Как можно запретить пользователю доступ ко всем дискам и папкам в системе, кроме одной единственной папки и ее подпапок?

@Kosmeg · Регистрация: 01.05.2009

Студворк — интернет-сервис помощи студентам

Здравствуйте. столкнулся с такой проблемой, что надо компилировать и запускать на исполнение исходные коды, которые присылают пользователи. Естественно пользователь может прислать вредоносный код. Решил запускать эти экзешники от пользователя с ограниченными правами, однако как ограничить пользователя совсем наглухо как мне надо я не знаю :P
К примеру есть у меня папка на диске D:\temp_storage
и в ней еще неограниченное количество подпапок, которые удаляются, создаются и т.д.
Сам экзешник создается именно в одной из подпапок, т.е. в d:\temp_storage\folder1\ и запускается оттуда.
В идеале конечно надо, чтобы пользователь мог читать и писать только в пределах папки folder1, но так как врятли возможно создать такое с учетом не известного имени данной папки, хочется сделать так:
пользователь не имеет никаких прав на c, d и другие диски. т.е. если программа попытается создать файл на диске D, то у нее не выйдет. и он имеет право на чтение и запись в temp_storage и ее подпапках.
Как можно создать пользователя с такими ограничениями? И можно ли вообще? %)

@inter-admin · 01.05.2009, 13:30

По умолчанию в Виндовс действует правило- что не разрешенно, то запрещено,
если у вас домен - то задача проще, если нет то все ручками - на вкладке безопасность (в случае домена - "группа пользователей" не в домене -каждый пользователь ручками) пользователям чтение,запись -разрешить, выполнение -запретить , администратору -full доступ.

@Kosmeg · 01.05.2009, 13:43 **[ТС]**

Хм. спасибо! А можете еще подсказать что надо сделать для защиты винды от действий это программы? Т.е. вдруг она (скомпиленная прога) в инет полезет качать вири, поредактирует реестр, создаст сокет и начнет слушать ну и... вообще фантазировать можно сколько угодно долго, вплоть до создания новых контекстовых меню в Windows.
Можно как-то запретить вообще все делать, кроме чтения и записи? %)

@inter-admin · 01.05.2009, 13:57

Sandboxed программа позволяет запускать программы в "песочнице" не меняя ничего в системе, при закрытие программы "песочница" предлагает отменить все изменения сделанные программой.
А вообще для надежности лучше уж тогда запускать их в виртуальной машине без сетевого интерфейса

Именно так и работают - изучатели вирусов, эксперементаторы, ну и просто те,для кого перестановка системы не потому страшна что время жалко и софт ставить - а потому что достало уже

@Kosmeg · 01.05.2009, 14:05 **[ТС]**

Это конечно крутачя прога, но дело в том что моя система служит для проведения турниров по программированию. Даже если система будет стоять на виртуалке, то в случае одного такого инцидента все мероприятие будет сорвано (если к примеру участник решит сделать прогу а аццкой утечкой памяти

или чтоб жрала 100% процессорного времени да еще и с приортитетом реального времени lol), чего не надо допускать.
Все же хотелось бы защиться как-то.
Ну от утечки памяти и 100% загрузки-то у меня естьт механизмы защиты, но вот если прога вытворит что-то подобное. к примеру создаст поток в чужом процессе, который будет так же жрать 100% проца. с этим я уже ничего не могу поделать

@inter-admin · 01.05.2009, 14:24

Sandboxed - он ведь и броузеры запускает в своей песочнице и при повышенном приоритет порно окон например (когда обычно начинает всё висеть), вы просто закрываете sandboxed и изменения внесенные в системные файлы откатываются автоматом на "состояние до сбоя"

- это не оптимально?

@Kosmeg · 01.05.2009, 14:30 **[ТС]**

Тогда выходит что нужно постоянно сидеть у серверой машины и следить за ее состоянием. А у меня ведь автоматическая система, а не полу-автоматическая

К тому же эта прога стоит денег, а я не могу поставлять свою систему чтоб еще надо было покупать что-то к ней

@inter-admin · 01.05.2009, 14:34

к чести разработчиков -бесплатная в данном случае -"не кастрированная"

@Kosmeg · 01.05.2009, 14:38 **[ТС]**

Персональное использование... под это попадает что какая-то организация поставит этот сендбокс и мою систему и начнет юзать для проведения олимпиад по программированию?

