因此,当人们通过 Paragon 或 等各种选项在 macOS 或 Linux 中挂载 NTFS 卷时ntfs-3g,很容易访问用户的文件夹等,因为 ACL 不会被保留从而阻止访问。
有没有办法在 Windows 内部挂载卷以禁止 ACL,从而允许与在 Unix 系统上遇到的相同行为?
答案1
Windows PE 似乎忽略了 ACL。
如果您可以在另一台 PC(物理或虚拟)上运行 Windows PE 或 Hirens BootCD,并且该 PC 上连接了相关磁盘,则可以在网络上共享它,然后在客户端 PC 上映射网络驱动器。这种方法有一些缺点,例如处理第二个操作系统的不便和与网络堆栈相关的瓶颈。但它是免费的。
您可能会发现在 Windows PE 上有用的命令:
禁用防火墙:
wpeutil DisableFirewall
共享驱动器(如果在非私有物理网络上请注意权限):
net share sharename=c:\ /grant:everyone,full
如果这是常规操作,那么您可能需要使用 DISM 编辑 WindowsPE boot.wim 文件,并将两个命令添加到 [image_root]\windows\system32\startnet.cmd 文件中。
答案2
NTFS 访问控制的处理方式与 Unix/HFS 方法不同。HFS 本质上是 FAT32 + B 树,将它们完全分开存储为元数据(如引用),因此文件系统可以轻松修改其中一个而不影响另一个。
NTFS ACL 数据与 NTFS 本身紧密相关,因为实际驱动程序传递的连接数据片段和元数据的访问令牌是使用 ACL 列表中的代码直接加密的。我不是为 MS 安全部门工作的,但显然它有助于后续工作,因为这种加密可以用作文件完整性/位腐烂的交叉检查。这是 NTFS 比 HFS 更安全,可以防止位腐烂和静默数据损坏的原因之一。在能够更改数据时,您会破坏 ACL,反之亦然,因此您只能以只读方式安装驱动器。这也是为什么 Tuxera/NTFS3G 等不想安装脏驱动器或休眠驱动器的原因……微软将这两种状态绑定到同一个密钥处理系统中。
最简单的方法是创建一个新的用户组,供您现在计划使用,并将其添加到您之前的 Windows ACL 组中的系统管理员的管理员组中。使用提升的命令提示符中的 Runas 命令打开您选择的应用程序(从资源管理器窗口复制其位置字符串,然后手动添加程序的名称 .exe)并设置其计划行为,然后将其保存在那里。
您也可以为此使用快捷方式,并在其属性对话框中将其设置为始终以该用户身份运行。如果您希望使用户无法更新修改时间,您现在还可以通过禁用该用户对文件的写权限来严格限制更新能力。
答案3
Windows 没有通用方法来忽略权限,除非重置所有文件的所有权和权限。在计算机之间穿梭时,这不是一个可接受的解决方案。
问题在于,当一台计算机上创建了一个用户帐户,而另一台计算机上没有对应的帐户时,另一台计算机就会将其称为“未知帐户”,并为其分配一些任意且非常有限的权限。
一种解决方案是仅使用所有 Windows 计算机通用的帐户,例如内置管理员帐户。出于安全原因,此帐户在 Windows 7 及更高版本中被禁用,因此不建议使用此解决方案。
为了完全避免此类权限问题,您可以使用没有权限的磁盘格式,而不是 NTFS。
其中一种格式是旧的 FAT32 它完全缺乏安全性和权限的概念。它的缺点是文件大小限制为 4GB。它的优点是它在所有版本的 Windows、Mac、Linux、游戏机以及几乎任何其他地方都受到普遍支持。
如果 4GB 的限制不可接受,则 外置FAT 格式基本上是 FAT64。它的缺点是它是专有的,需要 Microsoft 的许可。它适用于 XP Service Pack 3 及以上版本的所有 Windows 版本(和/或安装 Windows XP 更新 KB955704)以及现代版本的 Mac OS X,但在 Linux 上需要额外的软件。
答案4
使用 EaseUS Partition Master,您可以通过“探索分区”功能访问 NTFS 驱动器并绕过所有文件系统安全性(无需加密)。
您还可以探索 Linux 分区,如 Ext2、3、4 btrfs、xfs 等。
全部在 Windows 内部进行。甚至是 WinPE 系统。