mr.L
13.08.2009, 08:34
Для каждого объекта, который хранится на диске в NTFS, поддерживается контрольный список доступа (ACL). Он определяет перечень пользователей, которым разрешен доступ к данному объекту, а также тех, кому запрещен. Каждая запись в таком списке называется записью, контролирующей доступ АСЕ (Access Control Entry). В ней содержатся:
SID пользователя или группы пользователей;
список разрешений доступа (например, на чтение и запись);
данные о наследовании, которые определяют будет ли Windows использовать разрешения из родительской папки;
флаг, указывающий на разрешение или запрет доступа.
Для того чтобы разрешить или отказать в доступе к объекту (файлу или папке), необходимо модифицировать АСЕ. Делать это могут владельцы объекта, члены группы «Администраторы» и обычные пользователи, которым разрешили это сделать либо первые, либо вторые.
В Windows XP при включенной опции «Использовать простой общий доступ ко всем файлам» возможности по изменению прав весьма ограничены. Заблокировав эту опцию в меню Проводника «Сервис—> Свойства папки —> Вид», вы получите доступ к набору прав NTFS (пользователям XP Home Edition, чтобы блокировать «простой общий доступ», придется перезагружаться в безопасном режиме). Дальнейшее управление правами производится на закладке «Безопасность» в свойствах объекта.
В Windows XP управление доступом к ресурсам реализовано с помощью набора предопределенных базовых прав доступа (их шесть): полный доступ, чтение, запись и т. д.. Но есть еще и двенадцать специальных прав доступа, с помощью которых разрешения настраиваются более тонко. Добраться к ним можно, нажав «Дополнительно» на вкладке «Безопасность», после чего нужно два раза щелкнуть на имени пользователя. Использование предопределенных прав упрощает процесс администрирования. На самом деле, если вы устанавливаете флаг «Чтение и выполнение», операционная система сама назначает пять отдельных прав доступа: выполнение файлов, чтение данных, атрибутов, дополнительных атрибутов, разрешений. Считается, что шести предопределенных прав в обычных случаях вполне достаточно.
Права доступа предоставляются установкой флажка в столбце «Разрешить». Флажки «Запретить» устанавливаются, когда требуется явно запретить применение указанного права доступа пользователю. Они имеют высший приоритет по сравнению с разрешениями и применяются в основном для внесения ясности при наложении прав нескольких пользователей. Если требуется полностью блокировать доступ к объекту, выберите для нежелательного пользователя «Запретить» в строке «Полный доступ».
В разделе NTFS каждый файл или папка имеют владельца, который может предоставлять или отказывать в правах доступа другим пользователям или группам. Владельцы могут заблокировать любого пользователя, включая членов группы «Администраторы». Владелец объекта может предоставлять свои права другому пользователю, если тот является членом группы «Администраторы». Сменить владельца можно на закладке «Безопасность —> Дополнительно —> Владелец». Кроме того, администратор системы может получить право собственности на любой объект.
Разнообразие средств управления учетными записями не может не радовать. Так, наряду с визуальными утилитами в ХР есть возможность пользоваться для администрирования утилитами командной строки, например cacls. Эта программа позволяет организовывать просмотр существующих прав доступа к файлам и папкам путем ввода в консоли команды: cacls имя_файла. Права доступа к указанному файлу изменяются добавлением соответствующих параметров в конце строки. При просмотре разрешений с помощью cacls отображается сокращенный перечень АСЕ для каждого файла, указанного в качестве аргумента. Каждый АСЕ нключает имя пользователя и одну букву для любого из стандартных настроек прав доступа: F (full control) — полный контроль, С (change) — изменение и т. д.
Что нашла Windows? Реестр
Чтобы просмотреть и изменить права доступа в реестре, запустите из меню «Пуск» regedit, щелкните на нужной ветви правой кнопкой мыши и в ниспадающем меню выберите пункт «Разрешения». Все почти как при работе с файлами, но отличия все же есть. При работе с реестром используется ограниченный SID. В результате запуска программы на выполнение из-под пользовательской учетной записи к ней добавляется маркер restricted, блокирующий попытки изменения системного реестра.
Как правило, пользователи с ограниченным доступом имеют полный контроль только над компонентами реестра, которые распространяются на их учетные записи (ветвь HKCU). Иногда в целях безопасности имеет смысл блокировать доступ пользователей к средствам редактирования реестра. Чтобы сделать это для конкретного пользователя, сначала установите права администратора для его учетной записи, зайдите под ней и запустите regedit. В нетви HKCU\Software\Microsoft\Windows \CurrentVersion\Publicies создайте подкаталог System и в нем — новое значение DisableRegistryTools равное 1 (тип dword). После сделайте Log on и не забудьте забрать у пользователя права администратора. Теперь при попытке запуска regedit или выполнения файлов с расширением .REG будет выводиться сообщение об ошибке.
Для разблокировки снова зайдите под именем пользователя. Запустите regedit от имени администратора. Направляйтесь в HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfileList. Для каждого SID в переменной Profile Image Path находится имя пользователя. Найдите нужное и запомните его SID. Далее выберите ключ HKU\[SID]\Software\Microsoft\Windows\ CurrentVersion\Policies\System, где просто измените значение DisableRegistryTools на 0.
Утилит, сканирующих компьютер на предмет наличия уязвимостей, немного. Но для начала можно воспользоваться программой, изготовленной корпорацией Microsoft. Утилита MS BaselineSecunty Analyzer проверяет компьютер на установленные патчи и обновления, ищет общеизвестные уязвимости в Internet Information Server 4/5, SQL Server 7/2000, Internet Explorer версии после 5.01, Office 2000/XP и, естественно, в самой Windows. Интерфейс управления программой понятен и прост. Скачать ее можно с официального сайта Microsoft по адресу www.microsoft.com/tecrinet/security/tools/mbsahome.asp, размер дистрибутива около 4 Мбайт.
SID пользователя или группы пользователей;
список разрешений доступа (например, на чтение и запись);
данные о наследовании, которые определяют будет ли Windows использовать разрешения из родительской папки;
флаг, указывающий на разрешение или запрет доступа.
Для того чтобы разрешить или отказать в доступе к объекту (файлу или папке), необходимо модифицировать АСЕ. Делать это могут владельцы объекта, члены группы «Администраторы» и обычные пользователи, которым разрешили это сделать либо первые, либо вторые.
В Windows XP при включенной опции «Использовать простой общий доступ ко всем файлам» возможности по изменению прав весьма ограничены. Заблокировав эту опцию в меню Проводника «Сервис—> Свойства папки —> Вид», вы получите доступ к набору прав NTFS (пользователям XP Home Edition, чтобы блокировать «простой общий доступ», придется перезагружаться в безопасном режиме). Дальнейшее управление правами производится на закладке «Безопасность» в свойствах объекта.
В Windows XP управление доступом к ресурсам реализовано с помощью набора предопределенных базовых прав доступа (их шесть): полный доступ, чтение, запись и т. д.. Но есть еще и двенадцать специальных прав доступа, с помощью которых разрешения настраиваются более тонко. Добраться к ним можно, нажав «Дополнительно» на вкладке «Безопасность», после чего нужно два раза щелкнуть на имени пользователя. Использование предопределенных прав упрощает процесс администрирования. На самом деле, если вы устанавливаете флаг «Чтение и выполнение», операционная система сама назначает пять отдельных прав доступа: выполнение файлов, чтение данных, атрибутов, дополнительных атрибутов, разрешений. Считается, что шести предопределенных прав в обычных случаях вполне достаточно.
Права доступа предоставляются установкой флажка в столбце «Разрешить». Флажки «Запретить» устанавливаются, когда требуется явно запретить применение указанного права доступа пользователю. Они имеют высший приоритет по сравнению с разрешениями и применяются в основном для внесения ясности при наложении прав нескольких пользователей. Если требуется полностью блокировать доступ к объекту, выберите для нежелательного пользователя «Запретить» в строке «Полный доступ».
В разделе NTFS каждый файл или папка имеют владельца, который может предоставлять или отказывать в правах доступа другим пользователям или группам. Владельцы могут заблокировать любого пользователя, включая членов группы «Администраторы». Владелец объекта может предоставлять свои права другому пользователю, если тот является членом группы «Администраторы». Сменить владельца можно на закладке «Безопасность —> Дополнительно —> Владелец». Кроме того, администратор системы может получить право собственности на любой объект.
Разнообразие средств управления учетными записями не может не радовать. Так, наряду с визуальными утилитами в ХР есть возможность пользоваться для администрирования утилитами командной строки, например cacls. Эта программа позволяет организовывать просмотр существующих прав доступа к файлам и папкам путем ввода в консоли команды: cacls имя_файла. Права доступа к указанному файлу изменяются добавлением соответствующих параметров в конце строки. При просмотре разрешений с помощью cacls отображается сокращенный перечень АСЕ для каждого файла, указанного в качестве аргумента. Каждый АСЕ нключает имя пользователя и одну букву для любого из стандартных настроек прав доступа: F (full control) — полный контроль, С (change) — изменение и т. д.
Что нашла Windows? Реестр
Чтобы просмотреть и изменить права доступа в реестре, запустите из меню «Пуск» regedit, щелкните на нужной ветви правой кнопкой мыши и в ниспадающем меню выберите пункт «Разрешения». Все почти как при работе с файлами, но отличия все же есть. При работе с реестром используется ограниченный SID. В результате запуска программы на выполнение из-под пользовательской учетной записи к ней добавляется маркер restricted, блокирующий попытки изменения системного реестра.
Как правило, пользователи с ограниченным доступом имеют полный контроль только над компонентами реестра, которые распространяются на их учетные записи (ветвь HKCU). Иногда в целях безопасности имеет смысл блокировать доступ пользователей к средствам редактирования реестра. Чтобы сделать это для конкретного пользователя, сначала установите права администратора для его учетной записи, зайдите под ней и запустите regedit. В нетви HKCU\Software\Microsoft\Windows \CurrentVersion\Publicies создайте подкаталог System и в нем — новое значение DisableRegistryTools равное 1 (тип dword). После сделайте Log on и не забудьте забрать у пользователя права администратора. Теперь при попытке запуска regedit или выполнения файлов с расширением .REG будет выводиться сообщение об ошибке.
Для разблокировки снова зайдите под именем пользователя. Запустите regedit от имени администратора. Направляйтесь в HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfileList. Для каждого SID в переменной Profile Image Path находится имя пользователя. Найдите нужное и запомните его SID. Далее выберите ключ HKU\[SID]\Software\Microsoft\Windows\ CurrentVersion\Policies\System, где просто измените значение DisableRegistryTools на 0.
Утилит, сканирующих компьютер на предмет наличия уязвимостей, немного. Но для начала можно воспользоваться программой, изготовленной корпорацией Microsoft. Утилита MS BaselineSecunty Analyzer проверяет компьютер на установленные патчи и обновления, ищет общеизвестные уязвимости в Internet Information Server 4/5, SQL Server 7/2000, Internet Explorer версии после 5.01, Office 2000/XP и, естественно, в самой Windows. Интерфейс управления программой понятен и прост. Скачать ее можно с официального сайта Microsoft по адресу www.microsoft.com/tecrinet/security/tools/mbsahome.asp, размер дистрибутива около 4 Мбайт.