Корень c:
Victor Sudakov
* Crossposted in ru.windows.nt.admin
Dear Serg,
12 Apr 11 11:58, you wrote to me:
VS>> Киньте мне пожалуйста (ссылочку на) шаблон безопасности для XP,
VS>> который закрывает запись обычному пользователю в C:\
SA> а просто раздать права на диск С:\ с ограничением для обычного
SA> юзера - не?
Можно и просто. Ты главное скажи, как должны выглядеть эти права с
ограничением, чтобы ничего у пользователя не отвалилось, а шаблон безопасности
я и сам нарисую.
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
Serg Ageev
Привет Victor!
12 апреля 2011 16:15, Victor Sudakov писал Serg Ageev:
VS>>> Киньте мне пожалуйста (ссылочку на) шаблон безопасности для XP,
VS>>> который закрывает запись обычному пользователю в C:\
SA>> а просто раздать права на диск С:\ с ограничением для
SA>> обычного юзера - не?
VS> Можно и просто. Ты главное скажи, как должны выглядеть эти права с
VS> ограничением, чтобы ничего у пользователя не отвалилось, а шаблон
VS> безопасности я и сам нарисую.
SYSTEM - установлены все галки Разрешить, нет ни одной Запретить
АДМИHИСТРАТОРЫ - установлены все галки Разрешить, нет ни одной Запретить
Все - все галки сняты
Пользователи - установлены галки Чтение-и-выполнение,
Список-содержимого-папки и Чтение, нет ни одной Запретить.
Создатель-Владелец - все галки сняты
галка Особые разрешения - серая, наследуюется, изменить её "просто так" у меня
нельзя, не трогаем.
данный расклад - родной виндовый, на системный раздел. с ним ограниченный юзер
не может: записать файл в корень системного раздела, в некоторые папки, а,
например, в папку своего профиля - может.
если же у тебя тут все права порушены, то тебе нужно будет ручками раздавать на
каждую папку.
рекомендую предварительно составить список - кому-куда-чего.
С уважением Serg.
Victor Sudakov
12 Apr 11 14:07, you wrote to me:
VS>>>> Киньте мне пожалуйста (ссылочку на) шаблон безопасности для XP,
VS>>>> который закрывает запись обычному пользователю в C:\
SA>>> а просто раздать права на диск С:\ с ограничением для
SA>>> обычного юзера - не?
VS>> Можно и просто. Ты главное скажи, как должны выглядеть эти права с
VS>> ограничением, чтобы ничего у пользователя не отвалилось, а шаблон
VS>> безопасности я и сам нарисую.
SA> SYSTEM - установлены все галки Разрешить, нет ни одной
SA> Запретить АДМИHИСТРАТОРЫ - установлены все галки Разрешить, нет
SA> ни одной Запретить Все - все галки сняты Пользователи
SA> - установлены галки Чтение-и-выполнение, Список-содержимого-папки и
SA> Чтение, нет ни одной Запретить. Создатель-Владелец - все галки
SA> сняты
SA> галка Особые разрешения - серая, наследуюется, изменить её "просто
SA> так" у меня нельзя, не трогаем.
Вот как раз для того, чтобы не описывать права так многословно и в терминах
графического интерфейса, я и просил эту информацию в виде шаблона безопасности.
SA> данный расклад - родной виндовый, на системный раздел. с ним
SA> ограниченный юзер не может: записать файл в корень системного раздела,
SA> в некоторые папки, а, например, в папку своего профиля - может.
Хм, может в эхотаге это и так, а в XP и win2003 родной виндовый расклад именно
что позволяет пользователю создавать папки в корне системного диска.
SA> если же у тебя тут все права порушены, то тебе нужно будет ручками
SA> раздавать на каждую папку. рекомендую предварительно составить список
SA> - кому-куда-чего.
Для восстановления порушенных прав на системный диск Microsoft предумотрел
шаблон C:\WINDOWS\security\templates\rootsec.inf
и кстати в нём как раз права такие, что пользователь может писать в сабж.
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
Serg Ageev
Привет Victor!
12 апреля 2011 18:20, Victor Sudakov писал Serg Ageev:
VS> Хм, может в эхотаге это и так, а в XP и win2003 родной виндовый
VS> расклад именно что позволяет пользователю создавать папки в корне
VS> системного диска.
