如何防止用户绕过共享文件限制?

如何防止用户绕过共享文件限制?

我受雇于一所学校,负责在班级之间设置共享文件夹,因此该班级的每个人都可以访问老师共享的文件,但不能写入。然而,经过测试,发现了一个重大漏洞:

  1. 学生无法写入文件,但想制造恶作剧。
  2. 学生进入文件属性,编辑安全性并授予自己写权限。
  3. 学生可以写入文件,甚至拒绝老师访问。

配置文件夹时,学校希望每个人都有读取和写入权限,因为有些文件需要他们写入内容。但是,某些文件(规则和规定、公告等)只能由老师写入,但如上所述,有办法绕过这一点吗?

答案1

学生进入文件属性,编辑安全性并授予自己写权限。

这只能如果学生已经拥有“更改权限”权限。简单的答案就是首先不要授予它。

如果没有此权限,则只有对象的所有者才可以编辑其 ACL。由于学生没有创建该文件,因此他们不是其所有者,也无法绕过上述权限要求。

(学生能够绕过这个问题的另外两个原因都可以归结为“学生以某种方式拥有文件服务器的管理员权限”,如果是这样的话,那么这本身就是一个大问题。)

配置文件夹时,学校希望每个人都拥有读取和写入权限,因为有些文件需要他们写入内容。但是,某些文件(规则和规定、公告等)只能由老师写入

如果文件夹本身是可写的,那么您实际上无法撤消仅对几个单个文件的操作 - 即使您将文件设为只读,某些人也可以删除该文件(通过拥有该文件夹的“删除子对象”权限)并创建一个新文件。

因此,不要将整个内容设置为可公开写入。相反,应创建几个部分 - 只读公告可以放在根目录中,但学生上传的内容应有自己单独的子文件夹。

  • “共享”——老师“修改”,学生“阅读”
  • “共享\在此处提交作业” – 教师“修改”,学生“阅读、创建”
  • “Shared\Memes” – 老师“修改”,学生“修改”
  • 等等。

相关内容