tag:blogger.com,1999:blog-3447320322247462829.post8682047202746395389..comments2022-05-27T10:03:36.283+03:00Comments on Alexander Trofimov: Новый подход к назначению разрешений на файловую систему в Win2008/VistaAlexander Trofimovhttp://www.blogger.com/profile/18188854568993053938noreply@blogger.comBlogger2125tag:blogger.com,1999:blog-3447320322247462829.post-89497328605597020182008-09-19T11:28:00.000+04:002008-09-19T11:28:00.000+04:00Угу. Значит по поводу того, что на остальные объек...Угу. Значит по поводу того, что на остальные объекты внутри у нас есть права - не всегда правда, потому что наследование оторвано в большинстве случаев. Из этого получается, что права, которые даны на подобъекты будут присвоены только вновь образованным объектам. <BR/>Дальше - больше, при изменении прав в ACE, на папку не трогается ничто внутри. <BR/>По поводу разрешений для Администраторов и System. Да, они все могут поменять. Давай им дадим везде все права по умолчанию. Слабо? Мне слабо =) Потому что тогда достаточно будет просто запустить что-то от имени систем и оно может (неважно, злонмеренно или по ошибке) все нафиг порушить. С такими разрешениями мы хотя бы защищаемся от ошибок. Потому что на подавляющее большинство файлов в папке, скажем, system32 стоят разрешения read и read & execute для всех, кроме Trusted Installer. <BR/>Потому ответ на твой вопрос: они препятствуют ошибочному снесению/модификации объектов. Помимо того, они все-таки защищают, хоть и слабо от различных угрох, потому что я помню мало массового софта, который заморачивается <I>изменением владельца и/или разрешений</I> на объекты файловой системы. <BR/>А то, что от администратора защиты нет, кроме аудита, иначе он не администратор... Факт известный и при текущей архитектуре точно неизменный. А другую я придумать пока не в состоянии =)Alexander Trofimovhttps://www.blogger.com/profile/18188854568993053938noreply@blogger.comtag:blogger.com,1999:blog-3447320322247462829.post-16543756247351680162008-09-19T10:35:00.000+04:002008-09-19T10:35:00.000+04:00Спасибо, конечно, что даже спустя полгода не забыл...Спасибо, конечно, что даже спустя полгода не забыл про мой вопрос:-)!<BR/>Но, честно говоря, ответа на него я так и не получил.<BR/>Как мне кажется, ты просто не до конца понял, в чём именно он заключается;-).<BR/><BR/>Постараюсь сформулировать ещё раз:<BR/>Сейчас права разбиты на две части – <B>Только эта папка</B> и <B>Для подпапок и файлов</B>. Создавать файлы/папки могут <B>TrustedInstaller</B>, <B>SYSTEM</B> и <B>Administrators</B>. Кто бы из этой троицы ни создал файл/папку, он <B>получит полный доступ</B> к объекту.<BR/>По поводу того, что на саму папку нам не даны права (<B>Удаление подпапок и файлов</B>, <B>Смена разрешений</B> и <B>Смена владельца</B>):<BR/><B>Удаление подпапок и файлов</B> – его отсутствие нам ничем не мешает, ибо на сами объекты (подпапки и файлы) у нас есть право Удаление.<BR/><B>Смена владельца</B> – тоже не препятствие ни для SYSTEM ни для Administrators. Такое право у них (Administrators) есть по умолчанию и его отсутствие на самой папке ничуть не мешает нам стать владельцами.<BR/><B>Смена разрешений</B> – ну а раз уж мы можем стать владельцами, значит сможем и изменять права!<BR/><BR/><B>Внимание вопрос</B>: так в чём же глубинный смысл такого разделения прав доступа, если они ни чему не препятствуют?Anonymousnoreply@blogger.com