я открыл Свойства раздела в ХП, HТ4 у меня нет под рукой.
и перед тем, как тебе писать, я проверил.
создал тестового юзера, ограничил его права, запустил фар с правами этого
тестового юзера.
попробовал скопировать файл в корень системного диска - отлуп.
попробовал скопировать в папку его профиля - успешно.
скажи, что ещё попробовать - я попробую...
VS> Для восстановления порушенных прав на системный диск Microsoft
VS> предумотрел шаблон C:\WINDOWS\security\templates\rootsec.inf и кстати
VS> в нём как раз права такие, что пользователь может писать в сабж.
тогда я не знаю, откуда на свежеустановленной ХП+СП3рус права розданы так,
как я описал.
как тебе показать свою rootsec.inf, в смысле, ту, которая виндовая?
С уважением Serg.
Serg Ageev
12 апреля 2011 17:42, Serg Ageev писал Victor Sudakov:
VS>> Хм, может в эхотаге это и так, а в XP и win2003 родной виндовый
VS>> расклад именно что позволяет пользователю создавать папки в корне
VS>> системного диска.
посмотрел я "внутри".
и так, на тему создания папок.
открыли свойства нужного раздела, для Пользователя поставили все пустые
галки, нажимаем Дополнительно, выбираем "Разрешить Пользователи Создание папок
/Дозапись данных" - Изменить.
Hа этом "Создание папок /Дозапись данных", как оказалось, есть галка.
сняли её, сохранили без "применять внутри...".
если нужно разрешить в каких-то папках на этом разделе, то на этих папках в
этом месте - Ставим галку и "применяем внутри".
проверил - в корне нельзя, а, например, внутри профиля - можно создать
папку.
и ручками разрешил в темпе создавать - работает...
оно?
С уважением Serg.
Victor Sudakov
12 Apr 11 20:07, you wrote to me:
VS>>> Хм, может в эхотаге это и так, а в XP и win2003 родной виндовый
VS>>> расклад именно что позволяет пользователю создавать папки в корне
VS>>> системного диска.
SA> посмотрел я "внутри". и так, на тему создания папок. открыли свойства
SA> нужного раздела, для Пользователя поставили все пустые галки, нажимаем
SA> Дополнительно, выбираем "Разрешить Пользователи Создание папок
SA> /Дозапись данных" - Изменить. Hа этом "Создание папок /Дозапись
SA> данных", как оказалось, есть галка. сняли её, сохранили без "применять
SA> внутри...". если нужно разрешить в каких-то папках на этом разделе, то
SA> на этих папках в этом месте - Ставим галку и "применяем внутри".
SA> проверил - в корне нельзя, а, например, внутри профиля - можно создать
SA> папку. и ручками разрешил в темпе создавать - работает...
Я сделал так:
=== Cut ===
[Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[Registry Values]
[Profile Description]
Description=Запретить запись в корень системного диска
[File Security]
"%SystemDrive%\",0,"D:PAR(A;OICI;FA;;;BA)(A;OICIIO;FA;;;CO)(A;OICI;FA;;;SY)(A;O
ICI;0x1200a9;;;BU)"
=== Cut ===
SA> оно?
Не знаю. А как убедиться, что это правильно? Я бы предпочел что-нибудь
рекомендованное MS или признанными специалистами по безопасности винды.
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
Victor Sudakov
12 Apr 11 17:42, you wrote to me:
VS>> Хм, может в эхотаге это и так, а в XP и win2003 родной виндовый
VS>> расклад именно что позволяет пользователю создавать папки в корне
VS>> системного диска.
SA> я открыл Свойства раздела в ХП, HТ4 у меня нет под рукой. и перед тем,
SA> как тебе писать, я проверил. создал тестового юзера, ограничил его
SA> права, запустил фар с правами этого тестового юзера. попробовал
SA> скопировать файл в корень системного диска - отлуп. попробовал
SA> скопировать в папку его профиля - успешно. скажи, что ещё попробовать
SA> - я попробую...
Попробуй создать в корне c: папку из-под юзера.
VS>> Для восстановления порушенных прав на системный диск Microsoft
VS>> предумотрел шаблон C:\WINDOWS\security\templates\rootsec.inf и
VS>> кстати в нём как раз права такие, что пользователь может писать в
VS>> сабж.
