Насколько велик риск полного доступа администратора к системной папке? Что мне действительно нужно, так это отредактировать файл хоста в папке System32, для чего мне нужно предоставить полный доступ администратору к системной папке?

Это сообщение говорит, что это может снизить безопасность системы:

Системное сообщение

2 ответа2

0

Чтобы решить проблему с файлом hosts ... все, что вам нужно сделать, это запустить Блокнот с повышенными правами, а затем использовать Файл-> Открыть, чтобы отредактировать его. Вы не можете просто дважды щелкнуть по нему из окна проводника. Этот файл, в частности, заблокирован.

Кроме того, разрешения по умолчанию для каталогов \Windows и \Program Files самом деле довольно специфичны, и есть некоторые хитрости ACL, которые очень сложно восстановить, если вы измените разрешения. Вы можете увидеть это в расширенных настройках; множество специальных разрешений для разных уровней. Вы никогда не должны изменять разрешения для каталогов операционной системы или корня диска C:. Это может привести к серьезным проблемам, которые вы сможете устранить, только если сбросить полный контроль куда-нибудь, что фактически ухудшит ситуацию с безопасностью по сравнению с тем, что было с самого начала.

Если включен контроль учетных записей (который на самом деле не следует отключать без особой причины), Windows предоставляет дополнительные средства защиты для каталогов \Windows и \Program Files чтобы даже администраторы не могли записывать туда файлы без явного повышения их учетных данных.

Если вы обнаружите, что безопасность в системе слишком ограничительна, вам следует обратиться к привилегиям доступа пользователей, а не пытаться изменять разрешения каталога.

0

Обращаясь к вашему скриншоту, для группы администраторов вполне нормально иметь полный контроль

На практике администраторы - это единственные пользователи, которые должны быть включены в группу "Администраторы", обычно это люди, которым компания доверяет и которые хорошо платят, чтобы все работало.

Назначение в эту группу только доверенных лиц, т.е. системных администраторов или некоторых доверенных разработчиков, является абсолютно нормальным и безопасным.

Если каждый средний joe в компании входит в эту группу, то это может вызвать большие проблемы, если это так, я бы порекомендовал изменить его немедленно, в противном случае ваши серверы / сеть могут быть заражены вредоносными программами от некоторых пользователей, загружающих файлы из неправильный сайт.

Я бы порекомендовал посмотреть некоторые из этих видео, чтобы лучше понять пользователей, группы и разрешения.

Создание и администрирование групп в Active Directory в Windows Server 2012 https://www.youtube.com/watch?v=C3UV3RTW7HI

Введение в права доступа к файлам и общим ресурсам в Windows Server 2012 https://www.youtube.com/watch?v=fJHFmt6F0Rc

Создание и администрирование учетных записей пользователей в Active Directory в Windows Server 2012 https://www.youtube.com/watch?v=DrNwJraGfjQ

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .