Цитата WindowsNT:
На мой взгляд, дефолтные разрешения на корень диска некорректны. На мой взгляд, не следует разрешать обычным пользователям запись в корень системного диска. » согласен на 500%, как поыиксить не подскажите ?

Цитата Blast:
Не совпадает с мнением большинства пользователей, большинство же администраторов, я надеюсь, солидарны с таким мнением » Цитата Vadikan:
Обоснуйте с точки зрения безопасности (темы обсуждения) » Цитата Vadikan:
А взамен что юзаете? Головной мозг? » Ой да ладно жили без UAC 10 лет с ВинXP и всё было Ок. Пока майкрософт не решила убить ось ради новых, которые будут продаваться, совершенно очевидно что это сделано спецом.
И плиз не начинайте холи воры. Это моя ось и вопрос не в том правильно ли давать возможность юзеру писать в корень системного дистка и удалять рутовские папки, а в том что я этого не хочу и спрашиваю как это сделать. А вы поднимаете тут холи воры.

Цитата Blast:
Нет конечно, там просто нужно ходить под рутом для действий с настройками системы. Забавно, что это не надоедает в никсах, но надоедает упрощённый вариант в Windows. »
В никсах созданная рутом папка не удаляется юзером по дефолту, даже не читается и правя правятся намного проще и понятнее.

И как я уже говорил не подниайте холи воры. Подскажите плиз как сделать что бы создаваемые папки рутовские не читались и уж тем более не удалялись юзерами и что бы это было по дефолту, а не надо было лезть в админы и править права каждой папке.

Создаваемые папки не наследуют часом права партишена ?

И как я уже говорил не подниайте холи воры. »
Не пользуйтесь оборотами типа "а вот в никсах такой фигни нету"

В остальном вам уже рассказали как работает система разрешений и как разграничить права.

Хотите создавать папки с определённым набором разрешений - используйте PowerShell (http://technet.microsoft.com/ru-ru/library/cc196356.aspx) - будет так же интересно и эффективно как в никсах.

Отвечать не обязательно, от темы отписался - аллергия на демагогию.

Blast, а в никсах уже от рута нельзя в GUI создавать папки и получать по дефолту корректные права ? о_О
Я уже писал что не хочу юзать костыли типа PowerShell (я молчу про неудобство и время , затрачиваемое на такую рутину), я хочу что бы по дефолту созданная папка рутом не давала юзеру прав туда смотреть и тем более удалять, я не знаю откуда у вас представление о нормальности удаления рутовских объектов юзером - это нормально.
Неужели Виндовс 8.1 настолько убога что не позволяет дефолтными правами рулить ?

Обоснуйте с точки зрения безопасности »

Там много пунктиков. Например, в Windows 2000 в одной точке сходились три проблемы:
- в реестре было прописано значение "shell=explorer.exe"
- поиск исполняемых файлов начинался не в %PATH%, а в корне системного диска
- дефолтные разрешения позволяли пользователям писать в корень системного диска

Как вы понимаете, заканчивалось это помещением своего, особого explorer.exe в корень.. и быстрым повышением привилегий до Администратора.

Если говорить за современные системы, то многие программы любят ставиться по умолчанию в корень системного диска. Наследуемые по умолчанию разрешения позволяют пользователям дописывать свои файлы в эти папки, в том числе исполняемые. На курсах хакеров я демонстрирую упражнение повышения привилегий до SYSTEM: https://www.htbridge.com/advisory/HTB23108

Дальше имеется ряд организационных нюансов, когда пользователь начинает сохранять данные в корне диска, а не в перенаправленном на сервер профиле, что приводит к отсутствию взаимозаменяемости рабочих станций и потере этих данных при переинсталляции.

Далее, привычка работать с незамусоренной корневой папкой позволяет быстро и безболезненно внедрить SRP. В общем, всё так сразу и не упомнишь.

WindowsNT, примеры из 2000 неактуальны, т.к. в современных клиентских ОС пользователи не могут создавать файлы в корне диска, только папки.

Большинство программ ставится в Program Files, а остальные администратор в корень ставить не должен - для этого есть Program Files. Если пользователи сами ставят программы в корень диска, они с тем же успехом поставят их в профиль и смогут дописать что угодно.