SA> тогда я не знаю, откуда на свежеустановленной ХП+СП3рус права розданы
SA> так, как я описал. как тебе показать свою rootsec.inf, в смысле, ту,
SA> которая виндовая?
Ты загрузи его сам в редактор шаблонов (mmc, Добавить оснастку -> Шаблоны
безопасности) и посмотри сам, какие права предполагаются на %SystemDrive% в
шаблонах rootsec.inf и "setup security.inf". Это и есть умолчания от Microsoft.
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
Serg Ageev
Привет Victor!
13 апреля 2011 09:09, Victor Sudakov писал Serg Ageev:
SA>> посмотрел я "внутри". и так, на тему создания папок. открыли
SA>> свойства нужного раздела, для Пользователя поставили все пустые
SA>> галки, нажимаем Дополнительно, выбираем "Разрешить Пользователи
SA>> Создание папок /Дозапись данных" - Изменить. Hа этом "Создание
SA>> папок /Дозапись данных", как оказалось, есть галка. сняли её,
SA>> сохранили без "применять внутри...". если нужно разрешить в
SA>> каких-то папках на этом разделе, то на этих папках в этом месте -
SA>> Ставим галку и "применяем внутри". проверил - в корне нельзя, а,
SA>> например, внутри профиля - можно создать папку. и ручками
SA>> разрешил в темпе создавать - работает...
VS> Я сделал так:
VS> === Cut ===
VS> [Unicode]
VS> Unicode=yes
VS> [Version]
VS> signature="$CHICAGO$"
VS> Revision=1
VS> [Registry Values]
VS> [Profile Description]
VS> Description=Запретить запись в корень системного диска
VS> [File Security]
VS> "%SystemDrive%\",0,"D:PAR(A;OICI;FA;;;BA)(A;OICIIO;FA;;;CO)(A;OICI;FA;
VS> ;;SY)(A;O ICI;0x1200a9;;;BU)"
VS> === Cut ===
SA>> оно?
VS> Hе знаю. А как убедиться, что это правильно?
?
а самостоятельно ПРОВЕРИТЬ?
ты сам - пробовал Создать Папку в корне?
я - пробовал.
не получилось.
я уже всё это тебе расписал.
попробуй и скажи - что получается у тебя.
VS> Я бы предпочел что-нибудь рекомендованное MS или признанными
VS> специалистами по безопасности винды.
если не получишь Официального ответа - так и будешь сидеть с разрешением
записи?
С уважением Serg.
Victor Sudakov
13 Apr 11 07:50, you wrote to me:
VS>> Hе знаю. А как убедиться, что это правильно?
SA> а самостоятельно ПРОВЕРИТЬ?
Проверить совместимость всего софта с такой настройкой? Как ты это себе
представляешь?
SA> ты сам - пробовал Создать Папку в корне?
SA> я - пробовал.
SA> не получилось.
SA> я уже всё это тебе расписал.
Запрет-то конечно работает. Но ведь не зря Microsoft разрешил создавать папки в
корне. Значит что-то может отвалиться при включении запрета.
SA> попробуй и скажи - что получается у тебя.
VS>> Я бы предпочел что-нибудь рекомендованное MS или признанными
VS>> специалистами по безопасности винды.
SA> если не получишь Официального ответа - так и будешь сидеть с
SA> разрешением записи?
Скажем осторожнее, иначе как после рекомендации специалиста или достаточно
долгих наблюдений я не рискну распространить этот шаблон на юзерские компы.
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
Serg Ageev
Привет Victor!
13 апреля 2011 12:33, Victor Sudakov писал Serg Ageev:
VS>>> Hе знаю. А как убедиться, что это правильно?
SA>> а самостоятельно ПРОВЕРИТЬ?
VS> Проверить совместимость всего софта с такой настройкой? Как ты это
VS> себе представляешь?
да никак!
ты серьёзно надеешься, что ОДHА контора, тот же майкрософт, "подпишется за
соответствие" ВСЕГО СОФТА???
:-)
VS> Запрет-то конечно работает. Hо ведь не зря Microsoft разрешил
VS> создавать папки в корне. Значит что-то может отвалиться при включении
VS> запрета.
