Запрет создания папок на диске с

Обновлено: 28.09.2022

Всегда настройка прав в windows для мне загадкой.
Вот и этот случай не исключение.
Хочу установить запрет на создание каталогов/файлов ТОЛЬКО к корню диска C.
Создаю новую группу. Настраиваю запрещающие права. Ставлю в нужном месте "только для папки". Применяю правила. Добавляю пользователя в нужную группу. Захожу в терминале под этим пользователем. Пытаюсь создать каталок/файл на рабочем столе - не дает! (хотя права ограничили только к корню диска). Как только удаляю пользователя из этой группы - все работает.
Как так?? ЧЯДНТ?

правда как то страно - когда стоит флаг, то после применения винда обрабаывает все каталоги. аналогично и когда не стоит - все равно обрабатывает все подкаталоги и файлы. так и должно быть?

нет, не должно. надо еще одну галку снять. "наследовать от родителя" или похоже, но со всех папок и файлов в корне

При конфигурировании прав в корне диска только одна галка:

"Заменить все разрешения дочернего объекта на разрешения, наследуемые от этого объекта"

и я применяю права без нее..

а в папке с профайлом пользователя снята галка "Добавить разрешения, наследуемые от родительских объектов" и скопированы права (кроме запрещающих) с родиделей..

Сделал бы скриншоты, да пишу с неудобного компа.

Проблема в том, что задать можно не права к корневой папке, а права к самому диску - там разделения нет.

эм. какая тонкая грань.. но я уверен, что то я хочу: это ограничить доступ к корню диска "C", например и дать доступ в нужные каталоги можно 100%.. мне кажется я видел такую реализацию.

возможно это сделано не так как я думаю, а через групповые политики. попробую покапать в этом направлении.

(15) Там есть есть такой параметр, как обход перекрёстной проверки, чтобы проверка выполнялась только по правам той папки, где создаётся файл или папка, а не по всему пути.

(16) я нашел это параметр. Для того чтобы обход перекрестной проверки не выполнялся (или наобород выполнялся, я так и не понял), нужно включить группу или пользователя в список. Добавил. Результат - тот же. Да и смысла этого не видел, т.к., например, группа "Все" входила уже в этот список.

(0) Никогда, никогда нельзя устанавливать запрещающие права. Замучаешься разбираться. Нужно убирать разрешения.

(18) я хочу чтобы определенная группа пользователей не могла прочитать содержимое корня диска - им это ни к чему..

(19) дело в том, что если не ставить запрещающие политики - то после применения прав нужная мне группа вообще удаляется из вкладки "безопасность".. оно, в общем, и правильно - ведь у нее нет вообще никаких прав. хотя.. попробую-ка я где-нибудь оставить флаг с разрешающими правами. посмотрим что получится..

(21) Я не знаю, архаизм это или нет, но геморрой точно. Запрещающие права имеют приоритет, кстати. Нужны права для группы: Траверс папок, содержание папки, Чтение атрибутов, чтение дополнительных атрибутов - Для этой папки, её подпапок и файлов
- Создание файлов - только для подпапок

(20) Запретить чтение корня диска нельзя в принципе.
Если это сделать, то пользователь вообще не сможет работать с диском, так как все функции вывода содержимого диска начинают с корня.
Можно запретить создавать файлы/папки в корне диска.
(19) Иногда запрет, это как раз то, что нужно.
Если внимательно вчитаться в правила работы прав, то система проверяет наличие разрешения хотя бы для кого (из вышестоящих групп), а также проверяет, что нет ни одного запрета.

(21) Кстати, в никсах никаких запрещающих прав нет. Просто у MS, конечно, замутили права слишком сложные.

(26) Да понятно, что она проверяет. Но запрет приоритетнее. Плюс убрать права легче, логичнее и понятнее. На мой взгляд. Чем потом думать ещё где запрет сработал.

(24) (26) я пока ничего нового не услышал. просто, наверно, я что-то не понимаю..

Заходил на сервер знакомого, пытаюсь зайти на диск "С" или "D" - залочены, но проблем с созданимем файлов на рабочем столе нет.. может быть тут вообще организовано так, что профайлы пользователей находятся не на перечисленных дисках и, соответственно, нет прав с доступом??

