Использование шаблонов безопасности
Наследование, замещение и отклонение изменений политики
После того, как Вы определили права доступа к объектам файловой системы или реестра, Диспетчер настройки безопасности спросит Вас, каким образом должны быть сконфигурированы дочерние объекты.
Если Вы выберите Распространить наследуемые разрешения на все подпапки и файлы (Propagate inheritable permissions to all subfolders and files), стандартный список ACL в Windows 2000 наследует действующие разрешения. То есть, любые наследуемые разрешения для дочерних объектов будут приведены в соответствие с новыми разрешениями, определенными для родительского объекта. Любые явно заданные элементы списка контроля доступа (ACE), определенные для дочерних объектов, останутся неизменными.
Если Вы выберите Заменять существующие разрешения для всех подпапок и файлов на наследуемые разрешения (Replace existing permission on all subfolders and files with inheritable permissions), все явно заданные в ACE разрешения для всех дочерних объектов (кроме перечисленных в шаблоне) будут удалены, и к ним будут применены процедуры наследования разрешений, определенных для родительского объекта.
Чтобы предотвратить перезапись разрешений дочернего объекта родительским, дочерний объект должен быть добавлен в шаблон и проигнорирован. В этом случае явно заданные в записях ACE разрешения дочернего объекта останутся неизменными. Выбор в шаблоне опции Запретить замену разрешений для этого файла или папки (Do not allow permissions on this file or folder to be replaced) для определенного объекта имеет смысл лишь в том случае, если разрешения родительского объекта настроены на перезапись разрешений для всех дочерних объектов. Если в шаблоне родительский объект отсутствует, игнорирование объекта в этом случае влияния не окажет. Если родительский объект существует, но не настроен на наследование разрешений для дочерних объектов, игнорирование дочернего объекта влияния не окажет.
В этом примере в шаблоне Securews.inf настройки ACL для каталога %systemroot%\repair определены, как описано ниже:
- Администраторам предоставлен полный контроль над каталогом %systemroot%\repair. По умолчанию эти разрешения применены к данному каталогу, всем его подкаталогам и файлам. Вы определили это, задав разрешения администратора в редакторе ACL. (Степень, с которой ACE наследует разрешения, определена на вкладке Дополнительно (Advanced) редактора ACL в столбце Применять (Apply to). В настоящем руководстве при определении разрешений для Администратора вкладку Дополнительно (Advanced) мы не рассматривали.
- Каталог %systemroot%\repair не наследует никакие разрешения от родительского объекта. Вы определили это, сняв флажок Переносить наследуемые от родительского объекта разрешения на этот объект (Allow inheritable permissions from parent to propagate to this object) в редакторе ACL.
- Для подкаталогов и файлов каталога repair, все списки ACL Администраторов настроены на наследование разрешений полного контроля от своего родительского объекта. При этом текущие настройки значения не имеют. Вы определили это, когда выбрали режим Заменять существующие разрешения для всех подпапок и файлов на наследуемые разрешения (Replace existing permission on all subfolders and files with inheritable permissions).
Чтобы сохранить Ваш измененный файл Securews.inf:
- Щелкните правой кнопкой мыши по шаблону Securews.inf, выберите Сохранить как (Save As) и введите Mysecurews. Нажмите Сохранить (Save).
- Нажмите кнопку Закрыть (Close) в правом верхнем углу окна, чтобы выйти из оснастки Шаблоны безопасности.
- Нажмите Да (Yes), чтобы сохранить параметры консоли.
- Чтобы при следующем запуске оснастки не добавлять шаблоны, сохраните ее под названием Шаблоны безопасности (Security Templates).