Use los permisos NTFS para evitar el acceso a las carpetas en la llave USB

1

TL / DR: cómo usar los permisos NTFS para evitar que todos los usuarios en otras PC accedan a una carpeta en particular en una llave USB NTFS?

ANTECEDENTES

Tengo una llave USB formateada NTFS. El nivel superior contiene una sola carpeta llamada "PRINCIPAL". Hay una jerarquía arbitraria de muchos más archivos y carpetas dentro y debajo de PRINCIPAL.

Todos estos archivos y carpetas son creados por un solo usuario no administrador "FRED", en una sola PC "MYPC". Así que MAIN, y todo lo que está dentro y debajo de él, es propiedad de un usuario no administrador FRED en MYPC.

No hay nada especial en FRED o MYPC. MYPC es una netbook predeterminada de Windows 7 Starter Edition. FRED es un usuario normal no administrador en esa netbook.

REQUISITO

Quiero hacer el número mínimo de cambios de ACL posibles, en MAIN, y preferiblemente solo en MAIN, para lograr dos cosas:

(1) Evita que todos los usuarios en otros PC accedan a MAIN en absoluto . Por "acceso" quiero decir, incluso solo ver su contenido. Así que en MYPC, FRED y los administradores pueden acceder a MAIN de manera normal, pero en otras PC, nadie en absoluto puede acceder a MAIN en absoluto .

(2) Say FRED, en MYPC, copia algo desde MAIN, a (digamos) el escritorio de MYPC, y luego a una llave USB o PC diferente. Me gustaría que la cosa copiada no se restringiera como se describe anteriormente. Es decir, los usuarios en otras PC pueden acceder a la copia, o no, de la misma manera que habría ocurrido si (1) nunca se hubiera hecho en primer lugar.

Ninguna de estas carpetas y archivos están cifrados, ni quiero que estén. Así que entiendo que alguien podría simplemente montar la llave en un sistema que no sea Windows y leer todos los datos en bruto. Eso no es parte de mi modelo de amenaza.

TIA para cualquier sugerencia!

    
pregunta Puzzled 05.10.2015 - 09:16
fuente

2 respuestas

4

En pocas palabras: no puedes hacer eso. Los permisos NTFS se establecen por usuario. También dependen del alcance: cualquier usuario que sea administrador local puede tomar posesión de los recursos locales y cambiar los permisos que desee.

Su única opción es confiar en el cifrado. Le sugiero que eche un vistazo a Bitlocker to go: es muy fácil de configurar y muy conveniente de usar: puede configurar su máquina para que monte automáticamente el dispositivo (almacenar la clave en su tienda de confianza) y configurarla contraseña segura (que almacenará en su administrador de contraseñas).

    
respondido por el Stephane 05.10.2015 - 09:44
fuente
1

TL; DR: Hay muchas formas de evitar las ACL, se debe usar el cifrado, EFS puede ser mejor que BL aquí.

Como dice @Stephane, esto es imposible.

Cualquier administrador, o cualquier otro usuario con SeTakeOwnershipPrivilege , puede sobrescribir la propiedad de un objeto y el propietario siempre puede sobrescribir las ACL. Además, cualquier administrador, miembro del grupo integrado de Operadores de copia de seguridad u otro usuario con SeBackupPrivilege puede simplemente ignorar la ACL para las operaciones de lectura (un privilegio correspondiente SeRestorePrivilege, también disponible para los mismos grupos, permite ignorar ACL para escritura, incluido el propietario de escritura y ACL).

Además, las ACL del sistema de archivos no son realmente impuestas por el sistema de archivos de ninguna manera. Los impone el controlador del sistema de archivos, pero se pueden omitir o el controlador podría ignorar las ACL. Por ejemplo, el controlador ntfs-3g utilizado en sistemas similares a Unix ignora las ACL; si alguien conectó su unidad flash en una caja de Linux ey obtendría acceso completo. De manera similar, los bits en el almacenamiento en sí mismos se colocarán allí en texto plano; cualquier persona con privilegios para el acceso de lectura sin formato de la unidad podría extraer cualquier archivo que desee, o cambiar las ACL si tienen acceso de escritura al dispositivo en bruto.

Como alternativa a BitLocker [To Go], sugeriría usar Sistema de cifrado de archivos . Más versiones de Windows lo admiten que BitLocker (específicamente, las ediciones Pro / Business de Windows 2000, XP, Vista y Win7 son compatibles con EFS pero no para la creación de volúmenes BL), aunque Starter tampoco es compatible. No necesitarías ingresar contraseñas ni nada; los datos se descifran / cifran de forma transparente si usted es el usuario correcto y no tiene sentido si no lo es. El resto de la unidad todavía sería utilizable. Si alguien robó la unidad, es posible que pueda adivinar o forzar la contraseña BL, pero nunca podrá obtener la clave EFS (se genera y almacena aleatoriamente en su computadora, y mientras la clave está protegida con su contraseña, la contraseña en sí mismo es inútil sin la clave cifrada también). El principal inconveniente de usar EFS en lugar de BL es que un atacante podría eliminar o sobrescribir los contenidos del directorio (sin saber cuáles eran los contenidos originales), pero un atacante también podría formatear la unidad para eliminar BitLocker.

Sin embargo,

habilitar el cifrado en la carpeta es bastante fácil. Abra la unidad en Explorer (en una versión de Windows que admita EFS), haga clic con el botón derecho en la carpeta y seleccione Properties , haga clic en Advanced , haga clic en Encrypt contents to secure data y luego haga clic en Aceptar. Aplique el cambio a todos los contenidos del directorio, ¡y listo!

    
respondido por el CBHacking 05.10.2015 - 21:01
fuente

Lea otras preguntas en las etiquetas