» Нужно запретить удаление файла

Собственно настроил защиту на изменение файла ХОСТС, чтобы юзеры не убивали комп из-за тупых вирусов для соц.сетейю. Все хорошо. Защита через политики работает, но можно просто удалить файл и все бестолку. Создать новый такой же не получится - защита работает. Странно получается. Изменять нельзя, а удалить дает.
Есть варианты (можно через доп софт, кроме антивирей, т.к. стоит агнитум) настройки защиты файла на удаление, но с возможностью чтения и исполнения его?
Т.е. то, что я под админом или еще чего - не страшно. Никто рыться в настройках не будет. Главное, чтобы любой софт или я сам через "дел" не мог удалить.

Почему через политики, а не через разрешения NTFS?
Пока есть хоть одна группа пользователей, которая имеет право удалить файл, он может быть удален от имени данной группы.

Нужно открыть вкладку "безопасность -> дополнительно", отменить наследование разрешений от родительсих объектов, удалить для данного файла все группы пользователей, и создать одну-единственную группу под названием "все", которой будет запрещено удаление данного файла.

Ну и, разумеется, запретить изменение разрешений.

"Все" пишет нет такого. Win7U Ru

Настройку безопасности и наследования прав для папки, проще сделать из под ЛайвСД.

Нет у меня такого диска. Есть способ залочить? Пытался как выше, все сделал, но "Все" не нашел.

djbub

Цитата:

Пытался как выше, все сделал, но "Все" не нашел.

А кого нашел?

vlary
Это шутка? Я написал какая у меня ОС, там нет "все". Знаю, что в 2003 и ХР есть. Не надо делать из себя петросяна. Он несмешной.

djbub
Цитата:

Это шутка?

Нет, вполне серьезно. У меня есть 2000, 2003, ХР, Виста, а семерки нет. Вот и спросил, кто там в списке, дабы сопоставить с аналогом "все" на других системах.
Цитата:

Не надо делать из себя петросяна. Он несмешной.

Галустян подойдет?

Насколько я помню, то группа "Все" там есть, но её нет в списке групп в оснастке "Локальные пользователи и группы". При назначении прав эту группу можно найти

P.S. На всякий случай: "Все" это группа, а не пользователь

vlary
Меня в школе учили, что "кто/кого" к оживленным предметам, вот и смутило.
Engraf, я в курсе
http://floomby.ru/content/4KnTr4sp70/

Хочу подсоединить своё наблюдение: мне (win XP sp2), не удаётся НАДЁЖНО запретить удаление (и переименование) файла даже, если поставить ВСЕВОЗМОЖНЫЕ ЗАПРЕТЫ на "Все".

Например, Unlocker без труда удаляет такой файл в корзину (файл не пустой, дополительно ставил для пробы "read оnly", наследования сняты, запрет на всё — дальше уж некуда). А потом — из Корзины он окончательно удаляется и обычными средствами (!) (правда, "восстановить" обратно в папку штатными средствами корзины не удаётся, но можно переместить обратно тем же Unlocker, но это детали).

Т.е. — Unlocker свободно обходит все запреты, а кроме того, что-то изменяет таким образом, что система позволяет уничтожить файл уже средствами Корзины окончательно — несмотря на то, что все запреты на этот файл остаются в силе, это можно увидеть.

Ненадёжные запреты или что-то не так делаю?

Прошу прощения у автора темы, его вопросы, видимо, остаются.

djbub

Убиваешь все разрешения, потом добавляешь только на чтение системе и все.
У остальных не будет прав.

rumiha

Unlocker видимо работает с правами администратора, и в момент удаления меняет разрешения. попробуйте от имени пользователя.

В том-то и дело, что запрещать пытаюсь всем: Администраторам, System, "Все", Самому себе. Одновременно и раздельно, все варианты перебрал. Ничего не помогает.
Все удаляется и переименовывается Unlocker. А раз им, значит и кем угодно.
Запреты у меня не работают.

Не может такого быть. Извините.
Есть запреты, которые можно обойти только в SafeMode.
Если Unlocker файл удаляет - значит где-то оставлена дырка.
(кто, кстати, владелец файла?)

Я — владелец, я — и администратор, под ним и работаю.

Помогите найти эту дырку — для этого и пишу. Мои слова легко проверить.

После выставления запретов создаётся только видимость правильной работы — система (Win SP2) действительно не даёт мне удалить файл вручную (Проводник).
Унлокер же (1.9.1) — удаляет в корзину, никакая Безопасность ему не указ.

Оказалось теперь, что точно такая же ситуация и запретом удаления папки!

Так что пока так: запреты удаления на файл и на папку у меня не работают.