(29) (30) я в свое время пробовал переместить профайлы пользователей (с помощью реестра, твиков и такой-то матери) подальше от системного диска.. откровенно говоря ничего, кроме периодических глюков, нормально не вышло.. поэтому вот и считаю, что, скорее всего, профайлы стоят на системном диске.

(26) Чтение корня можно запретить :) Траверс главное оставить. Своп использует система, а все программы и длл в подпапках.

(31) Файлы запретить создавать в корне - не проблема, так как тот же обход перекрёстной проверки и назначение только для текущей папки решают проблему.
Запретить чтение корня диска - можно попробовать, но Explorer работать перестанет.
P.S. в политике для Explorer есть возможность "скрыть диски", причём любые, но при этом, из командной строки диск можно будет увидеть.

спасибо, это все я уже читал )
(38) как только правильно введу капчу чтобы увидеть какой я свой (!) ящик указывал при регистрации - отвечу. ну или доберусь до ноута, где все ящики (смотря что наступит раньше)

(42) Не ветку всю лень читать :) Под SYSTEM запустить explorer, по AT win2k8 не даёт, но как то точно можно.
А с Hide Drives - только лишние неудобства для админа, а зайти можно как я уже говорил, лишь указав путь. Диск то только скрыт, но доступ есть. Разве что б юзверей диск с: не смущал.

(44) Там ещё можно и запретить доступ ко всему диску из Explorer, но остальных программах он виден.
Про корень, также пишут, что в случае запрета перестаёт работать корзина, что, в принципе, не так уж и важно.

(47) Ну и кто мешает сделать системный диск S, например.
Только для Windows это желательно делать при установке, так как она в некоторые места ссылку на диск прописывает.
У меня корень смотрят, если хотят, скрытые папки "спрятаны", но читать-писать могут. Остальное - даже и не читается.
Просто, что такого пользователь может увидеть в корне системного диска ?

я думаю это вообще риторический вопрос.
просто у меня на днях некий юзверь долез до папки с бд и сделал ее копию (локально). Я знаю что это не диверсия, но этого бы не произошло, если бы доступа к корню диска у пользовтеля не было. хотя. сейчас вот думаю. ему, в вообщем, ничего не мешало в том же проводнике указать папку отличную от корня (на пути к бд) и он так же бы получил доступ.. блин. неужели то что я хочу полная фигня.. надо, просто, граммотно настроить права на все каталоге и фсе ? (*мне стыдно)..

(50) В общем, если база файловая, то пользователь, если может в ней работать в файловом режиме (не Web), то имеет к ней доступ на чтение и на запись.
Поэтому, ничто не может запретить пользователю выполнить копирование файла с базой, скажем, во временную директорию, к которой у него есть доступ.
Окно выбора файла в 1С, как известно, позволяет заглянуть в директорию базы (если не вообще по умолчанию туда смотрит), а также позволяет выполнить какие-то операции с файлом базы.

В терминальном режиме можно порезать доступ с терминального сервера во вне, чтобы пользователи не могли унести базу с сервера.

P.S. Web-режим и тонкий клиент спасёт от таких "сюрпризов".

(49) Ну если база файловая - то её от копирования может спасти только запрет подключения сетевых ресурсов, доступных пользователю вне сервера терминалов. Ну плюс запрет буфера обмена. Хотя распечатать отчёт из 1с тоже можно. Или сфоткать его)) А так - SQL

(52) Реально, в сервере терминалов через "эммуляцию нажатия клавиш" набить программу, которая соберёт обработку, которая из 1С будет данные на экране в виде штрих-кодов показывать, чтобы этот экран сфотографировать с того же терминального клиента - и всё, база уплыла.

(56) + Я говорил лишь то, что люди знают больше чем какая-то база, хотя да, нефиг копировать кому ни попадя.

Проблема как всегда в принципе. Равна или больше стоимость информации стоимости её защиты. Для очень многих фирм это не так.

(62) К стоимости защиты нужно приплюсовать потери от простоя из-за не правильно настроенных прав для легальных пользователей, которые из-за этого не смогли работать.

