[Blast]

Цитата cvfdfgj:

боремся с Администратором »

Сизифов труд. Вал логику работы групп менять нужно, а администратор обойдет любые ограничения, так или иначе.

[cvfdfgj]

Ну, на самом деле смысл то очень простой. В задачи администрирования не входит анализ рабочей информации. И то, что администратору никак нельзя это ограничить - это просто смешно. Получается вся система прав ntfs на дурачка. Они как бы есть, но толку от них нет никакого, что есть они, что нет. Но больше всего меня интересует почему настройка локальной политики безопасности не работает. Казалось бы, такая простая функция. Разрешить смену владельца только самому владельцу. Стоит ли задать вопрос о неработоспособности этой функции на форуме microsoft?

[Vadikan]

Права как раз являются границей защищённой зоны (погуглите понятие), а вы все с ног на голову ставите. Задавайте вопрос где угодно, грамотный ответ вам уже дали.

[Iska]

cvfdfgj, то, что у Вас возникла идефикс — никак не относится к модели безопасности, реализованной в файловой системе NTFS и ОС NT.

[cvfdfgj]

Vadikan, ну почему же с ног на голову? Вы внимательней прочтите Все же очень просто. Есть пользователь, который создал объект. Он не хочет, чтобы любой другой пользователь имел доступ к этому объекту. Вы считаете это ересью? Что нам говорит файловая система на эту тему? "Никто не будет иметь доступ к твоему объекту, но если это администратор, то он будет иметь доступ к твоему объекту". Вы правы в одном. Грамотный ответ мне был дан. И он звучит так:

Цитата Blast:

администратор обойдет любые ограничения »

Это говорит о том, что злоумышленник, получивший тем или иным образом доступ к системе, обладая правами администратора, получит доступ к любым данным. Следовательно, защитить информацию на уровне файловой системы невозможно. Так ли это?

[Iska]

Цитата cvfdfgj:

Есть пользователь, который создал объект. Он не хочет, чтобы любой другой пользователь имел доступ к этому объекту. »

То этот пользователь не страдает фантазиями на тему, а использует шифрование. Особо страждущие используют TrueCrypt и т.п.

Цитата cvfdfgj:

Грамотный ответ мне был дан. И он звучит так: »

Именно.

Скрытый текст

Цитата cvfdfgj:

Это говорит о том, что злоумышленник, получивший тем или иным образом доступ к системе, обладая правами администратора, получит доступ к любым данным. »

Закажите внешний аудит безопасности, и Вы увидите, что Ваши сомнения насчёт лояльности администратора — наименьшая головная боль.

[cvfdfgj]

Цитата Iska:

и Вы увидите, что Ваши сомнения насчёт лояльности администратора — наименьшая головная боль. »

Да, я понимаю. Меня это просто обескураживает. Локальная политика безопасности не выполняет своей задачи. Честный администратор убирает себя из пункта "Смена владельцев файлов и других объектов", разрешает только владельцу менять владельца. Но это не работает. Админ все равно может менять владельца. В голове не укладывается. Зачем тогда вообще этот пункт нужен, если он и не должен работать?

[Vadikan]

Цитата cvfdfgj:

Это говорит о том, что злоумышленник, получивший тем или иным образом доступ к системе, обладая правами администратора, получит доступ к любым данным. Следовательно, защитить информацию на уровне файловой системы невозможно. »

См. непреложный закон безопасности номер 6 https://technet.microsoft.com/ru-ru/.../cc722487.aspx
Остальные тоже рекомендую настоятельно.

[cvfdfgj]

Vadikan, это известно) Все же, если бы имелись штатные возможности защитить систему от самого администратора, то такие меры были бы во много раз результативнее. К примеру, настраиваешь групповые политики, первый и единственный раз. Настроил, принял и все - вносить изменения нельзя. Никому. Ну, а если надо, то придумать какой-нибудь сложный механизм. Ну, это мои фантазии на тему безопасности. На уровне предприятия еще можно что-то изобразить, а вот на уровне маленькой конторки и без hardware уже, получается, почти невозможно. Не представляю ситуации, когда фирма со штатом в 50 человек будет выделять деньги на секурность. Однако, это не говорит о том, что это не нужно в масштабах такой маленькой организации.