Я создаю резервную копию системного раздела Windows, используя расписание резервного копирования Macrium Reflect 6. Программное обеспечение добавляет запись в планировщик заданий Windows, и резервное копирование обычно выполняется без проблем. Поскольку папка резервного копирования - это папка на всегда смонтированном жестком диске - F:\Files -, я рискую испортить резервную копию, если мой компьютер заразится (например, вымогателем), прежде чем я смогу скопировать файлы на внешний диск. Чтобы справиться с этим, вот что я сделал:

  • Я использую ПК как стандартную (не администраторскую) учетную запись
  • Я щелкнул правой кнопкой мыши папку резервной копии, выбрал Свойства >> Безопасность >> Изменить разрешения и щелкнул « Запретить » в разделе "Запись" для пользователей, принадлежащих к группе « Users ».

Моя цель - сделать так, чтобы пользователи, не являющиеся администраторами, и, следовательно, большинство вредоносных программ, не могли перезаписывать или повреждать файлы резервных копий. Ограничение вступило в силу, как я и ожидал: например, теперь мне нужно ввести пароль администратора, если я хочу записать файл в F:\Files . Проблема в том, что задание резервного копирования теперь не выполняется. В Macrium UI вот ошибка, которую я вижу:

Backup aborted! - None of the specified locations could be written to

Я удивлен этой ошибкой, потому что я думаю, что задача настроена для запуска от имени учетной записи администратора; когда я настраивал задание резервного копирования в Macrium, меня явно спрашивали, какую учетную запись пользователя следует использовать, и для ввода пароля этого пользователя я выбрал Admin . В результате я ожидал, что у программного обеспечения не будет проблем с записью в папку резервной копии даже после того, как я отозвал разрешения на запись у не-администраторов. Если я открою планировщик задач и посмотрю на детали задачи, вот что показано в разделе «Параметры безопасности»:

Как видите, задача запускается от имени Admin . Автором задачи (не показано на скриншоте) также является Admin . Действие задачи:

C:\...\Reflect.exe 
   -e -w "F:\Files\Schedule.xml" -inc -g {some long token here}

Я что-то пропускаю или это ошибка моего программного обеспечения для резервного копирования? Результат последнего запуска в планировщике заданий отображается просто (0x1)


После дальнейшего расследования я обнаружил, что если я войду в систему как Admin и попытаюсь записать файл в папку с ограниченным доступом, я не смогу. Пермь «Запрет записи» для группы « Users » также запрещена для учетной записи Admin . Вероятно, поэтому мое задание резервного копирования не выполняется. На изображении ниже показаны действующие разрешения для Admin после того, как я отказал в разрешении на запись группе « Users ».

Я также обнаружил, что, хотя заблокированные учетные записи не могут сохранить новый файл в папку, они могут удалить уже существующие файлы. Поэтому я все еще был уязвим для вредоносных программ, удаляющих эти файлы. Мне нужны были более строгие разрешения. Мне также нужно найти способ отказать в разрешении для всех пользователей, не являющихся администраторами, но разрешить это для администраторов.

Вот что я сделал

Вместо того чтобы отказывать в разрешении для всей группы « Users », я решил попытаться запретить разрешение только для той учетной записи, которую я использую изо дня в день.

На экране «Свойства папки» (щелкните правой кнопкой мыши папку и выберите «Свойства»):

  1. нажмите Advanced
  2. нажмите Change Permissions
  3. нажмите кнопку Add
  4. введите имя пользователя учетной записи, которую я хочу ограничить
  5. нажмите кнопку Check Names: полное имя пользователя (например, MyPC\John) должно автоматически заполнить текстовое поле.
  6. нажмите OK
  7. Должно открыться всплывающее окно, которое позволяет детально установить разрешения для выбранных пользователей. Вот что я сделал с моим:

Самое главное, я отказал во всех разрешениях « Запись», « Удаление», « Изменение» и « Взять в собственность» . Теперь все, кажется, работает как задумано. С моей повседневной учетной записью я не могу ни писать, ни удалять файлы в папке резервной копии. Однако, как Admin я могу сделать оба. Ручное резервное копирование также успешно завершено, так что все в порядке. Завтра я узнаю, выполняется ли запланированное задание без проблем.

