Защита через права обеспечивает разграничение доступа к каталогам и файлам. Здесь необходимо следить за опекунскими назначениями, масками прав и назначениями эквивалентности по защите. Особого внимания заслу¬живает каталог SYS:SYSTEM, который содержит ключевые элементы защиты.
Файл AUTOEXEC.NCF может содержать пароль удаленной консоли в коман¬де LOAD REMOTE, дающий доступ к консоли сервера с рабочей станции.
Этот же каталог является единственным хранителем .NLM-файлов после выполнения команды SECURE CONSOLE, и гарантированное отсутствие в нем пиратских модулей усиливает защиту системы.
На сервере NetWare 3.x файлы Bindery» хранящие имена, пароли и привиле¬гии всех пользователей, при наличии права записи в SYS:SYSTEM можно подменить, записав свои файлы NET$OBJ.OLD, NET$PROP.OLD и NET$VAL.OLD и выполнив утилиту BINDREST.
Для усиления защиты в особо ответственных случаях стоит удалить IN-STALL.NLM из каталога SYS:SYSTEM, чтобы исключить возможность пере¬именования томов с консоли сервера, в результате которого при некотором знании системы можно получить новую Bindery с двумя пользователями GUEST и SUPERVISOR, не требующими пароля, но обладающими своими штатными правами. В «мирных целях» при наличии копий старой Bindery эти манипуляции можно использовать для переустановки потерянного паро¬ля супервизора с сохранением всех пользователей и групп.
Рядовые пользователи не должны иметь никаких прав в каталоге SYS:SYS-ТЕМ. В каталогах SYS:PUBLIC и SYS:LOGIN они должны иметь права сканирования и чтения [R F] для нормального использования утилит, в каталоге SYS:MAIL - права создания и записи [W С] для использования электронной почты.
Защита файлов и каталогов с помощью атрибутов подразумевает взвешенное назначение права модификации, позволяющего снимать сдерживающие ат¬рибуты.
Проверка надежности системы безопасности осуществляется утилитой SE-CURITY.EXE, хранящейся в SYS:SYSTEM. Она выявляет пользователей, для которых не требуется пароля или имеющих ненадежный пароль (совпадаю¬щий с именем, короче 5 символов или со сроком использования более 60 дней, а также без требования уникальности), пользователей, эквивалент¬ных по защите SUPERVISOR, или имеющих права в корневых каталогах, или имеющих чрезмерные права в каталогах SYS:SYSTEM, SYS:LOGIN, SYS:PUBLIC, SYS:MAIL.
Для обычной работы в сети администраторам системы и рабочих групп следует создавать отдельные имена регистрации - бюджеты без чрезвычай¬ных привилегий, чтобы их станцией, случайно оставленной в зарегистрированном состоянии, не смог воспользоваться нарушитель с целью завладения дополнительными правами (при выполнении задач администрирования можно и повысить бдительность).
Чтобы не попасть в ловушку при утере пароля, SUPERVISOR может назна¬чить пользователю, которому он абсолютно доверяет, эквивалентность себе по защите или, что безопаснее, назначить его менеджером своего бюджета.
Также рекомендуется иметь на дискете копию Bindery, в которой SUPERVI¬SOR не имеет пароля, и при необходимости восстановить ее с помощью BINDREST.EXE (правда, для этого нужно получить доступ в SYSrSYSTEM по записи, но это можно и обойти).