it-swarm-es.com

Impedir el acceso a la unidad C en sistemas Windows

¿Es posible evitar que los usuarios normales accedan a la unidad C a través del Explorador de Windows? se les debe permitir ejecutar ciertos programas. Esto es para garantizar que los empleados no puedan robar o copiar software privativo a pesar de que deberían poder ejecutarlo.

Una forma sería cambiar la opción en la Política de grupo de Windows y establecer el "Shell" en algo diferente a "Explorer.exe". Estoy buscando una configuración de Windows similar que solo oculte la unidad C o que, de lo contrario, evite el acceso trivial.

12
Robinicks

Es posible usar Políticas de grupo para ocultar unidades específicas en Mi computadora, Windows Explorer y mecanismos de exploración de archivos similares ( artículo de Microsoft aquí ).

Ha pasado un tiempo desde que lo vi implementado, pero en ese entonces generalmente había una forma de evitar la restricción, por lo que este tipo de control evitaría el acceso casual, pero no detendría a un atacante determinado.

En última instancia, es bastante difícil evitar que alguien que tiene acceso legítimo para ejecutar un archivo pueda leerlo, especialmente si tiene acceso al hardware que está ejecutando el archivo.

12
Rory McCune

Una solución, que puede estar fuera de alcance aquí, pero podría ser útil si el código es tan valioso, es permitir al usuario un cliente ligero (estoy pensando en Citrix o similar) para que nunca ejecuten el código localmente, solo vean la pantalla Vistas y salida.

También tiene una gama de otros beneficios útiles, que no solo limitan el movimiento de información confidencial, sino que permiten un fuerte control sobre el acceso, los parches, la gestión de la capacidad, etc.

9
Rory Alsop

Estoy de acuerdo con los Rorys. Es muy difícil permitir que alguien ejecute o lea datos sin al mismo tiempo darle la capacidad (ya sea inherentemente o por medios implementados por el usuario) para copiarlos. El acceso físico rompe especialmente la mayoría de las medidas de seguridad, salvo el cifrado en reposo.

Dicho esto, las sugerencias de usar Políticas de grupo y/o Clientes delgados son buenas ideas, especialmente la última. En cualquier caso, no debe intentar bloquear una unidad completa, especialmente una tan crítica como C: \, si solo son ciertos datos en esa unidad los que necesitan protección. Bloquear la unidad C:\en su conjunto probablemente causará más problemas y dolores de cabeza de los que resolverá.

Si prefiere bloquear una unidad completa, cree una partición separada específicamente para el software propietario e instálela allí. Luego, puede bloquear la segunda partición todo lo que quiera sin interferir con el acceso del usuario a sistemas operativos críticos o archivos de programas no confidenciales.

6
Iszi