Czy ryzykowne (i ile) jest zezwolenie na pełną kontrolę nad folderem systemowym?

0

Jakie ryzyko istnieje, aby umożliwić administratorowi pełną kontrolę nad folderem systemowym? Co tak naprawdę potrzebuję, to edytować plik hosta w folderze System32, dlatego muszę umożliwić pełną kontrolę administratorowi folderu systemowego?

Ten komunikat mówi, że może to zmniejszyć bezpieczeństwo systemu:

Wiadomość systemowa

Muhammad Abdullah
źródło
W pliku na zrzucie ekranu brak.
Ramhound
Pytanie zaktualizowane!
Muhammad Abdullah
Mój komentarz pozostaje ten sam. Modyfikacja pliku hosts nie powoduje żadnych skutków ubocznych. Zatem jedynym plikiem, nad którym powinieneś mieć pełną kontrolę, jest plik hosts, jeśli zmiana uprawnień do całych katalogów spowoduje niestabilność systemu.
Ramhound

Odpowiedzi:

0

Adresowanie zrzutu ekranu jest całkowicie normalne, że grupa administracyjna ma pełną kontrolę

W praktyce administratorzy są jedynymi użytkownikami, którzy mają zostać przypisani do grupy „Administrator”, zwykle są to osoby, którym firma ufa i dobrze płacą, aby wszystko działało.

Przypisywanie do tej grupy tylko zaufanych osób, tj. Administratorów systemu lub niektórych zaufanych programistów, jest całkowicie normalne i bezpieczne.

Jeśli każdy przeciętny Joe w firmie jest w tej grupie, może to powodować duże problemy, w takim przypadku zalecam natychmiastową zmianę, w przeciwnym razie twoje serwery / sieć mogą zostać zainfekowane złośliwym oprogramowaniem od niektórych użytkowników pobierających pliki z zła strona internetowa.

Zalecam obejrzenie niektórych z tych filmów, aby lepiej zrozumieć użytkowników, grupy i uprawnienia

Tworzenie grup i administrowanie nimi w usłudze Active Directory w systemie Windows Server 2012 https://www.youtube.com/watch?v=C3UV3RTW7HI

Wprowadzenie do uprawnień do plików i udostępniania w systemie Windows Server 2012 https://www.youtube.com/watch?v=fJHFmt6F0Rc

Tworzenie i administrowanie kontami użytkowników w usłudze Active Directory w systemie Windows Server 2012 https://www.youtube.com/watch?v=DrNwJraGfjQ

RyanIG
źródło
w rzeczywistości właśnie próbowałem edytować hostplik Aby edytować plik hosta, muszę zezwolić administratorowi lub użytkownikowi na pełną kontrolę
Muhammad Abdullah
0

Aby rozwiązać problem konkretnie z hostsplikiem ... wystarczy uruchomić Notatnik z podwyższonym poziomem uprawnień, a następnie użyć Plik-> Otwórz, aby go edytować. Nie można po prostu dwukrotnie kliknąć go w oknie Eksploratora. Ten plik jest w szczególności zablokowany.

Poza tym domyślne uprawnienia w katalogach \Windowsi \Program Filessą w rzeczywistości dość specyficzne i zastosowano pewne sztuczki ACL, które bardzo trudno jest przywrócić, jeśli zmienisz uprawnienia. Widzisz to w ustawieniach zaawansowanych; wiele specjalnych uprawnień w różnych zakresach. Nie należy nigdy zmieniać uprawnień w katalogach systemu operacyjnego lub katalogu głównego dysku C:. Spowoduje to poważne problemy, które będziesz mógł cofnąć tylko przez upuszczenie Full Conttrol w miejscu, które faktycznie pogorszy sytuację bezpieczeństwa niż na początku.

Jeśli funkcja Kontrola konta użytkownika jest włączona (czego tak naprawdę nie należy jej wyłączać bez konkretnego powodu), system Windows zapewnia dodatkowe zabezpieczenia dla katalogów \Windowsi, \Program Filesdzięki czemu nawet administratorzy nie mogą tam zapisywać plików bez wyraźnego podniesienia swoich uprawnień.

Jeśli stwierdzisz, że zabezpieczenia w systemie są zbyt liberalne, powinieneś zająć się przywilejami dostępu użytkowników zamiast próbować modyfikować uprawnienia do katalogu.

Wes Sayeed
źródło