Integrity Levels – HackTricks

Changing ownership using icacls on windows

Using the icacls command, you can change the owner of a directory or folder, for example:

icacls c:pssecret.docx /setowner John /T /C /L /Q
  • /Q — suppress success messages;
  • /L — the command is executed directly above the symbolic link, not the specific object;
  • /C — the execution of the command will continue despite the file errors. Error messages will still be displayed;
  • /T — the command is performed for all files and directories that are located in the specified directory and its subdirectories.

You can change the owner of all the files in the directory:

icacls c:ps* /setowner John /T /C /L /Q

Also, with icacls you can reset the current permissions on the file system objects:

ICACLS C:ps /T /Q /C /RESET

After executing this command, all current permissions on the file object in the specified folder will be reset. They will be replaced with permissions inherited from the parent object.

Note that the icacls command with the /setowner option doesn’t allow you to forcibly change the file system object ownership. If you are not the current object owner, use the takeown.exe command to replace the file or folder ownership.

To find out all files with non-canonical ACL or lengths that do not match the number of ACEs, use the /verify parameter.

icacls "c:test" /verify /T

How to view file and folder permissions using the icacls command?

The iCACLS command allows displaying or changing Access Control Lists (ACLs) for files and folders on the file system. The predecessor of the iCACLS.EXE utility is the CACLS.EXE command (which was used in Windows XP).

The complete syntax of the icacls tools and some useful usage examples can be displayed using the command:

icacls.exe /?

To list current NTFS permissions on a specific folder (for example, C:PS), open a Command prompt and run the command:

icacls c:PS

Integrity levels – hacktricks

    Save and restore ntfs acls using icacls

    Using the icacls command, you can save the current object’s ACL into a text file. Then you can apply the saved permission list to the same or other objects (a kind of way to backup ACLs).

    To export the current ACL on the C:PS folder and save them to the PS_folder_ACLs.txt file, run the command:

    icacls C:PS* /save c:tempPS_folder_ACLs.txt /t

    This command saves ACLs not only to the directory itself but also to all subfolders and files. You can open the resulting text file using notepad or any text editor.

    To apply saved access ACLs (restore permissions), run the command:

    icacls C:PS /restore c:tempPS_folder_ACLs.txt

    Thus, the process of ACLs transferring from one folder to another (or between hosts) becomes much easier.

    Using icacl in powershell script to change permissions

    If you need to go down the folder structure and change NTFS permissions only on certain types of files, you can use the ICACL utility. For example, you need to find all files with the “pass” phrase in the name and the *.docx extension in your shared network folder.

    $files = get-childitem "d:docs" -recurse | Where-Object { $_.Extension -eq ".txt" }

    foreach($file in $files){

    if($file -like "*pass*"){

    $path = $file.FullName

    icacls $file.FullName /grant corpITSec:(R)

    write-host $file.FullName

    }

    }

    You can use icacls in PowerShell scripts to change NTFS permissions on directories on remote computers:

    Базовые разрешения

    Затем переходим на вкладку Security (Безопасность), на которой отображаются текущие разрешения. Вот это собственно и есть ACL папки (в слегка сокращенном виде) — сверху пользователи и группы, снизу их разрешения. Обратите внимание, что вместо SID-а в таблице отображаются имена.

    Это сделано исключительно для удобства пользователей, ведь сама система при определении доступа оперирует идентификаторами. Поэтому, к примеру, невозможно восстановить доступ к файлам удаленного пользователя, создав нового пользователя с таким же именем, ведь новый пользователь получит новый SID и будет для операционной системы абсолютно другим пользователем.

    Для перехода к редактированию разрешений надо нажать кнопку «Edit».

    В качестве примера я выдам права на папку пользователю Kirill (т.е. себе). Первое, что нам надо сделать — это добавить нового пользователя в список доступа.  Для этого жмем кнопку «Add»

    выбираем нужного пользователя и жмем ОК.

    Пользователь добавлен и теперь надо выдать ему необходимые разрешения. Но перед этим давайте рассмотрим поподробнее основные (базовые) разрешения файловой системы:

    • List Folder Contents (Просмотр содержимого директории) — позволяет зайти в папку и просмотреть ее содержимое;• Read  (Чтение) — дает право на открытие файлапапки на чтение, без возможности изменения;• Read & execute (Чтение и выполнение) — позволяет открывать файлы на чтение, а также запускать исполняемые файлы;

    • Write (Запись) — разрешает создавать файлыпапки и редактировать файлы, без возможности удаления;• Modify (Изменение) — включает в себя все вышеперечисленные разрешения. Имея разрешение Modify можно создавать, редактировать и удалять любые объекты файловой системы;

    При добавлении пользователя в список доступа ему автоматически выдаются права на чтение и запуск.

    Я воспользуюсь служебным положением 🙂 и выдам себе полный доступ на папку. Для этого надо отметить соответствующий чекбокс и нажать OK.

