Статью следовало назвать "Геморрой на свою задницу шаг за шагом". Спецам все это на хрен не нужно (*nix+tripwire+OpenPGP+OpenSSL+OpenSSL+ACL - вот, в целом, и вся их безопасность), а новичкам только голову забивать лишними телодвижениями.
После создания "неравноправных пользователей", не забудьте установить пароль на учётную запись "Администратор", или отключите эту учётную запись совсем, ведь у вас уже есть права администратора, не так ли?
Стоит отметить, что эта функция недоступна в WinXP SP2 (зачем это сделано - непонятно).
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
Ещё один момент насчёт NTFS и разграничения доступа пользователей: бывает целесообразным настраивать доступ не всей группе админов, а каждому конкретно (пусть и одинаково). Это на тот случай, если злоумышленник получит права админа: чтобы у него небыло доступа к файлам, как у юзера из группы Админов. Конечно, вряд ли это его остановит (это смотря по обстоятельствам), но головной боли ему прибавится (особенно если это не очень продвинутый злоумышленник) И ещё: про настройку прав доступа к файлам сказано, а вот про реестр - совсем забыли: к нему тоже надо бы разграничить доступ
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
Преобразовать файловую систему из одного формата в другой можно либо в момент установки операционной системы, либо после, при помощи утилиты convert
Точнее говоря, преобразовать можно только из FAT в NTFS, но не обратно.
Цитата
Ещё один важный момент. После создания "неравноправных пользователей", не забудьте установить пароль на учётную запись "Администратор", или отключите эту учётную запись совсем, ведь у вас уже есть права администратора, не так ли?
По-моему, отключить учетку билт-ин администратора нельзя еще со времен NT. Можно только переименовать.
Я, конечно, придираюсь. Написано хорошо, но для уровня среднего и ниже. По крайней мере, первая половина. Вторую я пока не читал.
Давайте рассуждать трезво - хорошая статья это не та, которую поймут только избранные, а та, которая интересна тем, кому она предназначена. Даже для самых начинающих может быть хорошая статья.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
Pig killer пишет: Давайте рассуждать трезво - хорошая статья это не та, которую поймут только избранные, а та, которая интересна тем, кому она предназначена. Даже для самых начинающих может быть хорошая статья.
Cогласен.Респект! Крутые админы как и хакеры сразу не рождаются..С чего-то надо начинать.
По-моему, отключить учетку билт-ин администратора нельзя еще со времен NT. Можно только переименовать.
Наверное, всё время под никсами сидишь и совсем забыл как выглядит винда Можно отрубить встроенную учётную запись Администратор: Администрирование->Локальная политика безопасности->Локальные политики->Параметры безопасности->Учётные записи: состояние учётной записи Администратор (включён, отключён) Вот только эта опция в WinXP SP2 бывает вырублена. Сейчас у меня она снова активна...
И ещё насчёт статьи вспомнил: всё прекрасно про разделение прав доступа к файлам и папкам, но совсем забыли про разрганичение времени входа в систему: настройка промежутка времени разрешения доступа к системе. Винда 2000\XP позволяет это устроить через командную строку, правда это реализовано несколько криво: если юзер сидит в разрешённое время, время уже кончилось винда не закрывает его сеанс. А вот если он в это время выйдет и снова попытается войти - тогда винда вспомнит про запретное время для юзера. Может, в винде и предусмотрен насильственное завершение сеанса, но я как не рыл упорно - так и не нашёл как это делается. Приходится юзать планировщики для завершения сеанса
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
Не, статья очень хорошая даже несмотря на все её немногочисленные недостатки. Просто она действительно предназначена для начинающих и средних юзверей. Многие продвинутые просто не представляют себе, что возможно скопировать ярлычок на дискетку, думая, что скопировал файл, - а между тем я лично наблюдал такое. Нужно просто вовремя подсунуть эту статью своему коллеге (секретарше, другу) - когда уже способен понять хотя бы половину, но пока не наломал дров или не вырос из штанишек.
Или, ещё хуже, многие умудряются сделать резервную копию ярлычка с рабочего стола и со спокойной душей приступают к форматированию винчестера.
Неужели находятся такие кадры?
Я немного преувеличил - бакап ярлычка никто из мне известных людей не делал. А вот по почте вместо файла ярлыки присылали. Но то бухгалтера делали Я просто развил идею.
