Наконец, если требуется обеспечить наивысшую степень защиты данных, шифрования информации на жестком диске может оказаться недостаточно, поскольку фрагменты конфиденциальных файлов, хранящиеся в памяти в незашифрованном виде, могут записываться в файл виртуальной памяти Windows NT (pagefile.sys). В этом случае необходимо использовать специализированные контроллеры дисков, способные обеспечить шифрование «на лету» любых данных, записываемых на жесткий диск.
Как грамотно установить разрешения NTFS?
По умолчанию при установке Windows NT и использовании файловой системы NTFS устанавливаются довольно «свободные» разрешения, позволяющие обычным пользователям получить доступ к ряду критичных системных файлов и папок. Многие вообще имеют разрешение FullControlдля группы Everyone (например, системная папка — обычно папка WINNT). Если же при установке для системного раздела была выбрана файловая система FAT, которая только потом была преобразована в NTFS, то разрешение FullControlдля группы Everyone устанавливается на все файлы и папки этого раздела. Естественно, такие разрешения не годятся там, где требуется обеспечение защиты и операционной системы, и конфиденциальности данных. Поэтому рекомендуется поступить так:
Для корневой
папки системного раздела, всех вложенных папок и файлов внутри них установите
вначале следующие разрешения NTFS:
|
УчетнаязаписьРазрешения |
|
Administrators Full Control SYSTEM Full Control Users List |
Заметим: группу Everyone вместо группы Users использовать не следует.
С помощью
какой-либо программы из тех, что описаны выше, добавьте группе Users (но не Everyone) разрешения:
|
Учетная запись Разрешения |
|
UserAdd — на папку для хранения временных файлов (например, C:\TEMP); Add — на папку для хранения удаленных файлов (RECYCLER); Read— на папку %SYSTEMROOT% (обычно WINNT) и все вложенные папки; Read— на папку, где находятся рабочие папки пользователей (например, CAUSERS) List— на папку %SYSTEMROOT%\System32\Config; List— на папку %SYSTEMROOT%\ Config; List — на папку %SYSTEMROOT%\Repair; Change — на папку %SYSTEMROOT%\System32\Spool. |
Добавьте также
группу CREATOR OWNER с
разрешениями:
|
Учетная запись Разрешения |
|
CREATOR OWNER FullControl— на папку для временных файлов (напр., C:\TEMP); FullControl— на папку для хранения удаленных файлов (RECYCLER). |
Наконец,
добавьте для каждого пользователя разрешение Changeна его рабочую папку и на вложенную папку
с его именем в папке %SYSTEMROOT%\Profiles, где находится профиль пользователя и другая информация, доступ к
которой этому пользователю необходимо обеспечить.
Указанный набор разрешений является минимально необходимым для входа пользователей в Windows NT и работы с приложениями, установленными администратором. Однако потребности пользователей могут быть различными, поэтому в каждом конкретном случае проверьте, сможет ли обычный пользователь нормально работать в системе с такими, разрешениями (например, некоторым программам, особенно старым Windows-приложениям требуется возможность записи .ini-файлов в корневую папку операционной системы, другим — записи в папки SYSTEM или SYSTEM32, и т. д.). Сделать такую проверку можно либо напрямую, войдя в систему от имени обычного пользователя и проверив работоспособность всех приложений, либо косвенно, включив систему ревизии неудачных попыток доступа ко всем файлам и папкам и проанализировав впоследствии журнал безопасности Windows NT.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.