Программа Norton Disk Doctor (NDD) предназначена для восстановления данных из поврежденных кластеров на жестком диске или на дискете, что очень важно, так как ситуация, в которой документ записан на дискете без резервного копирования и вот теперь не читается, просто типична. Здесь без NDD не обойтись никак. Кроме того, особый интерес представляет особенность работы NDD под управлением Windows XP, в которой сканирование поверхности жесткого диска (функция NDD) выполняется очень оригинально.
Некоторую проблему для пользователей (особенно для пользователей, ранее не использовавших нортоновские утилиты) представляет установка этого программного комплекса. Проблемы, как правило, возникающие при этом, описаны в начале раздела, посвященного нортоновским утилитам.
Значительное место в книге уделено описанию политик безопасности для защиты и восстановления данных – одному из принципиальных новшеств операционной системы Windows XP.
В отличие от линейки Windows 9.x операционные системы Windows 2k – Windows 2000 и Windows XP используют систему контроля входа в операционную систему, основанную на использовании учетных записей. В операционной системе Windows XP одной из основ системы безопасности является политика учетных записей, основанная на использовании ограничения времени действия паролей и блокировки учетной записи.
Вообще, состояние учетной записи – это одно из стандартных средств безопасности Windows XP. Учетная запись пользователя – это запись, содержащая все сведения, определяющие пользователя в операционной системе Windows. К этим сведениям относятся имя пользователя и пароль, требуемые для входа пользователя в систему, имена групп, членом которых пользователь является, а также права и разрешения, которые он имеет при работе в системе и доступе к ее ресурсам. В Windows XP существует учетная запись гостя – встроенная учетная запись, используемая для входа в систему, если пользователь не имеет учетной записи на компьютере, в домене или в доверенных доменах. Использование учетной записи гостя позволяет получить доступ к локальному компьютеру для любого человека, но при этом невозможен доступ к сети. Учетная запись гостя может быть отключена.
Каждый пользователь – владелец учетной записи автоматически становится участником безопасности: ему назначается код безопасности для доступа к ресурсам.
Другим средством обеспечения безопасности является использование политики аудита. Здесь возможно несколько разных видов аудита: аудит событий входа в систему, аудит управления учетными записями, аудит входа в систему, аудит доступа к объектам, аудит отслеживания событий и т. д.
Выше я уже рассказал, что Windows XP «передоверяет» пользователю многие обязанности системного администратора. Примером этого может служить назначение прав пользователя. В зависимости от произведенных пользователем настроек учетных записей и входа в систему, пользователь, получающий доступ в систему (даже и на локальной рабочей станции без подключения к сети) может иметь различные так называемые «привилегии» – право выполнять конкретную задачу, обычно действующее не для конкретного объекта, а для системы в целом. Привилегии назначаются как часть настроек безопасности компьютера. В качестве прав выступают такие возможности как доступ к компьютеру из сети, работа в режиме операционной системы, настройка квот памяти, обход перекрестной проверки, отладка программ и другие.
Средством политики безопасности является также используемый в Windows 2k интерактивный вход в систему. Здесь есть такие возможности как управление отображением последнего имени пользователя, текст сообщения для пользователей при входе в систему, напоминание о сроке действия пароля и другие.
Помимо политик безопасности при работе на локальном компьютере существует также целый ряд политик сетевой безопасности: для клиента, для сервера, политика сетевого доступа, сетевой безопасности. Часть из них основана на использовании цифровой подписи.
Политики сетевого доступа управляют разрешениями – разрешением сохранять иена пользователей и паролей, сохранять пароли или учетные записи для проверки, разрешением анонимного доступа к именованным каналам и общим ресурсам и т. п.
Существует также несколько политик безопасности, связанных непосредственно с восстановлением данных и процедурой завершения работы на компьютере.
Политика безопасности в отношении средства восстановления основана на использовании консоли восстановления – специального элемента службы управления компьютером. С помощью консоли восстановления могут быть реализованы такие элементы политики безопасности как разрешение автоматического входа для администратора, разрешение доступа ко всем дискам и папкам, разрешение копирования дискет.
Политика безопасности в отношении процедуры завершения работы на компьютере управляет разрешениями на завершение работы системы без выполнения входа в систему, очисткой страничного файла виртуальной памяти, использование некоторых алгоритмов шифрования.
