%20.png)
Possível duplicata:
Win 7, proteja a pasta com dois administradores
Quero que uma conta de administrador possa ler e gravar em uma pasta do Windows 7; outras contas de administrador na máquina devem ter apenas acesso de leitura.
Nome da pasta = C:\SensitiveData
Na máquina existem 2 contas de administrador e várias contas de usuário AdminAccount1 = normalAdmin AdminAccount2=sensitiveDataAdmin
Quero que apenassensitiveDataAdmin possa ler e gravar na pasta C:\SensitiveData e que todos os usuários normais e outros usuários administradores possam ler a partir dela.
Algumas informações sobre por que queremos isso. O PC não está em um domínio ou rede, é apenas independente e conectado à Internet. Possui um aplicativo que salva dados na nuvem, porém quando a nuvem está fora do ar queremos salvar essas informações confidenciais no disco local mas não permitir que ninguém apague ou modifique os dados (apenas para lê-los).
Responder1
DeDez leis imutáveis de segurança:
Lei nº 2:Se um bandido pode alterar o sistema operacional do seu computador, ele não é mais o seu computador.
Lei nº 3:Se um bandido tiver acesso físico irrestrito ao seu computador, ele não será mais o seu computador.
...
Lei nº 6:Um computador é tão seguro quanto o administrador é confiável.
Lei nº 7:Os dados criptografados são tão seguros quanto sua chave de descriptografia
Lembretes dos fundamentos fora do caminho, os outros caras aqui estão praticamente certos. Sem um domínio, você não será capaz de proteger efetivamente C:\SensitiveDatado NormalAdmin. Atécomum domínio, se as informações forem armazenadas localmente em um sistema onde NormalAdmin tenha permissões de administrador, a proteção desses dados por meio de permissões de arquivo ainda poderá ser ineficaz. Além disso, dependendo de comorealmentepreocupado com o fato de o NormalAdmin ter acesso a esses dados, ainda há o problema de "acesso físico".
A única proteção que provavelmente sobreviverá a ataques envolvendo acesso físico ou a um invasor com direitos de administrador no sistema é a criptografia de arquivos. É aqui que a Lei nº 7 entra em jogo. Se você for criptografar os arquivos e não quiser que o NormalAdmin tenha acesso, certifique-se de que a chave de descriptografia esteja protegida por algum mecanismo ao qual o NormalAdmin não tenha ou não possa adquirir casualmente.
Mesmo com a criptografia de arquivos, o NormalAdmin ainda poderia obter os dados se quisesse se esforçar o suficiente. Com acesso físico irrestrito e não supervisionado ao sistema (eespecialmentecom privilégios de administrador pré-existentes), ele pode fazer praticamente o que quiser. Isso inclui a instalação de keyloggers ou outros spywares que possam facilitar o acesso às chaves de descriptografia armazenadas localmente. Ou ele poderia escrever e instalar um script para copiar os dados confidenciais sempre que um usuário os descriptografasse. É verdade que esses métodos são muito mais invasivos e exigem muito mais esforço do que apenas alterar casualmente as permissões dos arquivos. Mas a questão é que o risco ainda permanece. Veja a Lei nº 6.
NOTA: Todos os itens acima discutem apenas o acesso aos arquivos em geral - um esquema de permissões do tipo tudo ou nada. Se você quiser chegar a um esquema quepermiteNormalAdmin para terleracesso, mas efetivamente o impede de obterescreveracesso, o problema fica ainda mais difícil (se não impossível).
Responder2
Você não pode fazer isso. O objetivo de um administrador é que ele seja um administrador. Você pode fazer isso em um domínio criando grupos do tipo "quase administrador".
Pode haver algum software especializado que possa ajudá-lo, mas isso não é possível apenas com o Windows, especialmente em um grupo de trabalho.
Responder3
Pergunta semelhante foi feita ontemWin 7, proteja a pasta com dois administradores. Se a criptografia for uma opção, essa pode ser a solução.