ИТ-консультант Брэд Берд (Brad Bird) рассказывает о файловых разрешениях NTFS по умолчанию, о том, что они в себя включают, как переносятся в рамках иерархии файлов и папок и что это означает с точки зрения информационной безопасности.
В этой статье я буду говорить о файловых разрешениях, принятых в Windows Vista Business Edition. В других версиях Windows – NT, 2000, 2003, XP, 2008 – могут быть некоторые отличия с точки зрения функционального наполнения разрешений. А вот с точки зрения механизмов применения разрешений по умолчанию разные версии Windows отличаются друг от друга намного существеннее. Например, в Windows 2000 группа «Все» (Everyone) по умолчанию имеет полный доступ на уровне C:\, и эти разрешения наследуются в рамках полной иерархии файлов и папок – не самый разумный подход к безопасности. В последующих версиях Windows к применению разрешений по умолчанию подходят с большей осторожностью.
В большинстве случаев разрешений NTFS по умолчанию должно быть более чем достаточно для выполнения любых пользовательских задач. Давайте посмотрим, какие разрешения имеются в виду.
1...Полный доступ (Full Control) 2...Изменить (Modify) 3...Чтение и выполнение (Read and Execute) 4...Содержание папки (List Folder Contents) 5...Чтение (Read) 6...Запись (Write)
В сущности, если пользователь имеет разрешение изменять файл или папку, он получает и все остальные разрешения на редактирование. Разрешение на чтение и выполнение автоматически присваивает пользователю разрешение на чтение и просмотр содержания папок и так далее. Единственное исключение представляет собой разрешение на запись: бывают ситуации, в которых необходимо разрешить пользователю записать файл или папку, но запретить их чтение. Ключ ко всем разрешениям – полный доступ. Он не только дает пользователю разрешения на редактирование, но и позволяет изменять параметры доступа к файлу или папке.
Перечисленные выше разрешения по умолчанию на самом деле состоят из целого ряда индивидуальных разрешений, перечисленных в таблице A.
Таблица А:
Полный доступ
Изменить
Чтение и выполнение
Содержание (только папки)
Чтение
Запись
Полный доступ
Да
Обзор папок/Выполнение файлов
(Traverse Folder/Execute File)
Да
Да
Да
Да
Содержание папки/Чтение данных
(List Folder/Read Data)
Да
Да
Да
Да
Да
Чтение атрибутов
(Read Attributes)
Да
Да
Да
Да
Да
Чтение дополнительных атрибутов
(Read Extended Attributes)
Да
Да
Да
Да
Да
Создание файлов/Запись данных
(Create Files/Write Data)
Да
Да
Да
Создание папок/Дозапись данных
(Create Folders/Append Data)
Да
Да
Да
Запись атрибутов
(Write Attributes)
Да
Да
Да
Запись дополнительных атрибутов
(Extended Attributes)
Да
Да
Да
Удаление подпапок и файлов
(Delete Subfolders and Files)
Да
Удаление
(Delete)
Да
Да
Чтение разрешений
(Read Permissions)
Да
Да
Да
Да
Да
Да
Смена разрешений
(Change Permissions)
Да
Смена владельца
(Take Ownership)
Да
Обратите внимание: индивидуальные разрешения, входящие в состав разрешений на чтение и выполнение, просмотр содержания папки и только чтение, очень похожи, но применяются по-разному.
Другой аспект, на который следует обратить особое внимание, – на каком уровне применяются эти разрешения. По умолчанию они наследуются в рамках иерархии файлов и папок до самого нижнего уровня.
Изменить уровень применения разрешений по умолчанию можно с помощью следующих опций: • «Только для этой папки» (This folder only) • «Только для этой папки, ее подпапок и файлов» (This folder, subfolders, and files) • «Только для этой папки и ее подпапок» (This folder and subfolders) • «Только для этой папки и ее файлов» (This folder and files) • «Только для подпапок и файлов» (Subfolders and files only) • «Только для подпапок» (Subfolders only) • «Только для файлов» (Files only)
По умолчанию выбрана опция «Только для этой папки, ее подпапок и файлов», чем и объясняется наследование разрешений по всей иерархии файлов и папок. В зависимости от обстоятельств, применение разрешений бывает необходимо ограничить – например, если речь идет о доступе к системной папке C:\Windows.
Целью данной статьи было только проанализировать содержание файловых разрешений NTFS и рассказать о параметрах, принятых в Windows по умолчанию. А что думаете вы? Есть ли у вас надежные рецепты применения разрешений на все случаи жизни? Поделитесь с нами своим мнением в комментариях!