Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Активные темы » Нужно запретить удаление файла

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7

Открыть новую тему     Написать ответ в эту тему

rumiha

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Да, мысль ясна. Я, в-общем, тоже теоретик. Дыра, так дыра.  
На дыре сидит и дырой погоняет.

Всего записей: 135 | Зарегистр. 05-06-2007 | Отправлено: 03:13 26-05-2011 | Исправлено: rumiha, 04:17 26-05-2011
Aroun



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Хватит флудить!
 
Никакой дыры нет, вы как администратор имеете права на все, даже если вы не владелец файла или папки вы можете им стать и потом удалить, Nikoderiko прав.
 
Вы зря не попробовали создать просто пользователя и попробовать удалить.

Всего записей: 680 | Зарегистр. 19-07-2005 | Отправлено: 10:47 26-05-2011
rumiha

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Кто таки из вас больше прав, — я не понял.
 
Я задавался одним вопросом: почему я не могу добиться цели, и как её добиться? Система мне вроде как-бы говорит: "ты поставь галку, — а я сделаю". Но — не делает.
 
Мне написали (Nikoderiko):
Цитата:
Да, действительно , вы правы - в WinXP SP3 любой администратор может удалить любую папку или файл безо всякого Unlocker-а, просто назначив себя её владельцем.  
Параметр NTFS "запретить смену владельца", по каким-то причинам не работает. Получается дыра в безопасности.    

Цитата:
Unlocker (действуя от имени текущего пользователя, в данном случае одного из администраторов) может пользоваться дырой в NTFS, позволяющей ему, переназначив владельца файлов и папок, устанавливать на них любые разрешения. Впрочем, возможно, он нашел ещё какую-нибудь дыру,  но пока существует эта -- другие ему и не требуются.  

 
Человек ясно говорит: он видит в этом дыру. Так или иначе, итог пока такой: пока я работаю под администратором, запретить что-либо делать программам я не в состоянии — т.к. то, что я могу запретить, они могут себе разрешить.  
 
Но зачем тогда существует возможность устанавливать запреты для админинистратора?
 
Система сама даёт мне (самому себе) установить через "безопасность" ntfs, потом они (запреты) делают вид, что они добросовестно действуют, например, если я сам пытаюсь удалить файл обычным образом; — но оказывается, что они могут быть в итоге проигнорированы любой программой!
 
Дыра это, или "норма" — вопрос терминов. Я не специалист, мне простительно. Можно назвать это "попыткой ввести в заблуждение".

Всего записей: 135 | Зарегистр. 05-06-2007 | Отправлено: 13:36 26-05-2011 | Исправлено: rumiha, 16:19 26-05-2011
Aroun



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Собственно настроил защиту на изменение файла ХОСТС, чтобы юзеры не убивали комп из-за тупых вирусов для соц.сетейю.

 
Юзеры не должны работать под админскими правами.Ваша задача в этом случае решена, удалите всех во вкладке безопасность кроме себя и системы.
 
Все.Точка.
 

Цитата:
Человек ясно говорит: он видит в этом дыру. Так или иначе, итог пока такой: пока я работаю под администратором, запретить что-либо делать программам я не в состоянии — т.к. то, что я могу запретить, они могут себе разрешить.  

 
Естественно.
 

Цитата:
Но зачем тогда существует возможность устанавливать запреты для админинистратора?  

 
Не понял к чему.
 

Цитата:
Система сама даёт мне (самому себе) установить через "безопасность" ntfs, потом они (запреты) делают вид, что они добросовестно действуют, например, если я сам пытаюсь удалить файл обычным образом; — но оказывается, что они могут быть в итоге проигнорированы любой программой!  
 
Дыра это, или "норма" — вопрос терминов. Я не специалист, мне простительно. Можно назвать это "попыткой ввести в заблуждение".

 
Норма-это работать без административных прав, они нужны тогда, когда они действительно нужны, например отформатировать или записать диск. Естественно когда вы работаете с админскими привелегиями то все программы запущенные вами тоже их имеют, в т.ч. и оболочка. О какой дыре идет речь?
 

Всего записей: 680 | Зарегистр. 19-07-2005 | Отправлено: 19:09 26-05-2011
rumiha

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Путаница. Вы (Aroun), скорее всего, правы; только нужно объяснить, что же конкретно, другой (неправый) человек, не понимает.
 
Nikoderiko говорил о "дыре" в своём смысле (возможно она почудилась).
 
