Безопасность файловой системы NT (NTFS)
Файлы в Windows Server 2008 R2 безопасны лишь постольку, поскольку для них определены права доступа. Поэтому неплохо знать, что Windows Server 2008 R2 не предоставляет группе Everyone (Все пользователи) полный контроль над правами доступа уровня общих ресурсов и уровня NTFS. Кроме того, критические файлы и каталоги операционной системы защищены от их несанкционированного использования. Несмотря на наличие общих усовершенствований, рекомендуется тщательно разобраться в безопасности на файловом уровне, чтобы не снизить безопасность сервера на этом уровне.
В Windows Server 2008 R2 для обеспечения безопасности в операционной системе на файловом уровне применяется последняя версия файловой системы NT (NT File System — NTFS). Каждый объект, на который имеется ссылка в NTFS, в том числе файлы и папки, помечается записью контроля доступа (Access Control Entry — АСЕ), которая физически ограничивает круг пользователей, имеющих доступ к ресурсу. Права доступа NTFS используют эту концепцию для жесткого управления доступом на чтение, запись и другие типы доступа к файлам.
Файловые серверы должны обоснованно применять права доступа уровня NTFS, и следует проверить права доступа файлового уровня во всех каталогах для обнаружения возможных брешей в наборе прав доступа NTFS. Изменение прав доступа NTFS в Windows Server 2008 R2 — простой процесс. Достаточно выполнить следующие действия.
- Щелкните правой кнопкой мыши на папке или файле, к которому нужно применить установки безопасности, и выберите в контекстном меню пункт Properties (Свойства).
- Перейдите на вкладку Security (Безопасность).
- Щелкните на кнопке Advanced (Дополнительно).
- Щелкните на кнопке Change Permissions (Изменить права доступа).
- Снимите отметку с флажка Include Inheritable Permissions from This Object's Parent (Включать права доступа, наследуемые от родителя этого объекта).
- На вопрос о применении родительских прав доступа щелкните на кнопке Remove (Удалить).
- В диалоговом окне Advanced (Дополнительно) используйте кнопки Add (Создать), чтобы получить доступ к группам и/или пользователям, которым нужен доступ к файлам или папкам.
- Установите флажок Replace All Child Object Permissions with Inheritable Permissions from This Object (Заменять права во всех объектах-потомках на права, наследуемые от данного объекта), и щелкните на кнопке ОК.