майкрософт не зря, наверно, Спрятал вкладку Безопасность по-умолчанию.
наверно, из заботы о безопасности юзеров.
"вдруг они чего разрешат лишнего"...
SA>> если не получишь Официального ответа - так и будешь сидеть с
SA>> разрешением записи?
VS> Скажем осторожнее, иначе как после рекомендации специалиста или
VS> достаточно долгих наблюдений я не рискну распространить этот шаблон на
VS> юзерские компы.
в таком случае затариваемся попкорном и ждём.
либо одного, либо другого... :-)
С уважением Serg.
Victor Sudakov
13 Apr 11 11:06, you wrote to me:
VS>>>> Hе знаю. А как убедиться, что это правильно?
SA>>> а самостоятельно ПРОВЕРИТЬ?
VS>> Проверить совместимость всего софта с такой настройкой? Как ты это
VS>> себе представляешь?
SA> да никак!
SA> ты серьёзно надеешься, что ОДHА контора, тот же майкрософт,
SA> "подпишется за соответствие" ВСЕГО СОФТА???
Того, который носит логотип "Designed for Microsoft Windows XP" и подобные -
почему нет? Затем и программа придумана.
"Software for hardware products with the Designed for Microsoft Windows XP logo
has a digital signature from Microsoft, indicating that the product was tested
for compatibility with Windows..." (информация с с microsoft.com). Так что
подпишется, причём в буквальном смысле - цифровой подписью.
Другое дело, что тестировать они могли с дефолтовыми правами, предполагающими
полный доступ юзера к сабжу.
VS>> Запрет-то конечно работает. Hо ведь не зря Microsoft разрешил
VS>> создавать папки в корне. Значит что-то может отвалиться при
VS>> включении запрета.
SA> майкрософт не зря, наверно, Спрятал вкладку Безопасность по-умолчанию.
SA> наверно, из заботы о безопасности юзеров. "вдруг они чего разрешат
SA> лишнего"...
В корпоративной вроде ничего не спрятано.
SA>>> если не получишь Официального ответа - так и будешь сидеть с
SA>>> разрешением записи?
VS>> Скажем осторожнее, иначе как после рекомендации специалиста или
VS>> достаточно долгих наблюдений я не рискну распространить этот
VS>> шаблон на юзерские компы.
SA> в таком случае затариваемся попкорном и ждём.
SA> либо одного, либо другого... :-)
Ну типа да, придется самому тестером выступать. А мечталось, что есть
какие-нибудь рекомендации от производителя по OS security hardening.
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
Serg Ageev
Привет Victor!
13 апреля 2011 15:37, Victor Sudakov писал Serg Ageev:
VS> Hу типа да, придется самому тестером выступать.
если ты изначально подразумеваешь решение задачи - "поставить юзеру и
забыть на Всю Жизнь", то гарантировать отсутствие проблем не сможет и Госстрах.
он только оплачивает проблемы, а не защищает от них. :-)
иначе же, у тебя должен быть личный опыт, который должен подсказывать, что
Вменяемые программы под Ограниченным Юзером HЕ создают папок в корне системного
диска После Окончания установки.
HЕ Вменяемые же - могут хотеть "чего угодно".
надеюсь, что ты заметил, что я :-) говорю не корень "диска С", а корень
"системного диска".
это я к тому, что на моих машинах, как правило, система не живёт на диске
С:, который вообще закрыт на запись всем пользователям и имеет "чисто
символический размер", так как там живёт только загрузчик.
так вот, мне не очень часто, но практически регулярно приходилось
устанавливать программы, которые желали установится ТОЛЬКО в C:\ХУРЛЫ-МУРЛЫ.
если же эти программы не могли создать именно там именно эту папку "наступал
системный кризис".
причем, исправить "естественным путём" эту проблему не представлялось
возможным, ибо это было зашито уже в экзешник, а не в конфигах прописано.
проблему приходилось решать "ректально". :-(
ты бы назвал Вменяемыми ТАКИХ программистов? :-)
это всё к тому, что "случаи бывают разные" и "у старухи тоже бывает
прореха". :-)
только проверка, только лично и только всех программ. а надеяться на
обещание того же майкрософта не приходится. в том смысле, что чуть ли не в
половине случаев, даже у покупного софта в лицензии написано про "as is"...
С уважением Serg.