Применение разрешений по умолчанию к системным папкам и файлам Windows

windows разрешение файловПри установке Windows NT 5.X на все системные файлы и папки устанавливаются разрешения по умолчанию, в соответствии с политикой безопасности операционной системы.

Если вы изначально установили Windows на раздел FAT32, не поддерживающий разрешения, а потом с поммощью приложения convert.exe сконвертировали этот раздел в NTFS, либо использовали отличный от стандартных способ бэкапа и восстановления ОС из архива, надлежащие разрешения по умолчанию не применяются. Для применения разрешений по умолчанию рекомендуется полная переустановка системы с форматированием раздела в систему NTFS.

Тем не менее, если чистая установка не представляется возможной, вы вольны выполнить обновление системы поверх текущей, в результате чего NTFS разрешения на файлы и папки будут назначены в соответствии с файлом Security.inf. При желании, вы можете создать свой .inf файл с набором уникальных разрешений и применить эти настройки вышеописанным путём.

Кроме того, вы можете так же применить разрешения системных файлов по умолчанию на загрузочном разделе в случае, если текущие разрешения препятствуют нормальной работе операционной системы.

Во время установки на NTFS раздел, на основании шаблонов безопасности создаётся лист контроля доступа (ACL). Кроме этого, компоненты Setup API, так же используют [.security] разделы в установочных .inf файлах для определения статуса безопасности файлов. Оба набора разрешений — разрешения шаблона безопасности и разрешения, записанные в .inf файлы, сохраняются в одном setup security.inf шаблоне.

Во время установки на FAT раздел те же установки безопасности записываются в setup security.inf шаблон. Этот setup security.inf шаблон может быть использован для преобразования разрешений в умолчательные после трансформации FAT раздела в NTFS.

Следующая процедура приведёт к изменению разрешений в директориях %Windir% и Program Files в те, которые должны быть по умолчанию. Хотя используется setup security.inf шаблон, это не приведет настройки безопасности к виду, который соответствует чистой установке на NTFS раздел. Будут пропущены следующие параметры:

* Настройки всех программ, которые сами устанавливают для своей работы необходимые разрешения.

* Результаты работы любых системных компонентов, которые изменяют разрешения файлов/папок, в том числе: Профиль, Задачи, Installer, appmgmt и GroupPolicy.

* Все пользовательские настройки безопасности.

Для применения параметров безопасности по умолчанию к загрузочному разделу NTFS Windows

ВНИМАНИЕ: Сделайте полную резервную копию загрузочного раздела до выполнения данного шага.

1. Войдите под профилем, имеющим права администратора.

2. Вызовите командную строку и наберите команду:

Secedit /configure /db %SYSTEMROOT%\security\database\cvtfs.sdb /Cfg %SYSTEMROOT%\security\templates\setup security.inf /areas filestore

После выполнения изменения разрешений вы получите следующее сообщение, которое можно проигнорировать:

* Task is completed. Some files in the configuration are not found on this system so security cannot be set/queried.
See the %windir%\security\logs\scesrv.log file for detailed information.

3. Проверьте правильность применения настроек безопасности Windows к папкам и файлам.

Рубрика: 

Добавить коментарий