%20.png)
Posible duplicado:
Win 7, protege la carpeta con dos administradores
Quiero que una cuenta de administrador pueda leer y escribir en una carpeta de Windows 7; otras cuentas de administrador en la máquina solo deberían tener acceso de lectura.
Nombre de carpeta = C:\SensitiveData
En la máquina hay 2 cuentas de administrador y varias cuentas de usuario AdminAccount1 = normalAdmin AdminAccount2 = sensibleDataAdmin
Solo quiero que SensitiveDataAdmin pueda leer y escribir en la carpeta C:\SensitiveData, y que todos los usuarios normales y otros usuarios administradores puedan leer desde ella.
Algunos antecedentes de por qué queremos esto. La PC no está en un dominio o red, simplemente es independiente y está conectada a Internet. Tiene una aplicación que guarda datos en la nube, sin embargo, cuando la nube no funciona queremos guardar esta información confidencial en el disco local pero no permitir que nadie borre o modifique los datos (solo para leerlos).
Respuesta1
Desde elDiez leyes inmutables de seguridad:
Ley #2:Si un tipo malo puede alterar el sistema operativo de su computadora, ya no es su computadora.
Ley #3:Si un delincuente tiene acceso físico ilimitado a su computadora, ya no es su computadora.
...
Ley #6:Una computadora es tan segura como confiable es su administrador.
Ley #7:Los datos cifrados son tan seguros como su clave de descifrado
Dejando de lado los recordatorios de los fundamentos, los demás aquí tienen bastante razón. Sin un dominio, no podrá protegerse eficazmente C:\SensitiveDatacontra NormalAdmin. Inclusoconun dominio, si la información se almacena localmente en un sistema donde NormalAdmin tiene permisos de administrador, la protección de esos datos a través de permisos de archivos aún puede ser ineficaz. Además, dependiendo de cómoen realidadSi le preocupa que NormalAdmin tenga acceso a estos datos, todavía existe el problema del "acceso físico".
La única protección que probablemente sobrevivirá a ataques que impliquen acceso físico o a un atacante con derechos de administrador en el sistema es el cifrado de archivos. Aquí es donde entra en juego la Ley número 7. Si va a cifrar los archivos y no desea que NormalAdmin tenga acceso, asegúrese de que la clave de descifrado esté protegida por algún mecanismo al que NormalAdmin no tenga acceso o al que no pueda adquirir casualmente.
Sin embargo, incluso con el cifrado de archivos, NormalAdmin aún podría obtener los datos si quisiera esforzarse lo suficiente. Con acceso físico sin restricciones y sin supervisión al sistema (yespecialmentecon privilegios de administrador preexistentes) puede hacer prácticamente lo que quiera. Esto incluye la instalación de registradores de pulsaciones de teclas u otro software espía que podría facilitarle el acceso a claves de descifrado almacenadas localmente. O podría escribir e instalar un script para copiar los datos confidenciales cada vez que un usuario los descifre. Por supuesto, estos métodos son mucho más invasivos y requieren mucho más esfuerzo que simplemente cambiar casualmente los permisos de los archivos. Pero la cuestión es que el riesgo aún persiste. Ver Ley #6.
NOTA: Todo lo anterior en realidad solo analiza el acceso a los archivos en general: un esquema de permisos de todo o nada. Si quieres llegar a un esquema quepermiteAdministrador normal para tenerleeracceso, pero efectivamente le impide obtenerescribiracceso, el problema se vuelve aún más difícil (si no imposible).
Respuesta2
No puedes hacer esto. El objetivo de un administrador es que es un administrador. Es posible que pueda hacer esto en un dominio creando grupos de tipo "casi administrador".
Podría haber algún software especializado que le ayude, pero no es posible solo con Windows, especialmente en un grupo de trabajo.
Respuesta3
Ayer se hizo una pregunta similarWin 7, protege la carpeta con dos administradores. Si el cifrado es una opción, esa puede ser la solución.