(60) Если буфер обмена на терминальном сервере закрыт, то просто передавая нажатия определённых клавиш можно создать файл практически с любым содержимым.
Далее, если этот файл можно запустить, то он может собрать из себя уже реальный файл, который может быть, например, обработкой для 1С, которая делает какие-то действия.

Что касается шифрования, то sql-сервер работает под каким-то пользователем. Для этого пользователя диск будет расшифрован, так как с ним работает SQL. Для других пользователей вообще доступа к диску с базой может и не быть.
Шифрование полезно, когда есть вероятность доступа к диску на выключенном сервере (когда загрузят другую систему и попытаются скопировать данные), но эта ситуация маловероятна.
Внутри sql-базы также можно использовать шифрование строк, но опять же, защита упирается в пароль пользователя, под которым работает sql-сервер.
В случае 1С, стоит опасаться самой 1С.
Во-первых, разрешение на выполнение внешних обработок или произвольного кода в клиенте, который вызывает что-то с сервера.
Во-вторых, вполне возможна модификация кода клиента 1С для того, чтобы он не обращал внимания на некоторые ограничения (конечно, права должны проверяться на сервере, но насколько проверяется каждый вызов с сервера с клиента - это знают только в 1С).

(60) >> Если буфер обмена на терминальном сервере закрыт, то просто передавая нажатия определённых клавиш можно создать файл практически с любым содержимым.

Можно даже Войну и Мир напечатать. :) А у ж если к серверу подойти в стойке. Я даже теряюсь от возможностей )))

(65) В случае ключа, скорее, модификация драйвера ключа и службы сетевого лицензирования.

Про файл - в задании было - сделать USB или Ps/2 устройство, которое при подключении к компьютеру определяется как клавиатура, ждёт от пользователя нескольких последовательных нажатий CapsLock (не забываем, что сигналы светодиодов передаются обратно) начинает создание определённого файла передавая последовательно нажатия клавиш.

>>(не забываем, что сигналы светодиодов передаются обратно
Энкономист я по специальности :( Не знаю я электротехники за пределами 10 классов

(68) В общем, идея в том, что к компьютеру подключается имитатор клавиатуры, который выполняет определённые действия.
Например, посылается в контору "засланный казачок" - он свой телефон направляет камерой на экран, а специальный шнурок включает в разъём клавиатуры - и удалённый доступ к компьютеру готов.

по умолчанию доменный пользователь может создавать папки\копировать файлы в корень диска С:

у domain users есть права только на чтение\выполнение, но есть еще "Прошедшие проверку"( Authenticated users) пользователи, у которых есть права на создание папок\файлов в корне диска. Если эти права ЛОКАЛЬНО понизить до чтения\выполнения, то и доменный пользователь не сможет создавать файлы\папки.

Вопрос как в Групповой политике задать правило, чтобы по умолчанию у "Прошедшие проверку" ( Authenticated users) пользователя были права только на чтение\выполнение?

Как запретить domain users создание файлов\папок в корне диска С: с помощью GPO?

2 ответа 2

Мы можем попытаться устранить неполадки, как показано ниже:

  1. Если Windows 10 находится в доменной среде? Если он находится в домене, мы можем запустить отчет gpresult в Windows 10, чтобы увидеть, применяется ли политика. Если он применяется, но не может блокировать создание папок и файлов, перейдите к шагу 2.
  2. Заблокируйте другие папки в корневом каталоге, чтобы узнать, сможем ли мы успешно применить групповую политику. Если мы можем, может быть, мы не можем установить разрешение системного корневого каталога.
  3. Если Windows 10 не находится в доменной среде, имейте в виду, что этот процесс доступен только для домена с сервером, на котором запущена функция управления групповой политикой . автономным системам и рабочим группам по-прежнему необходимо назначать эти разрешения вручную! Таким образом, мы можем попытаться установить разрешение вручную.

