Общее представление о правах доступа к каталогам и файлам
Одной из основных возможностей защиты, которую можно реализовать как на сервере, так и на рабочих станциях, это управление доступом к файловой системе NT (NTFS), которое позволяет создавать списки управления доступом (access control list, ACL) к каталогам и файлам. Эти списки определяют, кто имеет право доступа к папке/файлу и право их изменять, даже в том случае, если пользователь находится за консолью локального компьютера.
Любая папка и файл на жестком диске, отформатированном под NTFS, имеет ACL, который определяет, кто может иметь доступ (или не может его иметь) к конкретному ресурсу. Списки ACL доступны только на жестких дисках, отформатированных под NTFS. Таблица размещения файлов (File Allocation Table, FAT) жестких дисков, отформатированных под FAT и FAT32, не позволяет задавать права доступа к локальным файлам.
Ипользование AccessEnum и интерпретация результатов
Инструментальное средство AccessEnum компании Sysinternals можно ис-тьзовать для проверки прав доступа, назначенных файлу, папке и их содержимому, или ключу и подключу реестра. Используя эту информацию, можно использовать инструментальные средства, такие как Windows Explorer или средство командной строки xcacls.exe для изменения или корректировки лю-jx неправильных или небезопасных назначений прав.
По умолчанию, AccessEnum выводит следующие папки и файлы:
- каталоги, права доступа к которым отличаются от прав родительской папки;
- файлы, которые имеют полномочия с меньшими ограничениями, чем папка в которой они находятся.
Чтобы выбрать для просмотра другой каталог, нажмем кнопку Directory, переместимся к папке, которую хотим просканировать, а затем нажмем ОК. Используя эту информацию, можно использовать инструментальные средства, такие как Windows Explorer или средство командной строки xcacls.exe для изменения или корректировки любыx неправильных или небезопасных назначений прав.
Чтобы изменить то, каким образом AccessEnum отображает различие в правах доступа к файлам, выберем меню Options. Щелкнем по пункту File display options и выберем одну из следующих опций:
- выводить только файлы, которые имеют права доступа с меньшими ограничениями, чем родитель (по умолчанию);
- выводить файлы с правами доступа, которые отличаются от прав родителя.
Чтобы настроить AccessEnum так, чтобы включить учетную запись (account) Windows LocalSystem, при сканировании прав элементов, щелкнем по меню Options, а затем выберем Show LocalSystem account.
