这里是菜鸟。
我四处寻找,但未能在 Windows 7 平台上找到答案。这涉及保护数据文件。
基本思想是,不应允许用户直接修改文件。只有通过使用指定应用程序才能修改文件(因此是间接修改)。该思想是,指定应用程序包含自己的身份验证、访问控制和审计日志,可以操作数据文件的内容并记录对数据文件所做的更改。
这里有一些插图。
有一个目录 D,用户 U 无权访问。
用户U使用应用程序A生成数据文件F1,f2,F3,应用程序将其写入目录D。
这说明了用户只能使用应用程序 A 写入目录 D 来创建数据文件 F1、F2、F3、Fn
如果用户 U 使用 Windows 资源管理器(或类似程序)重命名/删除目录 D 中的这些文件 F1、F2、F3、Fn,则他将被拒绝访问。
如果用户 U 使用 Windows 资源管理器(或类似程序)读取目录 D 中的这些文件 F1、F2、F3、Fn,则他将被拒绝访问。他必须使用应用程序 A 在应用程序 A 中读取和查看这些文件。
我发现的唯一解决方案是使用带有 /savecred(管理员凭据)的 runas 来提升权限,但我的理解是,这增加了用户使用保存的凭据运行其他程序(例如 CMD)并获得对目录 D 中的数据文件 F1、F2、Fn 的非特权访问权限的可能性
最后请注意,这是一个在工作组中运行的 Windows 7 Pro 版本。
附言:我有管理员权限并可以根据需要设置电脑。