%20.png)
Возможный дубликат:
Win 7, защита папки двумя администраторами
Я хочу, чтобы одна учетная запись администратора могла читать и писать в папке Windows 7, другие учетные записи администраторов на компьютере должны иметь только доступ на чтение.
Имя папки = C:\SensitiveData
На машине есть 2 учетные записи администратора и различные учетные записи пользователей AdminAccount1 = normalAdmin AdminAccount2= sensitiveDataAdmin
Я хочу, чтобы только sensitiveDataAdmin мог читать и писать в папке C:\SensitiveData, а все обычные пользователи и другие администраторы могли читать из нее.
Немного информации о том, почему мы этого хотим. ПК не находится в домене или сети, он просто автономен и подключен к Интернету. У него есть приложение, которое сохраняет данные в облаке, однако, когда облако выходит из строя, мы хотим сохранить эту конфиденциальную информацию на локальном диске, но не позволить никому удалять или изменять данные (только читать их).
решение1
ИзДесять непреложных законов безопасности:
Закон №2:Если злоумышленник смог изменить операционную систему на вашем компьютере, то это уже не ваш компьютер.
Закон №3:Если злоумышленник имеет неограниченный физический доступ к вашему компьютеру, то это уже не ваш компьютер.
...
Закон №6:Компьютер безопасен настолько, насколько надежен его администратор.
Закон №7:Зашифрованные данные настолько надежны, насколько надежен их ключ дешифрования.
Напоминания об основах в сторону, другие ребята здесь в основном правы. Без домена вы не сможете эффективно защититься C:\SensitiveDataот NormalAdmin. Дажесдомен, если информация хранится локально в системе, где NormalAdmin имеет права администратора, защита этих данных через разрешения файлов может быть неэффективной. Плюс, в зависимости от того, какДействительноВы беспокоитесь о том, что NormalAdmin получит доступ к этим данным, но проблема «физического доступа» все еще существует.
Единственная защита, которая, скорее всего, выдержит атаки с физическим доступом или атакующего с правами администратора системы, — это шифрование файлов. Вот тут-то и вступает в игру Закон № 7. Если вы собираетесь зашифровать файлы и не хотите, чтобы NormalAdmin имел к ним доступ, убедитесь, что ключ расшифровки защищен каким-то механизмом, к которому у NormalAdmin нет доступа или к которому он не может получить доступ.
Даже с шифрованием файлов NormalAdmin все равно мог бы получить данные, если бы он хотел достаточно постараться. С неограниченным, неконтролируемым физическим доступом к системе (иособеннос уже существующими правами администратора) он может делать с ним практически все, что захочет. Это включает установку кейлоггеров или другого шпионского ПО, которое может облегчить ему получение доступа к локально сохраненным ключам дешифрования. Или он может написать и установить скрипт для копирования конфиденциальных данных всякий раз, когда пользователь их расшифровывает. Конечно, эти методы гораздо более инвазивны и требуют гораздо больше усилий, чем простое изменение прав доступа к файлам. Но суть в том, что риск все равно остается. См. Закон № 6.
ПРИМЕЧАНИЕ: Все вышесказанное на самом деле касается только доступа к файлам в целом — схема разрешений «все или ничего». Если вы хотите перейти к схеме, котораяпозволяетНормальныйАдмин иметьчитатьдоступ, но фактически не дает ему возможности получитьписатьдоступа, проблема становится еще сложнее (если не невозможной).
решение2
Вы не можете этого сделать. Смысл администратора в том, что он администратор. Вы можете сделать это в домене, создав группы типа "почти администратор".
Возможно, существует специализированное программное обеспечение, которое может вам помочь, но с помощью только Windows это сделать невозможно, особенно в рабочей группе.
решение3
Похожий вопрос был задан вчераWin 7, защита папки двумя администраторамиЕсли шифрование является вариантом, то это может быть решением.