未分類
4 2 月 2021

设想一种 Win 基于用户权限设置的文件访问隐私保护方法可行性?

设想一种 Win 基于用户权限设置的文件访问隐私保护方法可行性?

資深大佬 : LittleboyHarry 8

最近越来越多的 Windows 国产软件被报告扫描用户隐私文件。我了解了一下大家的保护方法,感觉都有缺点:

  • 安装杀毒软件 —— 日常软件不安全问题变成了杀毒软件不安全问题
  • 沙盒 —— 功能强但运行效率有损、部分软件不兼容
  • 虚拟机 —— 功能强大、兼容性强,但性能太低、很繁琐

于是我想到 Windows 自带的多用户安全机制,可以实现文件访问隐私保护:

  • 首先通过 net user $restricted_username $password /add 创建新受限用户
  • 确保分区的文件系统是 NTFS,为隐私文件(夹)添加权限规则,禁止 $restricted_username 读写访问(%userprofile% 用户根目录默认只有该用户和管理员可以完全控制,可以不用管)
  • 对需要限制的应用程序执行 runas /user:$restricted_username $apppath 来访问

可以试试创建一个受限用户并保护关键文件夹,使用受限用户运行记事本试试!我试验成功了~ 记事本无法访问的无权限的文件

如果大家实验效果理想或出了问题可以回复一下宝贵意见,不知道这招实不实用?

大佬有話說 (8)

  • 資深大佬 : oott123

    很实用,推荐配合 《在 Windows 上隔离 app:以百度云管家为例》 https://geelaw.blog/entries/isolate-app/ 一文所述的方法一起用

  • 資深大佬 : kawaiidora

    呃,windows defender 有一项功能叫“文件夹限制访问”,用户目录下的文件夹都默认在里面。我又增加了 AppData,不知道够不够用。

    例如 git 在读取项目的.git 文件夹后会先被拦截一次,允许后就没问题。

    QQ 会在一开始尝试读取 Documents,没同意,后来尝试读取 DocumentsTencent Files 再放行。QQ 也能运行。

  • 資深大佬 : slrey

    不但可行。我再提供一条思路:windows 自带的防火墙其实也很好用。有些软件,我不想让它联网,直接弄个禁止出站连接就完了。

    再配上文件夹权限。基本安全。我现在就是这么办的。

  • 資深大佬 : chroming

    一直想在 mac 下这么用,似乎做不到

  • 資深大佬 : Kiriya

    但是某些流氓软件会以驱动的形式利用 system 账户权限

  • 資深大佬 : wzzzx

    @oott123 #1 这篇文章看的我眼睛爆炸哈哈哈

  • 資深大佬 : getadoggie

    很好,但有些流氓软件不给管理员权限不给用,这个方法就没用了?

  • 資深大佬 : LittleboyHarry

    @getadoggie 开个受限的管理员账号,然后给待保护文件权限设置该账号拉黑也可以的。Win 拒绝权限规则会高于允许规则。

    不过如果具有管理员权限的应用能修改权限配置或者使用一些很 hack 的 API 来读取那也无能为力了~