Часть 1. Архивация данных для восстановления
1.1. Общие сведения о файлах и папках
Локальный компьютер – компьютер, на котором пользователь выполнил вход в систему. Другими словами, это компьютер, доступный пользователю непосредственно, т. е. без коммуникационных линий и устройств, таких как сетевая плата или модем.
Владельцем в среде Windows называется пользователь, управляющий разрешениями объекта и предоставляющий разрешения другим пользователям. В среде Macintosh владельцем является пользователь, ответственный за установление разрешений для папки на сервере. Пользователь Macintosh, создавший папку на сервере, автоматически становится владельцем папки и может передать права владения другому пользователю. У каждого тома Macintosh на сервере также имеется владелец.
Выполнение большинства задач в Windows включает работу с файлами и папками. Windows использует структуру папок в качестве системы хранения файлов на компьютере, подобно бумажным папкам, в которых хранится содержимое картотеки. Папки могут содержать файлы различных типов – документы, музыкальные клипы, изображения, видео, программы и др. Можно создавать новые папки и копировать или перемещать в них файлы из других мест – из других папок, с других компьютеров или из Интернета. В папках можно создавать подпапки. Например, если для создания и хранения файлов используется папка «Мои документы», можно создать в ней новую папку для размещения этих файлов. Если новую папку понадобится перенести в другое место, ее можно без труда переместить вместе со всем содержимым, выбрав ее и перетащив мышью на новое место.
1.2 Архивация файлов и папок
Архив – это набор файлов, папок и других данных, сжатых и сохраненных в файле или на одной или нескольких магнитных лентах.
Носитель – любой стационарный или съемный объект, пригодный для хранения данных.
Служба – программа или процесс, выполняющие конкретную системную функцию по поддержке других программ, особенно на низком (близком к аппаратному) уровне. Если доступ к службам осуществляется по сети, они могут быть опубликованы в Active Directory, что упрощает их администрирование и использование. Примеры служб: диспетчер учетных записей безопасности, служба репликации файлов, служба маршрутизации и удаленного доступа.
Администратор – в Windows XP Professional пользователь, ответственный за настройку и управление контроллерами домена и локальными компьютерами, ведение учетных записей пользователей и групп, присвоение паролей и разрешений, а также помогающий пользователям работать в сети. Администраторы являются членами одноименной группы и обладают полным доступом к домену или компьютеру. В Windows XP Home Edition пользователь, который имеет право вносить на компьютере изменения на уровне системы, устанавливать программное обеспечение и имеет доступ ко всем файлам на компьютере. Пользователь с учетной записью администратора компьютера имеет полный доступ к другим учетным записям пользователей на компьютере.
Удаленный компьютер – это компьютер, доступный пользователю только с применением коммуникационных линий и устройств, таких как сетевая плата или модем.
В процессе архивации в файле или на ленте создается резервная копия данных. Для архивации в файл необходимо задать имя файла и место, где он будет сохранен. Файлы архива обычно имеют расширение BKF, но его можно сменить на любое другое. Файл архива можно сохранить на жестком диске, дискете или на любом другом съемном либо несъемном носителе, на котором возможно сохранение файлов.
Для архивации данных на ленту необходимо, чтобы к компьютеру было подключен накопитель на магнитной ленте. Для управления накопителями на магнитной ленте используется оснастка «Съемные ЗУ» (подробнее о ней будет рассказано позже, в одном из разделов этой главы). Хотя программа архивации работает совместно со службой «Съемные ЗУ», для выполнения некоторых сопровождающих действий, например для подготовки и извлечения лент, может потребоваться оснастка «Съемные ЗУ».
Самая простая процедура архивации включает в себя следующие четыре этапа. Сначала следует выбрать файлы, папки и диски для архивации. В программе архивации диски, файлы и папки компьютера представлены в виде дерева, позволяющего выбирать файлы и папки для архивации. Открытие папок и выбор файлов в этом дереве выполняется так же, как и в проводнике Windows. Затем надо выбрать носитель или файл для создания архива данных. Есть два способа выбора носителя: архив данных можно создать в файле или на устройстве хранения данных. В качестве устройства хранения данных можно использовать жесткий диск, диск Zip либо съемный или несъемный носитель любого типа, доступный для сохранения файлов. Этот вариант доступен всегда. Архив данных можно создать на накопителе на магнитной ленте. Этот вариант доступен только при наличии накопителя на магнитной ленте, установленного на компьютере или подключенного к нему. Если данные архивируются на накопитель на магнитной ленте, этот носитель будет управляться оснасткой «Съемные ЗУ». После того как выбран объект архивации и задан носитель архива, нужно задать параметры архивации. Окно «Параметры» программы архивации позволяет настраивать параметры архивации. Чтобы настроить архивацию, следует выполнить в окне «Параметры» следующие действия. Сначала надо выбрать требуемый тип архивации.
