ня обробляється по-іншому, ніж у Win dows NT . В Windows NT успадковані дозволи були просто такими ж, як у батьківських об'єктів, і могли бути негайно змінені. В Windows 2000, якщо об'єкт успадковує дозволи від яка містить об'єкт папки, необхідно зняти прапорець Allow Inheritable Permissions (Переносити успадковані від батьківського об'єкта дозволу на цей об'єкт), для того щоб створити копію успадкованих дозволів і потім змінити існуючі дозволи. Можна створювати нові записи АСЕ, не перекриваючи установку безпеки. В
5.1. Шифрована файлова система
В
Шифрована файлова система ( Encrypting File System ) - це драйвер файлової системи, забезпечує можливість зашифровувати і розшифровувати файли на льоту. Використовувати службу дуже легко: користувачі встановлюють атрибут шифрування для файлу або ката-логу. Служба EFS генерує сертифікат шифрування у фоновому процесі і використовує його для шифрування заданих файлів. Коли ці файли запитуються драйвером файлової системи NTFS , служба EFS автоматично розшифровує файл для надання його драйверу.
Шифрування файлів виглядає як дійсно чудова можливість, але поточна його реалізація в Windows 2000 володіє такими дефектами, що EFS в більшості випадків марна, за винятком, може бути, портативних комп'ютерів. Основна проблема EFS в тому, що вона працює тільки для окремих користувачів, що робить її придатною тільки для клієнтських комп'ютерів. Сертифікати шифрування для файлів створюються на основі особистості користувача, тому зашифровані файли можуть бути використані тільки тієї обліковим записом, яка їх створювала. Сертифікати шифрування не можуть бути призначені груповим об'єктів, тому шифрування не може захистити загальні файли, збережені на сервері. Ця архітектура зажадає обміну закритими ключами по мережі, тому для такого обміну повинен бути встановлений зашифрований канал. EFS не дозволить спільне використання зашифрованих файлів, тому що вона розшифровує їх перед тим, як надати їх за запитом. Це також не передбачено. Якби сертифікати шифрування належали групі, зашифрований файл міг би бути наданий по мережі клієнтові у своєму зашифрованому стані і клієнтський комп'ютер зміг би скористатися своїм участю в групі, володіючи сертифікатом для розшифровки файлу. Kerberos може створювати ключі сеансу для шифрування сертифікатів, щоб зберегти їх в безпеці під час передачі членам групи. Загальні файли можуть бути досить безпечними, щоб використовувати їх через Інтерне...
