Записки ремесленника

Александр Приходько

Спецвыпуск: Хакер, номер #061, стр. 061-108-4

Заниматься этим придется очень часто, если ты позволишь пользователям самим менять пароли :). Как говорят французы, се ля ви. Либо пользователи сами изменяют пароли и забывают их, зато кроме пользователя и тебя на его машину никто не влезет, а ты с завидной периодичностью будешь сбрасывать пароли подопечным, либо ты сам прописываешь пароли и дальше проблема пользователя, что делать с ним - приклеить к монитору на стикере или запомнить.

Психологическое отступление

Чем сложнее и строже политика безопасности, тем чаще в твою безопасность вмешивается человеческий фактор. Не хочется переходить на личности, но в одном московском банке установили аутентификацию на вход в систему по ключам Touch Memory. Через два месяца ребята, которые устанавливали это все, пришли в банк по мелким делам и чуть не заработали инфаркт: почти на всех системных блоках висели приклеенные на скотче ключи Touch Memory. На гневное замечание о нарушении безопасности работники банка ответили: "Зато так мы не теряем эти ключи". Любая безопасность бессильна перед человеческим фактором. Если пароль очень длинный, пользователь напишет его на бумажке и оставит возле монитора. Я не призываю, конечно, наплевать на безопасность, но попробуем свести вред человеческого фактора к минимуму. Попробуем построить домен так, чтобы не бояться потерять любой компьютер домена плюс чтобы сам домен никак не пострадал.

Эта долька для ежа...

Теперь размещаем наших пользователей по группам "Ляпкин, Тяпкин, Пупкин" – "Экономисты", "Иванов, Петров, Сидоров" – HEAD, "Балаганов, Бендер, Козлевич" – "Бухгалтерия".

Займемся NTFS-разрешениями. Для этого заходим на диск Е:\ в папку HEAD> Users, далее папка "Иванов".

На файле nokill.txt правой кнопкой мыши, Properties> Security, в поле Group or user names удалить всех, кроме Administrators (это делается через кнопку Remove). И тут мы получаем сообщение о невозможности удалить пользователя, потому что разрешения NTFS на этот объект наследуются от родительского, то есть от диска Е:\.

Напротив надписи "For special permissions…" нажимаем кнопку Advanced. В открывшихся свойствах на первой закладке наблюдаем все действующие разрешения. Убираем галочку напротив надписи "Allow inheritable permissions…", так как Windows по умолчанию распространяет все разрешения с родительского объекта на дочерний. Если ты создаешь каталог и назначаешь на нем какие-нибудь права, а позже внутри этого каталога создается файл или другой каталог, то вновь созданные файлы/папки получат те же права, что и родительские. Так вот чтобы спокойно рулить правами на дочернем, просто снимаем ту галочку. В результате Windows выдает запрос: "Что сделать с уже имеющимися правами?" Их можно скопировать либо удалить - выбираем "Скопировать".