Разрешить только одну учетную запись администратора доступ к папке (и заблокировать другие учетные записи администратора)

Question

Возможный дубликат:
Win 7, защитите папку с двумя админами

Я хочу, чтобы одна учетная запись администратора могла читать и записывать в папку Windows 7, другие учетные записи администратора на машине должны иметь только права на чтение.

Имя папки = C:\SensitiveData

На машине есть 2 учетные записи администратора и различные учетные записи пользователей. AdminAccount1 = normalAdmin AdminAccount2 = чувствительныйDataAdmin

Я хочу, чтобы только sensDataAdmin мог читать и записывать в папку C:\SensitiveData, а все обычные пользователи и другие пользователи-администраторы могли читать из нее.

Некоторый фон о том, почему мы хотим этого. ПК не находится в домене или сети, он просто автономен и подключен к Интернету. У него есть приложение, которое сохраняет данные в облаке, однако, когда облако не работает, мы хотим сохранить эту конфиденциальную информацию на локальный диск, но не разрешать кому-либо удалять или изменять данные (только для чтения).

Answer 1

Из десяти неизменных законов безопасности:

Закон № 2: Если плохой парень может изменить операционную систему на вашем компьютере, это больше не ваш компьютер.
Закон № 3: Если плохой парень имеет неограниченный физический доступ к вашему компьютеру, это уже не ваш компьютер.
...
Закон № 6: компьютер защищен настолько, насколько заслуживает доверия администратор.
Закон № 7: Зашифрованные данные защищены так же, как их ключ дешифрования

Напоминания об основах не по пути, другие парни здесь в значительной степени это правильно. Без домена вы не сможете эффективно защитить C:\SensitiveData от NormalAdmin. Даже с доменом, если информация хранится локально в системе, где NormalAdmin имеет права администратора, защита этих данных с помощью прав доступа к файлам может быть неэффективной. Кроме того, в зависимости от того, насколько вы действительно обеспокоены тем, что NormalAdmin получает доступ к этим данным, по-прежнему существует проблема "физического доступа".

Единственной защитой, которая может выжить при атаках, связанных с физическим доступом или злоумышленником с правами администратора на систему, является шифрование файлов. Это где Закон № 7 вступает в игру. Если вы собираетесь зашифровать файлы и не хотите, чтобы NormalAdmin имел доступ, убедитесь, что ключ дешифрования защищен каким-то механизмом, к которому NormalAdmin не имеет или не может случайно получить доступ.

Хотя даже с шифрованием файлов NormalAdmin мог бы получить данные, если бы он попытался достаточно сильно постараться. С неограниченным физическим доступом без присмотра к системе (и особенно с ранее существовавшими привилегиями Администратора) он может делать все, что захочет. Это включает в себя установку клавиатурных шпионов или других программ-шпионов, которые могут облегчить ему получение доступа к локально хранящимся ключам расшифровки. Или он может написать и установить скрипт для копирования конфиденциальных данных всякий раз, когда пользователь их дешифрует. Конечно, эти методы гораздо более инвазивны и требуют гораздо больших усилий, чем просто случайное изменение прав доступа к файлам. Но дело в том, что риск все еще остается. Смотрите Закон № 6.

ПРИМЕЧАНИЕ. Все вышесказанное на самом деле только обсуждает доступ к файлам в целом - схему разрешений «все или ничего». Если вы хотите перейти к схеме, которая позволяет NormalAdmin иметь доступ на чтение , но эффективно не дает ему получить доступ на запись , проблема становится еще сложнее (если не невозможной).

Answer 2

Ты не сможешь это сделать. Смысл администратора в том, что они администратор. Вы можете сделать это в домене, создав группы типа "почти администратор".

Может быть какое-то специальное программное обеспечение, которое поможет вам, но это невозможно с одной только Windows, особенно не в рабочей группе.

Answer 3

Аналогичный вопрос был задан вчера Win 7, защитите папку с двумя админами . Если шифрование является вариантом, который может быть решением.