Запрещение пользователю Windows 7 Pro изменять содержимое каталога, если он не делает это, используя назначенное приложение «A»

204
Phoenix_Rising

Нуб здесь.

Я посмотрел вокруг и не смог найти ответ на этот вопрос на платформе Windows 7. Это относится к защите файлов данных.

Основная идея заключается в том, что файлы не должны быть изменены пользователем напрямую. Оно может быть изменено только через использование указанного приложения (таким образом, косвенно). Идея состоит в том, что назначенное приложение содержит собственные журналы аутентификации, контроля доступа и аудита и может манипулировать содержимым файлов данных и вести журнал изменений, внесенных в файлы данных.

Вот несколько иллюстраций.

Существует каталог D, к которому пользователь U не имеет доступа.

Пользователь U использует приложение A для генерации файлов данных F1, f2, F3, которые приложение записывает в каталог D.

Это иллюстрирует тот факт, что пользователь может только записывать в каталог D, используя приложение A для создания файлов данных, F1, F2, F3, Fn.

Если пользователь U использует проводник Windows (или аналогичный) для переименования / удаления этих файлов F1, F2, F3, Fn в каталоге D, ему будет отказано в доступе.

Если пользователь U использует проводник Windows (или аналогичный) для чтения этих файлов F1, F2, F3, Fn в каталоге D, ему будет отказано в доступе. Он должен использовать Приложение A, чтобы читать и просматривать эти файлы в Приложении A.

Единственное решение, которое я нашел, - повысить привилегии, используя runas с / savecred (учетные данные администратора), но, насколько я понимаю, это повышает вероятность того, что пользователь использует сохраненные учетные данные для запуска какой-либо другой программы (например, CMD) и получения непривилегированного доступа к файлы данных F1, F2, Fn в каталоге D

Наконец, обратите внимание, что это Windows 7 Pro Edition, которая работает в рабочей группе.

PS: У меня есть доступ к администратору и могу настроить ПК по мере необходимости.

1
Нет другого решения. Приложения запускаются с теми же разрешениями, что и пользователь, запустивший их. Вы можете либо запустить приложение как другой пользователь, либо повысить права доступа к приложению. Если вы беспокоитесь о том, что пользователь запускает авторизованные программы, решите эту проблему, App Locker существует для подобных проблем. Ramhound 7 лет назад 0
Согласитесь с Ramhoundm Aisde, формирующим программы и объединяющими данные в виртуальные машины. aidanh010 7 лет назад 0
Службы могут быть запущены с использованием определенных учетных данных. Если вы можете реализовать приложение для связи со службой, но не разрешать выполнение других несанкционированных действий (например, запускать другие процессы), вы можете разработать приложение, которое будет выполнять то, что вы просите. Как уже говорилось, в Windows нет собственного способа сделать это. Twisty Impersonator 7 лет назад 0

0 ответов на вопрос

Похожие вопросы