Как в Windows ограничить доступ приложений к файлам?
Есть желание в Windows ограничивать доступ отдельных приложений к файлам.
Как я себе это представляю в минимальном варианте:
- есть список, в котором для каждого exe-файла записано, файлы в каких каталогах ему доступны для чтения и в каких для записи;
- есть драйвер (?), который перехватывает вызовы WinAPI "открыть файл", проверяет по списку и, если каталог не доступен, возвращает код ошибки "access denied".
Уверен, что должно существовать готовое ПО под эту задачу. Посоветуйте, пожалуйста.
результат паранойи насчёт того, что приложения делают неизвестно что
Обычно те, кто сидит в Windows не страдают паранойей, им даже телеметрия пофиг. Кто страдает, тот первым же шагом перешёл на Linux (а самые хардкорные параноики - на FreeBSD), всякие права доступа уже как дополнение.
Вот если вы хотите долговременно держать оборону против ходячих мертвецов, то вы в первую очередь спрячетесь за высоким забором, метра три высотой, потом поставите пулемётную турель... Но здесь вы хотите спрятаться за оградкой, какую делают вокруг газонов, в пол метра высотой, и весь периметр заминировать. Во-первых, никакой гарантии, что зомбаки не прорвутся через мины, а во-вторых, на те же мины наступят мирные граждане. Короче, неправильная у вас паранойя, не эффективная.
Значит, я не стандартный сиделец под Windows. (Кстати, да, серверок с FreeBSD у меня наличествует...)
Сравнение с минами некорректно: если какое-то ПО ломанулось, куда ему не положено, и обломалось, то ничего фатального не случается, ПО просто выдаёт ошибку, а дальше пользователь решает дать этому ПО доступ и повторяет операцию. Ну, или не решает.
Беда в том, что средства для подобного ограничения доступа к файлам мне вообще не попадались.
Controlled folder access -- как я понял по описанию, не совсем оно, но более-менее из нужной категории. Спасибо. Правда, слишком уж простецкие настройки, да и работает только в 10-ке, а мне и для 7-ки тоже надо. Но за неимением лучшего надо попробовать.
https://staffcounter.net/ru/dlp/
умеет ограничивать доступ для заданых ##.exe к путям по маске. например может запретить браузеру или скайпу открывать файлы вне своей папки профиля- т.е. пользователь не сможет приатачить файл, отправить его в облачн. диск или отправить по скайпу.
Если каталог с архивом фоток может читать только смотрелка картинок, а писать только файлменеджер, то как залётный троян-шифровальщик сможет там разгуляться?
zzzzzzzzzzzz, Если программа использует стандартный диалог "Открыть файл", этим файлом может быть исполняемый (exe). В меню кроме пункта "Выбрать", может быть "Открыть".
Есть ACL на уровне NTFS назначьте для определенной группы специальные разрешения на доступ.
Никаких драйверов не нужно, все решается на уровне ОС.
Другая хорошая практика это назначение через групповую политику списка разрешенных приложений для запуска и назначение в качестве шелла например клиента 1С или АРМ (Автоматизированного рабочего места)
Опишите вашу задачу, а не ваше видение как это можно реализовать
Вы предлагаете не то. Ваше решение -- это как ограничить пользователя, я же хочу в рамках одного пользователя контролировать доступ к файлам отдельных приложений.
Это не какая-то задача "для бизнеса", а результат паранойи насчёт того, что приложения делают неизвестно что. Аналогичные сомнения насчёт бесконтрольного доступа в сеть я разрешаю программой "Windows Firewall Control", а для контроля доступа к файлам пока ничего такого не нашёл.
Пример: если у меня на диске лежит вордовый файл, то драйверу видеокарты его читать совершенно незачем (вне зависимости от причин: то ли хакеры эксплуатируют дырку в драйвере, то ли производитель драйвера шпионит, то ли какой-то вирус в драйвер дописался).
Да, вводить ограничения по юзерам - это действительно стандартная практика. Однако, практика показывает, что эта практика не удовлетворяет потребностям - например, в Android есть всего один юзер, а разграничение доступа ведётся по приложениям.
Владимир Коротенко, считаю данную паранойю оправданной, так что никаких таблеток!
А что с архитектурой windows не так, что там нельзя сделать, как я хочу?
Владимир Коротенко, Стандартная схема использования смартфона - однопользовательсткая, а защита идёт на уровне приложений. Механизм этой защиты - да, "песочница"; это вызывает большие проблемы при необходимости разделить какие-то данные между несколькими приложениями без права доступа к ним остальных приложениям.
Владимир Коротенко, понятно, что самому можно написать. Хотя там возможны геморрои с подписыванием драйвера и т.п.
Удивительно, что нету уже готового. Идея-то не настолько уж экзотическая.
