Пользователь удаляет папки администратора
 

Всем привет.
Подскажите плиз по косякам с правами.
Создаю в корне системного диска папку и файл под админом.
Затем под пользователем удаляю файл - не удаляется, а вот папка удаляется без проблем, хотя права на папку и файл вроде стаятся одинаковые. Пользователь только в группе Пользователи. Скрины прилагаю.
Спасибо заранее.

забыл - Админ состоит только в группе Администраторы.

Лео_не_помню@fb, см. права группы Прошедшие проверку.

Vadikan, собственно Прошедшие проверку имеют одинаковые права для папки и файла
при этом файл даже переименовать не могу, а папку и переименовать и удалить - без проблем

Лео_не_помню@fb, опишите свою задачу лучше (настройка прав задачей не является, это попытка решить какую-то задачу).

Vadikan,
Не хочу сидеть в оси под админом, что в никсах вообще запрещено идеологией никсов. Ну да ладно речь не о никсах.
Хочу сидеть под юзером и не давать кому попало админских прав, но если Пользователь может удалять папки администратора то это оч серьёзная проблема.
Задача - безопасность, если это не шибко громко звучит. В любом случае админские папки не должны удаляться пользователями.

Может где-то груповые или другие политики крутить ?

Лео_не_помню@fb, отлично, есть пространство для ликбеза :)

1. Благодаря UAC, вы и так работаете с обычной учетной записью.
2. Вы можете сидеть под юзером и выполнять задачи от имени администратора, просто у вас не будет автоматического повышения в панели управления (теряете в удобстве).
3. Пользователь не может удалять папки администратора и папки других пользователей. Создавайте их в профиле, а не в корне диска → не будет таких проблем → не надо будет их решать

Но если вы настаиваете на создании в корне, выполните от имени администратора:

Ее смысл раскрывает вопрос викторины Запрет на изменение файла и статья Уровни целостности в Windows

Vadikan,
спасибо за ссылки - поизучаю, .... это конечно всё весело: викторины, обходы стандартных путей ... , но любые права на папку для того и ставятся, что бы разграничить действия над ней для разных пользователей и если папка создаётся админом, а юзером удаляется, значит что-то не так и я хочу это починить, а не закрыть на это глаза. Или может быть у кого-то ещё папки админа удаляются юзерами ? о_О

я так понима. это решит проблему с данной папкой, но не делать же это с каждой папкой , создаваемой админом о_О

Папка админа - это папка в профиле админа, а папка созданная админом в корне диска - это общая папка, так что чинить тут нечего.

Blast, я не писал что это папка админа, а папка созданная админом.

В Windows XP юзер не может удалять папки созданные админом, ибо последние принадлежат админу.

Хотите сказать, что у вас так же ведёт себя ось и юзер может удалять папки, у которых владелец админ? ))

ок...
Папка созданная админом вне его профиля (и системного диска?), является общей для пользователей компьютера. Пользователи, не входящие в группу Администраторы, могут управлять такими папками. Так понятнее? :)

Blast, с каких пор права папок в NTFS в Windows XP и Windows 8.1 работают по разному ?

Лео_не_помню@fb, вы рассуждаете тут о безопасности, и в то же время создаете в корне диска папку, управлять которой (Modify) могут все прошедшие проверку пользователи. Зачем?

Если вам нужно, чтобы:

• все могли полноценно работать, создайте в %public%
• никто не мог зайти, создайте в профиле
• у всех был доступ, но не управление, создайте в Windows

Заметьте, что ни в одном из этих случаев не нужно раздавать права вообще! Но нет, вы настаиваете на своем - хочу в корне. Ок, вот вам решение одной командой. Но и это вас не устраивает. Вы только обещаете поизучать материалы, а на деле предпочитаете поспорить на тему нюансов прав, о которых вы только что узнали :)

Dear Leo,

1. Операция удаления производится не с самим объектом, а его родительским каталогом. Проверяйте разрешения на вышестоящей папке.

2. Атрибут "Владелец объекта" не имеет прямого отношения к разрешениям доступа на него. Если администратор создал папку, это вовсе не означает, что только он имеет право её удалить. Это определяется наследуемыми разрешениями по умолчанию, если вы разрешения не исправляли (а следовало бы).

3. Создавать папки для документов в корне системного диска — криминал. Системный диск предназначен для системы. Я всегда исправляю разрешения на корневой папке, ликвидируя все разрешения записи для пользователей, остаётся только Administrators, SYSTEM: FC, Users: Read/Execute.

4. "Благодаря UAC, вы и так работаете с обычной учетной записью" - это не так. UAC никогда не был и не является security boundary: http://blogs.msdn.com/b/e7/archive/2...te-on-uac.aspx . Только невыдача членства в группе Администраторов является security boundary.

Согласен, что с точки зрения чистоты терминологии, моя формулировка технически неверна, если придираться к ней. Однако с включенным UAC вы получате токен обычного пользователя и с его правами запускаете процессы, если нет ручного или автоматического повышения.

так ведь корень диска.... разве чистема при установке не даёт правильные права на системный диск ?

то есть права на диск неверные ?

это лишь эксперимент, понятно что там нет документов
я её не юзаю, больно надоедлива
Забавно что в никсах нет ничего подобного

На мой взгляд, дефолтные разрешения на корень диска некорректны. На мой взгляд, не следует разрешать обычным пользователям запись в корень системного диска.
И этот взгляд не совпадает с мнением большинства администраторов/пользователей.

Не совпадает с мнением большинства пользователей, большинство же администраторов, я надеюсь, солидарны с таким мнением :)
Нет конечно, там просто нужно ходить под рутом для действий с настройками системы. Забавно, что это не надоедает в никсах, но надоедает упрощённый вариант в Windows.

Обоснуйте с точки зрения безопасности (темы обсуждения)

А взамен что юзаете? Головной мозг? :)

Цитата WindowsNT:согласен на 500%, как поыиксить не подскажите ?

Цитата Blast: Цитата Vadikan: Цитата Vadikan:
Ой да ладно жили без UAC 10 лет с ВинXP и всё было Ок. Пока майкрософт не решила убить ось ради новых, которые будут продаваться, совершенно очевидно что это сделано спецом.
И плиз не начинайте холи воры. Это моя ось и вопрос не в том правильно ли давать возможность юзеру писать в корень системного дистка и удалять рутовские папки, а в том что я этого не хочу и спрашиваю как это сделать. А вы поднимаете тут холи воры.

Цитата Blast:
В никсах созданная рутом папка не удаляется юзером по дефолту, даже не читается и правя правятся намного проще и понятнее.

И как я уже говорил не подниайте холи воры. Подскажите плиз как сделать что бы создаваемые папки рутовские не читались и уж тем более не удалялись юзерами и что бы это было по дефолту, а не надо было лезть в админы и править права каждой папке.

Создаваемые папки не наследуют часом права партишена ?

Не пользуйтесь оборотами типа "а вот в никсах такой фигни нету"

В остальном вам уже рассказали как работает система разрешений и как разграничить права.

Хотите создавать папки с определённым набором разрешений - используйте PowerShell - будет так же интересно и эффективно как в никсах.

Отвечать не обязательно, от темы отписался - аллергия на демагогию.

Blast, а в никсах уже от рута нельзя в GUI создавать папки и получать по дефолту корректные права ? о_О
Я уже писал что не хочу юзать костыли типа PowerShell (я молчу про неудобство и время , затрачиваемое на такую рутину), я хочу что бы по дефолту созданная папка рутом не давала юзеру прав туда смотреть и тем более удалять, я не знаю откуда у вас представление о нормальности удаления рутовских объектов юзером - это нормально.
Неужели Виндовс 8.1 настолько убога что не позволяет дефолтными правами рулить ?

Там много пунктиков. Например, в Windows 2000 в одной точке сходились три проблемы:
- в реестре было прописано значение "shell=explorer.exe"
- поиск исполняемых файлов начинался не в %PATH%, а в корне системного диска
- дефолтные разрешения позволяли пользователям писать в корень системного диска

Как вы понимаете, заканчивалось это помещением своего, особого explorer.exe в корень.. и быстрым повышением привилегий до Администратора.

Если говорить за современные системы, то многие программы любят ставиться по умолчанию в корень системного диска. Наследуемые по умолчанию разрешения позволяют пользователям дописывать свои файлы в эти папки, в том числе исполняемые. На курсах хакеров я демонстрирую упражнение повышения привилегий до SYSTEM: https://www.htbridge.com/advisory/HTB23108

Дальше имеется ряд организационных нюансов, когда пользователь начинает сохранять данные в корне диска, а не в перенаправленном на сервер профиле, что приводит к отсутствию взаимозаменяемости рабочих станций и потере этих данных при переинсталляции.

