Windows - Alapértelmezett NTFS jogok visszaállítása

Az NTFS fájlrendszer egyik előnye, hogy fájlszinten beállíthatók a hozzáférési jogosultságok. Az operációs rendszer által használt könyvtárakra és fájlokra léteznek úgynevezett alapértelmezett jogok. Probléma akkor adódik, ha FAT fájlrendszerre telepítjük a Windows-t és később a CONVERT segédprogrammal alakítjuk át NTFS-re, ekkor ugyanis a "Mindenki" ("Everyone") felhasználói csoport teljes hozzáférést kap minden állományhoz. Ez biztonsági szempontból enyhén szólva is nagyon veszélyes. Az is lehet, hogy mi magunk állítjuk el az idők folyamán a jogosultságokat. Lényeg, hogy vissza kell állítani az alapértelmezett, biztonságos szintet. Cikkünkben bemutatjuk, hogy lehet ezt megvalósítani egyetlen utasítás kiadásával.
Tegyünk egy próbát: Tegyük fel, hogy FAT32-re telepítettük az operációs rendszert és a telepítés végeztével (vagy később, ez mindegy) átalakítottuk NTFS-re. Továbbá tegyük fel, hogy adva van az operációs rendszert tartalmazó mappa a c:\winnt útvonalon. Indítsuk el a Windows Intézőt (Windows Explorer) és kattintsunk erre a mappára a jobb oldali egérgombbal. Válasszuk a Tulajdonságok > Biztonság (Properties > Security) menüt. Az ACL (Access Control List - Hozzáférési lista) listában az látjuk, hogy a "Mindenki" ("Everyone") felhasználói csoport teljes hozzáféréssel rendelkezik a "Rendszergazda" ("Administrator") és "System" (rendszerfiók az operációs rendszer használja) pedig a "Mindenki" csoport tagjaként birtokol jogokat. A probléma az, hogy a "Mindenki" csoportban mindenki benne van függetlenül attól, hogy hálózaton keresztül vagy helyileg jelentkezett be és ezáltal teljes hozzáféréssel rendelkezik a merevlemezen található összes fájlt felett. Ha éppen egy kiszolgálóról van szó, amely ráadásul kívülről (pl.: az Internetről) elérhető, akkor egy hatalmas biztonsági rés marad nyitva. Az eddig vázolt probléma nem áll fenn, ha eleve NTFS fájlrendszerre telepítettük a Windows-t. Ekkor ugyanis az alapértelmezett jogosultságok kerülnek a rendszermappákra, amelyek lényegesen szűkebb mozgásteret engednek a felhasználóknak. Ellenőrizni úgy tudjuk, hogy megnézzük a fenti "Biztonság" oldal ACL listáját, ha találunk rajta "Mindenki" csoportot teljes hozzáféréssel, akkor elvileg lesz az almappákban és a "Program Files" mappában is, ha csak nem állítottunk el közben valamit vagy egy program nem változtatott ezen az állapoton.
Megoldást a "secedit" programja szolgáltatja. A /configure kapcsolója segítségével korábbal eltárolt sablonok alapján képes beállítani a rendszer biztonsági paramétereit. A %systemroot%\inf könyvtárban találhatók biztonsági sablonok, különböző szintet megvalósítva. Munkaállomások (Windows 2000 Professional) számára a "defltwk.inf", kiszolgálók (Windows 2000 Server, Advanced Server és Datacenter Server) számára pedig a "defltsv.inf" fájl tárolja a szükséges paramétereket.
Az alapbeállítások érvényre juttatásához munkaállomásokon adjuk ki a következő parancsot:
secedit /configure /db c:\winnt\temp\tmp.mdb /cfg c:\winnt\inf\defltwk.inf /areas filestore
Kiszolgálókon pedig a következőt:
secedit /configure /db c:\winnt\temp\tmp.mdb /cfg c:\winnt\inf\defltsv.inf /areas filestore
A c:\winnt könyvtárat értelemszerűen le kell cserélni az operációs rendszert tartalmazó mappa elérési útjával, ha ettől eltérő. A /areas filestore kapcsoló jelenti a helyi fájlrendszer biztonságának beállítását (a sablonban további rendszerösszetevők beállításai is helyet kaptak).
Nézzük meg most a c:\winnt mappát. Némileg megváltozott a helyzet az előző állapothoz képest.

Figyelem!
Győződjünk meg arról, hogy a "System" felhasználói fiók teljes hozzáférési jogosultságot kapott a rendszermappákhoz. Ettől eltérő esetben az operációs rendszer működésképtelenné válhat és valószínűleg többé nem tudjuk elindítani ("kékhalállal" fog leállni). Ha bekövetkezne a rendszerösszeomlás, akkor a merevlemezt egy másik gépbe másodikként behelyezve a másik Windows-ról tudjuk beállítani a "System" fiók teljes hozzáférését. A módszer akkor is rejt veszélyeket, ha a sablont tároló .inf fájl átszerkesztésre került. Ebben az esetben egy "gyári" példányra cseréljük le.