Impedisci l'accesso all'unità C su sistemi Windows

12

È possibile impedire agli utenti regolari di accedere al drive C tramite Windows Explorer? dovrebbero essere autorizzati a eseguire determinati programmi. Questo per garantire che i dipendenti non possano rubare o copiare software proprietario anche se dovrebbero essere in grado di eseguirli.

Un modo sarebbe cambiare l'opzione in Criteri di gruppo di Windows e impostare la "shell" su qualcosa di diverso da "explorer.exe". Sto cercando un'impostazione simile per Windows che nasconda semplicemente l'unità C o che altrimenti impedisca l'accesso banale.

    
posta Robinicks 05.01.2011 - 16:01
fonte

3 risposte

12

È possibile utilizzare Criteri di gruppo per nascondere le unità specifiche in Risorse del computer, Esplora risorse di Windows e meccanismi di esplorazione di file simili ( Articolo Microsoft su di esso qui ).

È passato un po 'di tempo da quando l'ho visto implementato, ma a quel tempo c'era un modo per aggirare la restrizione, quindi questo tipo di controllo avrebbe impedito l'accesso casuale, ma non avrebbe fermato un determinato aggressore.

In fin dei conti è piuttosto difficile impedire a qualcuno che ha un accesso legittimo di eseguire un file di poterlo leggere, specialmente se hanno accesso all'hardware che sta eseguendo il file.

    
risposta data 05.01.2011 - 16:51
fonte
8

Una soluzione, che potrebbe essere al di fuori dello scope qui, ma potrebbe essere utile se il codice è così prezioso, è consentire all'utente solo un thin client (sto pensando a Citrix o simile) in modo che non eseguano mai il codice localmente, vedi solo visualizzazioni e output dello schermo.

Ha anche una serie di altri utili vantaggi, non solo limitando il movimento di informazioni sensibili, ma consentendo un strong controllo su accesso, patching, gestione della capacità ecc.

    
risposta data 05.01.2011 - 18:39
fonte
6

Sono d'accordo con i Rory. È molto difficile consentire a qualcuno di eseguire o leggere i dati senza allo stesso tempo dare loro la possibilità (intrinsecamente o tramite mezzi implementati dall'utente) di copiarlo. L'accesso fisico spezza soprattutto la maggior parte delle misure di sicurezza a corto di crittografia a riposo.

Detto questo, i suggerimenti sull'utilizzo di Criteri di gruppo e / o Thin Client sono entrambe buone idee, specialmente la seconda. In ogni caso, non dovresti cercare di bloccare un intero disco, specialmente uno così critico come C: \, se solo alcuni dati su quell'unità necessitano di protezione. Bloccare l'unità C: \ nel suo insieme probabilmente causerà più problemi e mal di testa di quanto non risolverà.

Se preferisci bloccare un'intera unità, crea una partizione separata appositamente per il software proprietario e installala lì. Quindi, puoi bloccare la seconda partizione quanto vuoi senza interferire con l'accesso dell'utente ai sistemi operativi critici o ai file di programma non sensibili.

    
risposta data 05.01.2011 - 19:11
fonte