Списки управления доступомРефераты >> Программирование и компьютеры >> Списки управления доступом
Таблица 8.3 - Специальные разрешения в NTFS
|
Разрешение |
Разрешения к |
Операции | |
|
папкам |
файлам | ||
|
No Access |
Нет |
нет |
Запрещение доступа к папке и содержащимся в ней файлам. |
|
List |
Read, Execute |
Не устанавливает |
Разрешение на просмотр имен файлов и содержимого папок, а также их структуры. |
|
Read |
Read, Execute |
Read, Execute |
Предоставление пользователю права на просмотр файлов и запуск приложений, хранящихся в папке. |
|
Add |
Write, Execute |
Не устанавливает |
Разрешения (дополнительно к правам, предоставляемым правом Read) создавать папки и файлы. Не позволяет отображать структуру папок. |
|
Add & Read |
Read, Write, Execute |
Read, Execute |
Предоставление прав, указанных в правах Add и Read. |
|
Change |
Read, Write, Execute, Delete |
Read, Write, Execute, Delete |
Разрешение (дополнительно к правам, предоставляемым правами Add и Read) создавать и удалять файлы и папки, модифицировать содержимое файлов. |
|
Full Control |
Все |
Все |
Разрешение (дополнительно к правам, предоставляемым правом Change) на изменение прав доступа и вступление во владение файлами и папками |
4.1.3 Улучшенная установка разрешений
По умолчанию при инсталляции Windows NT в файловой системы NTFS устанавливаются довольно “свободные” разрешения, позволяющие обычным пользователям получать доступ к ряду системных файлов и каталогам. Например каталоги %systemroot% и %systemroot%\system32 имеют по умолчанию разрешение Change для группы Everyone. Если после установки Windows NT FAT впоследствии был преобразован в NTFS, то данное разрешение для этой группы устанавливается на все файлы и подкаталоги каталога %systemroot%. Защита данных каталогов заключается в грамотной установке разрешений. В таблице 8 приведены значения разрешений для каталогов. Вместо группы Everyone необходимо создать группу Users и использовать именно ее.
Таблица 8 – Рекомендуемая защита системных каталогов
|
Объект защиты |
Учетная запись |
Разрешение |
|
%Systemroot%\Repair |
Administrator |
Full control |
|
%Systemroot%\System32\Config |
Administrator |
Full control |
|
Creator Owner |
Full control | |
|
Users |
List | |
|
System |
Full control | |
|
%Systemroot%\System32\SPOOL |
Administrator |
Full control |
|
Creator Owner |
Full control | |
|
Users |
Read | |
|
Power Users |
Change | |
|
System |
Full control | |
|
%Systemroot%\COOKIES %Systemroot%\ FORMS %Systemroot%\ HISTORY %Systemroot%\ OCCACHE %Systemroot%\ PROFILES %Systemroot%\ SENDTO %Systemroot%\ Temporary Internet Files |
Administrator |
Full control |
|
Creator Owner |
Full control | |
|
Users |
Special Directory Access – Read, Write and Execute, Special File Access – None | |
|
System |
Full control |
Существует несколько файлов операционной системы, расположенных в корневой директории системного раздела, которые также необходимо защитить, назначив следующие разрешения (таблица 9).
Таблица 9 – Рекомендуемая защита некоторых системных файлов и каталогов
|
Объект защиты |
Учетная запись |
Разрешение |
|
\Boot.ini, \Ntdetect.com, \Ntldr |
Administrators |
Full Control |
|
SYSTEM |
Full Control | |
|
\Autoexec.bat, \Config.sys |
Administrators |
Full Control |
|
SYSTEM |
Full Control | |
|
Everyone |
Read | |
|
\TEMP directory |
Administrators |
Full Control |
|
SYSTEM |
Full Control | |
|
CREATOR OWNER |
Full Control | |
|
Users |
Special Directory Access – Read, Write and Execute, Special File Access – None |
