Как запретить доступ к папке Windows?

Question

[Maxla93]

Есть 2 учётные записи: 1 - Admin, 2 - User
Что требуется:
1. Мне нужно, чтобы User при попытке открыть папку, вводил пароль от Админа и получал к ней доступ.
НО! Как только закрыв её, нужно было опять вводить пароль. (как с AppLocker приложениями)
Проблема:
Введя пароль админа, система добавляет права на папку User'у и он может делать всё что хочет.

Есть решение данной проблемы, средствами Windows ?

#2 Вопрос:
В SRP - есть запрет на разные типы файлов.
Мне нужно запретить доступ к *.TXT файлам для любых исполняемых файлов.
Чтобы никто не смог открыть/изменить/удалить файл, такое возможно?

Comments

[АртемЪ]

Опишите более подробно, чего вы хотите добиться.

Answer 1

[АртемЪ]

Как запретить доступ к папке Windows?

Вкладка безопасность - установить права.

Введя пароль админа, система добавляет права на папку User'у и он может делать всё что хочет.

Ну так вы и вводите пароль, чтобы добавить права. Не вводите -не добавит.

Есть решение данной проблемы, средствами Windows ?

Непонятно в чем проблема.
Есть права - есть доступ.
Нет прав - нет доступа.

Мне нужно запретить доступ к *.TXT файлам для любых исполняемых файлов.

Права доступа создаются для пользователя. Кроме пользователя никто доступ не осуществляет, в том числе и исполняемые файлы.

Comments

[Maxla93]

Непонятно в чем проблема.
Есть права - есть доступ.
Нет прав - нет доступа.

Я не хочу, чтобы в Безопасность добавлялись права. (т.к после добавления User может заходить без пароля)
> А мне нужно, чтобы запрашивало каждый раз пароль Админа и не добавляло права.

Права доступа создаются для пользователя. Кроме пользователя никто доступ не осуществляет, в том числе и исполняемые файлы.

Объясню по простому.
1. Политики ограниченного использования программ > Добавил тип TXT.
2. Запретил доступ к папке D:\Test\* (в ней находится txt файл).
Проблема: Я его могу открыть в любой приложении.
> Получается, нужно запрещать сами приложения которые его используют.
Задача: Запретить доступ к txt файлу любому приложению (которое может изменить/открыть/сохранить и т.д), это возможно?

[АртемЪ]

Maxla93,

Я не хочу, чтобы в Безопасность добавлялись права. (т.к после добавления User может заходить без пароля)

Не добавляйте тогда. Зачем вы пароль вводите?
Ввели пароль - разрешили доступ. После этого доступ будет не нужен, можете убрать - поменяйте права обратно.

Политики ограниченноого использования программ > Добавил тип TXT.

А смысл?
Вы внимательно читали - политики ограниченного использования программ
Добавили TXT - значит запретили исполнять программы из файлов с расширением TXT.
Собственно система и до этого их не исполняла.

Открыть файлы TXT вы можете в любом приложении - на это политики ограниченного использования программ никак не влияют.

Получается, нужно запрещать сами приложения которые его использует.

Нет, получается нужно запрещать доступ к файлу пользователю.

Запретить доступ к txt файлу любому приложению (которое может изменить/открыть/сохранить и т.д), это возможно?

Конечно - запретите пользователю редактировать файл. Вкладка безопасность.

[АртемЪ]

Вы бы лучше объяснили чего вы хотите добиться в итоге и для чего это вам нужно.
Тогда может и какое решение найдется.

А так складывается впечатление, что вы пытаетесь забивать гвозди кофеваркой.

[Maxla93]

Смотрите как получается, у меня есть файлы:

Ежедневно используемые:
> TXT, PHP, JS, JSON и другие

Редко используемые:
> Фотографии/Видео

Задача: Чтобы никакое приложение - не имело доступ к этим файлам. (кроме меня самого, но только когда будет введён пароль от Админа, т.к сижу под User)

Пример получения доступа: тот же Google Chrome - может при проверке на вирусы получить доступ или Windows может отправить данные на свои сервера мои файлы или вирусы попавшие в систему (firewall - у меня настроен).

[Maxla93]

Да с помощью firewall я закрываю доступ к выходу моих файлов в интернет, но ведь у меня есть приложения которым дан доступ, к примеру браузер или skype/telegram.
Вирус может встроиться в мной запускаемое приложения и т.к оно разрешёно, мои файлы уйдут в интернет.

[АртемЪ]

Задача: Чтобы никакое приложение - не имело доступ к этим файлам. (кроме меня самого, но только когда будет введён пароль от Админа, т.к сижу под User)

Приложение и не имеет доступа.
Имеет доступ пользователь который запускает приложение.
Если у вас доступ есть - все приложения которые вы запускаете будут иметь доступ.
Все права доступа разграничивают доступ именно по пользователям.

