Как запретить доступ для чтения с диска C для определенной программы?

Dragokas · Регистрация: 25.12.2011

Студворк — интернет-сервис помощи студентам

День добрый !

Собственно, есть к примеру, утилита без настроек, которая ищет информацию по всему ПК.
Нужно ограничить ей область поиска.

Какими средствами можно такое устроить? Есть ли решения через политики?

Dr_Quake · 15.06.2014, 21:59

Нормально никак. Софта такого тоже не припомню именно ПРО ДИСК. Проще пропатчить по обстановке если не защищённая утилита протектором или лоадер написать, в общем к реверсингу путь.

@Maks · 16.06.2014, 08:21

Можно сделать следующим образом (теоретически).
Программу закинуть в планировщик, сделать запуск задания от имени пользователя, у которого не будет доступа на диск "С".
Таким же образом можно написать батник, который будет запускать программу от имени ограниченного пользователя.
Правда в этом случае придется установить программу на другой диск.

Dragokas · 16.06.2014, 10:51 **[ТС]**

Спасибо, Maks.
Такой вариант приемлем.

Dr_Quake · 16.06.2014, 10:53

В случае именно с C: и дефолтом - не покатит. Надо как минимум выборку будет делать. Банально не запустится т.к. dll системные там же... А так идея вроде как нормальная, но выборку делать будет долго.

Dragokas · 16.06.2014, 11:09 **[ТС]**

Я поставлю запрет только на сами папки (запрет листинга).
Должно быть достаточно.

Dr_Quake · 16.06.2014, 11:12

Меня просто переклинило про ДОСТУП К ДИСКУ, к диску по другому всё \\.\DEVICE\HARDDISK*, с файлами уже всё вроде сказали если не упадёт.

@Maks · 16.06.2014, 11:16

Сообщение от Dr_Quake

В случае именно с C: и дефолтом - не покатит. Надо как минимум выборку будет делать. Банально не запустится т.к. dll системные там же... А так идея вроде как нормальная, но выборку делать будет долго.

У меня в AD пользователи имеют доступ на чтение/запись только в рамках своих учеток, а именно "Рабочий стол" и "Мои документы". Ко всему остальному доступ закрыт, даже на чтение.
Таким же образом можно решить вопрос и локально на компе.
Лично я вижу решение таким: создать пользователя, разрешить ему доступ только к собственному профилю (по умолчанию), безо всяких выборок.
Далее, написать батник (для ТС это не проблема), который будет запускать программу от имени этого самого пользователя.

Dr_Quake · 16.06.2014, 11:37

Maks, это бред. К папке винды доступ закрыт быть не может в принципе. И про пользователя тоже бред, тут согласно всему надо делать deny права конкретному пользователю на конкретные места на C:

zhibirc · 16.06.2014, 11:49

Dr_Quake, мне, например, думалось, что даже у ограниченного полозователя запускаются (могут запускаться) процессы, имеющие системные привилегии. И соответственно урезанные в правах процессы уже этого пользователя. Первые могут себе иметь доступ в системные папки, если им это надо для работы, а процессы пользователя нет. Вот на вторые как раз и направлены усилия. Или я не прав?
Вспоминается небезызвестная утилита XP Tweaker - там помнится была опция запрета доступа к конкретным дискам.

Dr_Quake · 16.06.2014, 12:08

!i, ты мешаешь всё в кучу - ограниченный пользователь это либо Guest, либо Everyone, но Everyone включает только Authentificated Users в дефолте, так что таки Guest. И права на ту же Windows - everyone read+execute.

@Maks · 16.06.2014, 12:40

Сообщение от Dr_Quake

Maks, это бред. К папке винды доступ закрыт быть не может в принципе. И про пользователя тоже бред, тут согласно всему надо делать deny права конкретному пользователю на конкретные места на C:

Бред? Вы с политиками ограничения знакомы?
Так вот политиками можно ограничить все, что угодно, при этом все жизненно необходимое для работы пользователя будет выполняться.
Политика и так позволит использовать все необходимые библиотеки для работы пользователя.
Папки "Program Files", профили других пользователей попросту можно закрыть от записи, также запретить запись в корень системного диска.

Сообщение от !i

мне, например, думалось, что даже у ограниченного пользователя запускаются (могут запускаться) процессы, имеющие системные привилегии. И соответственно урезанные в правах процессы уже этого пользователя. Первые могут себе иметь доступ в системные папки, если им это надо для работы, а процессы пользователя нет. Вот на вторые как раз и направлены усилия. Или я не прав?

Системные процессы запускаются, если логиниться от имени пользователя.

Dragokas · 16.06.2014, 12:43 **[ТС]**

Сообщение от Maks

Так вот политиками можно ограничить все, что угодно, при этом все жизненно необходимое для работы пользователя будет выполняться.
Политика и так позволит использовать все необходимые библиотеки для работы пользователя.
Папки "Program Files", профили других пользователей попросту можно закрыть от записи, также запретить запись в корень системного диска.

