Utilizza le autorizzazioni NTFS per impedire l'accesso alla cartella sulla chiave USB

1

TL / DR: come utilizzare le autorizzazioni NTFS per impedire a tutti gli utenti su altri PC di accedere a una determinata cartella su una chiave USB NTFS?

SFONDO

Ho una chiave USB formattata NTFS. Il livello superiore contiene una singola cartella denominata "MAIN". Esiste una gerarchia arbitraria di molti altri file e cartelle in MAIN e sotto.

Tutti questi file e cartelle sono creati da un singolo utente non amministratore "FRED", su un singolo PC "MYPC". Quindi MAIN, e tutto in e sotto di esso, è di proprietà di un utente non amministratore FRED su MYPC.

Non c'è niente di speciale in FRED o MYPC. MYPC è un netbook predefinito di Windows 7 Starter Edition. FRED è un normale utente non amministratore su quel netbook.

REQUISITI

Voglio rendere possibile il numero minimo di modifiche ACL, MAIN e preferibilmente solo su MAIN, per ottenere due risultati:

(1) Impedisci agli tutti utenti su altri PC di accedere MAIN a tutti . Con "accesso" intendo, anche solo visualizzare il contenuto della stessa. Quindi su MYPC, FRED e gli amministratori possono accedere al MAIN normalmente, ma su altri PC, nessuno affatto può accedere a MAIN affatto .

(2) Supponiamo che FRED, su MYPC, copi qualcosa da MAIN, per (dire) il desktop di MYPC e poi su una chiave USB o PC diversa. Mi piacerebbe che la cosa copiata non sia limitata come descritto sopra. Cioè, gli utenti su altri PC possono accedere alla cosa copiata, o no, nello stesso modo che si sarebbe verificato se (1) non fosse mai stato fatto in primo luogo.

Nessuna di queste cartelle e file è crittografata, né voglio che siano. Quindi capisco che qualcuno potrebbe montare la chiave su un sistema non Windows e leggere tutti i dati grezzi. Questo non fa parte del mio modello di minaccia.

TIA per eventuali suggerimenti!

    
posta Puzzled 05.10.2015 - 09:16
fonte

2 risposte

4

In parole semplici: non puoi farlo. Le autorizzazioni NTFS sono impostate per utente. Inoltre dipendono dall'ambito: qualsiasi utente che è amministratore locale può assumere la proprietà delle risorse locali e modificare le autorizzazioni come desidera.

L'unica opzione è affidarsi alla crittografia. Ti suggerisco di dare un'occhiata a Bitlocker: è molto facile da configurare e molto comodo da usare: puoi configurare la tua macchina per montare automaticamente il dispositivo (memorizzando la chiave con il tuo negozio di fiducia) e configurarlo con un password complessa (che verrà memorizzata nel gestore password).

    
risposta data 05.10.2015 - 09:44
fonte
1

TL; DR: un sacco di modi per aggirare gli ACL, deve usare la crittografia, EFS potrebbe essere meglio di BL qui.

Come dice @Stephane, questo è impossibile.

Qualsiasi amministratore, o qualsiasi altro utente con NT SeTakeOwnershipPrivilege , può sovrascrivere la proprietà di un oggetto e il proprietario può sempre sovrascrivere gli ACL. Inoltre, qualsiasi amministratore, membro del gruppo integrato Operatori di backup o altro utente con SeBackupPrivilege può semplicemente ignorare l'ACL per le operazioni di lettura (un privilegio corrispondente SeRestorePrivilege, disponibile anche per gli stessi gruppi, consente di ignorare ACL per scrivere, incluso proprietario e ACL di scrittura).

Inoltre, gli ACL del file system non vengono effettivamente applicati dal file system in alcun modo. Sono applicate dal file system driver , ma possono essere ignorati o il driver potrebbe ignorare gli ACL. Ad esempio, il driver ntfs-3g utilizzato su sistemi di tipo Unix ignora gli ACL; se qualcuno ha inserito il tuo flashdrive in una scatola Linux ey otterrà pieno accesso. Allo stesso modo, i bit sullo storage saranno posizionati lì in chiaro; chiunque disponga di privilegi per l'accesso in lettura raw dell'unità può estrarre qualsiasi file desiderato o modificare gli ACL stessi se ey ha accesso in scrittura al dispositivo raw.

In alternativa a BitLocker [Vai], ti suggerisco di utilizzare Crittografia del file system . Più versioni di Windows supportano che supportare BitLocker (in particolare, le edizioni Pro / Business di Windows 2000, XP, Vista e Win7 supportano EFS ma non la creazione di volumi BL), sebbene Starter non supporti neanche. Non è necessario inserire alcuna password o altro; i dati vengono decifrati / crittografati in modo trasparente se sei l'utente corretto e non ha senso se non lo sei. Il resto del disco sarebbe ancora utilizzabile. Se qualcuno ha rubato l'unità, potrebbe essere in grado di indovinare o forzare la password BL, ma non sarebbe mai in grado di ottenere la chiave EFS (è generata casualmente e memorizzata nel computer e mentre la chiave è protetta con la password la password stesso è inutile senza la chiave crittografata pure). Lo svantaggio principale dell'utilizzo di EFS invece di BL è che un utente malintenzionato potrebbe eliminare o sovrascrivere il contenuto della directory (senza sapere quale fosse il contenuto originale), ma un utente malintenzionato potrebbe anche semplicemente formattare l'unità per rimuovere BitLocker.

Tuttavia abilitare la crittografia sulla cartella è davvero semplice. Aprire l'unità in Explorer (in una versione di Windows che supporta EFS), fare clic con il tasto destro del mouse sulla cartella e selezionare Properties , fare clic su Advanced , fare clic su Encrypt contents to secure data , quindi fare clic su OK. Applica la modifica a tutti i contenuti della directory e sei pronto!

    
risposta data 05.10.2015 - 21:01
fonte

Leggi altre domande sui tag