Безопасность файловой системы NT (NTFS)

Файлы в Windows Server 2008 R2 безопасны лишь постольку, поскольку для них опреде­лены права доступа. Поэтому неплохо знать, что Windows Server 2008 R2 не предоставляет группе Everyone (Все пользователи) полный контроль над правами доступа уровня общих ресурсов и уровня NTFS. Кроме того, критические файлы и каталоги операционной систе­мы защищены от их несанкционированного использования. Несмотря на наличие общих усовершенствований, рекомендуется тщательно разобраться в безопасности на файловом уровне, чтобы не снизить безопасность сервера на этом уровне.

В Windows Server 2008 R2 для обеспечения безопасности в операционной системе на файловом уровне применяется последняя версия файловой системы NT (NT File System — NTFS). Каждый объект, на который имеется ссылка в NTFS, в том числе файлы и папки, помечается записью контроля доступа (Access Control Entry — АСЕ), которая физически ограничивает круг пользователей, имеющих доступ к ресурсу. Права доступа NTFS исполь­зуют эту концепцию для жесткого управления доступом на чтение, запись и другие типы доступа к файлам.

Файловые серверы должны обоснованно применять права доступа уровня NTFS, и сле­дует проверить права доступа файлового уровня во всех каталогах для обнаружения воз­можных брешей в наборе прав доступа NTFS. Изменение прав доступа NTFS в Windows Server 2008 R2 — простой процесс. Достаточно выполнить следующие действия.

1. Щелкните правой кнопкой мыши на папке или файле, к которому нужно приме­нить установки безопасности, и выберите в контекстном меню пункт Properties (Свойства).
2. Перейдите на вкладку Security (Безопасность).
3. Щелкните на кнопке Advanced (Дополнительно).
4. Щелкните на кнопке Change Permissions (Изменить права доступа).
5. Снимите отметку с флажка Include Inheritable Permissions from This Object's Parent (Включать права доступа, наследуемые от родителя этого объекта).
6. На вопрос о применении родительских прав доступа щелкните на кнопке Remove (Удалить).
7. В диалоговом окне Advanced (Дополнительно) используйте кнопки Add (Создать), чтобы получить доступ к группам и/или пользователям, которым нужен доступ к файлам или папкам.
8. Установите флажок Replace All Child Object Permissions with Inheritable Permissions from This Object (Заменять права во всех объектах-потомках на права, наследуемые от данного объекта), и щелкните на кнопке ОК.