19:35 

NTFS чтоб никто не лазил ^_~

Линда Кайе
Тотальная неудачница и убийца жёстких дисков.
#post-id: 3060-23-56
#original-date: 11.12.2008 Thu
#original-time: 11:56 PM
#original-day:  3060
#original-host: WinXP Prof SP2 (Build 2600)

Сегодня поигралась с правами доступа для флэшки, и оказалось, что всё намного проще, чем то, чем я до этого занималась. Итак, мы имеем флэшку, приватные файлы на ней, кучу свободного времени и кучу оптимистичного идиотизма ещё больше ^_^ Нужно сделать так, чтобы истерички от начальства не залезли на флэшеку, не обнаружили там десяток скриншотов с Хитоми Нишикавой, и не заорали, что мы смотрим порно на работе ^^ А ещё нам нужна будет папка, куда можно будет кидать что угодно и от куда угодно. И, разумеется, нужно чтобы вирусня не писалась. Такая программа максимум.

Что нам надо? Прежде всего нам нужно занть, что такое профили пользователей и уметь залогиниться под другим пользователем или запустить под ним программу не разлогиниваясь. Впрочем, для подготовки флэшки нам это не нужно.

Итак, для начала проведём испытания дома. Допустим, нас зовут Линда Кайе, именно это мы пишем, когда логинимся в систему. Для проверки хорошо бы создать ещё одну учётку любого типа. Проще всего это сделать через "Учётные записи пользователей" в панели управления. Впрочем, можно и под админом всё проверять.

Ещё нужно чтобы флэшка была отформатирована в NTFS. Если она в FAT, то нужно сконвертировать командой:



U: - это буква диска. Допустим, это буква нашей флэшки.

Открываем Мой компьютер и заходим на нашу флэшку. Всё читается, всё отлично. Теперь щёлкаем по диску правой клавишей мыши и открываем свойства. Переходим на вкладку "Безопасность", и щёлкаем "Дополнительно". Для начала стоит нам стать владельцами файлов, на всякий пожарный. Идём на вкладку "Владелец", и в списке выбираем себя, тоесть "Линда Кайе". Ставим галочку "Заменить владельца субконтейнеров", и жмём "Применить".

Что происходит? Мы передаём во владение своей учётке все файлы и папки на флэшке. Это нужно чтобы если что накрутим, Windows не ругалась, что у нас нет разрешения на просмотр разрешений. Ну и чтобы неожиданно не получилось, что кто-то ещё получит доступ только потому что он тоже в группе Администраторы.

Дальше мы идём на вкладку "Разрешения". Здесь скорее всего только одна запись. Но она нам не нужна, удаляем всё. Теперь начнём оформлять права. Жмём "Добавить", и в появившемся окне пишем "Линда Кайе" (не забывайте, что Вы пишете своё имя пользователя). Окей, появилось окно, в котором мы задаём права для своего пользователя. Выбираем в выпадающем списке "Для этой папки, её подпапок и файлов", что означает, что мы задаём права для всех файлов и папок начиная с текущей (тоесть, в данном случае для всего диска). В колонке "Разрешить" ставим галочку "Полный доступ". Вся колонка должна отметиться. Галочка ниже должна быть снята. Жмём "Ok".

Что происходит? Мы задали права доступа для всех файлов на диске, тоесть открыли себе полный доступ. Теперь все файлы и каталоги, которые наследуют эти права, будут доступны нам.

Жмём "Применить", и снова проверяем - всё должно читаться.

/* Тут я отмечу, что раньше я делала такую штуку. Ставила галочку "Заменить права для дочерних объектов", а потом долго ждала каогда они все заменятся. Этого делать не стоит, потому что права наследуются всеми файлами и папками. */

Теперь проверим как оно будет работать у другого пользователя. Запускаем что-нибудь вроде FAR, Total Commander или Xenon под учёткой другого пользователя. Это делается через "Запуск от имени" в контекстном меню программы. Открываем диск U, и убеждаемся, что нам этого не дают сделать. Отлично. Мы на верном пути - тоже самое увидет имтеричное начальство, когда попытается посмотреть, что вы там делаете на это флэшке.

Кстати, чтобы дать доступ для антивирусов, стоит также добавть пользователя SYSTEM, как мы только что добавили себя, хотя это может быть и черевато ^^ Например, флэшка становится беззащитной перед вирусами, запущенными как службы.

Хорошо. Теперь посмотрим, что мы можем сделать ещё. Если в Ваших планах только защита информации, то тут можно остановиться. Но если Вы хотите, чтобы было красиво, чтобы иконка у флэшки выводилась через Autorun.INF, и чтобы был публичный каталог, идём дальше.

Нам нужно открыть на чтение корневой каталог, но не открывать файлы. Тоесть чтобы человек мог посмотреть что там лежит, но получал отказ на открытие файла или папки. Жмём "Добавить", и пишем "Все". Откроется знакомое окно с выбором прав доступа, но теперь уже для общей группы, в которой все пользователи.

В выпадающем списке выбираем "Только для этой папки". Это нужно для того чтобы разрешения распространялись только на текущую папку, тоесть на корневой каталог, а файлы в неё и подкаталоги затронуты не были.

В колонке "Разрешить" ставим галочки напротив следующих прав:

- Обзор папок/выполнение файлов - поскольку мы устанавливаем права для папки, выполнения файлов можно не бояться.

- Содержание папки/чтение данных - эти два пункта могут показаться одинаковыми, но это не совсем так.

- Чтение атрибутов.

- Чтение дополнительных атрибутов.

- Чтение разрешений - теоретически это ставит не нужно, но на практике, может получиться, что диск просто не откроется, хотя прав хвататет.

Жмём "Ок", а потом "Применить". Отлично. Можете проверить в запущенной под другим пользователем программе - диск открывается, но файлы и папки не читаются, нас не пускают. Представляем, гневное лицо истеричного начальства и идём дальше.

Теперь займёмся иконкой. Наверняка у вас есть на флэшке файлик Autorun.INF с примерно таким содержанием:



И конечно же файл Disk U.ICO (у вас он может именоваться иначе) с иконкой. /* Хорошо бы они были скрытыми. И хорошо бы они не использовались вирусами, которые пытаются при открытии флэшки запустить страшный вирус. Тут я уж полагаюсь на вашу совесть ^^ */ В общем, нам нужно сделать так, чтобы они читались любым пользователем, но записывать в них ни чего нельзя было, чтобы вирусы не портили картину. Для этого закрываем свойства диска, открываем сам диск, выделяем найденные файлы, открываем их свойства и на вкладке "Безопасность" жмём "Дополнительно".

Тут мы видим, что некоторые права файл унаследовал от корневого каталога. В частности, тут должна быть одна или две строки: для пользователя "Линда Кайе" или для неё же и пользователя SYSTEM. Галочку "Наследовать от родительского объекта разрешения" снимать не нужно.

Привчно жмём "Добавить", задаём группу Все и жмём "Ok". Здесь нам нужно установить следующие права:

- Содержание папки/чтение данных.

- Чтение атрибутов.

- Чтение дополнительных атрибутов.

- Чтение разрешений - снова нужно, поскольку без этого права файлы открываться просто не будут.

Заметили, что теперь мы не ставим "Выполнение файлов"? Нам это право совсем не нужно. Жмём "Ok" и "Применить". Что произошло? Эти два файла продолжают наследовать все права для пользователя "Линда Кайе", тоесть мы можем открывать и править оба этих файла. Но при этом к файло добавились права, которые позволяют любому пользователю читать их содержимое. Теперь, когда вы вставите флэшку в USB порт на вражеском компьютере, Windows прочитает иконку, и отобразит её в качестве иконки диска. Но изменить эти файлы враг не сможет.

Можете проверить в программе, запущенной под другим пользователем. Файл Autorun.INF читается, но при попытке сохранить изменения, появляется сообщение об ошибке.

Отлично. Но вы наверняка уже поняли, что если под другим пользователем попытаться скопировать пару файлов в корневой каталог диска, произойдёт ошибка - нам не дадут этого сделать. Поэтому сейчас мы сделаем публичную папку, в которую можно будет писать несекретные файлы, чтобы кому-то их скинуть.