Да, действительно , вы правы - в WinXP SP3 любой администратор может удалить любую папку или файл безо всякого Unlocker-а, просто назначив себя её владельцем.
Параметр NTFS "запретить смену владельца", по каким-то причинам не работает.

Получается дыра в безопасности

Об этой особенности Windows я не знал.

//===========================

Добавлено: уже была тема, оказывается:
http://forum.ru-board.com/topic.cgi?forum=8&topic=4950

//===========================

Добавлено2: короче, получается что нужно либо менять права администраторов в локальной политике безопасности, либо ставить запрет на удаление на весь диск. Второй вариант в рамках текущих задач выглядит бредом.

Я не совсем понял, это вроде другое — то, что администраторы всегда могут сделать себя владельцем, я так думал, что это вполне естественно; а "запретить смену владельца" — у меня и нет такого пункта.

Но я то о другом всё-же (или что — это та же проблема?).

В WinXP SP3 - последний пункт в разрешениях (свойства файла -> безопасность -> дополнительно -> изменить):
Смена владельца (разрешить/запретить).

Факт в том, что он не работает.

Действительно, я его проглядел! (есть и в SP2)

Так что Вы хотите сказать — расшифруйте — не пойму никак: как это соотносится с моим вопросом?
Что Unlocker делает себя владельцем, меняет разрешения, удаляет, ставит обратно запреты (а они стоят у файла, который уже в корзине)?

Насколько я понял, вы спрашивали, почему Unlocker удаляет любую папку.
Я вам ответил, что могу удалить любую защищенную NTFS-папку и без Unlocker-а.
Unlocker (действуя от имени текущего пользователя, в данном случае одного из администраторов) может пользоваться дырой в NTFS, позволяющей ему, переназначив владельца файлов и папок, устанавливать на них любые разрешения.

Впрочем, возможно, он нашел ещё какую-нибудь дыру, но пока существует эта -- другие ему и не требуются.

(Добавлено) Вы же не захотите создать неполноправного пользователя, чтобы проверить, сможет ли Unlocker удалить принадлежащий Администратору файл с запретом на удаление?
Лично я на такие подвиги не способен - ибо данная проблема интересует меня лишь чисто теоретически.

Да, мысль ясна. Я, в-общем, тоже теоретик. Дыра, так дыра.
На дыре сидит и дырой погоняет.

Хватит флудить!

Никакой дыры нет, вы как администратор имеете права на все, даже если вы не владелец файла или папки вы можете им стать и потом удалить, Nikoderiko прав.

Вы зря не попробовали создать просто пользователя и попробовать удалить.

Кто таки из вас больше прав, — я не понял.

Я задавался одним вопросом: почему я не могу добиться цели, и как её добиться? Система мне вроде как-бы говорит: "ты поставь галку, — а я сделаю". Но — не делает.

Мне написали (Nikoderiko):
Цитата:

Да, действительно , вы правы - в WinXP SP3 любой администратор может удалить любую папку или файл безо всякого Unlocker-а, просто назначив себя её владельцем.
Параметр NTFS "запретить смену владельца", по каким-то причинам не работает. Получается дыра в безопасности.

Цитата:

Unlocker (действуя от имени текущего пользователя, в данном случае одного из администраторов) может пользоваться дырой в NTFS, позволяющей ему, переназначив владельца файлов и папок, устанавливать на них любые разрешения. Впрочем, возможно, он нашел ещё какую-нибудь дыру, но пока существует эта -- другие ему и не требуются.

Человек ясно говорит: он видит в этом дыру. Так или иначе, итог пока такой: пока я работаю под администратором, запретить что-либо делать программам я не в состоянии — т.к. то, что я могу запретить, они могут себе разрешить.

Но зачем тогда существует возможность устанавливать запреты для админинистратора?

Система сама даёт мне (самому себе) установить через "безопасность" ntfs, потом они (запреты) делают вид, что они добросовестно действуют, например, если я сам пытаюсь удалить файл обычным образом; — но оказывается, что они могут быть в итоге проигнорированы любой программой!

Дыра это, или "норма" — вопрос терминов. Я не специалист, мне простительно. Можно назвать это "попыткой ввести в заблуждение".

Цитата:

Собственно настроил защиту на изменение файла ХОСТС, чтобы юзеры не убивали комп из-за тупых вирусов для соц.сетейю.

Юзеры не должны работать под админскими правами.Ваша задача в этом случае решена, удалите всех во вкладке безопасность кроме себя и системы.

Все.Точка.


Цитата:

Человек ясно говорит: он видит в этом дыру. Так или иначе, итог пока такой: пока я работаю под администратором, запретить что-либо делать программам я не в состоянии — т.к. то, что я могу запретить, они могут себе разрешить.

Естественно.


