가능한 중복:
Win 7, 두 명의 관리자로 폴더 보호
하나의 관리자 계정이 Windows 7 폴더를 읽고 쓸 수 있도록 하고 싶습니다. 컴퓨터의 다른 관리자 계정에는 읽기 액세스 권한만 있어야 합니다.
폴더 이름 = C:\SensitiveData
머신에는 2개의 관리자 계정과 다양한 사용자 계정이 있습니다. AdminAccount1 = NormalAdmin AdminAccount2=sensitiveDataAdmin
SensitiveDataAdmin만 C:\SensitiveData 폴더를 읽고 쓸 수 있도록 하고 모든 일반 사용자와 다른 관리자 사용자는 C:\SensitiveData 폴더에서 읽을 수 있기를 바랍니다.
우리가 이것을 원하는 이유에 대한 몇 가지 배경. PC는 도메인이나 네트워크에 있지 않고 단지 독립형이며 인터넷에 연결되어 있습니다. 클라우드에 데이터를 저장하는 애플리케이션이 있지만 클라우드가 다운되면 이 민감한 정보를 로컬 디스크에 저장하고 누구도 데이터를 삭제하거나 수정하는 것을 허용하지 않습니다(읽기만 가능).
답변1
로부터10가지 불변의 보안 법칙:
법칙 #2:악의적인 사람이 컴퓨터의 운영 체제를 변경할 수 있다면 그 컴퓨터는 더 이상 귀하의 컴퓨터가 아닙니다.
법칙 #3:악의적인 사람이 귀하의 컴퓨터에 제한 없이 물리적으로 접근할 수 있다면 그 컴퓨터는 더 이상 귀하의 컴퓨터가 아닙니다.
...
법칙 #6:컴퓨터는 관리자가 신뢰할 수 있는 만큼만 안전합니다.
법칙 #7:암호화된 데이터는 해독 키만큼 안전합니다.
기본 사항에 대한 알림은 제쳐두고 여기의 다른 사람들은 거의 옳았습니다. 도메인이 없으면 NormalAdmin으로부터 효과적으로 보호할 수 없습니다 C:\SensitiveData. 심지어~와 함께도메인, NormalAdmin에 관리자 권한이 있는 시스템에 정보가 로컬로 저장된 경우 파일 권한을 통한 해당 데이터 보호는 여전히 효과적이지 않을 수 있습니다. 게다가 어떻게 하느냐에 따라정말NormalAdmin이 이 데이터에 액세스할 수 있을지 걱정되시겠지만, 여전히 "물리적 액세스" 문제가 있습니다.
물리적 액세스 또는 시스템에 대한 관리자 권한을 가진 공격자와 관련된 공격에서 살아남을 수 있는 유일한 보호 방법은 파일 암호화입니다. 이것이 바로 법칙 #7이 적용되는 곳입니다. 파일을 암호화하려고 하는데 NormalAdmin이 액세스하는 것을 원하지 않는 경우 NormalAdmin이 액세스할 수 없거나 우연히 얻을 수 없는 일부 메커니즘으로 암호 해독 키가 보호되는지 확인하십시오.
파일 암호화를 사용하더라도 NormalAdmin은 열심히 노력하면 데이터를 얻을 수 있습니다. 제한되지 않고 감독되지 않는 시스템에 대한 물리적 액세스(및특히기존 관리자 권한으로) 그는 원하는 것은 무엇이든 할 수 있습니다. 여기에는 로컬에 저장된 암호 해독 키에 대한 액세스 권한을 쉽게 얻을 수 있는 키로거 또는 기타 스파이웨어 설치가 포함됩니다. 또는 사용자가 민감한 데이터를 해독할 때마다 해당 데이터를 복사하는 스크립트를 작성하고 설치할 수도 있습니다. 물론, 이러한 방법은 훨씬 더 침입적이며 파일 권한을 우연히 변경하는 것보다 훨씬 더 많은 노력이 필요합니다. 그러나 문제는 위험이 여전히 남아 있다는 것입니다. 법칙 #6을 참조하세요.
참고: 위의 모든 내용은 실제로 파일에 대한 일반적인 액세스(전부 아니면 전무 권한 체계)에 대해서만 논의한 것입니다. 다음과 같은 계획을 세우고 싶다면허용한다NormalAdmin이 있어야 합니다.읽다접근할 수 있지만 효과적으로 접근하는 것을 방지합니다.쓰다액세스하면 문제가 더욱 어려워집니다(불가능하지는 않더라도).
답변2
너는 이것을 못해. 관리자의 요점은 관리자라는 것입니다. "거의 관리자" 유형 그룹을 만들어 도메인에서 이 작업을 수행할 수 있습니다.
도움이 되는 전문 소프트웨어가 있을 수 있지만 Windows 단독으로는 불가능하며 특히 작업 그룹에서는 불가능합니다.
답변3
어제 비슷한 질문이 올라왔네요Win 7, 두 명의 관리자로 폴더 보호. 암호화가 해결책이 될 수 있는 옵션인 경우.