Открываем диск и создаём новую папку "~~~Public" (можете назвать её как хотите). Она тут же наследует права от корневого каталога, и открыть её под другим пользователем вы не сможете. Поэтому открывайте настройки прав доступа (наверняка вы уже запомнили как это делается). Жмём "Добавить", выбираем группу Все, и в появившемся окне выбираем в выпадающем списке "Только для этой папки". Мы должны открыть доступ ко всему содержимому папки, но при этом должны защитить её от вандалов. Поэтому ставим следующие права:

- Обзор папок / Выполнение файлов.

- Содержание папки / Чтение данных.

- Чтение атрибутов.

- Чтение дополнительных атрибутов.

- Создание файлов / Запись данных.

- Создание папок / Дозапись данных.

- Удаление подпапок и файлов - это важно. Это право позволит создавать и удалять любые файлы и папки в этой папке.

Как обычно жмём "Ok" и "Применить". Что произошло? Мы разрешили создавать подкаталоги и файлы в этой папке, разрешили открывать её и читать содержимое, а ещё разрешили удалять файлы и папки в ней. Заметьте, что это делается именно в правах папки.

Однако, вы можете проверить и убедиться, что хотя файлы и папки создаются в нашем новом каталоге, а файлы ещё и удаляются (вы можете скопировать туда десяток файлов и удалить их для проверки), открыть их вы не можете. Правильно, нужно дать права.

Привычным движением жмём "Добавить", выбираем "Все" и в появившемся окне выбираем в списке "Только для подпапок и файлов". Это означает, что устанавливаемые права распространяются на всё, что лежит в папке, но не на саму папку. Ставим галочку "Полный доступ", убеждаемся что галочка внизу не установлена, жмём "Ok" и "Применить".

Что произошло? Мы дали полный доступ ко всем файлам в каталоге для любого пользователя (то, что ожидают от флэшек), но ограничили доступ к самой папке. Иначе, если бы мы не выбрали "Только для подпапок и файлов", папку можно было бы переименовать, удалить, сотворить ещё что нехорошее.

Теперь можно проверить в программе, запущенной под другим пользователем. Сама папка ~~~Public не удялаяется, не переименовывается, и вообще тверда как гранит, в то время как в ней царит полная анархия. Здесь вы и будуте хранить файлы, которые нужно будет скинуть кому-то ещё, например, отчёты для налоговой.

Итак, теперь самое интересное, как при всей этой безопасности работать с флжшкой на работе? Да всё очень просто, нужно делать это из отдельной учётной записи, под которой вы будете запускать файл менеджер вроде FAR, Total Commander или Xenon. Программы, запущенные из него, открытые файлы, всё это будет запускаться от лица этого вашего теневого пользователя, поэтому именно ему нужно дать максимальные права, в то время как у основного пользователя, под которым в систему заходят все, будет как и у всех - мимнимум.

Итак, если ваш файл менеджер умеет показывать свойства диска, то замечательно - запускайте его под своим профилем. Например, пусть основной будет User, под ним вы работаете, под ним истеричное начальство ходит в Инет качать игрушки, а теневой - lk, под которым вы и будете смотреть флэшку. Запускайте файл менеджер под lk. Если же в нём такого нет (например, FAR или Xenon), то лучше залогиниться под этим профилем и уже там сделать всё необходимое.

Итак, свойства диска, настройки безопасности. Что мы видим? Кнопки "Добавить" и "Удалить" заблокированы. Всё правильно, нам нужно стать владельцем диска. Идём на вкладку "Владелец", выделяем себя, галочку не ставим, а нажимаем "Применить".

Что произошло? Мы стали владельцем корневого каталога диска. Это значит, что мы можем поправить права доступа, которые все файлы и папки на флэшке наследуют именно от корневого каталога. Одним изменением вы затронете всю файловую систему ^_~

Почему не нужно было ставить ту галочку? Дело в том, что это заняло бы не только уйму времени, пока бы был обработан каждый файл, но и могло обнулить все права доступа, всё что мы уже час настраиваем - у меня такое было пару раз.

Закрываем всё (кнопочками "OK", разумеется) и открываем снова. Теперь кнопка "Добавить" появилась. Жмём её и пишем lk. В выпадающем списке должно стаять "Для этой папки, её подпапко и файлов". Ставим галочку "Полный доступ" и не ставим галочку внизу. Нажимаем "Ok". Теперь уюеждаемся, что галочка "Заменить разрешения для всех дочерних объектов" не установлена, и жмём "Применить".

Однако, ни чего не работает ^^' Как же так? Просто, права не установились для подкаталогов и файлов, поскольку вы не являетесь их владельцем. Тут выход такой: придя домой, вы открываете настройки безопасности (залогинившись, естественно, под пользователем Линда Кайе) и находите в списке неизвестную учётную запись. Это lk, но поскольку такая не зарегистрирована на вашем домашенм компьютере, её имя выводится так. Теперь нужно дважды щёлкнуть по этой строке и в появившемся окошке нажать "Отчистить всё", а затем поставить галочку "Полный доступ". Жмём "Ok", "Применить" и закрываем всё.

Теперь ваша рабочая теневая учётная запись имеет полный доступ к флэшке ^_^

Итак. В конечном итоге мы получили флэшку, которую олностью могут читать только два пользователя, остальные могут попасть только в публичный каталог, а ещё флэшка защитилась от вирусов, которые правят файл Autorun.INF.

Кстати, всё это я писала, экспериментируя не с флэшкой. Мне было лень терзать настоящую флэшку, поэтому я создала контейнер в TrueCrypt на десять метров и смонтировала его как флэшку. И вот у меня уже флэшка на десять метров ^___^

#music: Noir OST II\Original SoundTrack\Colosseum

URL
Комментарии
2008-12-12 в 08:27 

Браво Линда, отличное руководство!
Кстати, неужели защитить флэшку от вирусов оказалось так легко?
Когда я работал фрилансером и постоянно мотался по клиентам обновляя им 1С я просто не знал что делать со всей той вирусней, которую умудрялся нацеплять за день. Мою клиентуру составляли компьютерно неграмотные тетеньки в возрасте 40-60, в основном, и в таких компаниях где про сисадминов и антивирусы никогда не слышали.
Воистину век живи, век ^^

2008-12-13 в 15:23 

Линда Кайе
Тотальная неудачница и убийца жёстких дисков.
Спасибо ^_^ Кстати, стоит ещё почитать дискуссию тут:

http://linda-kaioh.livejournal.com/1035243.html

Это чтобы не казалось, что защита очень крутая. Но она в большинстве случаев работает ^^

Мою клиентуру составляли компьютерно неграмотные тетеньки в возрасте 40-60, в основном, и в таких компаниях где про сисадминов и антивирусы никогда не слышали.

Ну, по своему опыту могу сказать, что букеты вирусов водятся у народа независимо от пола и образования ^^ У иных товарищей такие зоопарки бывают ^^

URL
2008-12-14 в 16:25 

~(@)~
а разве нельзя скачать програмулину у производителя флешек. при помощи которой флешка разбивается на два диска. один из которых можно видеть если ввести пароль

2008-12-16 в 03:59 

Линда Кайе
Тотальная неудачница и убийца жёстких дисков.
Можно, но если забудишь пароль... ^^ Ну и не очень комфортны всякие висящие в памяти проги, да у всех есть возможность смонтировать сразу оба раздела, а не попеременно один...

URL
2008-12-16 в 03:59 

Линда Кайе
Тотальная неудачница и убийца жёстких дисков.
Кстати, секретный раздел открывается всем пользователям.

URL
2010-01-21 в 02:58 

Возвращаясь к теме защиты флешек: если защитить флешку описанным образом, а на вражеском компьютере пользователь будет работать под администратором - сможет он поменять права на недоступные папки или добавить себя к владельцам?

2010-01-21 в 03:07 

Линда Кайе
Тотальная неудачница и убийца жёстких дисков.
Сможет. Если у него будет не хомеко или урезанная виста/семёрка. Хотя, cacls есть всегда ^^

Кстати, не так давно я видела интересный вирус, который не могла удалить. Оказалось, что подлец поправил права к собственному екзешнику ^^

URL
2011-03-28 в 13:57 

А, спасибо! Очень интересный и полезный гайд.
Единственное, что меня смущает - это NTFS на флешке. Я до сих пор, кажется, живу в старых добрых временах десятилетней давности, и боюсь, что журналируемые файловые системы откусывают у флешки ее положенные жизнью циклы чтения-записи.^^'

2011-03-28 в 14:41 

Линда Кайе
Тотальная неудачница и убийца жёстких дисков.
Ну, это так. Но exFat я не сильно доверяю, а FAT32 в той же XP работает заметно медленнее.

