Menolak pengguna Windows 7 Pro untuk mengubah konten direktori kecuali dia melakukannya menggunakan Aplikasi yang ditunjuk "A"

1

Noob di sini.

Saya telah melihat sekeliling dan tidak dapat menemukan jawaban untuk ini pada Platform Windows 7. Ini berkaitan dengan Mengamankan file data.

Ide dasarnya adalah bahwa file tidak boleh diizinkan untuk dimodifikasi oleh pengguna secara langsung. Hanya melalui penggunaan aplikasi yang ditunjuk itu dapat diubah (Jadi Tidak Langsung). Idenya adalah bahwa Aplikasi yang Ditunjuk berisi autentikasi sendiri, kontrol akses dan audit log dan dapat memanipulasi konten file data dan menyimpan log perubahan yang dibuatnya ke file data.

Berikut ini beberapa ilustrasi.

Ada direktori D di mana Pengguna U tidak memiliki akses.

Pengguna U menggunakan Aplikasi A untuk menghasilkan file data F1, f2, F3 yang ditulis aplikasi ke Direktori D.

Ini menggambarkan titik bahwa pengguna hanya dapat menulis ke Direktori D menggunakan Aplikasi A untuk membuat file data, F1, F2, F3, Fn

Jika Pengguna U menggunakan Windows explorer (atau yang serupa) untuk mengubah nama / menghapus file-file ini F1, F2, F3, Fn di Direktori D, ia akan ditolak aksesnya.

Jika User U menggunakan Windows explorer (atau serupa) untuk membaca file-file ini F1, F2, F3, Fn di Direktori D, ia akan ditolak aksesnya. Dia harus menggunakan Aplikasi A untuk membaca dan melihat file-file ini dalam Aplikasi A.

Satu-satunya solusi yang saya temukan untuk meningkatkan hak istimewa menggunakan runas dengan / savecred (kredensial admin) tetapi pemahaman saya adalah bahwa hal ini meningkatkan kemungkinan pengguna menggunakan kredensial yang disimpan untuk menjalankan beberapa program lain (katakanlah CMD) dan dapatkan akses tidak terbatas ke file data F1, F2, Fn di Direktori D

Akhirnya perhatikan bahwa ini adalah Windows 7 Pro Edition yang berjalan di workgroup.

PS: Saya memiliki akses ke admin dan dapat mengatur PC sesuai kebutuhan.

Phoenix_Rising
sumber
Tidak ada solusi lain. Aplikasi dijalankan dengan izin yang sama dengan pengguna yang meluncurkannya. Anda dapat membuka aplikasi sebagai pengguna lain atau meningkatkan izin aplikasi. Jika Anda khawatir tentang pengguna yang menjalankan program resmi, atasi masalah itu, Pengunci Aplikasi ada untuk masalah seperti itu.
Ramhound
Setuju dengan Ramhoundm Aisde dari program kompartementalisasi + data assoc ke dalam VM, tidak dapat melakukan banyak hal pada windoze
aidanh010
Layanan dapat dijalankan menggunakan kredensial tertentu. Jika Anda dapat menerapkan aplikasi untuk berkomunikasi dengan layanan, tetapi tidak mengizinkan tindakan tidak sah lainnya dilakukan (mis. Memulai proses lain), Anda dapat mengembangkan aplikasi untuk melakukan apa yang Anda minta. Seperti yang sudah dinyatakan tidak ada cara asli untuk melakukan ini di Windows.
Twisty Impersonator