Ако използвате външно дисково устройство с OS X, може да забележите, че когато е монтиран, той става достъпен за всички потребители в системата. Следователно, ако имате файлове, които сте запазили на USB устройство и го прикачите към системата си и сменяте потребителски акаунти, тези файлове ще могат да се видят във втората сметка.
Освен това, ако сте активирали споделяне на мрежови файлове, файловете на това устройство ще бъдат достъпни за всеки потребител, който влиза в мрежата.
Това поведение може да изглежда малко загрижено, особено за тези, които са настроили шифроване на вторични дискове с надеждата да попречат на другите да гледат техните файлове, но това е нормално поведение в OS X и по същество означава две неща:
- Криптирането само по себе си е предназначено само за защита на съдържанието на устройството от достъпа, ако устройството е било заключено (т.е. премахнато от системата или системата е изключена). Той не е предназначен да защитава файловете на един потребител от друг потребител в същата система. Докато отключването на устройството е ограничено до тези, които имат парола, след като веднъж е отключена, всички потребители ще имат достъп точно като всеки друг USB или Firewire диск.
В свързана с това бележка е имало предишна загриженост за лесното повторно монтиране на криптирани устройства, ако му кажете да ги извади, но не ги откачат от системата; това обаче не е заплаха за сигурността. Просто не използвайте криптиране, за да защитите данните от друга сметка в системата, тъй като тази цел не е нейната цел. Вместо това го използвайте само за да предотвратите достъпа до файловете на крадец или друга трета страна, на която не сте дали достъп до компютъра.
- Външните твърди дискове са отворени за всички потребители по подразбиране. Въпреки че всички твърди дискове са в състояние да съдържат ограничения за разрешения като всяка друга папка в системата, за външните устройства OS X изключва тази функция. Това се дължи главно на това, че настройките на разрешенията са специфични за една инсталация на една операционна система, така че зададените от една система могат или да не бъдат наблюдавани от друг, или да бъдат интерпретирани като нещо съвсем различно и да доведат до неправилен достъп до файловете.
Ако се настрои самостоятелно, криптирането няма да защити файловете ви от други локални потребители и разрешенията могат да бъдат преодолени чрез използване на устройството с друга система. Следователно начинът за пълното обезопасяване на файловете на външното ви устройство е да се активират и двете.
За да направите това, първо разрешете шифроването на устройството, като щракнете с десния бутон върху него в Finder и изберете опцията Encrypt Drive. Поставете паролата, която да използвате, когато бъдете подканени, след което изчакайте устройството да се рестартира като криптиран том.
След това разрешете наблюдението на разрешенията на устройството, като го изберете и натиснете Command-I, за да получите информация за устройството. В появилия се информационен прозорец разгънете раздела Споделяне и щракнете върху заключването, за да се удостовери. След това махнете отметката от опцията „Игнориране на собствеността върху този том“.
След като тази настройка бъде въведена, системата сега ще наблюдава ограниченията на разрешенията за устройството, които можете да зададете, за да разрешите или забраните достъпа до определени потребители (имайте предвид, че това ще работи само за управление на достъпа за неадминистраторски профили - администраторските профили винаги ще могат да да си предоставят достъп до файлове и папки).
По подразбиране устройството ще бъде собственост на профила, който го е форматирал, така че трябва да видите потребителското си име, посочено като първия елемент в списъка за споделяне и разрешения. След това устройството трябва да има групова асоциация на "персонал" (под вашето потребителско име), която е групата по подразбиране за всички локални сметки в системата. Това ви позволява да зададете глобални разрешения за профили, различни от вашите.
И накрая, трябва да има група "всички", която да обхваща всички останали потребители в системата, като например потребителски акаунт за гости, който не е член на групата "персонал".
В този момент имате два възможни подхода за задвижването. Първият е да зададете неговите разрешения, така че само вие да имате достъп до него, а вторият е да го настроите с поддиректория или две, която е ограничена само до профила ви, така че другите сметки могат да направят същото и да имат секвестирани и частни папки.,
Едноличен достъп
За да настроите устройството, така че само вие да имате достъп, в раздела „Споделяне и разрешения“ на информационния прозорец изберете „няма достъп“ за групата „персонал“ (или просто изберете и премахнете тази група изцяло). След това настройте групата „всички“ също да няма „достъп“.
Когато приключите, щракнете върху менюто с малки съоръжения и изберете опцията за прилагане на тези настройки към всички затворени елементи (тази стъпка не е необходима на празен диск).
В този момент целият диск ще бъде частна, подвижна папка за вашия акаунт. Въпреки че ще се покаже като устройство в други акаунти в системата, ако се опитат да получат достъп до нея, ще получат грешка "отказано разрешение".
Многопотребителски достъп
За да настроите устройството, така че другите потребители да имат достъп, оставете разрешенията на устройството по подразбиране, така че групата "персонал" е непокътната и има пълни разрешения за четене и запис. След това отворете устройството в Finder и създайте папка на нея, за да съхраните вашите файлове. Сега получете информация за тази папка и я настройте така, че само профилът ви да е в списъка „Споделяне и разрешения“, с достъп „четене и запис“ и с всички останали, зададени на „няма достъп“.
Оттук профилът ви ще може да преглежда файловете в тази папка, но други профили няма.
Като допълнителна мярка за сигурност можете да настроите подобна папка за всеки профил в системата и след като приключите, да получите информация за самия диск и да настроите групата „персонал“ на „само за четене“ (не използвайте опцията на менюто със съоръженията) да приложите разрешения за затворени елементи). При тази настройка, когато друг потребител отвори устройството, те ще могат само да плъзгат елементи в тяхната конкретна папка, нито в папка на друг потребител, нито до най-горното ниво на устройството.
Независимо от подхода, който използвате, на този етап ще имате устройство, което е осигурило ресурси от други потребители, както и устройство, което също е криптирано и по този начин защитено от някой, който се опитва да замени настройките на разрешенията, като го прикачи към друг компютър.
Оставете Коментар