А вообще, Википедия что-то говорила про флэшки, которые сами балансируют нагрузку.

URL
2011-03-28 в 15:40 

Ага, сейчас флешки с контроллером Wear Leveling есть уже везде, но я все равно побаиваюсь. На ЕЕЕшке все равно SSD отформатирован в FAT32, так как с ее (ЕЕЕшки) характеристиками NTFS ощутимого прироста скорости чтения/записи не дает. Правда, заявленный срок службы SSD с журналируемой ФС на борту составляет около 25 лет, согласно результату бенчмарков, но паранойю это все равно не лечит.)

2011-03-28 в 19:51 

Линда Кайе
Тотальная неудачница и убийца жёстких дисков.
Ну, не знаю как насчёт SSD, но когда-то я много пользовалась Windows 98 и флэшкой в ней. Потом я перешла на XP и стала юзать ту же флэшку там. Она была вроде дополнительного диска для всяких разных текстов, отключалась только в случае тревоги. И вот я впервые заметила, что на гораздо более слабой машине чтение и запись на флэшку идёт быстрее. не скажу в цифрах, но по ощущениям было так. Сконвертировав систему в NTFS я неожиданно для себя (система-то "тяжёлая", тормозить должна) получила эквивалентное быстродействие. Отсюд и родился вывод, что кое-кто в Редмонде хочет поскорее избавиться от FAT.

URL
2011-03-28 в 21:47 

Это печально, на самом деле, потому что каждый раз, покупая флешку, лазать на сайт производителя в надежде отыскать там описание ее потрохов - как-то странно. Иногда же попадаются флешки без WL-контроллера, и тут уже становится совсем грустно.
Одна такая померла у меня на руках, хотя, это, скорее, просто я сам себе дебил - ext3 на флешке.

2011-03-29 в 10:28 

Линда Кайе
Тотальная неудачница и убийца жёстких дисков.
У меня ни одна флэшка ещё не умерла. Разве что одна A-Data, но у той накрылся контроллер так, что появились области при доступе к которым накрывается вся файловая система. Пришлось ограничить размер до двухсот метров. Ещё есть очень старая Transcend на 64 метра, которая была куплена в году 2002-2003, была долго под NTFS, жива до сих пор.

URL
2011-03-29 в 10:30 

Значит, это я настолько везучий. У меня помер восьмигиговый Transcend - из их серии "нездоровый минимализм", флешка чуть больше ногтя на большом пальце. Нулевую дорожку запилило до неузнаваемости.

2012-02-04 в 10:55 

Hikedaya
Stance Dance
В качестве еще одного метода защиты флешей (и не только их), от autorun-заразы:
Пуск, выполнить, cmd
Перейти в корень того диска, который будем защищать, ввести следующие команды:
md autorun.inf
cd autorun.inf
md 1..\
К чему приводит? В корне диска создается папка с именем autorun.inf (да, именно папка). В ней создается каталог с именем 1..\, вся прелесть которого в том, что его нельзя удалить через Проводник или любой другой файловый менеджер.
К чему все это. К тому, что при наличии папки с определенным именем нельзя создать файл с таким же именем. Следовательно, любая софтинка, пытающаяся создать на нашем диске файл autorun.inf потерпит крах. А стереть каталог Autorun.inf она не сможет из-за специального имени одного из ее подпапок.
Находил упоминание о том, что некоторые вирусы, сталкиваясь с подобной защитой вываливали критическую ошибку, демаскируя себя по полной программе )

2012-02-04 в 11:07 

Линда Кайе
Тотальная неудачница и убийца жёстких дисков.
Хороший метод ^^
Хотя я как-то вроде бы удаляла такие файлы и папки путём переименования, а потом - удаления. Наверняка некоторые вирусы могут использовать такую технику, если уж они уже NTFS права освоили OO

URL
Комментирование для вас недоступно.
Для того, чтобы получить возможность комментировать, авторизуйтесь:
 
РегистрацияЗабыли пароль?

Лингрин :: Резиденция Линды Кайе

главная