Далее, привычка работать с незамусоренной корневой папкой позволяет быстро и безболезненно внедрить SRP. В общем, всё так сразу и не упомнишь.

WindowsNT, примеры из 2000 неактуальны, т.к. в современных клиентских ОС пользователи не могут создавать файлы в корне диска, только папки.

Большинство программ ставится в Program Files, а остальные администратор в корень ставить не должен - для этого есть Program Files. Если пользователи сами ставят программы в корень диска, они с тем же успехом поставят их в профиль и смогут дописать что угодно.

Остальное к безопасности отношения вообще не имеет, как я понимаю.

Iska, в 8.1 это точно не работает, а что было >10 лет назад, для этой темы значения не имеет.

Ну, во-первых, зачастую разницы нет, папка это с файлами пользователя или чисто файлы. Атака HTB23108 реализуется через папку.
Во-вторых, речь идёт не только о системном диске. На других разделах сохранять файлы или папки прямо в корень пользователям я тоже не даю. Такова выработанная систематика работы.
И вообще-то, в описанной в нашей теме проблеме речь идёт о папке.


Цитата Vadikan:
администратор в корень ставить не должен »

И вот тут мечты разбиваются о холодный бетон реальности — некоторые программы иначе, как из корневого каталога, не работают. И таких программ относительно много, к сожалению.
Во-вторых, существует много рабочих сред, где программу устанавливает разработчик, доводы администратора не слушая.
В третьих, об этом и говорится в вопросе нашей темы — человек создал папку в корне диска, а разрешения доступа не отрегулировал, полагаясь на некое ошибочное умолчание. Он полагал, что штамп владельца гарантирует неприкосновенность объекта безопасности, но это не так. Видимо, ему следует вручную отрегулировать разрешения, чтобы добиться желаемого.

Ну и, конечно же, доступность данных также является частью информационной безопасности .) Размещение данных в корне системного диска рабочей станции (а не в отведённых для этого местах) увеличивает риски потери данных при невнимательном управлении, отказе аппаратуры (диска), а также порождает риски несанкционированного доступа. Последний риск реализовался у автора темы.

Так или иначе, автор должен либо вручную регулировать разрешения доступа, если он хочет писать в корень, либо ситуация требует записи в корень; либо писать в другое место. Но вообще я предлагаю делать и то, и другое: и места выбирать правильно, и разрешения по-любому проверять.



Начало поиска в корне системного диска было в дальнейшем пропатчено. Однако, как показывает практика, знание истории бывает очень даже полезным, причём не только в ИТ.

WindowsNT, спасибо за лекцию. Вам осталось только дать конкретные инструкции ТС, чтобы мы могли закрыть тему.

WindowsNT, если позволите задам вопрос в лоб.
Что сделать что бы изменить на любом (включая системный) диске по умолчанию создаваемые права, а конкретно я хочу что бы папка создавалась с правами как в никсах, то есть юзер тужа заглянуть не может, удалить тем более не может.
В корне диска С и D создаются папки с разными правами, это наследуется от свойств диска ? Как это исправить ?

Корень диска — это тоже папка. Вызовите его свойства и смотрите закладку Security. Не получается?
Но убирать право чтения диска не следует.

WindowsNT, там такие же права, как и в сабже на скринахпо идее при таких правах, не должен удалять папку, нет?

Всё, что я сделал — нажал кнопку Advanced. Теперь смотрите мой скриншот и читайте внимательно выделенную строчку.
Последние две строки следует удалить.

И да, Microsoft, на мой взгляд, слишком плохо переделали интерфейс назначения разрешений. Отвратительно в нём всё — начиная с количества кликов, которые необходимо совершить для даже минимальных исправлений; заканчивая скроллером ради единственной строчки (см. ваш снимок "права файла"). Скроллер для одной строки — это нереально тупо, а ведь именно в этой строке стоит галка, которая могла навести вас на мысль.

WindowsNT, спасибо, понял.
Согласен по поводу нового интерфейса и скролинга на 1 пункт .
WindowsNT, Vadikan, с моим вопросом соприкасается эта темка и собственно там есть статья про изменения в системе безопасности Висты относительно XP. Почитал и получается что подавляющее количество нововведений включая UAC это всё костыли, стоило как в никсах просто запретить руту GUI.

Тогда я закрываю эту как решенную.