А я вообще спрашивал по-простецки (поскольку ничего в этом не понимаю): зачем В ПРИНЦИПЕ предусмотрена возможность в системе ставить запреты АДМИНИСТРАТОРУ, если они всегда могут быть легко обойдены (конечно же, если мы работаем под администратором) — в каком случае они всё же срабатывают?  
<место для ответа: "они срабатывают, если ...">
 
Я так понял (Nikoderiko мне "намекает"): если один администратор (Я) поставил некий запрет (например, на удаление) и не забыл поставить галку "запретить смену владельца" — то другой администратор уже не сможет обойти Мой запрет. Т.е. (если Nikoderiko ошибается и механизм всё же работает правильно) — под админскими правами БЕЗОПАСНО (с точки зрения нарушения прав NTFS) работать всё же можно?  
<место для ответа: "можно" или "нельзя">
 

Всего записей: 135 | Зарегистр. 05-06-2007 | Отправлено: 21:06 26-05-2011
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
они срабатывают, если ...

Для себя дурака... админ "молодой", но учится, страхуется, перекрывает себе все что нужно\можно от собственных кривых ручек... в итоге, получится хороший админ...

Цитата:
то другой администратор

Не бывает... либо админ... либо его

Цитата:
можно" или "нельзя"

Низя, разумеется...

Всего записей: 11060 | Зарегистр. 12-10-2001 | Отправлено: 23:06 26-05-2011
Nikoderiko

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Уточняю:
Если один администратор поставил на файл/папку запрет на смену владельца -  
любой другой администратор может изменить владельца на себя, и отменить все запреты.
 
Поэтому защищать таким образом файлы/папки от пользователей и процессов, способных получить привелегии администратора - бессмысленно.
 
Не знаю, будет ли работать запрет на диски - кажется, цепочку разрешений NTFS, выстроенную начиная с диска, можно отменить только в Safe Mode.
 
Единственный вариант - ограничить права пользователя, с помощью политики безопасности,
но, как показывает опыт, и под XP и под семеркой при этом отказываются работать некоторые программы.
 
Aroun и rumiha - вы говорите о разных вещах -  
Aroun рассматривает некий сферический компьютер в вакууме, у которого есть администратор и пользователи,
а rumiha интересуется, может ли он, работая под учеткой администратора собственного компьютера, запретить всем программам (включая вирусы) удалять какой-либо файл.
 
Ответ - нет - любая программа или вирус, запущенная в WinXP от его имени, может воспользоваться его административными правами, и удалить любой файл.
   

Всего записей: 808 | Зарегистр. 17-07-2002 | Отправлено: 23:33 26-05-2011 | Исправлено: Nikoderiko, 23:34 26-05-2011
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Aroun рассматривает некий сферический компьютер в вакууме, у которого есть администратор и пользователи


Цитата:
а rumiha интересуется, может ли он, работая под учеткой администратора собственного компьютера, запретить всем программам (включая вирусы) удалять какой-либо файл.  

Дык это одно и тоже, или я мысль не уловил

Всего записей: 11060 | Зарегистр. 12-10-2001 | Отправлено: 23:45 26-05-2011
djbub

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Убиваешь все разрешения, потом добавляешь только на чтение системе и все.  
 У остальных не будет прав.  
   

Удалить всех и добавив "System" разрешить чтение? Мне надо, чтобы я и другие программы могли читать данный файл, но не могли удалить. Т.е. я часто подключаюсь по РДП к другому компьютеру и мне надо, чтобы это файл мог обрабатываться, но не мог быть удален. Так часто происходит!

Всего записей: 329 | Зарегистр. 06-03-2009 | Отправлено: 00:34 27-05-2011
rumiha

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
rumiha на самом деле интересуется,  может ли он, работая под учеткой администратора собственного компьютера, но только ДРУГОГО администратора, а не ТОГО, ЧТО НАЛОЖИЛ ОГРАНИЧЕНИЯ на ntfs — запретить всем программам (включая вирусы) удалять какой-либо файл.  
 
Зачем там ввели галку "запретить смену владельца"?
 
Nikoderiko вроде-бы выяснил, что есть дыра и галка не работает, и поэтому (мне показалось, что именно поэтому, но не уверен) пишет:  
Если ОДИН администратор ПОСТАВИЛ на файл/папку запрет на смену владельца -  
любой ДРУГОЙ администратор МОЖЕТ изменить владельца на себя, и отменить все запреты.


