Impedir el acceso a la unidad C en sistemas Windows

12

¿Es posible evitar que los usuarios normales accedan a la unidad C a través del Explorador de Windows? se les debe permitir ejecutar ciertos programas. Esto es para garantizar que los empleados no puedan robar o copiar software privativo, aunque deberían poder ejecutarlo.

Una forma sería cambiar la opción en la Política de grupo de Windows y establecer el "shell" en algo diferente a "explorer.exe". Estoy buscando una configuración de Windows similar que solo oculte la unidad C o, de lo contrario, impida el acceso trivial.

    
pregunta Robinicks 05.01.2011 - 16:01
fuente

3 respuestas

12

Es posible usar políticas de grupo para ocultar unidades específicas en Mi computadora, Windows Explorer y mecanismos similares de búsqueda de archivos ( artículo de Microsoft sobre esto aquí ).

Ha pasado un tiempo desde que lo he implementado, pero en ese entonces generalmente existía una forma de evitar la restricción, por lo que este tipo de control impediría el acceso casual, pero no detendría a un atacante determinado.

En última instancia, es bastante difícil impedir que alguien que tiene acceso legítimo para ejecutar un archivo pueda leerlo, especialmente si tiene acceso al hardware que ejecuta el archivo.

    
respondido por el Rоry McCune 05.01.2011 - 16:51
fuente
8

Una solución, que puede estar fuera del alcance aquí, pero podría ser útil si el código es tan valioso, es permitirle al usuario solo un cliente ligero (estoy pensando en Citrix o similar) para que nunca ejecute el código localmente. solo ver vistas de pantalla y salida.

También tiene una serie de otros beneficios útiles, que no solo limitan el movimiento de información sensible, sino que también permiten un control sólido sobre el acceso, la aplicación de parches, la gestión de capacidad, etc.

    
respondido por el Rory Alsop 05.01.2011 - 18:39
fuente
6

Estoy de acuerdo con los Rorys. Es muy difícil permitir que alguien ejecute o lea datos sin, al mismo tiempo, otorgarles la capacidad (ya sea de forma inherente o mediante medios implementados por el usuario) para copiarlos. El acceso físico rompe especialmente la mayoría de las medidas de seguridad por debajo del cifrado en reposo.

Dicho esto, las sugerencias de uso de Políticas de grupo y / o Thin Clients son buenas ideas, especialmente las últimas. En cualquier caso, no debe intentar bloquear una unidad completa, especialmente una tan crítica como C: \, si solo es cierta la información de esa unidad que necesita protección. El bloqueo de la unidad C: \ como un todo probablemente causará más problemas y dolores de cabeza de los que resolverá.

Si prefiere bloquear una unidad completa, cree una partición separada específicamente para el software propietario e instálela allí. Luego, puede bloquear la segunda partición tanto como desee sin interferir con el acceso del usuario a sistemas operativos críticos o archivos de programas no sensibles.

    
respondido por el Iszi 05.01.2011 - 19:11
fuente

Lea otras preguntas en las etiquetas