    Вариант 1: «локальная политика безопасности»

    Пользователям Виндовс 10 редакций Корпоративная и Профессиональная удобнее всего будет задействовать специальную утилиту.

    Вариант 2: «редактор реестра»

    Владельцам «десятки» версий Домашняя для решения задачи потребуется внести правки в системный реестр.

    1. Снова вызовите окно «Выполнить», но на этот раз пишите запрос regedit.
    2. Вызвать редактор реестра для решения проблемы клиента без прав доступа в Windows 10

    3. Откройте следующую ветку реестра:

      HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem

      Найдите в последнем каталоге запись «EnableLUA» и два раза щёлкните по ней ЛКМ.

    4. Открыть запись реестра для решения проблемы клиента без прав доступа в Windows 10

    5. Установите значение параметра , затем нажмите «ОК» и закрывайте «Редактор реестра».
    6. Редактировать запись реестра для решения проблемы клиента без прав доступа в Windows 10

      Метод с настройкой локальной политики безопасности довольно надёжный, однако отключение запроса полномочий администратора представляет собой уязвимость, так что озаботьтесь установкой надёжного антивируса.

      Подробнее: Антивирусы для Windows

    Владелец

    Вот мы и добрались до понятия владелец (Owner). Изначально владельцем объекта является пользователь, этот объект создавший. Что более важно, владелец имеет полный, никем и ничем не ограниченный доступ к объекту, и лишить его этого доступа достаточно сложно.

    Для примера удалим из списка доступа папки RootFolder всех ″живых″ пользователей и группы, оставим доступ только системе. Как видите, пользователь Kirill не имеет абсолютно никаких разрешений на папку, но при этом является ее владельцем.

    Теперь зайдем в систему под этим пользователем, откроем проводник и попробуем зайти в папку. Доступа к папке конечно же нет, о чем сказано в предупреждении, но при этом предлагается продолжить открытие папки.

    Соглашаемся на предложение, жмем кнопку «Continue» и спокойно открываем папку. А если теперь проверить разрешения, то мы увидим, что пользователь Kirill появился в списке и у него полный доступ. Дело в том, что если пользователь является владельцем папки, то при попытке доступа разрешения добавляются автоматически.

    То, что владелец всегда может получить доступ к объекту, это понятно. А кто может стать владельцем? По умолчанию право сменить владельца (Take ownership) имеют члены группы локальных администраторов. Для примера отберем права владельца на папку RootFolder у пользователя Kirill.

    Затем заходим в расширенные свойства безопасности папки и видим, что пользователь неизвестен. Но Kirill входит в группу администраторов на компьютере и значит может вернуть себе владение папкой. Для получения прав владельца сразу жмем на кнопку «Change» или сначала на кнопку «Continue».

    При нажатии на «Continue» окно откроется с правами администратора, а также вы получите небольшую подсказку, но затем все равно придется жать на кнопку «Change»

    Дальше все просто, выбираем нужного пользователя (или группу), подтверждаем свой выбор

    жмем OK

    и становимся владельцем. Ну а став владельцем, мы сразу увидим текущие разрешения объекта и сможем их изменять.

    Смена владельца корневой папки не означает автоматическую смену владельца у дочерних файловпапок. Для смены владельца всех объектов внутри надо отметить чекбокс Replace owner on subcontainers and objects (Сменить владельца у подконтейнеров и объектов) и нажать «Apply».

    Что интересно, при смене владельца дочерних объектов заменяются и их текущие разрешения.

    В результате Kirill становится не только владельцем, но и единственным имеющим разрешения пользователем.

    Какие из всего этого можно сделать выводы? Первое — владелец объекта всегда может получить к нему доступ, независимо от текущих разрешений. Второе — администратор компьютера может сменить владельца любого объекта файловой системы и, соответственно, получить к нему доступ.

    Дополнительные разрешения

    Базовые разрешения файловой системы не дают достаточной гибкости при управлении доступом, поэтому для более тонкой настройки используются дополнительные (расширенные) разрешения. Кстати, определить их наличие можно по наличию галки в строке Special Permissions (Специальные разрешения).

    :/>  Легкая сборка Windows 7x86x64 Ultimate v.19.20 by Uralsoft скачать торрент

    Для редактирования расширенных разрешений надо нажать кнопку «Advanced», после чего мы попадем в окно Advanced Security Settings (Дополнительные параметры безопасности).

    Здесь выбираем пользователя и жмем кнопку «Edit».

    В открывшемся окне мы увидим все те же базовые разрешения, а для перехода к расширенным надо перейти по ссылке Show advanced permissions (Отображение дополнительных разрешений).

