%20.png)
重複の可能性あり:
Win 7、2人の管理者でフォルダを保護する
1 つの管理者アカウントに Windows 7 フォルダーの読み取りと書き込みを許可し、マシン上の他の管理者アカウントには読み取りアクセスのみを許可します。
フォルダ名 = C:\SensitiveData
マシンには 2 つの管理者アカウントとさまざまなユーザー アカウントがあります。AdminAccount1 = normalAdmin、AdminAccount2 = sensitiveDataAdmin
sensitiveDataAdmin のみが C:\SensitiveData フォルダーの読み取りと書き込みを行えるようにし、すべての通常ユーザーとその他の管理者ユーザーがそこから読み取りを行えるようにしたいと考えています。
なぜこれを望んでいるのか、背景を説明します。 PC はドメインやネットワーク上に存在せず、スタンドアロンでインターネットに接続されています。クラウドにデータを保存するアプリケーションがありますが、クラウドがダウンしている場合は、この機密情報をローカル ディスクに保存し、誰もデータを削除または変更できないようにする必要があります (読み取りのみ可能)。
答え1
法則その2:悪意のある人物があなたのコンピュータのオペレーティング システムを変更できる場合、そのコンピュータはもはやあなたのものではありません。
法則その3:悪意のある人物があなたのコンピュータに無制限に物理的にアクセスできる場合、そのコンピュータはもはやあなたのものではありません。
...
法則その6:コンピュータの安全性は、管理者の信頼性によってのみ決まります。
法則その7:暗号化されたデータの安全性は、復号化キーの安全性に左右される
基本的なことを忘れずに、他の人たちもほぼ正しいことを言っています。ドメインがなければ、NormalAdminから効果的に保護することはできませんC:\SensitiveData。とドメインの場合、NormalAdminが管理者権限を持つシステムに情報がローカルに保存されていると、ファイル権限によるデータの保護は依然として効果がない可能性があります。さらに、本当にNormalAdmin がこのデータにアクセスできるようになることを心配していますが、依然として「物理的なアクセス」の問題が残っています。
物理的なアクセスを伴う攻撃や、システムへの管理者権限を持つ攻撃者による攻撃に耐えられる唯一の保護は、ファイルの暗号化です。ここで、法則 7 が役立ちます。ファイルを暗号化し、NormalAdmin にアクセスさせたくない場合は、NormalAdmin がアクセスできない、または偶然に取得できないメカニズムによって復号化キーが保護されていることを確認してください。
たとえファイルを暗号化しても、NormalAdminは十分に努力すればデータを入手することができます。システムへの無制限かつ監督なしの物理的アクセス(そして特に管理者権限を持つユーザーは、ほぼ何でも好きなようにできます。これには、ローカルに保存されている復号化キーへのアクセスを容易にするキーロガーやその他のスパイウェアのインストールが含まれます。または、ユーザーがデータを復号化するたびに機密データをコピーするスクリプトを書いてインストールすることもできます。確かに、これらの方法ははるかに侵入的であり、ファイルのアクセス許可を気軽に変更するよりも多くの労力が必要です。しかし、重要なのは、リスクが依然として残っているということです。法則 #6 を参照してください。
注: 上記のすべては、ファイルへのアクセス全般、つまり「すべてかゼロか」の権限スキームについてのみ議論したものです。許可するNormalAdminが持つ読むアクセスはできるが、事実上、書くアクセスできない場合、問題はさらに困難になります(不可能ではないにしても)。
答え2
これは実行できません。管理者のポイントは、管理者であることです。ドメインで「ほぼ管理者」タイプのグループを作成することにより、これを実行できる場合があります。
専門的なソフトウェアが役に立つかもしれませんが、Windows だけでは、特にワークグループでは不可能です。
答え3
昨日も同様の質問がありましたWin 7、2人の管理者でフォルダを保護する暗号化が選択肢にある場合は、それが解決策となる可能性があります。