Как сделать мои папки недоступными для других учетных записей администратора в Windows 8?

Question

Я хочу сделать свои папки закрытыми, чтобы к ним можно было получить доступ только после входа в систему с моей учетной записью, но чтобы они были недоступны для других локальных учетных записей, даже учетных записей администратора.

У меня есть компьютер с Windows 8 Professional.

Я знаю, что могу установить параметры безопасности для папки и запретить полный контроль доступа для любой другой уже созданной учетной записи. Но поскольку существуют другие учетные записи администратора, оттуда можно создавать новые учетные записи, и тогда моя папка будет доступна оттуда.

И если я запрещаю доступ для ВСЕЙ группы администраторов, то даже у меня самого не будет доступа к моей папке!

Каково решение?

Answer 1

В экосистеме Windows НИКОГДА не существует способа не допустить администратора к вашим файлам, особенно если они имеют физический доступ к машине. Попытка не допустить администраторов - это хороший способ потерять доступ к вашим собственным файлам.

вместо этого посмотрите на внешнее решение для шифрования, такое как Truecrypt или даже PGP/GPG. MS EFS проходит долгий путь, но если другой пользователь может экспортировать ваш сертификат, он совершенно бесполезен для вашего использования.

Answer 2

Вы можете сделать это немного сложнее для них, изменив владельца файла на себя и удалив (не отказывая, но удалив) разрешение администратора в дополнительных параметрах разрешений для файла, но это только лишит их возможности доступа к файлу. без взятия собственности. Как системный администратор, они смогут взять на себя ответственность за файл, а затем изменить разрешения, чтобы снова предоставить себе разрешения.

Стоит отметить, что это также нарушит наследование разрешений для этого дерева каталогов в тот момент, когда вы выполняете расширенное редактирование.

Answer 3

Пользователь с правами администратора имеет право seTakeOwnership , что означает, что он может стать владельцем вашей папки:

Требуется вступить во владение объектом без предоставления дискреционного доступа.

Эта привилегия позволяет установить значение владельца только для тех значений, которые держатель может на законных основаниях назначить владельцем объекта.

Право пользователя: взять на себя ответственность за файлы или другие объекты.

Владелец объекта неявно имеет право изменять свой список контроля доступа (ACL), то есть вкладку « Безопасность » в проводнике Windows:

Оттуда они могут предоставить вам доступ для чтения к вашей папке. Нет никакого способа предотвратить просмотр ваших файлов и папок администратором .

Но вы можете помешать им читать их

Начиная с Windows NT 3.51, Windows NTFS поддерживает шифрование файлов:

Файл зашифрован сертификатом, защищенным паролем Windows. Пока вы никому не сообщаете свой пароль, ваши зашифрованные файлы EFS не могут быть просмотрены.

Лично я хотел бы включить параметр Показать зашифрованные или сжатые файлы NTFS в другом цвете:

Таким образом, я могу легко увидеть и подтвердить, что они зашифрованы: