我需要运行一个程序,但我想限制它的访问权限,使其只能访问它运行的文件夹。我不希望它探索我系统的其余部分(据说它会将已安装软件和硬件的详细报告发送回发布者)。
我希望设置一个单独的帐户,并“以另一个用户身份”运行该程序。但是,即使作为管理员,我也无法更改帐户对许多文件夹(例如 Program Files 等)的访问权限。与某些文件夹不同,我无法在安全设置中添加帐户以拒绝其访问。
此帐户将仅用于从另一个帐户运行此软件,并且已经是用户(而非管理员)帐户。它永远不会直接登录,并且不需要访问 99% 的驱动器。
1) 有没有办法解决对设置帐户对程序文件等文件夹的访问权限的限制?
2)如果没有,是否有另一种可行的方法来限制程序/ exe,以便它只能访问一两个文件夹树 - 而不能访问其他任何内容?
(Windows 7 Pro,还没有时间处理其他所有事情,以便整合一个可以完全控制更新、阻止遥测等的 Windows 10 设置。)
答案1
为了抵御勒索病毒,默认情况下,TRUSTEDINSTALLER 是 Program Files 文件夹中文件夹的所有者,因此,您无法更改安全设置,即使以管理员身份也无法更改,直到您自己成为所有者。
这正是解决问题的方法。
访问您想要授予权限的程序文件内的文件夹的属性。
在“安全”选项卡中,按“编辑”按钮。在顶部,查看当前所有者是谁(最有可能是受信任的安装程序。记下来。将其更改为管理员。
按“确定”直到所有对话框窗口关闭。再次访问属性。这次,您可以修改安全设置。
默认情况下,所有用户都具有该文件夹的读取权限,因此请确保您的新用户不是“所有用户”组的成员,以防止其能够访问其他文件。现在将此特定用户添加到该组并授予其对特定文件夹的读取和/或写入权限。
完成后,将所有者改回之前的所有者以恢复安全性(这就是您必须记下名字的原因)。
这样就行了。
现在,请记住,新用户只能访问此文件夹,但系统上的其他用户将拥有更多访问权限。如果您想确保每个人都使用此新用户启动程序,则必须进一步更改安全设置。
首先,进入高级,选中“禁用继承”,然后按应用。弹出一个窗口询问您是否要复制或删除权限。按复制,然后多次点击确定,直到进入主安全设置对话框,然后按编辑。
删除所有内容,直到组中只剩下 SYSTEM、管理员和新用户,其中 SYSTEM 和管理员拥有完全控制权,而新用户拥有读取或读/写权限。
如果任何非管理员想要运行该程序,除非他们以新用户身份运行该程序,否则他们会收到错误。您可以简单地说:是的,这不起作用,您必须以该用户身份登录,不鼓励人们以拥有更多权限的用户身份登录。