Рассылка закрыта
При закрытии подписчики были переданы в рассылку "Всё о работе в Интернет" на которую и рекомендуем вам подписаться.
Вы можете найти рассылки сходной тематики в Каталоге рассылок.
Секреты Windows: статьи о реестре, rundll32.exe, программах
Глава 6. Администрирование Windows Vista. 6.1. Настройка разрешений и аудит доступа - окончание Полезные ссылкиЕсли не предпринять правильных действий, секретность Вашей личной информации на компьютере совсем не гарантируется. Ваши файлы предельно доступны даже для просто любителей чужой информации, не говоря уже о профессиональных взломщиках компьютеров. Реальная конкурентоспособность любой компании нередко определяется тем, насколько внимательно в ней относятся к защите конфиденциальной информации. Программа”LABITAP_Cryptograph” обеспечит Ваш компьютер такой защитной системой, которая по стандартам сравнима с системой ФБР. Подробности: http://sites.google.com/site/labitap/Home Редактирование DACL объектаПо умолчанию, если вы еще не отключили механизм UAC, большинство ветвей реестра подраздела HKEY_LOCAL_MACHINE и системных файлов доступны администраторам только для чтения. Полный же доступ на них имеет пользователь TRUSTEDINSTALLER, который также является и их владельцем. Поэтому администраторы не смогут изменить права доступа на ветвь реестра или файл, пока не сменят владельца на него. Операция смены владельца проходит так же, как и в Windows XP. Например, для смены владельца файла, нужно отобразить диалог PROPERTIES данного файла, перейти на вкладку SECURITY, и нажать на кнопку EDIT…. После этого отобразится копия диалога SECURITY, в которой нужно нажать на кнопку ADVANCED…, чтобы отобразился еще один диалог, имеющий вкладку OWNER. Чтобы сменить владельца файла, нужно перейти на данную вкладку и в поле CHANGE OWNER TO: выбрать нового владельца. После нажатия кнопки OK владелец файла будет изменен, и вы сможете изменить разрешения на доступ к файлу. Похожим образом выполняется изменение владельца ветви реестра. Программа для работы с DACL icacls.exeВы, наверное, знаете, что в предыдущих версиях операционной системы Windows Vista присутствовала программа командной строки cacls.exe, с помощью которой можно изменять dacl определенного файла. Данная программа присутствует и в Windows Vista, однако, кроме нее в новой операционной системе есть еще одна программа для работы с DACL — icacls.exe. Основные возможности данной программы лучше всего рассмотреть на примерах ее использования. Полное же описание ее возможностей можно просмотреть, введя в командной строке команду icacls /?. Архивирование и восстановление DACL файла или нескольких файлов и каталогов Интересной возможностью данной программы является возможность архивирования DACL файлов или каталогов с целью их дальнейшего восстановления на локальном или удаленном компьютере. Для архивирования DACL файла достаточно воспользоваться командой icacls.exe «путь к файлу и его имя» /save «путь к архиву и его имя». Например.
Не забывайте, что если какая-нибудь программа, DACL которой нужно скопировать, в данный момент открыта другой программой, тогда программа icacls.exe не сможет получить к ней доступ и завершит свою работу. В этом случае, если вы копируете DACL содержимого целого каталога, нужно использовать опцию /C, чтобы программа icacls.exe не завершала свою работу, а продолжила, не копируя DACL занятого файла. Также при копировании DACL содержимого каталога можно использовать опцию /T, чтобы также копировалось содержимого всех вложенных в выбранный каталог подкаталогов. Если же вы хотите восстановить DACL из созданного ранее файла, тогда нужно воспользоваться командой icacls.exe «путь к файлу и его имя» /restore «путь к архиву и его имя». Например.
Смена владельца файлов и каталогов Также с помощью данной программы очень легко сменить владельца для определенного файла или для всего содержимого каталога. Для этого применяется команда icacls.exe «путь к файлу и его имя или путь к каталогу» /setowner «логин нового владельца». Например.
Поиск файлов, в DACL которых есть упоминание о SID определенного пользователя Для реализации этой возможности используется команда icacls.exe «путь к файлу и его имя или путь к каталогу» /findsid «SID пользователя или группы». Также в ней вы можете использовать опции /C и /T. Изменение DACL Изменение DACL можно выполнить не только с помощью программы cacls.exe, но и с помощью новой программы icacls.exe. Но перед изменением DACL давайте сначала вспомним обозначения прав пользователей, которые применяются в программах cacls.exe и icacls.exe. F. Определяет право на полный доступ к объекту. M. Определяет право на изменение объекта. RE. Определяет право на чтение и выполнение объекта. R. Определяет право только на чтение объекта. W. Определяет право на запись объекта. D. Определяет право на удаление объекта. RC. Определяет разрешение на чтение разрешение. WDAC. Определяет разрешение на запись DAC. WO. Определяет разрешение на смену владельца. S. Определяет разрешение на синхронизацию. AS. Определяет разрешение на доступ к системе безопасности. MA. Определяет разрешение на полный доступ к объекту. RD. Определяет разрешение на просмотр содержимого папок и чтение данных. WD. Определяет разрешение на создание файлов и запись данных. AD. Определяет разрешение на создание папок и дозапись данных. REA. Определяет разрешение на чтение дополнительных атрибутов. WEA. Определяет разрешение на запись дополнительных атрибутов. EX. Определяет разрешение на обзор папок и выполнение файлов. DC. Определяет разрешение на удаление. RA. Определяет разрешение на чтение атрибутов. WA. Определяет разрешение на запись атрибутов. Для добавления DACL, разрешающих определенное действие, нужно использовать команду icacls.exe «путь к файлу и его имя или путь к каталогу» /grant «SID пользователя»:(разрешения через запятую). В этом случае указанное DACL будет добавляться к уже существующему. Если же нужно заменить существующий DACL, тогда вместо /grant необходимо воспользоваться /grant:r. Например.
Для добавления DACL, запрещающих определенное действие, нужно использовать команду icacls.exe «путь к файлу и его имя или путь к каталогу» /deny «SID пользователя»:(разрешения через запятую). Например.
Для удаления DACL используется команда icacls.exe «путь к файлу и его имя или путь к каталогу» /remove «SID пользователя». Например.
Также вы можете сбросить DACL всех файлов определенного каталога или только определенного файла. В этом случае для него будет применяться наследуемый DACL. Для этого применяется команда icacls.exe «путь к файлу и его имя или путь к каталогу» /reset. Программа смены владельца takeown.exeНаверное, вам знакома ситуация, когда после запрещения полного доступа к файлу, вы больше не можете изменить его DACL, так как это запрещено вами же. В этом случае можно попробовать заново получить файл во владение, чтобы сбросить все элементы DACL. Для этого можно использовать программу takeown.exe. С помощью данной программы администраторы могут сменить владельца определенного файла или каталога локального или удаленного компьютера на группу ADMINISTRATORS или пользователя, от имени которого было выполнено подключение к компьютеру. Синтаксис данной программы следующий: takeown /s «удаленный компьютер» /u «пользователь, от имени которого выполняется подключение к компьютеру» /p «пароль» /F «путь к файлу или каталогу, владельца которых нужно изменить» «дополнительные опции».
Работа с SACL объектаКак вы, наверное, уже знаете, включить аудит доступа к различным категориям объектов операционной системы можно с помощью оснастки GROUP POLICY OBJECT EDITOR, которая также входит в стандартную консоль gpedit.msc. Для этого нужно перейти в ее подраздел Computer Configuration/Windows Settings/Security Settings/Local Policies/Audit Policy. После этого можно указать определенный файл или ветвь реестра, аудит доступа к которым будет отслеживаться (если соответствующий тип аудита установлен в групповых политиках). Например, включить аудит для файла можно следующим образом. После отображения диалога PROPERTIES файла нужно перейти на вкладку SECURITY и нажать на кнопку ADVANCED. Это приведет к отображению нового диалога, содержащего в себе вкладку AUDITING. Вам достаточно перейти на эту вкладку и нажать на кнопку ADD…. После этого отобразится диалог SELECT USER OR GROUP для выбора учетной записи пользователя, для которого нужно установить аудит доступа к файлу. А после этого отобразится диалог AUDITING ENTRY FOR..., с помощью которого можно выбрать действия над файлом, сведения о выполнении пользователем которых будут заноситься в стандартный журнал Windows Vista. Похожим образом устанавливается аудит доступа к ветвям реестра. Просмотреть же события аудита можно в стандартном журнале операционной системы SECURITY, отображаемом в оснастке EVENT VIEWER (входит в консоль eventvwr.msc). Однако это не единственный способ работы с функциями аудита операционной системы. Программа командной строки auditpol.exeВ состав операционной системы Windows Vista входит программа командной строки, назначением которой является аудит доступа к объектам и его настройкам. Эта программа является нововведением операционной системы Windows Vista, однако мы не будем полностью описывать ее параметры, так как о них всегда можно прочитать, введя в командной строке команду auditpol.exe /? или auditpol.exe «команда» /?. Давайте рассмотрим лишь основные способы применения данной программы. Просмотр состояния аудита доступа к компонентам операционной системы С помощью данной программы можно определить, включен или нет аудит доступа к тем или иным категориям или подкатегориям доступа операционной системы. Для просмотра состояния аудита подкатегорий определенной категории доступа используется команда auditpol.exe /get /Category:"категория". Где вместо категории можно использовать следующие значения.
Подкатегории категорий аудита описывались выше не только для того, чтобы было более точно понятно, аудит чего именно выполняют данные категории. Вы можете просмотреть непосредственно состояние определенной подкатегории аудита. Для этого применяется команда auditpol /get /SubCategory:"подкатегория". Кроме того, в командах просмотра состояния аудита вы можете использовать опцию /r. При ее использовании будет отображаться не только состояние аудита, но и такие дополнительные параметры, как имя компьютера, CLSID-номер подкатегории (его можно использовать в командах вместо названия подкатегории). Также можно использовать опцию /user:, чтобы определить пользователя, состояние аудита для которого будет отображаться. Например, чтобы просмотреть состояние аудита системных событий для пользователя administrator (в расширенном варианте), нужно воспользоваться командой auditpol /get /user:administrator /category:"system" /r. Редактирование состояния категорий аудита При помощи данной программы можно не только просматривать состояние аудита категорий, но и устанавливать новое состояние. Для этого применяются команды auditpol /set /category:"категория" или auditpol /set /subcategory:"подкатегория". При этом будет устанавливаться аудит успеха применения определенных категорией или подкатегорией прав. Если же нужно установить аудит неудачных попыток применения определенных категорией или подкатегорией прав, тогда нужно воспользоваться следующими командами: auditpol /set /category:"категория" /failure:enable или auditpol /set /subcategory:"подкатегория" /failure:enable. Если нужно установить аудит как удачных, так и неудачных попыток применения определенных категорией или подкатегорией прав, тогда нужно воспользоваться следующими командами: auditpol /set /category:"категория" /success:enable /failure:enable или auditpol /set /subcategory:"подкатегория" /success:enable /failure:enable. Кроме того, можно отключить состояние определенных категорий аудита. Для этого в опциях /success и /failure вместо значения enable нужно указать значение disable. Также вы можете использовать опцию /user:, чтобы указать пользователя, для которого устанавливается данное состояние аудита. Работа с дополнительными параметрами аудита С помощью данной программы можно также включать или отключать дополнительные настройки работы аудита. Для этого применяются следующие значения опции /option программы.
Чтобы просмотреть текущее значение одной из приведенных выше опции, нужно воспользоваться командой auditpol /get /option:"опция". Чтобы установить новое значение опции, нужно воспользоваться командой auditpol /set /option:"опция" /value:значение. Если значение опции /value равно enable, тогда данная опция аудита будет включена. Если же значение опции равно disable, тогда опция аудита будет отключена. Архивирование и восстановление настроек аудита Программа auditpol.exe позволяет сохранить текущее состояние аудита доступа в файл, чтобы потом восстановить их из этого файла. Для сохранения настроек аудита в файл применяется команда auditpol /backup /file:путь к файлу с расширением .csv. Настройки аудита доступа сохраняются в обычный текстовый файл, в котором настройки разделяются между собой запятой. Для восстановления настроек аудита из файла применяется команда auditpol /restore /file:путь к файлу с расширением .csv. Удаление политик аудита И последней возможностью данной программы является возможность удаления настроек аудита для определенных учетных записей пользователей. Чтобы очистить состояние всех категорий и подкатегорий аудита доступа для всех пользователей, нужно воспользоваться командой auditpol /clear. При этом очищается как состояние категорий аудита, так и параметров аудита ветви реестра HKLM\SYSTEM\CurrentControlSet\Control\Lsa. Продолжение следует Рейтинг: 5.00 [ 1 ]
Оцените: 1 2 3 4 5 moemesto.ru bobrdobr.ru
- добавить в социальные закладки
В начало записиОригинал статьи: http://www.onestyle.com.ua/txt.php?u=509
|
В избранное | ||