Существуют следующие типы архивации: копирующий, ежедневный, разностный, добавочный и обычный. Затем надо указать, требуется ли вести журнал архивации. Если ведется файл журнала, можно также выбрать запись всех либо только основных событий. И, наконец, надо указать требуется ли архивировать данные, хранящиеся на присоединенных дисках. На завершающем этапе пользователь может назначить типы файлов, которые требуется исключить из операции архивирования. Последний шаг – указать, требуется ли проверять правильность архивации данных.
При запуске архивации будут запрошены сведения о текущем задании архивации и предоставлена возможность задать дополнительные параметры. После того как сведения о задании будут введены или изменены, будет начата архивация выбранных файлов и папок.
Если запланирована автоматическая архивация, сведения о задании все равно будут запрошены. Однако после ввода этих сведений архивация не будет начата, а будет добавлена как запланированная планировщиком заданий.
Так в общих чертах выглядит процедура архивации данных с помощью средств операционной системы. Собственно говоря, все содержание данной главы книги посвящено описанию подробностей этого процесса.
Прежде чем перейти к этому, более подробному, рассмотрению архивации данных, остановлю внимание читателя на нескольких подробностях общего характера, имеющих принципиальное значение.
Итак, архивация файлов и папок может проводиться только администратором или оператором архива. Пользователи, не являющиеся членами группы «Пользователи» или «Опытные пользователи», могут архивировать только свои собственные файлы и папки либо должны иметь не менее одного из следующих разрешений на доступ к архивируемым файлам и папкам: «Чтение», «Чтение и выполнение», «Изменение» или «Полный доступ». Затем, данные состояния системы включают системный реестр, службу каталогов и другие ключевые системные компоненты. Для архивации этих компонентов следует выполнить архивацию данных состояния системы (описанию процедуры архивации состояния данных системы посвящен целый раздел этой главы). Архивация данных состояния системы возможна только для локального компьютера. Архивировать данные состояния системы для удаленного компьютера нельзя. Архивацию можно запланировать для автоматического выполнения в определенное время или с определенной периодичностью. Для того чтобы сделать это, следует нажать кнопку «Запуск».
Для выполнения архивации файлов служб Windows Media (если на данном компьютере запущены службы Windows Media) следует прежде изучить раздел о выполнении архивации служб Windows Media электронной документации по службам Windows Media (они приведены в конце данной главы, в разделах «Архивация лицензий» и «Авторские права»).
Если для управления носителями используется оснастка «Съемные ЗУ» или для сохранения данных используется внешнее хранилище, следует регулярно архивировать файлы, находящиеся в следующих папках:
СистемныйКорневойКаталог\System32\Ntmsdata
СистемныйКорневойКаталог\System32\Remotestorage
Это гарантирует возможность восстановления всех данных, сохраненных во внешнем хранилище и на съемном ЗУ.
Кроме того я приведу здесь описание процедуры добавления пользователя в группу «Операторы архива» (чтобы в дальнейшем к ней более не возвращаться). Значение этой процедуры более подробно рассматривается в главе, посвященной политикам безопасности, в разделах о привилегиях и управлении доступом.
1.3 Добавление пользователя в группу «Операторы архива»
Группа – это совокупность пользователей, компьютеров, контактов и других групп. Группы могут использоваться для управления доступом или в качестве списков рассылки. Группы распространения применяются только в электронной почте. Группы безопасности используются как для управления доступом, так и в качестве списков рассылки.
Оператор архива – это тип локальной или глобальной группы, содержащий права пользователя, необходимые для архивации и восстановления файлов и папок. Члены группы «Операторы архива» могут архивировать и восстанавливать файлы и папки независимо от параметров владения, разрешений, шифрования и аудита.