Пример получения доступа: тот же Google Chrome - может при проверке на вирусы получить доступ или Windows может отправить данные на свои сервера мои файлы или вирусы попавшие в систему (firewall - у меня настроен).

Если у пользователя запустившего приложение есть права - оно может делать что угодно с файлами на которые есть права.

[АртемЪ]

Вирус может встроиться в мной запускаемое приложения и т.к оно разрешёно, мои файлы уйдут в интернет.

Может. Но этого можно избежать грамотной настройкой прав и политикой ограниченного использования программ.

Задача то у вас какая - избежать утечки данных в сеть? Защитить данные от повреждения?

[Maxla93]

АртемЪ, Вообщем мы пришли, к тому с чего начинали. Вариант только параметр "Безопасность" и других нет.

[Maxla93]

АртемЪ,

Задача то у вас какая - избежать утечки данных в сеть? Защитить данные от повреждения?

Защитить от утечки и от повреждения (это по сути одно и то же, т.к в обоих вариантах подразумевает возможность доступа к файлам).

[АртемЪ]

Maxla93, Не совсем.
Мне например не понятно чего вы хотите добиться этими манипуляциями.
Защитить данные от утечки?
Защитить данные от повреждения?
Что-то другое?

[Maxla93]

АртемЪ,

Защитить от утечки и от повреждения (это по сути одно и то же, т.к в обоих вариантах подразумевает возможность доступа к файлам).

[АртемЪ]

Maxla93,

Защитить от утечки и от повреждения (это по сути одно и то же, т.к в обоих вариантах подразумевает возможность доступа к файлам).

Ну во первых - это абсолютно разные вещи, которые решаются абсолютно разными методами!

Защита от утечки - полный запрет на работу с сетью во время работы с файлами. Если по простому - отключить интернет.
Есть менее надежные варианты - например использовать только проверенные приложения, не обновлять их, жестко настроить политики ограниченного использования программ, и фаервол. Но это менее надежно чем полная блокировка работы с сетью.

Защита от повреждения Бэкап. Это полная защита.
Менее эффективная - это права доступа.

[Maxla93]

АртемЪ, момент из работы.
Firewall - доступ firewall разрешен только chrome/opera, все остальное запрещено.
Открыт Notepad++ в нём открыт *.txt файл с паролями от платежных систем. (в которых находятся много средств)

Как защитить эти данные от утечки?
Хорошо, условно я брандмауэр закрою всем. Что мешает вирусу скопировать куда-то в систему мой *.txt и как только откроется интернет он его отправит через процесс браузера?

[АртемЪ]

Maxla93, Для работы с такими данными создайте виртуальную машину, и запретите ей доступ в интернет.
Доступ в локальную сеть можете оставить - чтобы обмениваться файлами с VM.
И все, надежно и безопасно.
А пароли безопаснее и удобнее хранить не в текстовом файле, а использовать для этого KeePass.

[Maxla93]

АртемЪ,
1. Это единственный вариант?
2. KeePass - не доверяю сторонним приложениям, открытый код не показатель, что в ней нет дыр.

[По виртуальной машине]:
1. Виртуальную машину на моём же компьютере? - с чего вы решили, что доступ к её файлам вирус не сможет получить? (если я имею доступ к ней)
2. Так или иначе я ведь буду копировать пароль в буфер обмена и вводить его на основном пк? (вирус перехватит буфер), а даже если не будут буфер использовать - доступ то я получаю от основного пк, значит и вирус получает.
3. Виртуальные машины - идут не с открытым исходным кодом и не известно какие ещё там дыры есть.
> Из опыта, чем больше используешь, тем больше вариантов тебе противопоставить.

[АртемЪ]

Maxla93,

Это единственный вариант?

Нет, это надежный вариант.
Либо изолированынй компьютер физически отключенный от сети, либо VM. Если все так серьезно.

Иначе - просто аккуратное использование компьютера и грамотная настройка. Это просто снижает вероятность утечки данных, но не исключает ее.

[АртемЪ]

Виртуальную машину на моём же компьютере? - с чего вы решили, что доступ к её файлам вирус не сможет получить? (если я имею доступ к ней

Если паранойя настолько сильна - используйте отдельную физическую машину, отключенную от сети.
Именно так и делают в случае гостайны, стратегически важных данных и.т.д.

А так - получить доступ из хоста к данным VM если они зашифрованы крайне сложно.

У вас какое-то странное представление о вирусах. Они пишутся с конкретной целью, и умеют только то что запрограммировал разработчик.

[Maxla93]

АртемЪ,

А так - получить доступ из хоста к данным VM если они зашифрованы крайне сложно.

