma dostęp do folderu prywatne (ten użytkownik, który nadal jest członkiem grupy Użytkownicy).
2. Zaloguj się ponownie na swoje konto użytkownika.
7. Kliknij prawym przyciskiem myszy na folderze prywatne i z menu podręcznego wybierz opcję
Udostępniania i zabezpieczanie.

3. W polu Nazwy grupy lub użytkownika zaznacz Użytkownicy zaawansowani. Tytuł dolnego
okna zostanie zmieniony na Uprawnienia dla Użytkownicy.
4. Zaznacz pole Odmów dla wiersza Modyfikacja, tak jak zostało to pokazane na rysunku 6.3. Ponieważ
pozostałe uprawnienia (z wyjątkiem uprawnienia Pełna kontrola) zależą od uprawnienia do
modyfikacji, system automatycznie potwierdzi odebranie tych uprawnień.
5. Naciśnij przycisk OK. Zostanie wyświetlony komunikat ostrzegający przed konsekwencjami jawnego
odbierania uprawnień. Naciśnij przycisk OK.
Rysunek 6.3. Zabezpieczenia folderów

Ćwiczenie 6.4. Nadawanie uprawnień do danego pliku

1. Przejdź do folderu prywatne.
2. Ustaw kursor myszki tak, aby nie wskazywał żadnego z elementów okna i naciśnij prawy przycisk
myszy.
3. Z menu podręcznego wybierz opcję Nowy | Obraz – mapa bitowa. W folderze zostanie utworzony
nowy plik.
4. Kliknij prawym przyciskiem myszy na ikonie nowego pliku i z podręcznego menu wybierz opcję
Właściwości.

5. W polu Właściwości: Nowy obraz – mapa bitowa wybierz opcję Zabezpieczenia.

6. Naciśnij przycisk Dodaj. W polu Wprowadź nazwę obiektów do wybrania wpisz nazwę konta
użytkownika należącego wyłącznie do grupy Użytkownicy.
7. Tytuł dolnego okna zostanie zmieniony (w moim przypadku) na Uprawnienia dla danka. Ponieważ
to konto należy do grupy Użytkownicy, automatycznie ma nadane, takie same jak grupa, prawa do
wszystkich obiektów znajdujących się w katalogu prywatne. Zaznacz opcję Odmów dla wiersza Pełna
kontrola.

8. Naciśnij przycisk OK. Wszystkie uprawnienia użytkownika do pliku zostały odebrane.

9. Przełącz się na wybranego w kroku 6. użytkownika. Pomimo że użytkownik ma dostęp do plików w
katalogu poufne, modyfikacja pliku Nowy obraz – mapa bitowa jest niemożliwa.
Kopiowanie plików i folderów
Ponieważ każdy obiekt (taki jak plik lub folder) „dziedziczy” uprawnienia od folderu nadrzędnego, to podczas
kopiowania i przenoszenia obiektów uprawnienia te mogą ulec zmianie.

Ćwiczenia 6.5. Zmiana właściwości kopiowanych obiektów

Kopiowane lub przenoszone pomiędzy dyskami NTFS obiekty otrzymują uprawnienia nadrzędnego obiektu
docelowego. Jedynym wyjątkiem od tej zasady jest przenoszenie obiektów w ramach pojedynczej partycji —
wtedy obiekt zachowuje wszystkie swoje uprawnienia. Aby sprawdzić prawdziwość powyższej reguły:
1. Otwórz folder prywatne.
2. Wyświetl i zapamiętaj uprawnienia poszczególnych grup i użytkowników do pliku Nowy obraz – mapa
bitowa.
3. Skopiuj plik do głównego katalogu na dysku rozruchowym.
4. Wyświetl uprawnienia do pliku Nowy obraz – mapa bitowa. Zauważ, że na liście poszczególnych grup i
użytkowników nie ma grupy Użytkownicy zaawansowani i użytkownika danka.

Inspekcja dostępu do danych

Ćwiczenie 6.6 Monitorowanie dostępu do katalogu
Celem ćwiczenia jest włączenie inspekcji dostępu do folderu prywatne.
1. Uruchom menu Start | Wszystkie programy | Narzędzia administracyjne | Zasady
zabezpieczeń lokalnych.

2. Rozwiń folder Zasady lokalne i wybierz opcję Zasady inspekcji.

3. Dwukrotnie kliknij zasadę Przeprowadź inspekcję dostępu do obiektów. Zostanie wyświetlone
okno pokazane na rysunku 6.4
4. Zaznacz opcje Sukces oraz Niepowodzenie.
5. Naciśnij klawisz OK i zamknij okno konsoli Zasady zabezpieczeń lokalnych.
Rysunek 6.4. Monitorowanie zarówno udanych jak i zakończonych niepowodzenie prób dostępu do folderu
8. Kliknij prawym przyciskiem myszki na folderze prywatne i z menu podręcznego wybierz opcję
Udostępniania i zabezpieczanie.

9. Wybierz opcje Zabezpieczenia | Zaawansowane | Inspekcja.

10. Kliknij przycisk Dodaj. Zostanie wyświetlone okno pokazane na rysunku 6.5.
11. W polu Wprowadź nazwę obiektów do wybrania wpisz Wszyscy. Sprawdź poprawność nazwy i
naciśnij OK.
12. Zostanie wyświetlone okno Wpis inspekcji dla prywatne. Zaznacz opcję Powodzenie i
Niepowodzenie dla wiersza Pełna kontrola.

W praktyce nie stosuje się tak dokładnej modyfikacji obiektu. Monitorowanie dla każdego użytkownika
zarówno udanych, jak i nieudanych prób dostępu w krótkim czasie skończyłoby się zapełnieniem Dziennika
zabezpieczenia.

13. Naciśnij klawisz OK. Zostanie zamknięte okno Zaawansowane ustawianie zabezpieczeń dla
prywatne.

14. Naciśnij przycisk OK. Od tej chwili jakakolwiek modyfikacja zawartości folderu zostanie odnotowana w
Dzienniku zabezpieczenia.

Rysunek 6.5. Określanie grup użytkowników „poddanych” inspekcji

Ćwiczenie 6.7 Przeglądanie Dziennika zabezpieczenia

Aby sprawdzić kto modyfikował zwartość folderu prywatne:
 1. Uruchom menu Start | Wszystkie programy | Narzędzia administracyjne | Podgląd
zdarzeń.

2. Wybierz Dziennik Zabezpieczenia. W oknie po prawej stronie zostanie wyświetlona lista

zarejestrowanych zdarzeń.
3. Jeżeli chcesz poznać więcej szczegółów o konkretnym zdarzeniu kliknij na nim dwukrotnie lewym
przyciskiem myszki. (Na rysunku 6.6 wyświetlono zanotowane szczegóły dotyczące usunięcia pliku
dump przez użytkownika Administrator używającego programu Windows Commander.

Rysunek 6.6. Kontrola działań użytkowników w systemie

Kompresja i szyfrowanie danych

Ćwiczenie 6.8. Szyfrowanie danych
Kolejnym, obok uprawnień, mechanizmem gwarantującym poufność danych jest szyfrowanie dysków, folderów
lub plików. Jedną osobą, która będzie miała dostęp do zaszyfrowanych danych jest ich właściciel oraz Agent
odzyskiwania (domyślnie rolę agenta odzyskiwania pełni Administrator). Aby zaszyfrować zawartość folderu
prywatne:
1. Kliknij prawym przyciskiem myszy folder prywatne.
2. Wybierz opcję Właściwości | Ogólne | Zaawansowane.
3. Zaznacz opcję Szyfruj zawartość, aby zabezpieczyć dane.
4. Naciśnij przycisk OK. Zostanie zamknięte okno Atrybuty zaawansowane.
 5. Naciśnij przycisk OK. Zawartość folderu została zaszyfrowana i jest dostępna wyłącznie dla właściciela
danych (i administratora).

Niemożliwe jest zarówno otwieranie, jak i kopiowanie zaszyfrowanych plików.

Ćwiczenie 6.9. Kompresja folderów

Celem ćwiczenia jest skompresowanie zawartości folderu Documents and Settings.
1. Kliknij prawym przyciskiem myszy folder Documents and Settings.
2. Wybierz opcję Właściwości | Ogólne | Zaawansowane
3. Zaznacz opcję Kompresuj zawartość, aby zaoszczędzić miejsce na dysku i naciśnij OK.
Zostanie zamknięte okno Atrybuty zaawansowane.
4. Naciśnij klawisz OK. Zostanie wyświetlone okno potwierdzenia zmiany atrybutów. Wybierz opcję
Zastosuj zmiany do tego folderu, podfolderu i plików i naciśnij OK.

Rysunek 6.7. Zmiana atrybutów dotycząca foldera wraz z wszystkimi umieszczonymi w nim folderami i plikami

Ograniczanie ilości miejsca dostępnego dla

użytkowników
Celem ćwiczenia jest ograniczenie maksymalnej ilości danych możliwych do przechowywania na dysku
rozruchowym wszystkim użytkownikom (z wyjątkiem Administratora)
 1. Kliknij prawym przyciskiem myszy na ikonie dysku rozruchowego.
2. Wybierz opcję Właściwości | Przydział.
3. Zaznacz, jak zostało to pokazane na rysunku 6.8 opcje Włącz zarządzanie przydziałami i Odmów
miejsca na dysku użytkownikom przekraczającym limit przydziału.

4. Ustaw ilość dostępnego dla użytkowników miejsca na dysku oraz poziom, po przekroczeniu którego
system wyświetli ostrzeżenie.
5. Jeżeli dla któregoś z użytkowników chcesz ustawić inne wartości limitu miejsca na dysku, wybierz
opcje Wpis przydziałów, dodaj nazwę użytkownika lub grupy, a następnie w okienku Ustawianie
przydziału dla LOLEK\miś wpisz nowe wartości poziomu limitu i ostrzeżenia.

6. Naciśnij klawisz OK.

Rysunek 6.8. Ograniczenie ilości dostępnego dla użytkownika miejsca na dysku