Укажите, пожалуйста, расположение конкретной политики для запрета на чтение.

@Maks · 16.06.2014, 13:36

Создаете пользователя, запускаете от его имении реестр.
1. Далее найти в реестре "HKEY_CURRENT_USER\Software\Microsoft\Wi ndows\CurrentVersion\Policies\Explorer".
2. Создать параметр "NoViewOnDrive" типа "DWORD", указать значение (0х4).
После перезагрузки, если залогиниться от имени ограниченного пользователя, то при открытии диска "С" Вы увидите следующее:

Как запретить доступ для чтения с диска C для определенной программы?

При этом доступ будет только на рабочий стол и документы ограниченного пользователя.

Dr_Quake · 16.06.2014, 13:57

Maks, я да, ты нет. Эта опция про диски с 95 тянется, если бы она реальна работала - было бы неплохо, но это не для стороннего софта. И перечитай ещё раз стартовый пост - речь о скане, никакой записи там и не нужно, надо больше запрещать!

@Maks · 16.06.2014, 14:13

Ну давайте похоливарим.

Сообщение от Dr_Quake

но это не для стороннего софта.

Опционально, мы запрещаем пользователю просматривать жесткий диск/системный раздел, соответсвенно проиндексировать он его не сможет: как стандартными средствами, так и при помощи стороннего софта.
Я только что проделал это на своем ПК, кроме как на рабочий стол и документы меня никуда больше не пускало, даже в папку Windows.
Соответственно, просмотр раздела запрещен, и никакие сторонние средства мне не помогут.
В противном случае проделайте это практически и предоставьте мне скрины, опровергающие мои выводы.

@Maks · 16.06.2014, 15:23

По теме: будем выяснять что к чему и ставить опыты.

Например, антивирус работает от имени системной учетки, соответсвенно он, антивирус, просканирует любые папки хоть как.
Мы не знаем что за софт используется и что он берет за основу.
Тот же тотал коммандер увидит папки вне проводника, иной софт может и не увидит, здесь практическая часть нужна, а не словоблудие и умозаключения не подтвержденные практическим примером.

Dr_Quake · 16.06.2014, 16:09

Maks, не уходи от темы. Я ясно сказал - то что ты написал работает только для Explorer'a.

@Maks · 17.06.2014, 08:02

Сообщение от Dr_Quake

Maks, не уходи от темы. Я ясно сказал - то что ты написал работает только для Explorer'a.

В любом случае стОит попробовать прежде, чем делать выводы.

Новые блоги и статьи Все статьи Все блоги /
Загрузка PNG-файла с альфа-каналом с помощью библиотеки SDL3_image на Android 8Observer8 27.01.2026 Содержание блога SDL3_image - это библиотека для загрузки и работы с изображениями. Эта пошаговая инструкция покажет, как загрузить и вывести на экран смартфона картинку с альфа-каналом, то есть с. . .	влияние грибов на сукцессию anaschu 26.01.2026 Бифуркационные изменения массы гриба происходят тогда, когда мы уменьшаем массу компоста в 10 раз, а скорость прироста биомассы уменьшаем в три раза. Скорость прироста биомассы может уменьшаться за. . .	Воспроизведение звукового файла с помощью SDL3_mixer при касании экрана Android 8Observer8 26.01.2026 Содержание блога SDL3_mixer - это библиотека я для воспроизведения аудио. В отличие от инструкции по добавлению текста код по проигрыванию звука уже содержится в шаблоне примера. Нужно только. . .	Установка Android SDK, NDK, JDK, CMake и т.д. 8Observer8 25.01.2026 Содержание блога Перейдите по ссылке: https:/ / developer. android. com/ studio и в самом низу страницы кликните по архиву "commandlinetools-win-xxxxxx_latest. zip" Извлеките архив и вы увидите. . .
Вывод текста со шрифтом TTF на Android с помощью библиотеки SDL3_ttf 8Observer8 25.01.2026 Содержание блога Если у вас не установлены Android SDK, NDK, JDK, и т. д. то сделайте это по следующей инструкции: Установка Android SDK, NDK, JDK, CMake и т. д. Сборка примера Скачайте. . .	Использование SDL3-callbacks вместо функции main() на Android, Desktop и WebAssembly 8Observer8 24.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .	моя боль iceja 24.01.2026 Выложила интерполяцию кубическими сплайнами www. iceja. net REST сервисы временно не работают, только через Web. Написала за 56 рабочих часов этот сайт с нуля. При помощи perplexity. ai PRO , при. . .	Модель сукцессии микоризы anaschu 24.01.2026 Решили писать научную статью с неким РОманом

Dragokas 18031 / 7734 / 892 Регистрация: 25.12.2011 Сообщений: 11,502 Записей в блоге: 16

	Как запретить доступ для чтения с диска C для определенной программы? 15.06.2014, 18:57. Показов 7120. Ответов 18 Метки нет (Все метки) День добрый ! Собственно, есть к примеру, утилита без настроек, которая ищет информацию по всему ПК. Нужно ограничить ей область поиска. Какими средствами можно такое устроить? Есть ли решения через политики? 0

Dr_Quake Заблокирован
	15.06.2014, 21:59
	Нормально никак. Софта такого тоже не припомню именно ПРО ДИСК. Проще пропатчить по обстановке если не защищённая утилита протектором или лоадер написать, в общем к реверсингу путь. 0

@Maks Супер-модератор 9349 / 5139 / 616 Регистрация: 13.03.2013 Сообщений: 18,169 Записей в блоге: 17
	16.06.2014, 08:21
	Можно сделать следующим образом (теоретически). Программу закинуть в планировщик, сделать запуск задания от имени пользователя, у которого не будет доступа на диск "С". Таким же образом можно написать батник, который будет запускать программу от имени ограниченного пользователя. Правда в этом случае придется установить программу на другой диск. 1

Dragokas 18031 / 7734 / 892 Регистрация: 25.12.2011 Сообщений: 11,502 Записей в блоге: 16
	16.06.2014, 10:51 [ТС]
	Спасибо, Maks. Такой вариант приемлем. 0

Dr_Quake Заблокирован
	16.06.2014, 10:53
	В случае именно с C: и дефолтом - не покатит. Надо как минимум выборку будет делать. Банально не запустится т.к. dll системные там же... А так идея вроде как нормальная, но выборку делать будет долго. 0

Dragokas 18031 / 7734 / 892 Регистрация: 25.12.2011 Сообщений: 11,502 Записей в блоге: 16
	16.06.2014, 11:09 [ТС]
	Я поставлю запрет только на сами папки (запрет листинга). Должно быть достаточно. 0

Dr_Quake Заблокирован
	16.06.2014, 11:12
	Меня просто переклинило про ДОСТУП К ДИСКУ, к диску по другому всё \\.\DEVICE\HARDDISK*, с файлами уже всё вроде сказали если не упадёт. 0

Dr_Quake Заблокирован
	16.06.2014, 11:37
	Maks, это бред. К папке винды доступ закрыт быть не может в принципе. И про пользователя тоже бред, тут согласно всему надо делать deny права конкретному пользователю на конкретные места на C: 0

zhibirc 651 / 236 / 77 Регистрация: 18.02.2013 Сообщений: 784
	16.06.2014, 11:49
	Dr_Quake, мне, например, думалось, что даже у ограниченного полозователя запускаются (могут запускаться) процессы, имеющие системные привилегии. И соответственно урезанные в правах процессы уже этого пользователя. Первые могут себе иметь доступ в системные папки, если им это надо для работы, а процессы пользователя нет. Вот на вторые как раз и направлены усилия. Или я не прав? Вспоминается небезызвестная утилита XP Tweaker - там помнится была опция запрета доступа к конкретным дискам. 0

Dr_Quake Заблокирован
	16.06.2014, 12:08
	!i, ты мешаешь всё в кучу - ограниченный пользователь это либо Guest, либо Everyone, но Everyone включает только Authentificated Users в дефолте, так что таки Guest. И права на ту же Windows - everyone read+execute. 0

@Maks Супер-модератор 9349 / 5139 / 616 Регистрация: 13.03.2013 Сообщений: 18,169 Записей в блоге: 17
	16.06.2014, 13:36
	Создаете пользователя, запускаете от его имении реестр. 1. Далее найти в реестре "HKEY_CURRENT_USER\Software\Microsoft\Wi ndows\CurrentVersion\Policies\Explorer". 2. Создать параметр "NoViewOnDrive" типа "DWORD", указать значение (0х4). После перезагрузки, если залогиниться от имени ограниченного пользователя, то при открытии диска "С" Вы увидите следующее: При этом доступ будет только на рабочий стол и документы ограниченного пользователя. 1

Dr_Quake Заблокирован
	16.06.2014, 13:57
	Maks, я да, ты нет. Эта опция про диски с 95 тянется, если бы она реальна работала - было бы неплохо, но это не для стороннего софта. И перечитай ещё раз стартовый пост - речь о скане, никакой записи там и не нужно, надо больше запрещать! 0

@Maks Супер-модератор 9349 / 5139 / 616 Регистрация: 13.03.2013 Сообщений: 18,169 Записей в блоге: 17
	16.06.2014, 15:23
	По теме: будем выяснять что к чему и ставить опыты. Например, антивирус работает от имени системной учетки, соответсвенно он, антивирус, просканирует любые папки хоть как. Мы не знаем что за софт используется и что он берет за основу. Тот же тотал коммандер увидит папки вне проводника, иной софт может и не увидит, здесь практическая часть нужна, а не словоблудие и умозаключения не подтвержденные практическим примером. 0

Dr_Quake Заблокирован
	16.06.2014, 16:09
	Maks, не уходи от темы. Я ясно сказал - то что ты написал работает только для Explorer'a. 0