Условно говоря.
Я устанавливаю на своём пк виртуальный сервер. (Windows Virtual PC)
Подключаюсь к ней, как? через пароль? (я ввёл пароль - вирус уже знает пароль)
Открываю txt файлы > На моём экране уже видны все логины/пароли, неужели вирус не способен даже скриншот сделать в таком случае?

[Saboteur]

Maxla93, Вы хотите социальную ответственность перенести на техническую часть. Так не будет.

Доступ дается не программам, а пользователям. Любая программа запускается с правами определенного пользователя.

[АртемЪ]

Maxla93,

Подключаюсь к ней, как? через пароль? (я ввёл пароль - вирус уже знает пароль)

С чего бы? А если и знает, что это ему даст?

На моём экране уже видны все логины/пароли, неужели вирус не способен даже скриншот сделать в таком случае?

Зачем???

Я же говорю - если у вас там все архисекретно. Тогда только изолированный компьютер ,в сейфовой комнате, взвод автоматчиков, и десяток спецов по РЭБ.

А если очень надежно и адекватно - поставьте VM.

[Maxla93]

С чего бы? А если и знает, что это ему даст?

Вирус не может подключиться к VM ?

Я не понимаю. Объясните пожалуйста в чём преимущество VM, перед основным компьютером?
Почему вирус не может перехватить передачу данных через локальную сеть между ПК и VM?

[АртемЪ]

Maxla93,

Вирус не может подключиться к VM ?

Конечно нет.
Это же не человек.
Вирус может сделать только то что запрограммировал разработчик.
Например проникнуть на ПК используя уязвимость такую-то, после чего получить рут, если получиться получить рут, установить шелл, дабы включить ваш ПК в ботнет, и спамить с него других пользователей.

Откуда разработчик вируса знает что у вас установлена VM? Откуда он знает какая именно VM установлена? И что с ней конкретно нужно делать?

Другое дело если ваш ПК ломает человек - тогда да, у него есть мозги, он может думать, анализировать и принимать решения. А вот вирус не может.

[Maxla93]

АртемЪ, Я установил VM.

Но тогда теряется весь смысл основного пк... + захожу я в платежные системы то с основного пк и логины/пароли/почты также все на нём.
Т.к к примеру, я использую софт для программирования WebStorm/PhpStorm/Notepad++ и др. программы и с ними нужно будет работать только на VM. (т.к исходные файлы - важные для меня, текстовые документы также)

Но мне также допустим нравится кодить с WebStorm с подключением через ssh. (а это уже нужно будет давать доступ VM в сеть).

[Maxla93]

АртемЪ,
Нужно чтобы было надежно и удобно пользоваться, а не так изощряться что и работать не будет желания.

Скажу так. По большому счёту мне важно, не столько защита файлов от вирусов (т.к за последние 5 лет проблем не было), сколько защита файлов пк от самого Windows/Браузеров/Мессенджеров и т.д с их желанием знать всё что находится на пк.

[АртемЪ]

Maxla93,

сколько защита файлов пк от самого Windows/Браузеров/Мессенджеров и т.д с их желанием знать всё что находится на пк.

Отключите Windows от сети - никуда передавать не будет гарантированно.

Иначе - защиты нет никакой. От ОС вы не защититесь.
А вообще владельцам Windows ваши файлы нафиг не сдались, зачем они им?
Им нужны деньги, а деньги платят рекламодатели, поэтому они собирают информацию о ваших вкусах, пристрастиях и потребностях и продают рекламодателям, получая деньги, только и всего.

Answer 2

[Saboteur]

1. Штатными средствами такое нельзя реализовать. Нужен просто внешний софт.

2.

Мне нужно запретить доступ к *.TXT файлам для любых исполняемых файлов.

Такого точно нет. Не очень понятно, что значит "для любых исполняемых файлов". Блокнот это тоже исполняемый файл.

Comments

[Maxla93]

1. Есть какие-то альтернативы для запрета папки? может как-то по другому это реализовать можно?
2. Исполняемый файл - это среда в которой он используется (любое приложение).
> TXT - ведь нельзя изменить/просмотреть без использования приложения.

[Saboteur]

Maxla93,
1. Штатных нет. Даже если вы сделаете сетевой ресурс и будете его мапить, виндовс все равно кеширует креденшелы до конца сессии. Поэтому чтобы доступ блокировался сразу после закрытия - только отдельный софт, который такое умеет.

2. ЛЮБОЙ доступ к файлу делает не некая неизвестная сущность, а какой-то исполняемый файл. Будет это блокнот, проводник, windows preview или еще что-то. Поэтому требование "закрыть доступ к файлу только для исполняемых файлов" выглядит как-то странно. Даже ядро ОС это тоже в какой-то мере исполняемый файл.

