4

Поэтому, когда монтируется том NTFS в macOS или Linux с помощью различных опций, таких как Paragon или ntfs-3g , легко получить доступ к папкам пользователя и т.д., Поскольку списки ACL не сохраняются, чтобы предотвратить доступ.

Есть ли способ монтировать тома в самой Windows, который запрещает списки ACL, чтобы разрешить то же поведение, что и в системе Unix?

2 ответа2

0

NTFS Access Control обрабатывается не так, как методы Unix/HFS. HFS, будучи, по сути, FAT32 + B-деревьями, хранит их полностью отдельно в виде метаданных, подобных ссылкам, поэтому файловой системе легко изменять одно, не касаясь другого.

Данные ACL NTFS тесно связаны с самой NTFS, поскольку токены доступа, передаваемые фактическим драйвером для соединения фрагментов данных и метаданных, шифруются с помощью кода непосредственно из списка ACL. Я не работаю над безопасностью MS, но, очевидно, это помогает в дальнейшем, поскольку это шифрование может использоваться как перекрестная проверка целостности файла / бит-гниения. Это одна из причин, по которой NTFS более защищен от «гниения» и «тихого» повреждения данных, чем HFS. Имея возможность изменять данные, вы нарушаете ACL и наоборот, поэтому единственный способ монтировать диск - только для чтения. По этой же причине Tuxera / NTFS3G и т.д. Не хотят монтировать грязный или спящий диск ... Microsoft связывает оба этих состояния в одной системе обработки ключей.

Самый простой способ сделать это сейчас - создать новую группу пользователей для запланированного использования, добавленную в группу администраторов системного администратора из предыдущей группы Windows ACL. Используйте команду Runas из командной строки с повышенными привилегиями, чтобы открыть приложение по вашему выбору (скопируйте строку местоположения из окна проводника, затем вручную добавьте имя программы .exe) и настройте ее поведение по расписанию, затем сохраните ее там.

Вы также можете использовать для этого ярлык и настроить его на постоянную работу от имени этого пользователя в диалоговом окне его свойств. Если вы хотите, чтобы пользователь не мог обновлять измененное время, вы также можете ограничить возможность обновления теперь, отключив привилегию записи указанного пользователя в файлы.

0

В Windows нет общего способа игнорировать разрешения, кроме как путем сброса прав собственности и разрешений для всех файлов. При перемещении между компьютерами это не является приемлемым решением.

Проблема возникает, когда учетная запись пользователя создается на одном компьютере, поэтому не имеет эквивалента на другом компьютере. Затем другой компьютер назовет его "Неизвестная учетная запись" и назначит ему произвольные и очень ограниченные разрешения.

Одним из решений является использование только учетной записи, которая является общей для всех компьютеров Windows, например встроенной учетной записи администратора. Эта учетная запись отключена в Windows 7 и более поздних версиях из соображений безопасности, поэтому такое решение не рекомендуется.

Чтобы полностью избежать таких проблем с разрешениями, вы можете использовать формат диска, который не имеет разрешений, вместо NTFS.

Одним из таких форматов является старая FAT32, в которой полностью отсутствуют понятия безопасности и разрешений. Его недостатком является то, что он ограничен файлами размером до 4 ГБ. Его преимущество в том, что он универсально поддерживается во всех версиях Windows, Mac, Linux, игровых приставках и практически везде.

Если ограничение 4 ГБ неприемлемо, формат exFAT в основном FAT64. Его недостатком является то, что он является частным и требует лицензирования от Microsoft. Он работает со всеми версиями Windows от XP с пакетом обновления 3 и выше (и / или при установке обновления Windows XP KB955704) и с современными версиями Mac OS X, но требует дополнительного программного обеспечения в Linux.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .