我正在以本地用户身份运行沙盒应用程序。现在我想拒绝此用户的几乎所有文件系统权限以保护系统安全,除了一些工作文件夹和一些系统 DLL(我将在X下文中称这组文件和目录为“文件和目录”)。
沙盒用户不属于任何组。所以它不应该有任何权限,对吗?错了,因为所有“经过身份验证的用户”都是本地“用户”组的成员,而该组几乎可以访问所有内容。
我想过递归地添加拒绝 ACL 条目到全部文件和目录,然后手动从中删除它们
X。但这似乎有点过分。我还考虑过从“用户”组中删除“经过身份验证的用户”。但我担心会产生意想不到的副作用。其他事情很可能依赖于此。这样对吗?
有没有更好的方法可以做到这一点?如何限制(非常)不可信帐户的文件系统权限?
答案1
答案2
在驱动器根目录下,除了“遍历文件夹”之外,拒绝该用户访问任何内容,然后在您希望他们能够读取的位置授予明确允许。一般来说,从用户中删除经过身份验证的用户并不是一个好主意。
答案3
我认为这不是解决这个问题的正确方法。
您真正应该做的是针对您拥有的机密数据设置 ACL(例如,如果用户在此计算机上有主文件夹,则您应该更改其 ACL,以便只有该用户和管理员才被授予对其的任何访问权限)。
答案4
请记住,即使您希望能够登录系统的非常不值得信任的用户也需要对某些系统文件具有读取权限。您在这里担心什么?如果您担心用户能够删除系统文件等,那么标准用户帐户可能会提供您所需的安全性。如果您真的担心,请让他们成为来宾组的成员。
如果你真的真的那么也许可以考虑对系统应用更严格的安全模板(或者,如果您使用的是 Windows 7/2008 或更高版本,则使用安全配置向导),但请注意,这可能会破坏其他用户的使用。