@inter-admin · 01.05.2009, 14:45

ну я бы так сказал что вы работаете персонально (из под персональной учетки), на 1 (так сказать персональном компьютере пусть и в роли сервера) , и не используете корпоративную версию с множественным распределенным доступом

, и при этом не пользуетесь "кряком" снимающим ограничения для нарушения собственности разработчика

, хотя тут дело наверное больше в способности видеть несовершенство юридической системы регулирования многих вопросов

@Kosmeg · 01.05.2009, 14:53 **[ТС]**

Эх, ладно. Будем считать что самое хучшее решение моей проблемы найдено

Это уже лучше чем ничего. Но может быть кто-нибудь когда-нибудь

скажет как запретить изменения в системе для пользователя

Благодарю за ответы, inter!

@inter-admin · 01.05.2009, 14:57

Сообщение от Kosmeg

как запретить изменения в системе для пользователя

Ограничением самой учетной записи, пусть локально на своей машине он админ, но на вашей входит в группу пользователей.
Пользователи не имеют прав на изменение параметров системы. Они не могут запускать многие несертифицированные приложения. Определение стандартной группы пользователей

@Kosmeg · 01.05.2009, 15:04 **[ТС]**

Ну это конечно хорошо, но могут ли программы запущенные от имени пользователя убивать процессы в системе? создавать потоки в процессах? редактировать реестр (кстати в организации где я пребываю у нас у всех учетки пользователя, но это не помешало мне без проблем почудить над реестром так, что винда спрашивала в чем exe открывать и восстановить это же дело потом из реестра другого компа)? и прочие прочие пакости...
В общем запретить хотелось бы пользователю все что только можно запретить О_о

@Yarosh · 01.05.2009, 15:09

Да не надо под пользователем, пусть под гостем сидят. Активируйте учетную запись гостя и из под админа выставьте по папкам необходимые разрешения, не забывая и о вкладке "дополнительные параметры" во вкладке "безопасноть".

@inter-admin · 01.05.2009, 15:14

Nomad, +1 самое лучшее ограничение
Kosmeg, тогда создавать свою группу (например - олимпийцы) и политиками (%SystemRoot%\system32\secpol.msc /s) назначить группе права и запреты.

@Kosmeg · 01.05.2009, 15:21 **[ТС]**

Все думаю данная тема исчерпана

Всем спасибо. А от сокетов буду файрволом спасаться

@inter-admin · 01.05.2009, 15:24

Сообщение от Kosmeg

А от сокетов буду файрволом спасаться

@Yarosh · 01.05.2009, 15:25

есть такая программка, позволяет извращаться над системой как хотите, ставть любой софт,удалять файлы,запускать вирусы и т.д. при небольшом собственном размере.Создаете "снимок" реальной системы и вперед. Shadow User Pro . Скачать можете например здесь http://www.mirsofta.ru/index.php?id=1194477030 Или я могу скинуть.

@Kosmeg · 01.05.2009, 15:41 **[ТС]**

лучше не надо. тут в случае инцидента прийдется перезагружать комп, чтобы отменить сделанные изменения, что привет к полному провалу олимпиады, а в песочнице достаточно просто закрыть печочницу О_о, что все равно приведет к частичному провалу олимпиады... хотя это зависит от того, когда были замечены старанности в поведении компа

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Реализация движения на Box2D v3 - трение и коллизии с повёрнутыми стенами 8Observer8 20.02.2026 Содержание блога Box2D позволяет легко создать главного героя, который не проходит сквозь стены и перемещается с заданным трением о препятствия, которые можно располагать под углом, как верхнее. . .	Конвертировать закладки radiotray-ng в m3u-плейлист damix 19.02.2026 Это можно сделать скриптом для PowerShell. Использование . \СonvertRadiotrayToM3U. ps1 <path_to_bookmarks. json> Рядом с файлом bookmarks. json появится файл bookmarks. m3u с результатом. # Check if. . .	Семь CDC на одном интерфейсе: 5 U[S]ARTов, 1 CAN и 1 SSI Eddy_Em 18.02.2026 Постепенно допиливаю свою "многоинтерфейсную плату". Выглядит вот так: https:/ / www. cyberforum. ru/ blog_attachment. php?attachmentid=11617&stc=1&d=1771445347 Основана на STM32F303RBT6. На борту пять. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .
И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»	SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .

@Kosmeg 0 / 0 / 0 Регистрация: 01.05.2009 Сообщений: 14

	Как можно запретить пользователю доступ ко всем дискам и папкам в системе, кроме одной единственной папки и ее подпапок? 01.05.2009, 13:24. Показов 19163. Ответов 18 Метки нет (Все метки) Здравствуйте. столкнулся с такой проблемой, что надо компилировать и запускать на исполнение исходные коды, которые присылают пользователи. Естественно пользователь может прислать вредоносный код. Решил запускать эти экзешники от пользователя с ограниченными правами, однако как ограничить пользователя совсем наглухо как мне надо я не знаю :P К примеру есть у меня папка на диске D:\temp_storage и в ней еще неограниченное количество подпапок, которые удаляются, создаются и т.д. Сам экзешник создается именно в одной из подпапок, т.е. в d:\temp_storage\folder1\ и запускается оттуда. В идеале конечно надо, чтобы пользователь мог читать и писать только в пределах папки folder1, но так как врятли возможно создать такое с учетом не известного имени данной папки, хочется сделать так: пользователь не имеет никаких прав на c, d и другие диски. т.е. если программа попытается создать файл на диске D, то у нее не выйдет. и он имеет право на чтение и запись в temp_storage и ее подпапках. Как можно создать пользователя с такими ограничениями? И можно ли вообще? %) 0

@inter-admin 9715 / 6470 / 52 Регистрация: 06.03.2009 Сообщений: 28,500
	01.05.2009, 13:30
	По умолчанию в Виндовс действует правило- что не разрешенно, то запрещено, если у вас домен - то задача проще, если нет то все ручками - на вкладке безопасность (в случае домена - "группа пользователей" не в домене -каждый пользователь ручками) пользователям чтение,запись -разрешить, выполнение -запретить , администратору -full доступ. 0

@Kosmeg 0 / 0 / 0 Регистрация: 01.05.2009 Сообщений: 14
	01.05.2009, 13:43 [ТС]
	Хм. спасибо! А можете еще подсказать что надо сделать для защиты винды от действий это программы? Т.е. вдруг она (скомпиленная прога) в инет полезет качать вири, поредактирует реестр, создаст сокет и начнет слушать ну и... вообще фантазировать можно сколько угодно долго, вплоть до создания новых контекстовых меню в Windows. Можно как-то запретить вообще все делать, кроме чтения и записи? %) 0

@inter-admin 9715 / 6470 / 52 Регистрация: 06.03.2009 Сообщений: 28,500
	01.05.2009, 13:57
	Sandboxed программа позволяет запускать программы в "песочнице" не меняя ничего в системе, при закрытие программы "песочница" предлагает отменить все изменения сделанные программой. А вообще для надежности лучше уж тогда запускать их в виртуальной машине без сетевого интерфейса Именно так и работают - изучатели вирусов, эксперементаторы, ну и просто те,для кого перестановка системы не потому страшна что время жалко и софт ставить - а потому что достало уже 0

@Kosmeg 0 / 0 / 0 Регистрация: 01.05.2009 Сообщений: 14
	01.05.2009, 14:05 [ТС]
	Это конечно крутачя прога, но дело в том что моя система служит для проведения турниров по программированию. Даже если система будет стоять на виртуалке, то в случае одного такого инцидента все мероприятие будет сорвано (если к примеру участник решит сделать прогу а аццкой утечкой памяти или чтоб жрала 100% процессорного времени да еще и с приортитетом реального времени lol), чего не надо допускать. Все же хотелось бы защиться как-то. Ну от утечки памяти и 100% загрузки-то у меня естьт механизмы защиты, но вот если прога вытворит что-то подобное. к примеру создаст поток в чужом процессе, который будет так же жрать 100% проца. с этим я уже ничего не могу поделать 0

@inter-admin 9715 / 6470 / 52 Регистрация: 06.03.2009 Сообщений: 28,500
	01.05.2009, 14:24
	Sandboxed - он ведь и броузеры запускает в своей песочнице и при повышенном приоритет порно окон например (когда обычно начинает всё висеть), вы просто закрываете sandboxed и изменения внесенные в системные файлы откатываются автоматом на "состояние до сбоя" - это не оптимально? 0

@Kosmeg 0 / 0 / 0 Регистрация: 01.05.2009 Сообщений: 14
	01.05.2009, 14:30 [ТС]
	Тогда выходит что нужно постоянно сидеть у серверой машины и следить за ее состоянием. А у меня ведь автоматическая система, а не полу-автоматическая К тому же эта прога стоит денег, а я не могу поставлять свою систему чтоб еще надо было покупать что-то к ней 0

@inter-admin 9715 / 6470 / 52 Регистрация: 06.03.2009 Сообщений: 28,500
	01.05.2009, 14:34
	к чести разработчиков -бесплатная в данном случае -"не кастрированная" Миниатюры 0

@Kosmeg 0 / 0 / 0 Регистрация: 01.05.2009 Сообщений: 14
	01.05.2009, 14:38 [ТС]
	Персональное использование... под это попадает что какая-то организация поставит этот сендбокс и мою систему и начнет юзать для проведения олимпиад по программированию? 0

@inter-admin 9715 / 6470 / 52 Регистрация: 06.03.2009 Сообщений: 28,500
	01.05.2009, 14:45
	ну я бы так сказал что вы работаете персонально (из под персональной учетки), на 1 (так сказать персональном компьютере пусть и в роли сервера) , и не используете корпоративную версию с множественным распределенным доступом , и при этом не пользуетесь "кряком" снимающим ограничения для нарушения собственности разработчика , хотя тут дело наверное больше в способности видеть несовершенство юридической системы регулирования многих вопросов 0

@Kosmeg 0 / 0 / 0 Регистрация: 01.05.2009 Сообщений: 14
	01.05.2009, 14:53 [ТС]
	Эх, ладно. Будем считать что самое хучшее решение моей проблемы найдено Это уже лучше чем ничего. Но может быть кто-нибудь когда-нибудь скажет как запретить изменения в системе для пользователя Благодарю за ответы, inter! 0

@Kosmeg 0 / 0 / 0 Регистрация: 01.05.2009 Сообщений: 14
	01.05.2009, 15:04 [ТС]
	Ну это конечно хорошо, но могут ли программы запущенные от имени пользователя убивать процессы в системе? создавать потоки в процессах? редактировать реестр (кстати в организации где я пребываю у нас у всех учетки пользователя, но это не помешало мне без проблем почудить над реестром так, что винда спрашивала в чем exe открывать и восстановить это же дело потом из реестра другого компа)? и прочие прочие пакости... В общем запретить хотелось бы пользователю все что только можно запретить О_о 0

@Yarosh мусор в БД 4674 / 1128 / 35 Регистрация: 17.01.2009 Сообщений: 4,481
	01.05.2009, 15:09
	Да не надо под пользователем, пусть под гостем сидят. Активируйте учетную запись гостя и из под админа выставьте по папкам необходимые разрешения, не забывая и о вкладке "дополнительные параметры" во вкладке "безопасноть". 1

@inter-admin 9715 / 6470 / 52 Регистрация: 06.03.2009 Сообщений: 28,500
	01.05.2009, 15:14
	Nomad, +1 самое лучшее ограничение Kosmeg, тогда создавать свою группу (например - олимпийцы) и политиками (%SystemRoot%\system32\secpol.msc /s) назначить группе права и запреты. 1

@Kosmeg 0 / 0 / 0 Регистрация: 01.05.2009 Сообщений: 14
	01.05.2009, 15:21 [ТС]
	Все думаю данная тема исчерпана Всем спасибо. А от сокетов буду файрволом спасаться 0

@Yarosh мусор в БД 4674 / 1128 / 35 Регистрация: 17.01.2009 Сообщений: 4,481
	01.05.2009, 15:25
	есть такая программка, позволяет извращаться над системой как хотите, ставть любой софт,удалять файлы,запускать вирусы и т.д. при небольшом собственном размере.Создаете "снимок" реальной системы и вперед. Shadow User Pro . Скачать можете например здесь http://www.mirsofta.ru/index.php?id=1194477030 Или я могу скинуть. 0

@Kosmeg 0 / 0 / 0 Регистрация: 01.05.2009 Сообщений: 14
	01.05.2009, 15:41 [ТС]
	лучше не надо. тут в случае инцидента прийдется перезагружать комп, чтобы отменить сделанные изменения, что привет к полному провалу олимпиады, а в песочнице достаточно просто закрыть печочницу О_о, что все равно приведет к частичному провалу олимпиады... хотя это зависит от того, когда были замечены старанности в поведении компа 0