    Как видите, здесь разрешений гораздо больше, и настраиваются они детальнее. Вот полный список расширенных разрешений файловой системы:

    • Traverse folder / execute file (Траверс папок / Выполнение файлов) —  траверс в переводе означает проход, соответственно данное разрешение позволяет пройти внутрь папки и запустить в ней исполняемый файл. При этом зайти внутрь папки и просмотреть ее содержимое нельзя, а файлы внутри доступны только по прямой ссылке.

    Таким образом можно выдать права на конкретные файлы внутри, при этом не давая никаких прав на саму папку. Обратите внимание, что данное разрешение не устанавливает автоматически разрешения на выполнение для всех файлов в папке;• List folder /read data (Содержимое папки / чтение данных) — право просматривать содержимое папки, без возможности изменения.

    Открывать или запускать файлы внутри папки тоже нельзя;• Read attributes (Чтение атрибутов) — дает право просматривать основные атрибуты файлов (Read-only, System, Hidden и т.п.);• Read extended attributes (Чтение расширенных атрибутов) — дает право просматривать дополнительные (расширенные) атрибуты файлов.

    Про расширенные атрибуты известно не очень много. Изначально они были добавлены в Windows NT для совместимости с OS/2 и на данный момент  практически не используются. Тем не менее их поддержка присутствует в Windows до сих пор. Для работы с расширенными атрибутами в Windows готовых инструментов нет, но есть сторонняя утилита ea.exe, позволяющая добавлять, удалять и просматривать эти самые атрибуты;

    • Create files / write data (Создание файлов / запись данных) — это разрешение дает пользователю право создавать файлы в папке, не имея прав доступа к самой папке. Т.е. можно копировать в папку файлы и создавать новые, но нельзя просматривать содержимое папки и открыватьизменять уже имеющиеся файлы.

    После добавления пользователь уже не сможет изменить файл, даже будучи его владельцем;• Create folders / append data (Создание папок / добавление данных) — пользователь может создавать новые подпапки в текущей папке, а также добавлять данные в конец файла, при этом не изменяя уже имеющееся содержимое;

    • Write attributes (Запись атрибутов) — дает право изменять практически все стандартные атрибуты файлов и папок, кроме атрибутов сжатия и шифрования. Дело в том, что для функций сжатия и шифрования требуется намного большие полномочия в системе, чем предоставляет данное разрешение.

    Если точнее, то для включения сжатия или шифрования необходимы права локального администратора;• Write extended attributes (Запись расширенных атрибутов) — позволяет производить запись расширенных атрибутов файловой системы. Как я говорил выше, атрибуты эти почти не используются, однако есть исключения.

    В расширенные атрибуты файла можно записывать произвольные данные, чем пользуются некоторые вредоносные программы;• Delete subfolders and files (Удаление подпапок и файлов) — позволяет удалять папки и файлы внутри родительской папки, при этом саму родительскую папку удалить нельзя;

    • Delete (Удаление) — тут все просто, имея данное разрешение можно удалять все что душа пожелает. Но для удаления объекта кроме Delete необходимо иметь разрешение List folder /read data, иначе удалить ничего не получится;• Read permissions (Чтение разрешений) — позволяет просматривать текущие разрешения файлапапки.

    Не позволяет открывать на чтение сам файл;• Change permissions (Изменение разрешений) — дает пользователю право изменять текущие разрешения. Формально это разрешение не дает никаких прав на сам объект, однако по сути предоставляет к нему неограниченный доступ;

    Для примера отберем у пользователя только права на удаление, но оставим все остальные. Обратите внимание, что все разрешения зависят друг от друга и при добавленииснятии одной галки могут добавлятьсясниматься другие. Так при снятии разрешения Delete снимается Full Control.

    Наследование

    Наследование (Inheritance) — это один из наиболее важных моментов, о которых нужно знать при работе с файловой системой. Суть наследования заключается в том, что каждый объект файловой системы (файл или папка) при создании автоматически наследует разрешения от ближайшего родительского объекта.

    Давайте проверим на практике, как работает правило наследования. Для лучшей наглядности я создал структуру папок, состоящую из нескольких уровней. На верхнем уровне находится корневая папка RootFolder, в ней расположена подпапка SubFolder, в которую вложена подпапка SubSubFolder.

    Для начала проверим разрешения корневой папки. Для этого перейдем к расширенным свойствам безопасности и посмотрим на текущие разрешения. В таблице разрешений присутствует столбец Inherited from (Унаследовано от), из которого можно узнать, какие разрешения являются унаследованным и от кого они унаследованы.

    Теперь копнем поглубже и перейдем к свойствам папки SubSubFolder. Здесь уже все разрешения являются унаследованными, но от разных объектов. Разрешения пользователя Kirill получены от корневой папки RootFolder, остальные наследуются от диска C. Из этого можно сделать вывод, что наследование является сквозным и работает независимо от уровня вложенности объекта.

    Это свойство наследования очень удобно использовать для назначения прав на большие файловые ресурсы. Достаточно определить права на корневую папку и они автоматически распространятся на все нижестоящие папки и файлы.