Всего записей: 135 | Зарегистр. 05-06-2007 | Отправлено: 00:38 27-05-2011 | Исправлено: rumiha, 01:35 27-05-2011
djbub

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Юзеры не должны работать под админскими правами.Ваша задача в этом случае решена, удалите всех во вкладке безопасность кроме себя и системы.  
   
 Все.Точка.

Это не точка, это попытка не искать ответ, выдать ненужное решение. А что если я скажу, что мне надо, чтобы под моей учеткой вирусы не могли заменить этот файл, или если я лезу по RDP то так же ничего ко мне не должно залезть и отредактировать? Было уже не раз такое, целял вири подключаясь и шаря диски.

Всего записей: 329 | Зарегистр. 06-03-2009 | Отправлено: 00:39 27-05-2011
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
может ли он, работая под учеткой администратора собственного компьютера, но только ДРУГОГО администратора

hh aclui.chm::/sag_SEconceptsUnOwn.htm
Читать отсюда

Цитата:
Владельцем объекта может стать

 

Цитата:
Зачем там ввели галку "запретить смену владельца"?

Вы, как администратор, имеете право дать возможность любому сменить владельца

Цитата:
Если ОДИН администратор ПОСТАВИЛ на файл/папку запрет на смену владельца -    
любой ДРУГОЙ администратор МОЖЕТ изменить владельца на себя, и отменить все запреты.

Ребят... ну не бывает два администратора, если вы этого сами не захотите... смысл безопасности теряется

Цитата:
А что если я скажу, что мне надо, чтобы под моей учеткой вирусы не могли заменить этот файл

Учетка админа-никак...

Всего записей: 11060 | Зарегистр. 12-10-2001 | Отправлено: 01:10 27-05-2011
Nikoderiko

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Ребят... ну не бывает два администратора, если вы этого сами не захотите... смысл безопасности теряется

 
KLASS:
На любом компьютере со свежеустановленной Windows есть ДВА администратора:
 
Локальный пользователь с правами Админа, и глобальный Администратор, под которым можно залогиниться в SafeMode.
 
Мы как раз пытались выяснить вопрос, может ли этот глобальный администратор запретить что-либо локальному пользователю с правами админа.
 
Если нет - смысл безопасности действительно теряется (особенно в WindowsXP), причем он изначально потерян при установке Windows.
 

Всего записей: 808 | Зарегистр. 17-07-2002 | Отправлено: 01:49 27-05-2011 | Исправлено: Nikoderiko, 01:58 27-05-2011
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Локальный пользователь с правами Админа, и глобальный Администратор

Не вопрос... тока какой же Вы админ, если зная об этом, не приняли меры... админ он и в Африке... в смысле-отключить всех кроме себя любимого, это же очевидно.

Цитата:
глобальный Администратор

Насколько помню ГЛОБАЛЬНЫЙ появился после ХР... Вы же сами это подтверждаете словами:

Цитата:
Если нет - смысл безопасности действительно теряется (особенно в WindowsXP)

 
 
 
 
 
Добавлено:

Цитата:
SafeMode

И потом, причем здесь это... "мы" как бы вирей тут пытались "остановить"

Всего записей: 11060 | Зарегистр. 12-10-2001 | Отправлено: 02:00 27-05-2011
Maza Faka



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Nikoderiko

Цитата:
 
На любом компьютере со свежеустановленной Windows есть ДВА администратора:
Локальный пользователь с правами Админа, и глобальный Администратор, под которым можно залогиниться в SafeMode.
 

Нет таких групп, как локальный и глобальный администратор. Есть группа Администраторы и точка. В nix-ах есть глобальный админ (root)
 

Цитата:
 
Мы как раз пытались выяснить вопрос, может ли этот глобальный администратор запретить что-либо локальному пользователю с правами админа.
 

Нет, нет и ещё раз нет! Как вы, до сих пор не можете этого понять? Оба вышеуказанных пользователя входят в группу Администраторы. А то, что одного зовут Вася, а второго Петя - не имеет никакой разницы, пока они в группе Администраторы. Ну не может админ сам себе полностью запретить доступ. И это - никакая не дырка. Обычный пользователь должен входить в группу Пользователи. Тогда и будут работать разграничения прав и запреты. Что мешает создать ограниченную учётную запись и сидеть под ней. В случае необходимости - запускать Total Commander от имени админа, для выполнения административных задач.

Всего записей: 1420 | Зарегистр. 25-10-2006 | Отправлено: 13:29 27-05-2011
Aroun



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Это не точка, это попытка не искать ответ, выдать ненужное решение. А что если я скажу, что мне надо, чтобы под моей учеткой вирусы не могли заменить этот файл, или если я лезу по RDP то так же ничего ко мне не должно залезть и отредактировать? Было уже не раз такое, целял вири подключаясь и шаря диски.

 
Тогда я для тех кто в бронепоезде повторю что используйте НЕадминистративную учетную запись и никакие вирусы ничего не отредактируют. Напоминаю что речь идет не о дырах в сервисах винды, уязвимостях и т.д., разговор именно о правах на файлы.
 

Цитата:
Удалить всех и добавив "System" разрешить чтение? Мне надо, чтобы я и другие программы могли читать данный файл, но не могли удалить. Т.е. я часто подключаюсь по РДП к другому компьютеру и мне надо, чтобы это файл мог обрабатываться, но не мог быть удален. Так часто происходит!

 
Да, именно это я и имел ввиду.
 

Цитата:
На любом компьютере со свежеустановленной Windows есть ДВА администратора:  
 
Локальный пользователь с правами Админа, и глобальный Администратор, под которым можно залогиниться в SafeMode.  
 
Мы как раз пытались выяснить вопрос, может ли этот глобальный администратор запретить что-либо локальному пользователю с правами админа.  
 
Если нет - смысл безопасности действительно теряется (особенно в WindowsXP), причем он изначально потерян при установке Windows.  

 
Ну залогиниться под встроенным можно и без safe mode, достаточно два раза заветную комбинацию нажать.
 
Администраторы абсолютно одинаковы в правах и равноправны, тема уже на форуме перемалывалась.

Всего записей: 680 | Зарегистр. 19-07-2005 | Отправлено: 13:37 27-05-2011
djbub

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Учетка админа-никак...

Цитата:
Тогда я для тех кто в бронепоезде повторю что используйте НЕадминистративную учетную запись и никакие вирусы ничего не отредактируют. Напоминаю что речь идет не о дырах в сервисах винды, уязвимостях и т.д., разговор именно о правах на файлы.

 
Для тех кто сам в бронетанке и других туда направляет повторю, что я писал, что МНЕ ПОДОЙДЕТ ЛЮБОЙ СОФТ, а не только виндовые средства и мне нужно под админом работать.
Антивирусники без проблем блокируют доступ к файлам, и хоть с бубном сиди, никакой анлокер не поможет.
 
А у меня все проще. Мне лишь надо, чтобы простое "delete" не срабатывало на удаление файла, при этом владельцы и прочее мне не важно. И подойдет любой софт.

Всего записей: 329 | Зарегистр. 06-03-2009 | Отправлено: 22:29 28-05-2011 | Исправлено: djbub, 22:30 28-05-2011
djbub

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Кстати,
Цитата:
Учетка админа-никак...
проверил те же самые политики на юзере - толку ноль. Аналогично на админе запрет на удаление работает, тока файл не запустить.  
Каким образом на юзере тогда?
Политики для админа и юзера - одинаковые. Разница лишь в том, что администратор может их редактировать, а я ПОВТОРЮ просил только на удаление запрет, т.к. никакие политики никто редактировать не будет, соотвественно любой способ подойдет, только вот пока не получалось запретить удаление с возможностью запуска файла.

Всего записей: 329 | Зарегистр. 06-03-2009 | Отправлено: 13:47 29-05-2011
Aroun



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
 и мне нужно под админом работать.  

Не видел.

Цитата:
Антивирусники без проблем блокируют доступ к файлам, и хоть с бубном сиди, никакой анлокер не поможет.

Естественно, они работают на уровне перехвата функций.
 
 

Цитата:
 запрет на удаление работает, тока файл не запустить.  

 
Согласен, сделайте вот так:
 
 

Всего записей: 680 | Зарегистр. 19-07-2005 | Отправлено: 19:13 29-05-2011
djbub

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
"Все" так и не нашел у себя, зато нашел "Everyone" (точнее додумался)
http://floomby.ru/content/mp2MoxXlkS/
 
Добавлено:
Поставил все галочки, как на рисунке, все равно удаляется по "del" файл. Как в 7 под админом запускать софт из под юзера? "Запустить под именем..." на правую кнопку отсуствует такой пункт. Думаю, попробовать запускать под юзерскими правами софт, возможно сработает.

Всего записей: 329 | Зарегистр. 06-03-2009 | Отправлено: 22:59 29-05-2011
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Активные темы » Нужно запретить удаление файла


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru