Вначале об управлении доступом и контроле этого процесса. Напомним, что дескриптор безопасности любого объекта и, в частности, файла или папки на разделе с NTFS содержит два списка контроля доступа — дискреционный (discretionary ACL) и системный (system ACL). Первый определяет, каким пользователям и группам разрешен или запрещен доступ к файлу или папке. Именно этим списком в Windows NT полностью распоряжается владелец объекта, как правило, обычный пользователь. Поэтому список и называется дискреционным — ведь владелец управляет им по своему усмотрению. Системный же список контроля доступа определяет, как операционная система протоколирует попытки доступа к объекту. Этим списком управляет только администратор.
Такая система представляется весьма гибкой. С одной стороны, пользователи сами управляют доступом к ресурсам. Это и обеспечивает возможность защиты конфиденциальных данных от несанкционированного доступа (в том числе и от доступа администратора) и снимает с администратора часть нагрузки. С другой — у администратора всегда есть способ проконтролировать доступ пользователей к тем или иным защищенным ресурсам Windows NT, даже когда доступа к этим объектам у него нет.
Наконец, возможность доступа администраторов системы к любым защищенным файлам и папкам на NTFS-разделах обеспечивается механизмом владения. Дело в том, что администратор системы (вернее, любой член группы Administrators) в Windows NT всегда имеет право стать владельцем любого файла или папки на разделе с NTFS, поскольку по умолчанию этой группе дано право Take ownership of files and other objects. Естественно, после этого он сможет изменить разрешения для этого ресурса и получить к нему доступ. Эта мера введена в Windows NT для того, чтобы при необходимости всегда была возможность доступа к файлу или папке, например, когда владелец объекта отсутствует и никто, кроме него, не имеет к этому объекту доступа.
Службе безопасности следует иметь это обстоятельство в виду и «смотреть в оба» за тем, как использует данную возможность администратор. На помощь (правда, весьма слабую) здесь приходит то обстоятельство, что в операционной системе нет стандартных средств назначить другого пользователя владельцем ресурса (можно только стать им) и, следовательно, пользователь сможет обнаружить попытку доступа к своей информации администратором по изменению имени владельца. Тем не менее можно представить следующий сценарий: администратор становится владельцем файла или папки, содержащих конфиденциальную информацию, получает к ним доступ, а затем — дабы «замести следы» — меняет пароль пользователя, который ранее владел этим ресурсом, входит в систему под именем пользователя и снова становится владельцем файла или каталога. После этого при необходимости (если в системе установлена система аудита) очищается журнал безопасности, и единственный оставшийся «след» — это измененный пароль владельца этого ресурса. Его администратор также может попытаться скрыть, например, под предлогом устаревшего пароля. Так что системе безопасности остается только внимательно контролировать все случаи «внезапной» смены паролей пользователей, имеющих доступ к конфиденциальной информации.
Еще хуже то, что, как мы увидим далее, существуют (и легко доступны в Интернете) программы управления разрешениями, позволяющие администратору назначать любого пользователя владельцем файла или папки на разделе с NTFS (эта возможность определяется правом Restore files and directories).
Однако не все так безнадежно, как может показаться. Кое-какие средства все же можно предложить. Например, сделайте так. Предоставьте права контроля учетной записи администратора и группы Administrators только службе безопасности, а пользователей, на которых возложены основные административные функции по управлению учетными записями, ресурсами и т.д., включите в группы Server Operators, Account Operators и Print Operators, но не в группу Administrators. Такие «администраторы» не имеют прав несанкционированного доступа к конфиденциальной информации и не могут очищать журнал безопасности Windows NT, однако не теряют возможностей выполнять свои основные функции. Служба безопасности предприятия становится при этом своеобразным аудитором, полностью контролирующим работу администраторов системы (естественно, система аудита должна быть включена и настроена на отслеживание всех попыток доступа к закрытой информации, а также всех попыток изменения политики безопасности и использования прав).
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.