Назначение разрешений для файлов и папок с помощью групповой политики

Создание объектов групповой политики безопасности файловой системы

Групповая политика - примеры GPResult

Плохая идея. Не ходи туда.
Если ВСЕ ваши системы не будут полностью заблокированы до такой степени, что никому и никогда не потребуется ничего устанавливать.
Блокирование создания папки / файла в корне системного диска приведет к повреждению большого количества программного обеспечения, особенно установщиков драйверов устройств, поскольку они часто создают рабочие папки непосредственно из корня диска.
Кроме того, для обновления Windows 10 InPlace (и, возможно, некоторых других обновлений Windows) необходимо выполнить запись в корневую папку.
И некоторым системным процессам, таким как Hibernate, возможно, это тоже не нравится

И "DENY Authenticated Users", как некоторые люди предлагают в других ответах, ТАКЖЕ DENY для администраторов. DENY отменяет все. Администратор может отменить это, но это требует ручного вмешательства, чего не может сделать WindowsUpdate и т.д.

В управляемой программной среде (например, SCCM) вы можете обернуть что-то в качестве обертки вокруг каждого установщика, но это большая работа.
Или вы можете использовать локальную (не доменную) учетную запись администратора для SCCM и ограничить доступ к папке для "пользователей домена". Но это также сложно настроить и, возможно, создать угрозу безопасности. (Вам необходимо установить индивидуальные пароли для этой учетной записи на каждом компьютере и хранить их где-нибудь для использования SCCM. Если вы используете один и тот же пароль везде, если один взломан, каждый компьютер есть.)
Фактически: компания, в которой я работаю, фактически делает это с помощью SCCM и отдельных учетных записей локальных администраторов на каждом компьютере (около 200 000 систем), но мы не настолько сумасшедшие, чтобы заблокировать корневой диск. Слишком большой потенциал для возникновения всевозможных странных побочных эффектов / проблем.

Все ответы

Создайте объект политики MyCompany Permissions Policy и подключите к требуемому подразделению.

Внутри политики откройте контейнер Computer Configuration -> Policies -> Windows Settings -> Security Settings -> File System

Добавьте объект C:\ и укажите требуемые права (Administrators, SYSTEM: Full Control; Users: Read)

Через 90-+30 минут все машины, учётные записи которых хранятся в этом подразделении, применят политику.

MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI

могут, как раз такая задача и стояла, чтобы пользователи могли работать ТОЛЬКО с папкой Мои Документы

Создайте объект политики MyCompany Permissions Policy и подключите к требуемому подразделению.

Внутри политики откройте контейнер Computer Configuration -> Policies -> Windows Settings -> Security Settings -> File System

Добавьте объект C:\ и укажите требуемые права (Administrators, SYSTEM: Full Control; Users: Read)

Через 90-+30 минут все машины, учётные записи которых хранятся в этом подразделении, применят политику.

MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI

ВОПРОС . После применения данных настроек , вернуть в первоначальное состояния как ? вопрос для теста . Из контрольной точки созданной до применения данного дейсвия не поучится ?

по умолчанию доменный пользователь может создавать папки\копировать файлы в корень диска С:

у domain users есть права только на чтение\выполнение, но есть еще "Прошедшие проверку"( Authenticated users) пользователи, у которых есть права на создание папок\файлов в корне диска. Если эти права ЛОКАЛЬНО понизить до чтения\выполнения, то и доменный пользователь не сможет создавать файлы\папки.

Вопрос как в Групповой политике задать правило, чтобы по умолчанию у "Прошедшие проверку" ( Authenticated users) пользователя были права только на чтение\выполнение?

Как запретить domain users создание файлов\папок в корне диска С: с помощью GPO?

Ответы

Создайте объект политики MyCompany Permissions Policy и подключите к требуемому подразделению.

Внутри политики откройте контейнер Computer Configuration -> Policies -> Windows Settings -> Security Settings -> File System

Добавьте объект C:\ и укажите требуемые права (Administrators, SYSTEM: Full Control; Users: Read)

Через 90-+30 минут все машины, учётные записи которых хранятся в этом подразделении, применят политику.

MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI

Ответы

Создайте объект политики MyCompany Permissions Policy и подключите к требуемому подразделению.

Внутри политики откройте контейнер Computer Configuration -> Policies -> Windows Settings -> Security Settings -> File System

Добавьте объект C:\ и укажите требуемые права (Administrators, SYSTEM: Full Control; Users: Read)

Через 90-+30 минут все машины, учётные записи которых хранятся в этом подразделении, применят политику.

MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI

Все ответы

Создайте объект политики MyCompany Permissions Policy и подключите к требуемому подразделению.