Цитата:

Но зачем тогда существует возможность устанавливать запреты для админинистратора?

Не понял к чему.


Цитата:

Система сама даёт мне (самому себе) установить через "безопасность" ntfs, потом они (запреты) делают вид, что они добросовестно действуют, например, если я сам пытаюсь удалить файл обычным образом; — но оказывается, что они могут быть в итоге проигнорированы любой программой!

Дыра это, или "норма" — вопрос терминов. Я не специалист, мне простительно. Можно назвать это "попыткой ввести в заблуждение".

Норма-это работать без административных прав, они нужны тогда, когда они действительно нужны, например отформатировать или записать диск. Естественно когда вы работаете с админскими привелегиями то все программы запущенные вами тоже их имеют, в т.ч. и оболочка. О какой дыре идет речь?

Путаница. Вы (Aroun), скорее всего, правы; только нужно объяснить, что же конкретно, другой (неправый) человек, не понимает.

Nikoderiko говорил о "дыре" в своём смысле (возможно она почудилась).

А я вообще спрашивал по-простецки (поскольку ничего в этом не понимаю): зачем В ПРИНЦИПЕ предусмотрена возможность в системе ставить запреты АДМИНИСТРАТОРУ, если они всегда могут быть легко обойдены (конечно же, если мы работаем под администратором) — в каком случае они всё же срабатывают?
<место для ответа: "они срабатывают, если ...">

Я так понял (Nikoderiko мне "намекает"): если один администратор (Я) поставил некий запрет (например, на удаление) и не забыл поставить галку "запретить смену владельца" — то другой администратор уже не сможет обойти Мой запрет. Т.е. (если Nikoderiko ошибается и механизм всё же работает правильно) — под админскими правами БЕЗОПАСНО (с точки зрения нарушения прав NTFS) работать всё же можно?
<место для ответа: "можно" или "нельзя">

Цитата:

они срабатывают, если ...

Для себя дурака... админ "молодой", но учится, страхуется, перекрывает себе все что нужно\можно от собственных кривых ручек... в итоге, получится хороший админ...

Цитата:

то другой администратор

Не бывает... либо админ... либо его

Цитата:

можно" или "нельзя"

Низя, разумеется...

Уточняю:
Если один администратор поставил на файл/папку запрет на смену владельца -
любой другой администратор может изменить владельца на себя, и отменить все запреты.

Поэтому защищать таким образом файлы/папки от пользователей и процессов, способных получить привелегии администратора - бессмысленно.

Не знаю, будет ли работать запрет на диски - кажется, цепочку разрешений NTFS, выстроенную начиная с диска, можно отменить только в Safe Mode.

Единственный вариант - ограничить права пользователя, с помощью политики безопасности,
но, как показывает опыт, и под XP и под семеркой при этом отказываются работать некоторые программы.

Aroun и rumiha - вы говорите о разных вещах -
Aroun рассматривает некий сферический компьютер в вакууме, у которого есть администратор и пользователи,
а rumiha интересуется, может ли он, работая под учеткой администратора собственного компьютера, запретить всем программам (включая вирусы) удалять какой-либо файл.

Ответ - нет - любая программа или вирус, запущенная в WinXP от его имени, может воспользоваться его административными правами, и удалить любой файл.

Цитата:

Aroun рассматривает некий сферический компьютер в вакууме, у которого есть администратор и пользователи

Цитата:

а rumiha интересуется, может ли он, работая под учеткой администратора собственного компьютера, запретить всем программам (включая вирусы) удалять какой-либо файл.

Дык это одно и тоже, или я мысль не уловил

Цитата:

Убиваешь все разрешения, потом добавляешь только на чтение системе и все.
У остальных не будет прав.

Удалить всех и добавив "System" разрешить чтение? Мне надо, чтобы я и другие программы могли читать данный файл, но не могли удалить. Т.е. я часто подключаюсь по РДП к другому компьютеру и мне надо, чтобы это файл мог обрабатываться, но не мог быть удален. Так часто происходит!

rumiha на самом деле интересуется, может ли он, работая под учеткой администратора собственного компьютера, но только ДРУГОГО администратора, а не ТОГО, ЧТО НАЛОЖИЛ ОГРАНИЧЕНИЯ на ntfs — запретить всем программам (включая вирусы) удалять какой-либо файл.

Зачем там ввели галку "запретить смену владельца"?

Nikoderiko вроде-бы выяснил, что есть дыра и галка не работает, и поэтому (мне показалось, что именно поэтому, но не уверен) пишет:
Если ОДИН администратор ПОСТАВИЛ на файл/папку запрет на смену владельца -
любой ДРУГОЙ администратор МОЖЕТ изменить владельца на себя, и отменить все запреты.