Это все еще не то исправление, которое я ищу

Я хотел бы, чтобы все пользователи без прав администратора были ограничены. Мое решение блокирует только одного пользователя без прав администратора - MyPC\John но если был создан другой профиль без прав администратора (или, может быть, даже если мое имя пользователя изменилось?) ограничения будут обойдены. Я ищу что-то более близкое к защите в каталоге C:\Program Files : мне всегда запрещено вносить изменения, если я не являюсь администратором.

2 ответа2

1

Вместо того, чтобы пытаться заблокировать определенные учетные записи пользователей, просто дайте разрешения учетным записям, для которых вы хотите запустить задачу резервного копирования. Вы можете разрешить всей группе администраторов или только определенным административным учетным записям запускать задачи резервного копирования. Другими словами, нет никаких причин отрицать какую-либо учетную запись или группу учетных записей, поскольку им уже будет отказано, если в списке разрешений нет доступа, предоставляющего им доступ.

1

Что происходит? (Часть 1)

«Запретить» очень опасно.  Если пользователь / процесс имеет разрешение «разрешить» и «запретить», ему будет отказано в доступе.  Проблема здесь в том, что ваша учетная запись администратора является тайным членом группы пользователей.  Вы можете увидеть это, запустив whoami/groups из командной строки, работающей от имени администратора.  (Вы можете найти вывод более читабельным, если whoami/groups /fo list .)  Я говорю, что он «тайно является членом группы« Пользователи », потому что я нашел два или три других способа проверить, какие пользователи входят в какие группы, и они не показали, что пользователь Admin находится в группе« Пользователи ».

Что происходит? (Часть 2)

Посмотрите внимательно на разрешения для каталога сейчас.  Я нашел это для корневого каталога моего диска C: :

          Разрешения C:\ для «Прошедших проверку»

«Аутентифицированные пользователи» имеют много доступа!

Что делать?

Используйте kreemoweet ответ.  Но сначала выясните, почему у вас есть разрешение на запись в F:\Files .  Посмотрите на его разрешения и те из корневого каталога, F:\ ,  Найдите записи «Все» и «Аутентифицированные пользователи», найдите запись, которая дает вам разрешение на запись (с помощью флажков «Разрешить») и снимите их.  Не устанавливайте флажки «Запретить».

Позвольте мне остановиться на этом.  Вероятно, вы найдете запись контроля доступа для F:\Files которая дает вам право на запись.  Если он «<не унаследован>», вы сможете редактировать его напрямую.  Если он говорит, что он унаследован от F:\ , вы, вероятно, обнаружите, что можете установить флажки, которые являются пустыми, но вы не можете снять те из них, которые уже отмечены (и они выделены серым цветом для обозначения этого).  Снимите флажок «Включить наследуемые разрешения от родительского объекта»:

Окно «Изменить разрешения»

Если вы получили всплывающее окно, как это:

      Предупреждение о безопасности Windows

выберите «Добавить».  Теперь вы должны увидеть, что все записи разрешений для F:\Files являются «<не унаследованными>» копиями записей, которые были там ранее.  Теперь вы сможете полностью и свободно редактировать эти разрешения и снимать флажки, которые дают вам право на запись.

Затем, когда вы отключили доступ на запись для пользователей, не являющихся администраторами, войдите (в тот же ACL; т. Е. Для F:\Files) и добавьте запись, чтобы дать доступ на запись группе «Администраторы».

Альтернатива
Я не пробовал этого, но: в дополнение к учетной записи «Администратор», которую вы создали при первой загрузке в Windows, есть встроенная учетная запись «Администратор», которая по умолчанию отключена и скрыта.  Инструкции по его отображению и включению легко найти здесь, в Super User и в других местах.  Вы можете обнаружить, что «Администратор» не является членом группы «Пользователи», и что вы можете запустить резервное копирование как «Администратор».  Но сначала попробуйте kreemoweet ответ ; Я не знаю, будет ли это работать.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .