在经历了被入侵之后,我正尝试保护我的系统。
所以我创建了一个本地帐户,它是标准用户。我想用这个帐户来工作,并限制它对 D 盘的访问。这样,即使我的标准帐户被盗用,他们也无法对我的 D 盘进行读/写/修改/x 访问。
您如何做到这一点?我尝试在文件资源管理器中设置“经过身份验证的用户”权限以拒绝访问文件以进行测试。但这也阻止了我的管理员帐户(使用 Microsoft 电子邮件注册的第一个帐户)访问它。
这真的可以阻止一般恶意渗透者访问 D 盘吗?或者他们可以轻松将其删除吗?
我在我的 D:/ 驱动器文件资源管理器权限上看到三个角色:经过身份验证的用户、系统、管理员。
答案1
设置安全权限是可行的方法。
请记住,权利传播如下:
- 如果设置了拒绝权限,则它们始终优先应用。拒绝一个组,该组中的每个人都会被拒绝,即使有其他授予访问权限的权限。
- 如果没有指定用户所属的用户或组,则该用户被拒绝。
- 如果直接提及用户或提及其所在的群组,则适用这些权利。
这意味着您将要从对象中删除所有现有权限,并授予组管理员完全访问权限。
授予组 SYSTEM 完全访问权限也是一个好主意。这将确保在 D 共享中安装服务的程序具有访问权限,并且病毒扫描程序和备份软件等程序也可以执行其工作。
接下来,确保当前用户不是所有者,但也将其更改为管理员。
最后,设置复选框以自动将这些权限应用于所有子对象。
答案2
每年都会发生多次特权提升攻击,因此攻击者可以获得管理权限并能够访问 d:
因此,使用 NTFS 权限进行保护是可以的,但如果同时加密 d: 就更好了。除非密码很短或属于字典,否则攻击者无法破解加密密码。如果攻击者安装了软件键盘记录器,他也可以获取该密码,是的,因此您甚至可以走得更远,应用使用证书(智能卡)的加密。但那太过分了。如果数据确实很重要,请在其他系统上使用它,而不是在您不信任的系统上。