Shanker пишет: про настройку прав доступа к файлам сказано, а вот про реестр - совсем забыли: к нему тоже надо бы разграничить доступ
Статья и так большая получилась, пришлось чем-то жертвовать. Я упомянул про контроль за доступом к реестру когда говорил как заставить работать программы, требующие администраторских прав от лица ограниченных пользователей. Копаться в реестре, имхо, не для новичков. а тот кто сумеет запустить регедит и вызвать меню свойств на требуемой ветки - тот сам поймёт что можно делать с закладкой "Аудит". Идею я высказал - как её применять дело читателя.
После создания "неравноправных пользователей", не забудьте установить пароль на учётную запись "Администратор", или отключите эту учётную запись совсем, ведь у вас уже есть права администратора, не так ли?
Стоит отметить, что эта функция недоступна в WinXP SP2 (зачем это сделано - непонятно).
Странно. Либо у меня какая-то чуднАя версия XP либо у вас. У меня учетная запись локального админа преркасно переименовывается и ещё более прекрасно отключается. Вот только что попробовал в VMWare на чистой винде (SP2 Prof) такое сделать - всё великолепно получилось.
Гость пишет: Статью следовало назвать "Геморрой на свою задницу шаг за шагом". Спецам все это на хрен не нужно (*nix+tripwire+OpenPGP+OpenSSL+OpenSSL+ACL - вот, в целом, и вся их безопасность), а новичкам только голову забивать лишними телодвижениями.
никс, новички, безопасность - выбирайте любые два термина - третий с ними окажется не совместим. Я работаю в свободное время со студентами из нашей академии - они двигаются в правильном направлении, но иногда такие вопросы зададут - хоть стой хоть падай. Как в том анекдоте: - чат: Юзер: Дайте мне чейнибудь IP! Я сейчас любого чувака могу завалить! Кто-то: 127.0.0.1 Юзер: Сейчас он у меня получит! Юзер из оффлайн... - Так что на счёт геморроя не согласен. Если с умом подходить - ничего не сломаешь. А без ума - так и от морковного сока умереть можно.
Или, ещё хуже, многие умудряются сделать резервную копию ярлычка с рабочего стола и со спокойной душей приступают к форматированию винчестера.
Неужели находятся такие кадры?
[IMG]http://www.securitylab.ru/forum/smileys/smiley9.gif[/IMG]признаюсь честно.. "в начале своей трудовой" наводил порядок в системе бухгалтерского компьютера одного автосервиса... действительно систему надо было переставить причем с форматированием.
забекапил ВСЁ(как я тогда думал), что только можно было... систему поставил настроил. все довольны рады отметили дело шашлычком..пивом. - макс, подойди - там у бугалтера вопрос есть какой-то - я вас слушаю - а вот чего-то база не открывается - а как вы её открываете? - ну раньше вот тут на столе иконка была - ща сделаем!а где база лежала? - не знаю. я только на картинку нажимала и всё открывалось - тааак сча найдем! (я же всё запекапил и восстановил!какой я был самоувернный и молодой) ...проходит 10 минут... выступает холодный пот... и где-то внутри начинает скрести... - а как выглядела картинка? - да вот как эта! и показывает... на иконку папки... обычной.. виндовой... ...всё - холодного пота уже нет, потому что волосы принимают вертикальное положение... - а что происходило после того как нажимали на картинку? - ну открывалось окошечко - там был список файлов, я нажимала на БАЗА.mdb И база открывалась... [IMG]http://www.securitylab.ru/forum/smileys/smiley19.gif[/IMG] система тогда была 98 (или даже 95osr2 скорее).. о профилях тогда речи не шло...
для тех кто дочитал до этого места и не понял цимуса - НУ НЕ МОГ Я тогда представить, что человек мог додуматься создавать папки прямо на Раб.Столе и там хранить файлы...
Гость пишет: Статью следовало назвать "Геморрой на свою задницу шаг за шагом". Спецам все это на хрен не нужно (*nix+tripwire+OpenPGP+OpenSSL+OpenSSL+ACL - вот, в целом, и вся их безопасность), а новичкам только голову забивать лишними телодвижениями.
скоро буду тотализатор устраивать, что в статьях данной тематики, такой пост обязательно в обсуждениях будет =)