Внутри политики откройте контейнер Computer Configuration -> Policies -> Windows Settings -> Security Settings -> File System

Добавьте объект C:\ и укажите требуемые права (Administrators, SYSTEM: Full Control; Users: Read)

Через 90-+30 минут все машины, учётные записи которых хранятся в этом подразделении, применят политику.

MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI

могут, как раз такая задача и стояла, чтобы пользователи могли работать ТОЛЬКО с папкой Мои Документы

Создайте объект политики MyCompany Permissions Policy и подключите к требуемому подразделению.

Внутри политики откройте контейнер Computer Configuration -> Policies -> Windows Settings -> Security Settings -> File System

Добавьте объект C:\ и укажите требуемые права (Administrators, SYSTEM: Full Control; Users: Read)

Через 90-+30 минут все машины, учётные записи которых хранятся в этом подразделении, применят политику.

MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI

ВОПРОС . После применения данных настроек , вернуть в первоначальное состояния как ? вопрос для теста . Из контрольной точки созданной до применения данного дейсвия не поучится ?

Несмотря на то, что в составе Windows есть инструменты для ограничения доступа, на практике оказывается, что они не слишком удобны, причем в самых заурядных ситуациях. Достаточно упомянуть такие простые примеры, как установка пароля на директорию или запрет на открытие Панели управления.

  • Фильтрация посещения веб-сайтов
  • Ограничения по времени
  • Ограничения на Магазин Windows и игры
  • Ограничения на приложения
  • Просмотр статистики активности пользователей

Из перечисленного ясно, что даже эти функции помогут администратору компьютера решить многие частные моменты. Поэтому далее пойдет речь о небольших программах, которые позволяют ограничить доступ к информации и системным разделам в дополнение к стандартным инструментам управления ОС Windows.

Security Administrator

Лицензия: Shareware ($69)

Security Administrator

Программа Security Administrator напоминает типичный системный твикер, но только с акцентом на системную безопасность. Каждая из опций отвечает за определенное ограничение, поэтому общее древо настроек так и называется — «Restrictions». Оно делится на 2 раздела: общие (Common Restrictions) и пользовательские ограничения (User Restrictions).

В первой секции — параметры и подразделы, которые касаются всех пользователей системы. К ним относятся загрузка и вход в систему, сеть, Проводник, собственно Интернет, система, Панель управления и другие. Условно их можно разделить на ограничения онлайн- и офлайн-доступа, но разработчики особо сложной разбивки по вкладкам не рассмотрели. По сути, достаточно и того, что каждый «твик» имеет описание: какое влияние на безопасность оказывает та или иная опция.

Во втором разделе, User Restrictions, можно настроить доступ для каждого пользователя Windows индивидуально. В список ограничений входят разделы Панели управления, элементы интерфейса, кнопки, горячие клавиши, съемные носители и др.

Предусмотрен экспорт настроек в отдельный файл, чтобы его можно было применить, например, на других системных конфигурациях. В программу встроен агент для слежения за активностью пользователей. Файлы журнала помогут администратору проследить потенциально опасные действия пользователя и принять соответствующие решения. Доступ к Security Administrator можно защитить паролем — в далее рассматриваемых программах это опция также имеется де факто.

Из недостатков — небольшой список программ, для которых можно применить ограничения: Media Player, MS Office и т. п. Популярных и потенциально опасных приложений намного больше. Усложняет работу отсутствие актуальной для Windows 8 версии и локализации — это как раз тот вариант, когда сложно обходиться без начальных знаний английского.

Таким образом, программа предназначена как для ограничения доступа, так и для гибкой настройки параметров безопасности ОС.

WinLock

Лицензия: trialware ($23,95)

WinLock

В WinLock нет распределения настроек на общие и пользовательские, вместо этого имеются разделы «Общие», «Система», «Интернет». В сумме, возможностей меньше, чем предлагает Security Administrator, но такая логика делает работу с программой более удобной.

К системным настройкам относятся ограничения элементов Рабочего стола, Проводника, меню «Пуск» и им подобных. Также можно установить запрет на определеные горячие клавиши и всевозможные меню. Если интересуют только эти аспекты ограничений — ниже см. программу Deskman.