    Разрешения, наследуемые от вышестоящих объектов, называются неявными (implicit), а разрешения, которые устанавливаются вручную — явными (explicit). Явные разрешения всегда имеют приоритет над унаследованными, из чего вытекают следующие правила:

    • Запрет имеет более высокий приоритет над разрешением;• Явное разрешение имеет более высокий приоритет, чем неявное.

    И если расположить приоритеты разрешений в порядке убывания, то получится такая картина:

    1. Явный запрет2. Явное разрешение;3. Неявный запрет;4. Неявное разрешение.

    Т.е. если у пользователя одновременно имеется и разрешающее, и запрещающее правило, то подействует запрет. Но если запрет унаследован, а разрешение назначено вручную, то тут уже победит разрешающее правило. Проверим 🙂

    Для примера запретим пользователю Kirill доступ к корневой папке RootFolder, но выдадим ему доступ к дочерней папке SubSubFolder.  Получается, что у пользователя на папку SubSubFolder имеется унаследованный запрет и явно выданное разрешение.

    В результате пользователь может зайти в саму папку SubSubFolder, т.е. явное разрешение победило. А вот при попытке подняться выше будет получена ошибка, сработает унаследованный запрет.

    Кроме плюсов наследование имеет и свои минусы. Так изменить или удалить унаследованные разрешения невозможно, при попытке вы получите ошибку. Поэтому для их изменения сначала необходимо отключить наследование.

    Для этого надо в расширенных настройках безопасности выбранного объекта нажать кнопку Disable inheritance (Отключить наследование) и выбрать один из двух вариантов:

    • Convert inherited permissions into explicit permissions on this object (Преобразовать унаследованные от родительского объекта разрешения и добавить их в качестве явных разрешений для этого объекта);• Remove all inherited permissions from this object (Удалить все унаследованные разрешения с этого объекта).

    В первом варианте унаследованные разрешения остаются на месте, но становятся явными и их можно изменять и удалять.

    Во втором — все унаследованные разрешения просто удаляются, остаются только явные (если они есть). Если же у объекта не было явных разрешений, то он станет бесхозным и ни у кого не будет к нему доступа. Впрочем, при необходимости наследование легко включить обратно, надо всего лишь нажать на кнопку Enable inheritance (Включить наследование).

    Отключение наследования позволяет более детально настраивать разрешения для дочерних объектов. Однако может быть и обратная ситуация, когда на всех дочерних объектах надо убрать созданные вручную разрешения и заменить их на разрешения, наследуемые от родительского объекта.

    Сделать это просто, достаточно лишь отметить чекбокс Replace all child object permission entries with inheritable permission enntries from this object (Заменить все дочерние разрешения объекта на разрешения, наследуемые от этого объекта) и нажать «Apply».

    При включенном наследовании область действия унаследованных разрешений можно ограничивать, тем самым добиваясь большей гибкости при настройке разрешений. Для настройки надо перейти к разрешениям конкретного пользователягруппы и указать, на какие именно дочерние объекты должны распространяться данные разрешения:

    • This folder only — разрешения распространяются только на родительскую папку, не включая ее содержимое. Т.е. к файлам и папкам, находящиеся внутри данной папки, доступа нет. Не смотря на кажущуюся бесполезность данная настройка довольно часто используется.

    К примеру, для корневой папки мы выдаем разрешение для всех на просмотр содержимого, но ограничиваем глубину просмотра, а уже внутри папки настраиваем права так, как нам нужно. Соответственно пользователь может зайти в папку, осмотреться и выбрать нужный ему объект.

    Такой подход очень удобно использовать вместе с технологией Access Based Enumeration;• This folder, subfolders and files — разрешения распространяются на папку включая все находящиеся в ней папки и файлы. Это выбор по умолчанию;

    :/>  Что делать если Windows 10 не видит диск D

    • This folder and subfolders — разрешения распространяются на родительскую папку и подпапки, не включая файлы. Т.е. к файлам, находящимся внутри данной папки и ее подпапок, доступа нет;• This folder and files — здесь разрешения распространяются на саму папку и находящиеся в ее корне файлы.

    Если в родительской папке есть дочерние папки, то к ним и их содержимому доступа нет;• Subfolders and files only — разрешения распространяются на все файлы и папки, находящиеся внутри родительской папки, но не дают доступ к самой папке;• Subfolders only — разрешения распространяются только на подпапки, находящиеся в данной папке.

    На родительскую папку, а также на файлы, находящиеся внутри родительской папки и дочерних папок разрешений нет;• Files only — разрешения распространяются на все файлы, находящиеся внутри родительской папки и дочерних папок. На родительскую папку и подпапки разрешений нет.

    Данные ограничения в сочетании с расширенными разрешениями позволяют очень гибко настраивать права доступа к файлам. Для примера выдадим пользователю полный доступ к корневой папке, но установим ограничение This folder and subfolders, которое дает доступ ко всем дочерним папкам.

    Кроме определения области действия есть еще один способ ограничить наследование. Для этого надо отметить чекбокс Only apply these permissions to object and/or containers within this container (Применить данные разрешения для объектов внутри этого контейнера).

    Действие этого чекбокса ограничивает наследование только дочерними объектами и только данного объекта, т.е. при включении этой опции вне зависимости от выбранной области действия разрешения будут распространяться только на находящиеся в корне родительской папки файлы и папки.

    Просмотр текущих разрешений

    Как вы уже поняли, структура разрешений файловой системы может быть весьма сложной и запутанной. Особенно это касается файловых ресурсов общего доступа, в которых разрешения назначаются не отдельным пользователям, а группам. В результате определить разрешения для отдельно взятого пользователя становится достаточно сложной задачей, ведь надо определить все группы, в которые входит пользователь, а уже затем искать эти группы в списке доступа.

    Решение 1 – измените настройки интернета

    Предупреждение об открытии файла обычно появляется при попытке запуска загруженных файлов, но вы можете решить эту проблему, просто изменив настройки Интернета.

    Это относительно просто, и вы можете сделать это, выполнив следующие действия:

    1. Нажмите Ключ Windows S и введите параметры Интернета . Выберите Свойства обозревателя из списка результатов.
      Integrity Levels - HackTricks
    2. Когда откроется окно Свойства обозревателя , перейдите на вкладку Безопасность и нажмите кнопку Пользовательский уровень .
      Integrity Levels - HackTricks
    3. Список настроек появится. Найдите Запуск приложений и небезопасных файлов и выберите Включить . Теперь нажмите ОК , чтобы сохранить изменения.
      Integrity Levels - HackTricks


    После изменения этих настроек вы сможете без проблем запускать загруженные файлы.

    Решение 11. установите флажок включить все параметры сетевых путей

    Немногие пользователи утверждают, что вы можете решить эту проблему, просто проверив несколько параметров в настройках Интернета. Для этого выполните следующие действия:

    1. Откройте Свойства обозревателя . Перейдите на вкладку Безопасность , выберите Локальная интрасеть и нажмите кнопку Сайты .
    2. Появится окно Локальная интрасеть . Снимите все флажки, кроме Включить все сетевые пути (UNC) . После этого нажмите ОК , чтобы сохранить изменения.
      Integrity Levels - HackTricks
    3. Необязательно . Немногие пользователи предлагают установить флажок Включить все локальные (интрасеть) сайты, не включенные в другие зоны , поэтому вы можете захотеть сделать это.

    После этого проблема должна быть решена, и вы сможете без проблем запускать файлы из сетевых каталогов.

    Решение 12. создайте bat-файл, который будет запускать проблемный файл


    По словам пользователей, вы можете избежать этого предупреждения безопасности при запуске определенного приложения, просто создав файл bat, который запустит приложение для вас. Для этого выполните следующие действия:

    1. Откройте Блокнот .
    2. Теперь вставьте следующий код:

      • запустите «c: windowssystem32» notepad.exe

      Мы использовали Блокнот в качестве примера, но если вы хотите запустить любое другое приложение, используя bat-файл, вам нужно указать местоположение файла между кавычками и именем файла после него.

    3. Теперь вам просто нужно сохранить свой файл. Для этого перейдите в Файл> Сохранить как .
      Integrity Levels - HackTricks
    4. Установите для Сохранить как тип значение Все файлы и введите script.bat в качестве имени файла. Теперь выберите каталог для сохранения и нажмите кнопку Сохранить .
      Integrity Levels - HackTricks
    5. Теперь вам просто нужно найти созданный файл script.bat и запустить его, и приложение запустится без каких-либо предупреждений безопасности.

    Это хороший обходной путь, но он может быть немного сложным, так как вам нужно создать скрипт bat для этого конкретного файла.

    Поскольку это всего лишь обходной путь, вам придется каждый раз использовать скрипт для запуска нужного приложения.

    Расписание командных файлов, как настоящий эксперт! Узнайте, как из нашего удобного руководства!

    Решение 13 – используйте команду icals

    Некоторые сообщили об этом предупреждении безопасности при попытке запуска приложений из меню «Пуск» или с панели задач. По их словам, вы можете решить эту проблему просто с помощью команды icals.

    Это относительно просто, и вы можете сделать это, выполнив следующие действия:

    1. Откройте Командную строку от имени администратора.
    2. После запуска командной строки выполните следующие команды одну за другой:


    После выполнения этих команд предупреждение о безопасности должно исчезнуть, и вы не увидите его при попытке запуска приложений из панели задач или из меню «Пуск».

    Решение 14 – загрузите и используйте утилиту потоков

    Если при открытии определенного файла вы получаете предупреждение безопасности «Открыть файл», вы можете исправить его с помощью потоковых инструментов. Этот инструмент является частью Sysinternals, и вы можете бесплатно загрузить его с веб-сайта Microsoft.

    После загрузки инструмента его необходимо запустить вручную или использовать Командная строка , чтобы перейти к его каталогу и ввести следующую команду:

    • streams.exe -accepteula -d application_name.exe

    После выполнения этой команды вы удалите все данные зоны из этого файла, и при запуске вы не увидите никаких предупреждений безопасности.

    Решение 15. скопируйте файлы в другое место


    По словам пользователей, вы можете решить проблему с помощью раздражающего предупреждения безопасности, просто скопировав уязвимые файлы в новое место.

    Для этого найдите проблемные файлы и выберите их. Теперь скопируйте их на рабочий стол.

    После этого удалите исходные файлы из их каталога. Теперь переместите файлы с рабочего стола в исходное местоположение. После этого вы сможете запускать эти файлы без проблем.


    Пользователи сообщили, что этот обходной путь работает с избранным в Internet Explorer, но обязательно попробуйте его с другими файлами, которые выдают это предупреждение о безопасности.

    Предупреждение о безопасности открытого файла иногда может быть довольно раздражающим, но вы должны быть в состоянии предотвратить его появление с помощью одного из наших решений.

    Файлы копируются слишком медленно? Обратитесь к нашему исчерпывающему руководству, чтобы решить эту проблему!

    Решение 2 – отключить контроль учетных записей пользователей

    Если вы часто получаете предупреждение о безопасности Open File, вы можете отключить его, отключив Контроль учетных записей. Это функция безопасности Windows, которая уведомляет вас при попытке изменить настройку или выполнить действие, требующее административных привилегий.


    Пользователи утверждают, что эта функция является причиной этого предупреждения безопасности, и если вы хотите отключить ее, вам необходимо отключить контроль учетных записей. Для этого выполните следующие действия:

    1. Нажмите Windows Key S и введите пользователь . Выберите в меню Изменить настройки контроля учетных записей .
      Integrity Levels - HackTricks
    2. Когда появится окно Настройки контроля учетных записей , переместите ползунок полностью вниз до Никогда не уведомлять . Нажмите ОК , чтобы сохранить изменения.
      Integrity Levels - HackTricks

    После того, как вы отключите контроль учетных записей, вы увидите меньше предупреждений безопасности на вашем компьютере. Отключение контроля учетных записей не сильно снизит вашу безопасность, поэтому вы можете отключить его без страха.

    Это руководство поможет вам стать экспертом по управлению контролем учетных записей!

    Решение 3 – изменить ваш реестр

    Ваш реестр содержит конфиденциальную системную информацию, и, изменив ее, вы можете отключить отображение этого предупреждения безопасности. Изменение реестра может быть потенциально опасным, если вы не будете осторожны, поэтому мы советуем вам быть особенно осторожными.

    Чтобы решить эту проблему, сделайте следующее:

    Решение 4 – изменить вашу групповую политику

    Вы можете предотвратить появление этого предупреждения безопасности с помощью редактора групповой политики. Это полезное приложение, которое позволяет изменять различные параметры, но, к сожалению, оно доступно только в версиях Windows для Pro и Enterprise.

    Чтобы использовать групповую политику, сделайте следующее:

    1. Нажмите Windows Key R и введите gpedit.msc . Нажмите Enter или нажмите ОК .
      Integrity Levels - HackTricks
    2. В левой панели перейдите в раздел Конфигурация пользователя> Административные шаблоны> Компоненты Windows> Менеджер вложений . На правой панели найдите Не сохранять информацию о зоне во вложенных файлах .
      Integrity Levels - HackTricks
    3. Выберите Включено и нажмите Применить и ОК , чтобы сохранить изменения.
      Integrity Levels - HackTricks
    4. Теперь нажмите Список включений для файлов низкого уровня .
      Integrity Levels - HackTricks
    5. Выберите Включено и вставьте следующую строку в поле ввода Укажите расширения с низким уровнем риска :
      .avi ;. летучей мыши; .cmd; .exe; .htm; .html; .lnk; .mpg; .mpeg; .mov; .mp3; .mp4; .mkv; .msi; .m3u; .rar ; .reg; .txt; .vbs; .wav; .zip; .7z
      Integrity Levels - HackTricks
      Теперь нажмите Применить и ОК , чтобы сохранить изменения.
    :/>  Контроль учетных записей пользователей (UAC) – что это такое и как отключить


    Закройте редактор групповой политики и перезагрузите компьютер. После перезагрузки компьютера проверьте, не исчезла ли проблема.

    Обратитесь к нашему удобному руководству, чтобы редактировать групповую политику как профессионал!

    Решение 6 – разблокировать файл

    Чтобы предотвратить появление этого предупреждения о безопасности, вам может потребоваться разблокировать файл. Иногда файлы могут блокироваться, вызывая появление этого предупреждения.

    Чтобы разблокировать файл, убедитесь, что файл находится в каталоге, связанном с вашей учетной записью пользователя, например на рабочем столе или в Документах. Если вы хотите разблокировать определенный файл, вам нужно сделать следующее:

    1. Нажмите правой кнопкой мыши на проблемный файл и выберите в меню Свойства .
      Integrity Levels - HackTricks
    2. Когда откроется окно Свойства , перейдите на вкладку Общие и нажмите кнопку Разблокировать .


    После этого вы больше не увидите предупреждение о безопасности для этого файла.

    Решение 7. снимите флажок всегда спрашивать перед открытием этой опции файла

    Если вы хотите отключить предупреждение о безопасности Open File для определенного файла, вы можете сделать это, просто сняв отметку с одного параметра. Для этого выполните следующие действия:

    1. Запустите проблемный файл.
    2. Вы должны увидеть предупреждение безопасности Open File. Снимите флажок Всегда спрашивать перед открытием этого файла . Теперь нажмите Запустить , чтобы продолжить.
      Integrity Levels - HackTricks

    После этого вы сможете открыть этот файл без каких-либо предупреждений безопасности. Этот метод прост и понятен, и он весьма полезен, если вы хотите отключить это предупреждение о безопасности для определенного файла.

    Решение 9 – изменить настройки локальной интрасети

    По словам пользователей, это предупреждение безопасности может появиться, если вы пытаетесь запустить приложение из сетевого каталога.


    Чтобы решить эту проблему, необходимо добавить имя или IP-адрес сервера, на котором приложение хранится, в настройках интрасети. Это относительно просто сделать, и вы можете сделать это, выполнив следующие действия:

    1. Откройте Интернет Параметры . Мы показали вам, как это сделать в Решении 1 , поэтому обязательно ознакомьтесь с подробными инструкциями.
    2. Когда откроется окно Свойства обозревателя , перейдите на вкладку Безопасность и выберите Локальная интрасеть . Теперь нажмите кнопку Сайты .
      Integrity Levels - HackTricks
    3. Появится окно Локальная интрасеть . Нажмите кнопку Дополнительно .
      Integrity Levels - HackTricks
    4. Теперь введите адрес сервера в поле Добавить этот сайт в зону . Вы можете использовать домен сервера или его IP-адрес. Просто обязательно введите перед адресом или доменом сервера. Теперь нажмите кнопку Добавить . После завершения добавления серверов нажмите кнопку Закрыть .
      Integrity Levels - HackTricks
    5. Сохраните изменения, и ваша проблема должна быть решена полностью.

    Если вы не хотите использовать Свойства обозревателя, вы можете внести те же изменения с помощью Редактор групповой политики .Для этого выполните следующие действия:

    1. Откройте Редактор групповой политики . Чтобы узнать, как это сделать, проверьте первый шаг Решения 4 .
    2. При запуске Редактор групповой политики перейдите в раздел Вычислить r Конфигурация> Административные шаблоны> Компоненты Windows> Internet Explorer> Панель управления Интернетом> Безопасность Страница в левой панели. На правой панели найдите и дважды нажмите Список назначений сайтов и зон .
      Integrity Levels - HackTricks
    3. Теперь выберите Включено и нажмите кнопку Показать .
      Integrity Levels - HackTricks
    4. В столбце Имя значения введите IP-адрес или доменное имя сервера. Что касается значения , введите 1 . После ввода всех необходимых адресов нажмите ОК , чтобы сохранить изменения.
      Integrity Levels - HackTricks
    5. Теперь просто нажмите Применить и ОК , чтобы применить изменения.
      Integrity Levels - HackTricks

    Оба метода достигнут одинаковых результатов, поэтому вы можете использовать любой из них. Имейте в виду, что это решение работает, только если вы пытаетесь запустить приложение из сетевого каталога.

    Способ 1: настройка политики безопасности

    Как становится понятно из текста ошибки, её причина заключается в сбоях системы контроля учётных записей. Следовательно, устранить проблему можно изменением параметров одной из политик локальной безопасности.

    Способ 2: «командная строка»

    Второй способ устранения рассматриваемого сбоя заключается в настройке прав доступа с помощью «Командной строки».

    1. Для начала запустите консоль с правами администратора, что можно сделать через «Поиск» – откройте его, начните писать слово командная, затем выделите нужный результат и воспользуйтесь пунктом из правого бокового меню.
      Запуск командной строки для решения проблемы клиента без прав доступа в Windows 10

      Подробнее: Запуск «Командной строки» от имени администратора в Windows 10

    2. Впишите в окно команду следующего вида:

      takeown /f "*путь к папке*" /r /d y

      Вместо *путь к папке* напишите полный путь к проблемному файлу или каталогу из адресной строки.

    3. Ввод первой команды в командную строку для решения проблемы клиента без прав доступа в Windows 10

    4. Далее введите следующую команду:

      icacls "C:" /grant *имя пользователя*:F /t /c /l /q

      Вместо *имя пользователя* укажите имя вашей учётной записи.

    5. Написать вторую команду в командную строку для решения проблемы клиента без прав доступа в Windows 10

    6. Перезагрузите компьютер и проверьте, пропала ли ошибка. Если она по-прежнему наблюдается, снова запустите «Командную строку» с полномочиями админа и введите следующее:

      icacls *диск*: /setintegritylevel m

      Вместо *диск* впишите букву диска, на котором инсталлирована система, по умолчанию это C:.

    7. Третья команда в командную строку для решения проблемы клиента без прав доступа в Windows 10

      Снова перезагрузите компьютер, на этот раз ошибка должна пропасть.

    Таким образом, мы рассмотрели, почему возникает ошибка «Клиент не обладает требуемыми правами» и как от неё можно избавиться.

    Явный запрет

    Как вы наверняка знаете, в файловой системе кроме разрешающих правил (Allow) есть еще и запрещающие (Deny). Однако явные запреты используются достаточно редко, поскольку для управления доступом вполне хватает обычных разрешений. Более того, запреты не рекомендуется использовать без крайней необходимости.

    Дело в том, что запрещающие правила всегда имеют приоритет над разрешающими, поэтому при их использовании возможно возникновение конфликтов доступа. Например, если пользователь входит в две группы, у одной из которых есть разрешение на доступ к папке, а у второй явный запрет, то сработает запрет и пользователю будет отказано в доступе.

    Однако бывают ситуации, в которых применение запретов может быть оправдано. К примеру, одному пользователю необходимо запретить доступ к папке. При этом он входит в группу, имеющую разрешения на доступ. Отобрать доступ у всей группы нельзя, поскольку в нее входят другие пользователи, которым доступ положен.

    Запрещающие правила настраиваются аналогично разрешающим — заходим в настройки безопасности, выбираем пользователягруппу и проставляем нужные галки. Для примера запретим полный доступ к папке для пользвателя NoAccess.

    Кстати, при использовании запретов система обязательно выдаст предупреждение и даже приведет пример.

    В результате при наличии явного запрета пользователь получит такой же отказ в доступе, как и при отсутствии разрешений. Разве что сообщение немного отличается.

    Как видите, в использовании запретов нет ничего страшного, хотя, на мой взгляд, это является показателем некоторой некомпетентности. Ведь при грамотно организованной структуре прав доступа в них не должно быть необходимости.

    Отзыв разрешений

    Как выдавать разрешения мы выяснили, теперь о том, как их отбирать. Тут все просто, достаточно удалить пользователя или группу из списка и доступ автоматически пропадает. В качестве примера отберем доступ к папке у пользователя Kirill. Для этого откроем базовые разрешения, выберем нужного пользователя и нажмем кнопку «Remove».

    Проверим, что пользователь удалился из списка

    и попробуем зайти в папку. Поскольку у пользователя больше нет никаких разрешений, то получаем отказ в доступе.

    Заключение

    В данной статье я описал только наиболее важные моменты, которые нужно знать при работе с разрешениями файловой системы. В качестве заключения несколько правил, которые могут помочь при работе с разрешениями:

    • По возможности выдавать разрешения не отдельным пользователям, а группам. Это позволяет один раз настроить все необходимые разрешения и больше не возвращаться к их редактированию, а права доступа назначать путем добавления пользователя в соответствующие группы;

    • Стараться по максимуму использовать свойства наследования. Это может значительно сэкономить время, расходуемое на управление разрешениями;• Не использовать явные запреты без крайней необходимости. Использование запретов очень сильно усложняет схему доступа, а в некоторых случаях может привести к конфликтам;• Перед раздачей

    слонов
    разрешений, необходимо четко определиться с тем, какие именно действия пользовательгруппа будет производить с файлами (читать, редактировать, создавать новые файлыпапки или выдавать разрешения) и исходя из этого назначить
    минимально необходимые
    для работы разрешения. Проще говоря, если пользователю требуется открыть файл и прочесть его, то не надо давать ему полный доступ на всю папку;

    • При копировании или перемещении файлов надо помнить о том, что разрешения сохраняются только в пределах текущего логического диска (или тома). Подробнее о сохранении разрешений при копировании можно почитать

    • Для облегчения управления доступом к файловым ресурсам общего доступа можно использовать дополнительные технологии, облегчающие жизнь администратора. Так технология

    позволяет пользователю видеть только те объекты, к которым у него есть доступ, технология

    вместо отказа в доступе выдает осмысленное сообщение и позволяет пользователю обратиться к администратору или владельцу ресурса с запросом через специальную форму. Можно еще упомянуть

    , хотя это уже отдельная большая тема.

    Оставьте комментарий

    Adblock
    detector