Остальное к безопасности отношения вообще не имеет, как я понимаю.

- поиск исполняемых файлов начинался не в %PATH%, а в корне системного диска »
Ух ты, не знал. Погляжу. А отчего так было сделано?

Iska, в 8.1 это точно не работает, а что было >10 лет назад, для этой темы значения не имеет.

Ну, во-первых, зачастую разницы нет, папка это с файлами пользователя или чисто файлы. Атака HTB23108 реализуется через папку.
Во-вторых, речь идёт не только о системном диске. На других разделах сохранять файлы или папки прямо в корень пользователям я тоже не даю. Такова выработанная систематика работы.
И вообще-то, в описанной в нашей теме проблеме речь идёт о папке.


Цитата Vadikan:
администратор в корень ставить не должен »

И вот тут мечты разбиваются о холодный бетон реальности — некоторые программы иначе, как из корневого каталога, не работают. И таких программ относительно много, к сожалению.
Во-вторых, существует много рабочих сред, где программу устанавливает разработчик, доводы администратора не слушая.
В третьих, об этом и говорится в вопросе нашей темы — человек создал папку в корне диска, а разрешения доступа не отрегулировал, полагаясь на некое ошибочное умолчание. Он полагал, что штамп владельца гарантирует неприкосновенность объекта безопасности, но это не так. Видимо, ему следует вручную отрегулировать разрешения, чтобы добиться желаемого.

Ну и, конечно же, доступность данных также является частью информационной безопасности .) Размещение данных в корне системного диска рабочей станции (а не в отведённых для этого местах) увеличивает риски потери данных при невнимательном управлении, отказе аппаратуры (диска), а также порождает риски несанкционированного доступа. Последний риск реализовался у автора темы.

Так или иначе, автор должен либо вручную регулировать разрешения доступа, если он хочет писать в корень, либо ситуация требует записи в корень; либо писать в другое место. Но вообще я предлагаю делать и то, и другое: и места выбирать правильно, и разрешения по-любому проверять.



Начало поиска в корне системного диска было в дальнейшем пропатчено. Однако, как показывает практика, знание истории бывает очень даже полезным, причём не только в ИТ.

WindowsNT, спасибо за лекцию. Вам осталось только дать конкретные инструкции ТС, чтобы мы могли закрыть тему.

WindowsNT, если позволите задам вопрос в лоб.
Что сделать что бы изменить на любом (включая системный) диске по умолчанию создаваемые права, а конкретно я хочу что бы папка создавалась с правами как в никсах, то есть юзер тужа заглянуть не может, удалить тем более не может.
В корне диска С и D создаются папки с разными правами, это наследуется от свойств диска ? Как это исправить ?

Корень диска — это тоже папка. Вызовите его свойства и смотрите закладку Security. Не получается?
Но убирать право чтения диска не следует.

WindowsNT, там такие же права, как и в сабже на скринахпо идее при таких правах, не должен удалять папку, нет?

Всё, что я сделал — нажал кнопку Advanced. Теперь смотрите мой скриншот и читайте внимательно выделенную строчку.
Последние две строки следует удалить.

И да, Microsoft, на мой взгляд, слишком плохо переделали интерфейс назначения разрешений. Отвратительно в нём всё — начиная с количества кликов, которые необходимо совершить для даже минимальных исправлений; заканчивая скроллером ради единственной строчки (см. ваш снимок "права файла"). Скроллер для одной строки — это нереально тупо, а ведь именно в этой строке стоит галка, которая могла навести вас на мысль.

Теперь смотрите мой скриншот и читайте внимательно выделенную строчку »
В скобках замечу, что с тем же успехом можно было читать сообщения 3 и 14 этой темы :)

WindowsNT, спасибо, понял.
Согласен по поводу нового интерфейса и скролинга на 1 пункт .
WindowsNT, Vadikan, с моим вопросом соприкасается эта темка (http://forum.oszone.net/nextnewesttothread-179150.html) и собственно там есть статья про изменения в системе безопасности Висты относительно XP. Почитал и получается что подавляющее количество нововведений включая UAC это всё костыли, стоило как в никсах просто запретить руту GUI.

с моим вопросом соприкасается эта темка »
Тогда я закрываю эту как решенную.