Я создаю резервную копию системного раздела Windows, используя расписание резервного копирования Macrium Reflect 6. Программное обеспечение добавляет запись в планировщик заданий Windows, и резервное копирование обычно выполняется без проблем. Поскольку папка резервного копирования - это папка на всегда смонтированном жестком диске - F:\Files
-, я рискую испортить резервную копию, если мой компьютер заразится (например, вымогателем), прежде чем я смогу скопировать файлы на внешний диск. Чтобы справиться с этим, вот что я сделал:
- Я использую ПК как стандартную (не администраторскую) учетную запись
- Я щелкнул правой кнопкой мыши папку резервной копии, выбрал Свойства >> Безопасность >> Изменить разрешения и щелкнул « Запретить » в разделе "Запись" для пользователей, принадлежащих к группе «
Users
».
Моя цель - сделать так, чтобы пользователи, не являющиеся администраторами, и, следовательно, большинство вредоносных программ, не могли перезаписывать или повреждать файлы резервных копий. Ограничение вступило в силу, как я и ожидал: например, теперь мне нужно ввести пароль администратора, если я хочу записать файл в F:\Files
. Проблема в том, что задание резервного копирования теперь не выполняется. В Macrium UI вот ошибка, которую я вижу:
Backup aborted! - None of the specified locations could be written to
Я удивлен этой ошибкой, потому что я думаю, что задача настроена для запуска от имени учетной записи администратора; когда я настраивал задание резервного копирования в Macrium, меня явно спрашивали, какую учетную запись пользователя следует использовать, и для ввода пароля этого пользователя я выбрал Admin
. В результате я ожидал, что у программного обеспечения не будет проблем с записью в папку резервной копии даже после того, как я отозвал разрешения на запись у не-администраторов. Если я открою планировщик задач и посмотрю на детали задачи, вот что показано в разделе «Параметры безопасности»:
Как видите, задача запускается от имени Admin
. Автором задачи (не показано на скриншоте) также является Admin
. Действие задачи:
C:\...\Reflect.exe
-e -w "F:\Files\Schedule.xml" -inc -g {some long token here}
Я что-то пропускаю или это ошибка моего программного обеспечения для резервного копирования? Результат последнего запуска в планировщике заданий отображается просто (0x1)
После дальнейшего расследования я обнаружил, что если я войду в систему как Admin
и попытаюсь записать файл в папку с ограниченным доступом, я не смогу. Пермь «Запрет записи» для группы « Users
» также запрещена для учетной записи Admin
. Вероятно, поэтому мое задание резервного копирования не выполняется. На изображении ниже показаны действующие разрешения для Admin
после того, как я отказал в разрешении на запись группе « Users
».
Я также обнаружил, что, хотя заблокированные учетные записи не могут сохранить новый файл в папку, они могут удалить уже существующие файлы. Поэтому я все еще был уязвим для вредоносных программ, удаляющих эти файлы. Мне нужны были более строгие разрешения. Мне также нужно найти способ отказать в разрешении для всех пользователей, не являющихся администраторами, но разрешить это для администраторов.
Вот что я сделал
Вместо того чтобы отказывать в разрешении для всей группы « Users
», я решил попытаться запретить разрешение только для той учетной записи, которую я использую изо дня в день.
На экране «Свойства папки» (щелкните правой кнопкой мыши папку и выберите «Свойства»):
- нажмите
Advanced
- нажмите
Change Permissions
- нажмите кнопку
Add
- введите имя пользователя учетной записи, которую я хочу ограничить
- нажмите кнопку
Check Names
: полное имя пользователя (например,MyPC\John
) должно автоматически заполнить текстовое поле. - нажмите
OK
- Должно открыться всплывающее окно, которое позволяет детально установить разрешения для выбранных пользователей. Вот что я сделал с моим:
Самое главное, я отказал во всех разрешениях « Запись», « Удаление», « Изменение» и « Взять в собственность» . Теперь все, кажется, работает как задумано. С моей повседневной учетной записью я не могу ни писать, ни удалять файлы в папке резервной копии. Однако, как Admin
я могу сделать оба. Ручное резервное копирование также успешно завершено, так что все в порядке. Завтра я узнаю, выполняется ли запланированное задание без проблем.
Это все еще не то исправление, которое я ищу
Я хотел бы, чтобы все пользователи без прав администратора были ограничены. Мое решение блокирует только одного пользователя без прав администратора - MyPC\John
но если был создан другой профиль без прав администратора (или, может быть, даже если мое имя пользователя изменилось?) ограничения будут обойдены. Я ищу что-то более близкое к защите в каталоге C:\Program Files
: мне всегда запрещено вносить изменения, если я не являюсь администратором.