Limitare l'accesso ai file per l'amministrazione e l'applicazione su Windows 10?

0

Sto cercando un modo per proteggere i file di configurazione speciali su un'installazione di Windows 10:

  • Un utente senza diritti di amministratore non deve avere accesso diretto al file di testo non crittografato.
  • Un'applicazione closed source di cui l'utente ha bisogno deve avere accesso illimitato al suo file di configurazione.

Come può essere raggiunto?

    
posta Cali1011 08.02.2017 - 17:01
fonte

1 risposta

2

Non c'è un modo davvero semplice, temo. L'assunzione nella maggior parte della sicurezza informatica, risalente ai primi sistemi multiutente, è che qualsiasi cosa possa vedere un programma in esecuzione su un utente, quindi può vedere anche un altro programma in esecuzione con quell'utente (come Blocco note). Questo è stato in qualche modo modificato dall'introduzione del sandboxing delle app, ma tutto ciò che fa è far sì che alcuni programmi specifici possano vedere less di altri programmi; non gli dà la possibilità di vedere più .

Per fare ciò, dovrai creare un nuovo account (o usare l'account Administrator, ma è inutilmente pericoloso) per l'esecuzione del programma, e quindi creare un modo per un utente non amministratore per avviare quel programma come quell'utente senza poter avviare alcun programma altro come tale utente. Sui sistemi operativi di tipo Unix è relativamente facile - il bit "setuid" nei permessi dei file ti consente di farlo - ma è più difficile su Windows.

Ecco un modo, se non ti dispiace fare un po 'di lavoro per ogni utente non amministratore e stai usando Win10 Pro o Enterprise (o un'altra recente edizione di Windows "Professional-or-higher"):

  1. Crea l'utente "SecureApp".
  2. Imposta il file di configurazione dell'app come accesso completo per il nuovo utente di SecureApp, ma nessun accesso per nessuno (almeno, nessun altro non amministratore).
  3. Crea un collegamento che utilizza il programma runas.exe con il parametro /savecred . Il comando completo sarà simile a questo: runas.exe /savecred /user:SecureApp C:\path\to\the\application.exe . Vedi questo post sul forum per un passaggio by-step.
  4. Esegui il collegamento una volta per l'utente non amministratore e inserisci la password dell'utente di SecureApp quando richiesto.

L'utente può quindi eseguire tale collegamento per avviare il programma. L'avvio diretto del programma non funzionerà e potrebbe essere necessario eseguire il passaggio 4 una sola volta per ogni utente non amministratore che deve accedere (anche se tutti si collegano nello stesso computer e si inserisce il collegamento su il desktop di tutti gli utenti o simile). Si noti inoltre che il programma non avrà accesso ai propri file o impostazioni dell'utente (in modo più accurato, non avrà accesso alla directory del profilo dell'utente o al registro utente corrente); se il programma ha bisogno di tale accesso, è necessario fornire manualmente all'utente di SecureApp l'accesso a tali elementi. Inoltre, devi assicurarti che i tuoi utenti non scoprano mai la password per l'utente di SecureApp o invochino runas con qualche altro programma (come notepad ) per andare a modificare il file di configurazione.

    
risposta data 09.02.2017 - 02:50
fonte

Leggi altre domande sui tag