Apakah ada jendela yang setara dengan chroot?

24

Pada sistem * nix saya dapat menggunakan chroot untuk mengisolasi dua proses dari satu sama lain dan dari sisa sistem. Apakah ada sistem keamanan serupa di bawah windows? Atau adakah cara untuk mencegah dua proses dari saling membaca / menulis file?

windows windows-server-2008 security chroot Benteng
sumber
1
Saya tidak yakin label keamanannya dijamin di sini. kerneltrap.org/Linux/Abusing_chroot
MDMarra
1
@The Rook - Dalam diskusi kerneltrap itu, kernel devs mendiskusikan fakta bahwa chroot tidak pernah dimaksudkan sebagai perangkat keamanan /
MDMarra
1
@The Rook - Benar, saya hanya mengatakan bahwa Anda mungkin ingin mengulangi pertanyaannya. Ada ekstensi untuk chroot atau putaran pada konsep (seperti penjara) yang telah dirancang dengan mempertimbangkan keamanan. Dalam posting Anda, Anda menyebut chroot sebagai perangkat keamanan, yang tidak pernah dimaksudkan.
MDMarra
1
@ Nathan Adams Saya setuju, tetapi "keamanan berlapis".
Benteng
1
Sepertinya saya sudah menanyakan sesuatu yang serupa di sini . Apakah Anda pernah mengatur ini di Windows Server? Jawaban yang Anda terima tidak menjelaskan bagaimana melakukan ini, atau mengatakan bahwa itu tidak mungkin ...
RomanSt

Jawaban:

5

Saya tidak yakin Anda akan mendapatkan apa pun di Windows dengan chroot - apakah Anda memiliki kebutuhan khusus?

Jika ada hasil teratas di google adalah http://www.winquota.com/wj/ .

Mungkin virtualisasi aplikasi mungkin menjadi pilihan? Microsoft memiliki yang berikut untuk dikatakan tentang hal itu:

Dalam lingkungan fisik, setiap aplikasi bergantung pada OS-nya untuk berbagai layanan, termasuk alokasi memori, driver perangkat, dan banyak lagi. Ketidakcocokan antara aplikasi dan sistem operasinya dapat diatasi dengan virtualisasi server atau virtualisasi presentasi; tetapi untuk ketidakcocokan antara dua aplikasi yang diinstal pada instance OS yang sama, Anda memerlukan Virtualisasi Aplikasi.

Jon Rhoades
sumber
5
Salah satu proses saya ditulis dengan buruk dan sangat tidak aman, manajemen tidak ingin memperbaikinya karena itu akan "terlalu mahal". Saya berharap proses ini akan dimiliki pada akhirnya dan saya ingin membatasi dampaknya pada sistem saya. Jika Anda benar-benar yakin tidak ada untungnya, maka Anda harus membaca lebih lanjut tentang chroot.
Benteng
1
@Rook Karena pada Windows Anda dapat memiliki hak akses yang diceraikan dari tata letak sistem file. Denyut jantung Anda di bagian komentar di samping jawaban ini , itulah pendekatan yang dilakukan kebanyakan orang untuk melindungi sebagian dari sistem file dari proses yang tidak diizinkan untuk mengaksesnya; cukup beri pengguna proses dimulai di bawah akses ke subset dari sistem file dan layanan yang dibutuhkan.
Asad Saeeduddin
@ Asad Saeeduddin Berbicara tentang filesystem, bukankah windows hanya menjalankan autorun yang tidak dapat dipercaya yang ditemukan pada USB stick ? Tahun berapa sekarang?
Benteng
Saya memiliki kebutuhan khusus, tidak terkait keamanan - program ini saya porting berharap untuk beroperasi pada sistem file root sendiri, dan itu akan menjadi upaya besar untuk port itu untuk menggunakan direktori saat ini dengan benar. Untungnya, ia bekerja dengan filesystem independen - pada Windows, ia hanya akan menyebar di root dari drive apa pun yang dijalankan. Jika saya hanya bisa "alias" dir root di Windows ke beberapa subdirektori, itu akan jauh lebih bersih dan lebih mudah untuk dilacak, karenanya ingin chroot.
Dana Gugatan Monica
7

Sandboxie http://www.sandboxie.com/

Tidak persis seperti chroot. Itu mengatur kotak pasir untuk setiap program yang Anda tentukan. Itu dapat dengan mudah membuat proses terisolasi.

Jason Berg
sumber
2

Saya tidak akan menggunakan yang seperti ini, Anda menjalankan Windows mate.

NTFS memiliki hak akses berbutir terbaik yang dapat Anda temukan. Tidak sulit untuk membiarkan proses dimulai dengan pengguna dengan hak istimewa yang lebih rendah, dan hanya memberikan pengguna itu akses ke file aplikasi tunggal ini.

Tidak perlu menggunakan sesuatu seperti chroot, yang bukan alat keamanan, ketika Anda sudah bisa menentukan pengguna apa yang diizinkan untuk melakukan apa dalam direktori apa.

Tidak ada bedanya dengan memberikan Apache di Linux penggunanya sendiri, hanya diperbolehkan bekerja di dalam folder-nya.

Oke Dokey
sumber
2
Ini adalah jawaban yang tepat mengapa chroot tidak diperlukan
Jim B
@rook, maka mereka gagal mengikuti whitepaper BPSAD dan PTH untuk menghilangkan serangan tiket emas. Sejauh yang saya tahu bahwa hanya bekerja pada * nix curb.
Jim B
@Jim B kompartementalisasi mungkin terdengar asing di platform yang secara rutin memberikan hak administratif ke browser, database, dan server web. Namun, kotak pasir adalah ukuran pertahanan-dalam-quint esensial yang esensial terlepas dari platform.
Benteng
@ Rook, saya pikir Anda membingungkan hak dengan isolasi, proses mengisolasi windows secara default. Proses hanya dapat mengakses / mengintegrasikan dengan atau memengaruhi proses lain jika memiliki izin.
Jim B
@ JimB, saya tidak berpikir (jadi kecuali saya benar-benar salah memahami komentar Anda). Memulai proses pada Windows 7 misalnya tidak memberi Anda prompt keamanan dan setelah itu proses tersebut dapat membaca 90% dari drive penyimpanan Anda tanpa harus meminta proses sistem tentang hal itu. Hanya jika ia mencoba untuk memodifikasi, ucapkan "C: \ Program Files" maka OS dapat menampar pergelangan tangannya tetapi itu bukan keamanan, itu hal-hal mendasar yang sangat mendasar.
dimitarvp