[Maxla93]

Saboteur,

2. ЛЮБОЙ доступ к файлу делает не некая неизвестная сущность, а какой-то исполняемый файл. Будет это блокнот, проводник, windows preview или еще что-то. Поэтому требование "закрыть доступ к файлу только для исполняемых файлов" выглядит как-то странно. Даже ядро ОС это тоже в какой-то мере исполняемый файл.

В txt файле находятся очень ценные данные, как их можно защитить? внутри системы, не используя VM и отдельного ПК.

[Saboteur]

1. Напечатать их на бумажке, а файл удалить
2. Использовать программы для хранения паролей.
3. Использовать криптодиски (veracrypt, truecrypt, bitlocker)
4. Правильное обучение работы с компьютером пользователя, который пользуется этими данными.

[Maxla93]

Saboteur,
3 - мне нужен регулярный доступ к файлам, а не чтобы они лежали без дела зашифрованные.
4 - подробнее можно?

[Saboteur]

3 - мне нужен регулярный доступ к файлам, а не чтобы они лежали без дела зашифрованные.

Ну так подключили диск, поработали с файлами, отключили диск.
Можно сделать два ярлычка и повесить на рабочий стол, для подключения и отключения.

4. Научить пользователя закрывать за собой важные файлы. Научить пользователя не лазить по инету и не качать вирусы.

В принципе можно с криптодисками сделать решение, но для этого нужно уметь писать хотя бы скрипты.
Сделать пользователю ярлык, по которому он будет подключать криптодиск, вводить пароль и получать доступ к файлам.
Повесить на запуск по расписанию (каждые 10 мин, например) скрипт, который проверяет есть ли открытые файлы на этом диске, если нет - то отмонтировать его.

P.S. Просто ваша идея в глобальном смысле - просто уменьшает комфорт пользователя, а реальную защиту она повышает процентов на 10. Именно на уровне самой идеи.
Хотите полностью безопасное решение - отключите комп от инета.

Answer 3

[antonwx]

Начнём с того, что если пользователь знает пароль админа, то он и так может сделать с компьютером всё что ему заблагорассудится. Но тем не менее. Первое что приходит в голову - создать ещё одного пользователя с паролем, дать ему права на чтение файлов и запускать какой-нибудь сторонний файловый менеджер от имени другого пользователя (shift+пкм по экзешнику). Проводник так запустить вряд ли получится.

Comments

[Ranwise]

Начнём с того, что если пользователь имеет доступ к компу, то он и так может сделать с компьютером всё что ему заблагорассудится.

[#]

Ranwise, .. если умеет

Answer 4

[#]

1 - AppLocker может работать с папками. если вам надо без домена и политик, тогда VeraCrypt к примеру
2 - даже AppLocker так не извращается. уверен что готовых решений нет, по тому что сценарий примнения явно надуманный. тем не менее, вполне можно

написать программу

для запуска в фоне, которая бы исполняла подобные функции.
допустим мне известны все необходимые технологии, что бы написать подобную программу на любимом языке - аудит доступа к файлам и хуки на основные операции с ними. для одного типа файлов, прототип можно набросать за вечер, ну два-три. но как только потребуется возможность настройки, защиты от обхода, это сразу превратится в объемную работу. а это уже далеко вне тематики данного ресурса

Answer 5

[Алексей Харченко]

Как бредовый вариант, который нужно ещё проверить:
- делаем RAM диск, назначаем туда TEMP;
- создаём шифрованный архив (например, 7z), внутри него нужные txt или что ещё;
- делаем батник или любой другой скрипт или программу, которая проверяет есть ли запущенный 7zfm.exe или ещё как-то определяет что сейчас кто-то работает с шифрованным файлом, и если никто не работает - чистит темп от временных txt или вообще от всего. Или даже тупо чистит с интервалом в несколько секунд - то что занято, просто не удастся удалить, скорее всего.
Работаем так - открываем архив, щёлкаем по нужному файлу, вводим пароль архива, открывается в редакторе этот txt, читаем-редактируем, закрываем, архиватор предлагает заново перепаковать, запаковываем. (вот тут не помню какой архиватор и с какими архивами позволяет так делать, но какой-то точно может так).

Или проще - делаем два батника с использованием того же 7z: encrypt.bat, decrypt.bat. Один все файлы зашифрует указанным паролем (можно реализовать запрос пароля каждый запуск), второй расшифрует. Для параноиков - нужно ещё затереть место, где лежал файл txt, случайными данными, а не просто удалить. Софт для этого есть. Если не ошибаюсь, то достаточно будет даже определить размер файла и в том же батнике через echo залить именно нужным количеством случайных или не очень байт (да даже тупо нулями). А уже потом удалить.