На этот вопрос у суперпользователя нет ответа, я думал, что это лучшее место для этого, но никто не знает. Поскольку это связано с сервером, надеюсь, что это может быть перемещено по ошибке сервера, и кто-то может мне помочь.
По сути, я хотел проверить безопасность на сервере. Я сделал сценарий ASP, который просто перечисляет файлы в каталоге. Пользователь IIS входит в систему, как должно быть заблокировано и имеет доступ только к одной папке. Скрипт вернул количество папок и файлов, но получил отказ в доступе при попытке прочитать их настоящие имена.
Этого пользователя называют testlockdown, и есть группа под названием lockeddown.
Я могу перейти в любую папку, щелкнуть правой кнопкой мыши и выбрать свойства, затем безопасность, я нажимаю расширенные и эффективные разрешения.
Если я выберу гостевой пользователь или группу порывов, я вижу, что флажков нет. Если я проверю блокировку объекта группы, флажков не будет, но если я проверю тестовую блокировку пользователя, появится группа (около 6) объектов, у которых есть галочки, включая список, чтение, создание.
Я терзал слух около 2 часов, пытаясь разобраться в этом, включил аудит, просмотрел локальную политику безопасности, создал дополнительных пользователей, группы ..
Я сделал все, что мог, и просто не могу понять, как он получает эти разрешения и почему / откуда они берутся.
Во время моего теста я создал новую папку с именем foo, при создании она унаследовала администратора, владельца-создателя (и я не вошел в систему как этот пользователь) и группу пользователей. Однако при действующих разрешениях у меня снова все флажки!
Из вставки "net user testlockdown" я получаю
User name testlockdown Full Name testlockdown Comment User for testing security User's comment Country code 000 (System Default) Account active Yes Account expires Never Password last set 28/06/2009 19:22 Password expires Never Password changeable 28/06/2009 19:22 Password required Yes User may change password Yes Workstations allowed All Logon script User profile Home directory Last logon 03/08/2009 03:56 Logon hours allowed All Local Group Memberships *lockeddown Global Group memberships *None The command completed successfully.
Я вижу звездочку рядом с членством в местной группе, но не могу понять, что это значит, и не знаю, актуально ли это.
Я предполагаю, что каким-то образом этот пользователь получает разрешения от группы пользователей, однако я не вижу или не понимаю почему.
Надеюсь, я дал достаточно информации. Я рву из-за этого волосы! Если вам нужна дополнительная информация, я с радостью ее предоставлю.
редактировать - Я должен сказать, я знаю, что могу добавить запрещающее разрешение, но не в этом суть, поскольку в этом нет необходимости
Спасибо
Я узнал, что это произошло, потому что любой Пользователь (кроме гостя) автоматически становится членом аутентифицированных пользователей, которые, в свою очередь, входят в состав пользователей.
Это означает, что по умолчанию любой созданный пользователь является членом пользователей (даже если вы не добавляете их), поэтому, даже если я создал пользователя, который выглядит полностью заблокированным и является членом только одной группы (которая имеет только разрешение на один каталог), он по-прежнему имеет разрешение на полный список для каталога Windows и других критических путей.
Я не уверен, как крупные хосты справляются с этой задачей или даже панели управления (например, plesk) автоматизируют это, но я могу предположить, что я иду в корень каждого диска и отказываюсь от всего, а затем просто вручную разрешаю домашнюю папку - кажется беспорядочно, но я не знаю другого способа исключить группу из группы аутентифицированных пользователей.
В любом случае, спасибо за помощь другим.
Проверить с Монитор процесса что пользователь, который обращается к файлам, является пользователем, которого вы ожидаете.
Вы также можете увидеть, какие права запрашивает пользователь.
Если все в порядке, начните просматривать разрешения с помощью субинакл утилита.
То, что вы смотрите, называется специальными разрешениями. Я очень рекомендую вам прочитать этот статья в разделе "Безопасность Windows", в которой подробно рассказывается и объясняется, как работает защита NTFS.
Предупреждение: будьте осторожны при тестировании безопасности с помощью IIS. IIS имеет еще один уровень безопасности, который не связан с NTFS, однако он будет обеспечивать разрешение NTFS. Кроме того, блокировка папок для определенного пользователя не повлияет на анонимный доступ к веб-сайту, где IIS использует собственную учетную запись, а не вошедшего в систему пользователя, для указания доступа.