Продолжаем начатый в прошлой статье разговор о настройке параметров безопасности серверов под управлением Windows. Для лучшего усвоения материала и тестирования настроек рекомендуем вам арендовать VPS сервер на Дельтахост — http://deltahost.ua/vps.html, либо установить одну из известных локальных машин. Начнем.
Заданные по умолчанию группы безопасности
Почти всегда вы обнаружите, что большинство назначений заданных по умолчанию разрешений в Windows Server 2003 предназначены следующим встроенным группам безопасности:
Права пользователей, заданные по умолчанию
В Windows Server 2003 вы даете пользователям разрешение (право доступа) на выполнение определенных функций в масштабе всей системы через назначения прав пользователей. В Таблице А перечислены основные назначения прав пользователей наряду с группами, которым Windows Server 2003 назначает эти права по умолчанию.
Заданные по умолчанию права доступа (разрешения) к файловой системе и системному реестру
По умолчанию, Windows Server 2003 назначает разрешение (права доступа) «Полный доступ» (Full Control) для всех файлов, папок, а также ключей системного реестра встроенным группам «Администраторы» (Administrators), «Система» (System) и «Создатель-владелец» (Creator Owner). В Таблице В представлен список назначений разрешений (прав доступа) группе «Пользователи» (Users), которые предоставляют разрешения (права доступа) большие, чем «Чтение» (Read) для файловой системы и системного реестра. Для остальной части файловой системы и системного реестра у пользователей есть доступ на «Чтение» (Read) или меньшие разрешения для доступа к ним.
В дополнение к правам доступа (разрешениям), назначенным группе «Пользователи» (Users), группа «Опытные пользователи» (Power Users) также имеет разрешение «Изменить» (Modify) для следующих объектов:
• Папки \Program Files и ее подкаталогов.
• %SystemRoot% (обычно C:\Windows).
• %SystemRoot%\System32.
• Раздела системного реестра: HKEY_LOCAL MACHINES Software.
Как обстоят дела с группой «Все» (Everyone)?
Если вы знакомы с безопасностью из Windows 2000 Server или Windows NT 4, то, вероятно, задаетесь вопросом, что случилось с разрешениями (permissions) для группы «Все» (Everyone). Когда вы выполняете чистую инсталляцию Windows Server 2003 (а не апгрейд), программа начальной установки не назначает разрешения для файловой системы «Полный доступ» (Full Control) для корневого каталога группе «Все» (Everyone). Если вы выполняете апгрейд до Windows Server 2003, программа начальной установки изменяет назначения разрешений (прав доступа) группе «Все» (Everyone) для корневого каталога на отсутствие разрешений (permissions). Знайте, что программа начальной установки не удаляет никакие разрешения (права доступа), назначенные группе «Все» (Everyone) для подкаталогов.
Продолжение в следующей статье.