Ограничения функций Интернета представлены весьма поверхностно. Они заменяют один из компонентов Семейной безопасности: блокировка доступа к сайтам. Безусловно, любой файрволл по этой части будет оптимальным решением. Отсутствие же возможности хотя бы задать маску для веб-узлов делает данный раздел WinLock маловажным для опытного пользователя.

Кроме названных разделов, следует упомянуть «Доступ», где доступно управление приложенями. Любую программу легко занести в черный список по названию либо ручным добавлением.

В разделы «Файлы» и «Папки» можно поместить данные, которые необходимо скрыть от других пользователей. Пожалуй, не хватает парольной защиты доступа (для этого нужно обратиться к помощи других программ, см. ниже).

WinGuard

WinGuard

WinGuard можно использовать для блокировки приложений и разделов Windows, а также для шифрования данных. Программа распространяется в двух редакциях — бесплатной и Advanced. Функциональные отличия между ними невелики — несколько опций в одноименной вкладке «Advanced». Среди них отключение Internet Explorer, Проводника, процесса установки, записи файлов на USB.

Контроль над запуском приложений осуществляется во вкладке «Task Lock». Если нужной программы нет в списке, ее можно добавить самостоятельно, указав название в заголовке либо выбрав из списка открытых в данный момент приложений (аналогично WinLock). Если же сравнивать функцию блокировки с Security Administrator, в случае с WinGuard можно отключить ограничения для администраторского аккаунта. Однако настроить черный список приложений для каждого пользователя нельзя.

Таким образом, функциональность достаточно бедная, даже если взять во внимание платную версию.

Advanced Folder Encryption

Лицензия: shareware ($34,95)

Advanced Folder Encryption

Еще одна программа для AES-шифрования данных, и все же отличие от WinGuard весьма заметно.

Во-первых, выбор файлов для шифрования происходит быстрее. Не нужно выбирать каждую папку по-отдельности, достаточно составить список директорий и файлов. При добавлении Advanced Folder Encryption требует выставить пароль для шифрования.

Вы, в программе нет возможности указать метод защиты, вместо этого позволяется выбрать метод Norman, High или Highest.

Второй удобный момент — шифрование через контекстное меню и расшифровка файлов одним кликом. Нужно понимать, что без установленной Advanced Folder Encryption данные не удастся просмотреть даже зная пароль. В этом отличие от архиваторов, которыми можно запаковать файлы в зашифрованный и всюду доступный exe-архив.

При выборе большого количества файлов для шифрования, как было замечено, не срабатывает кнопка отмены. Поэтому нужно быть осторожным, чтобы не получить результат в виде битого файла.

Deskman

Лицензия: trialware (€39)

Deskman

Программа для ограничения доступа к элементам интерфейса и системным разделам. Пожалуй, тут ее уместно сравнить с Security Administrator за той разницей, что Deskman более сконцентрирован на Рабочем столе. Системные опции также присутствуют, но это, скорее, то, что не подошло в другие разделы: отключение кнопок перезагрузки, Панели управления и другие смешанные опции.

В разделе Input — отключение горячих клавиш, функциональных кнопок и функций мыши. Помимо имеющегося списка, можно определить сочетания клавиш самостоятельно.

Любопытна опция Freeze, которая доступна на панели инструментов. По ее нажатию формируется «белый список» из приложений, запущенных в данный момент. Соответственно, не входящие во whitelist программы недоступны до того момента, пока функция Freeze не будет отключена.

Еще одна возможность, связанная с уже онлайн, — защищенный веб-серфинг. Суть «защищенного» метода заключается в том, что доступны будут только те страницы, которые содержат в заголовке определенные ключевые слова. Эту функцию можно назвать разве что экспериментальной. Вдобавок, акцент делается на Internet Explorer, который, безусловно, является стандартным браузером, но явно не единственным.

Password for Drive (Secure NTFS)

Лицензия: shareware ($21)

Password for Drive

Программа работает только с файловой системой NTFS и использует ее возможности для хранения информации в скрытой области.

Для создания хранилища необходимо запустить Password for Drive с администраторскими правами и выбрать диск для создания хранилища. После этого файлы можно копировать в защищенную область с помощью виртуального диска. Для доступа к данным с другого компьютера не требуются администраторские права.

В качестве хранилища можно использовать также съемный носитель. Для этого предварительно нужно отформатировать диск, например, штатными инструментами Windows, в NTFS и установить Password for Drive в редакции portable.

Программа не отличается интуитивным и удобным интерфейсом, фактически управление осуществляется минимальным набором кнопок — «Открыть»/»Удалить хранилище» и «Активировать диск». В демонстрационном режиме возможно лишь протестировать функциональность программы, так как количество открытий хранилища ограничено сотней.

USB Security

Лицензия: shareware ($19,95)

USB Security

Программа предназначена для установки парольной данных на съемные носители.

В отличие от Secure NTFS, диалог настройки значительно более интуитивен, благодаря мастеру настройки. Так, для применения защиты необходимо подсоединить к компьютеру устройство, выбрать его в списке и следовать мастеру установки. После данной процедуры пользователь получает в свое распоряжение диск, защищенный паролем. Для разблокировки достаточно запустить exe-файл в корне диска и ввести пароль.

Зашифрованный диск при открытии доступен как виртуальный диск, с которым можно производить те же операции, что и с исходным. Не стоит забывать, что на компьютерах, где запрещен запуск сторонних программ (не находящихся в «белом» списке), доступ к содержимому будет закрыт.

  • Shared Folder Protector — защита файлов внутри сети;
  • Folder Protector — защита файлов на съемных носителях.

AccessEnum

AccessEnum

Небольшая утилита, которая позволяет контролировать доступ пользователей к Реестру и файлам, находить уязвимости в выданных правах. Другими словами, программа будет полезна в том случае, если права доступа выставляются средствами Windows.

Удобство утилиты состоит в том, что ОС попросту не предоставляет средств для просмотра прав доступа к директориям в виде детального списка. Кроме файлов, также можно проверить доступ к веткам реестра.

Для проверки прав доступа необходимо указать директорию или раздел Реестра для сканирования и начать процесс сканирования. Результаты отображаются в виде колонок «Read»/»Write»/»Deny», соответствующих адресам. В свойства каждого из элементов списка можно зайти через контекстное меню.

Программа работает под всеми ОС семейства Windows NT.

Резюме

Утилиты, рассмотренные в обзоре, можно использовать в дополнение к базовому инструментарию Windows, комплексно и в довесок друг к другу. Их нельзя отнести в категорию «родительский контроль»: некоторые функции в чем-то схожи, но по большей части не совпадают.

Security Administrator и WinLock — утилиты-твикеры настроек безопасности, которые также можно использовать для отключения элементов Рабочего стола, системных разделов и др. В WinLock, кроме того, встроен интернет-фильтр и есть возможность блокировки файлов и папок.

В функции Deskman входит ограничение доступа к интерфейсу (превосходящее по гибкости Security Administrator и WinLock), управление запуском приложений, интернет-фильтр.

WinGuard сочетает в себе функции шифровальщика и ограничителя доступа к программам и устройствам. Advanced Folder Encryption имеет смысл рассматривать как замену WinGuard по части шифрования.

Password for Drive и USB Security ограничивают доступ к данным на съемных носителях.

AccessEnum — бесплатная удобная оболочка для проверки прав доступа пользователей к файлам и Реестру.

где я создал запись для% SystemDrive%\, где прошедшие проверку пользователи имеют « Запретить » для « Создать файлы / Запись данных » и « Создать папки / добавить данные », примененные к « Только эта папка ».

После сохранения и связывания объекта групповой политики я перезагрузил рабочую станцию, чтобы получить новые политики, но настройки ничего не блокируют.

Есть идеи, что может быть не так? Любое другое предложение для достижения того же результата?

Ответы

Создайте объект политики MyCompany Permissions Policy и подключите к требуемому подразделению.

Внутри политики откройте контейнер Computer Configuration -> Policies -> Windows Settings -> Security Settings -> File System

Добавьте объект C:\ и укажите требуемые права (Administrators, SYSTEM: Full Control; Users: Read)

Через 90-+30 минут все машины, учётные записи которых хранятся в этом подразделении, применят политику.

MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI

Читайте также: