Форум программистов, компьютерный форум, киберфорум
Администрирование Windows
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.59/68: Рейтинг темы: голосов - 68, средняя оценка - 4.59
0 / 0 / 0
Регистрация: 01.05.2009
Сообщений: 14
1

Как можно запретить пользователю доступ ко всем дискам и папкам в системе, кроме одной единственной папки и ее подпапок?

01.05.2009, 13:24. Просмотров 13129. Ответов 18
Метки нет (Все метки)

Здравствуйте. столкнулся с такой проблемой, что надо компилировать и запускать на исполнение исходные коды, которые присылают пользователи. Естественно пользователь может прислать вредоносный код. Решил запускать эти экзешники от пользователя с ограниченными правами, однако как ограничить пользователя совсем наглухо как мне надо я не знаю :P
К примеру есть у меня папка на диске D:\temp_storage
и в ней еще неограниченное количество подпапок, которые удаляются, создаются и т.д.
Сам экзешник создается именно в одной из подпапок, т.е. в d:\temp_storage\folder1\ и запускается оттуда.
В идеале конечно надо, чтобы пользователь мог читать и писать только в пределах папки folder1, но так как врятли возможно создать такое с учетом не известного имени данной папки, хочется сделать так:
пользователь не имеет никаких прав на c, d и другие диски. т.е. если программа попытается создать файл на диске D, то у нее не выйдет. и он имеет право на чтение и запись в temp_storage и ее подпапках.
Как можно создать пользователя с такими ограничениями? И можно ли вообще? %)
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
01.05.2009, 13:24
Ответы с готовыми решениями:

Как запретить определенной группе пользователей доступ ко всем папкам, кроме одной?
Как запретить определенной группе пользователей доступ ко всем папкам, кроме одной? Доступ к этой...

Htaccess, как запретить доступ ко всем кроме нескольких файлов
Добрый день. Как в htaccess запретить доступ ко всем файлам и папкам в каталоге кроме нескольких...

как запретить всем кроме одного пользователям доступ к компу
Перемещено из раздела Windows 7 Здравствуйте. Такая проблемма... Понадобилось сделать так чтоб...

Как запретить доступ ко всем сайтам кроме определенных в Винде 8
Здравствуйте друзья! Как не используя стороннего софта, настроек браузеров, антивирусов/файрволов...

18
9711 / 2466 / 48
Регистрация: 06.03.2009
Сообщений: 8,503
01.05.2009, 13:30 2
По умолчанию в Виндовс действует правило- что не разрешенно, то запрещено,
если у вас домен - то задача проще, если нет то все ручками - на вкладке безопасность (в случае домена - "группа пользователей" не в домене -каждый пользователь ручками) пользователям чтение,запись -разрешить, выполнение -запретить , администратору -full доступ.
0
0 / 0 / 0
Регистрация: 01.05.2009
Сообщений: 14
01.05.2009, 13:43  [ТС] 3
Хм. спасибо! А можете еще подсказать что надо сделать для защиты винды от действий это программы? Т.е. вдруг она (скомпиленная прога) в инет полезет качать вири, поредактирует реестр, создаст сокет и начнет слушать ну и... вообще фантазировать можно сколько угодно долго, вплоть до создания новых контекстовых меню в Windows.
Можно как-то запретить вообще все делать, кроме чтения и записи? %)
0
9711 / 2466 / 48
Регистрация: 06.03.2009
Сообщений: 8,503
01.05.2009, 13:57 4
Sandboxed программа позволяет запускать программы в "песочнице" не меняя ничего в системе, при закрытие программы "песочница" предлагает отменить все изменения сделанные программой.
А вообще для надежности лучше уж тогда запускать их в виртуальной машине без сетевого интерфейса Именно так и работают - изучатели вирусов, эксперементаторы, ну и просто те,для кого перестановка системы не потому страшна что время жалко и софт ставить - а потому что достало уже
0
0 / 0 / 0
Регистрация: 01.05.2009
Сообщений: 14
01.05.2009, 14:05  [ТС] 5
Это конечно крутачя прога, но дело в том что моя система служит для проведения турниров по программированию. Даже если система будет стоять на виртуалке, то в случае одного такого инцидента все мероприятие будет сорвано (если к примеру участник решит сделать прогу а аццкой утечкой памяти или чтоб жрала 100% процессорного времени да еще и с приортитетом реального времени lol), чего не надо допускать.
Все же хотелось бы защиться как-то.
Ну от утечки памяти и 100% загрузки-то у меня естьт механизмы защиты, но вот если прога вытворит что-то подобное. к примеру создаст поток в чужом процессе, который будет так же жрать 100% проца. с этим я уже ничего не могу поделать
0
9711 / 2466 / 48
Регистрация: 06.03.2009
Сообщений: 8,503
01.05.2009, 14:24 6
Sandboxed - он ведь и броузеры запускает в своей песочнице и при повышенном приоритет порно окон например (когда обычно начинает всё висеть), вы просто закрываете sandboxed и изменения внесенные в системные файлы откатываются автоматом на "состояние до сбоя" - это не оптимально?
0
0 / 0 / 0
Регистрация: 01.05.2009
Сообщений: 14
01.05.2009, 14:30  [ТС] 7
Тогда выходит что нужно постоянно сидеть у серверой машины и следить за ее состоянием. А у меня ведь автоматическая система, а не полу-автоматическая
К тому же эта прога стоит денег, а я не могу поставлять свою систему чтоб еще надо было покупать что-то к ней
0
9711 / 2466 / 48
Регистрация: 06.03.2009
Сообщений: 8,503
01.05.2009, 14:34 8
к чести разработчиков -бесплатная в данном случае -"не кастрированная"
0
Миниатюры
Как можно запретить пользователю доступ ко всем дискам и папкам в системе, кроме одной единственной папки и ее подпапок?  
0 / 0 / 0
Регистрация: 01.05.2009
Сообщений: 14
01.05.2009, 14:38  [ТС] 9
Персональное использование... под это попадает что какая-то организация поставит этот сендбокс и мою систему и начнет юзать для проведения олимпиад по программированию?
0
9711 / 2466 / 48
Регистрация: 06.03.2009
Сообщений: 8,503
01.05.2009, 14:45 10
ну я бы так сказал что вы работаете персонально (из под персональной учетки), на 1 (так сказать персональном компьютере пусть и в роли сервера) , и не используете корпоративную версию с множественным распределенным доступом , и при этом не пользуетесь "кряком" снимающим ограничения для нарушения собственности разработчика , хотя тут дело наверное больше в способности видеть несовершенство юридической системы регулирования многих вопросов
0
0 / 0 / 0
Регистрация: 01.05.2009
Сообщений: 14
01.05.2009, 14:53  [ТС] 11
Эх, ладно. Будем считать что самое хучшее решение моей проблемы найдено
Это уже лучше чем ничего. Но может быть кто-нибудь когда-нибудь скажет как запретить изменения в системе для пользователя
Благодарю за ответы, inter!
0
9711 / 2466 / 48
Регистрация: 06.03.2009
Сообщений: 8,503
01.05.2009, 14:57 12
Цитата Сообщение от Kosmeg Посмотреть сообщение
как запретить изменения в системе для пользователя
Ограничением самой учетной записи, пусть локально на своей машине он админ, но на вашей входит в группу пользователей.
Пользователи не имеют прав на изменение параметров системы. Они не могут запускать многие несертифицированные приложения. Определение стандартной группы пользователей
0
0 / 0 / 0
Регистрация: 01.05.2009
Сообщений: 14
01.05.2009, 15:04  [ТС] 13
Ну это конечно хорошо, но могут ли программы запущенные от имени пользователя убивать процессы в системе? создавать потоки в процессах? редактировать реестр (кстати в организации где я пребываю у нас у всех учетки пользователя, но это не помешало мне без проблем почудить над реестром так, что винда спрашивала в чем exe открывать и восстановить это же дело потом из реестра другого компа)? и прочие прочие пакости...
В общем запретить хотелось бы пользователю все что только можно запретить О_о
0
мусор в БД
4672 / 1126 / 34
Регистрация: 17.01.2009
Сообщений: 4,485
01.05.2009, 15:09 14
Да не надо под пользователем, пусть под гостем сидят. Активируйте учетную запись гостя и из под админа выставьте по папкам необходимые разрешения, не забывая и о вкладке "дополнительные параметры" во вкладке "безопасноть".
1
9711 / 2466 / 48
Регистрация: 06.03.2009
Сообщений: 8,503
01.05.2009, 15:14 15
Nomad, +1 самое лучшее ограничение
Kosmeg, тогда создавать свою группу (например - олимпийцы) и политиками (%SystemRoot%\system32\secpol. msc /s) назначить группе права и запреты.
1
0 / 0 / 0
Регистрация: 01.05.2009
Сообщений: 14
01.05.2009, 15:21  [ТС] 16
Все думаю данная тема исчерпана Всем спасибо. А от сокетов буду файрволом спасаться
0
9711 / 2466 / 48
Регистрация: 06.03.2009
Сообщений: 8,503
01.05.2009, 15:24 17
Цитата Сообщение от Kosmeg Посмотреть сообщение
А от сокетов буду файрволом спасаться
0
мусор в БД
4672 / 1126 / 34
Регистрация: 17.01.2009
Сообщений: 4,485
01.05.2009, 15:25 18
есть такая программка, позволяет извращаться над системой как хотите, ставть любой софт,удалять файлы,запускать вирусы и т.д. при небольшом собственном размере.Создаете "снимок" реальной системы и вперед. Shadow User Pro . Скачать можете например здесь http://www.mirsofta.ru/index.php?id=1194477030 Или я могу скинуть.
0
0 / 0 / 0
Регистрация: 01.05.2009
Сообщений: 14
01.05.2009, 15:41  [ТС] 19
лучше не надо. тут в случае инцидента прийдется перезагружать комп, чтобы отменить сделанные изменения, что привет к полному провалу олимпиады, а в песочнице достаточно просто закрыть печочницу О_о, что все равно приведет к частичному провалу олимпиады... хотя это зависит от того, когда были замечены старанности в поведении компа
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
01.05.2009, 15:41

Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь.

Надо запретить доступ к директории, кроме одной папки, которая в этой директории находиться
// это директория, ее тоже желательно закрыть // доступ закрыт // доступ закрыт // доступ...

Закрыть доступ ко всем папкам на диске C:/ кроме указанной
Комп с AD, нужно запретить пользователю в домене доступ к папкам на диске C:/ каким образом это...

Запретить доступ к новостям всем, кроме определенных категорий
Здравствуйте. Подскажите, в чем проблема. Изменения вношу в файл fullstory.tpl. <div...

.htaccess запретить доступ ко всем файлом кроме index.php
Собственно. В сети нашел пару примеров, но у меня сервер ошибку выдает. Напишите кто-нибудь...

Запретить пользователю все, кроме одной программы при загрузке
Приветствую. Такая задача. Есть комп в домене. На компе работает пользователь в рабочее время,...

Поиск файлов по всем дискам в системе
Есть команда For /F "Tokens=2 Delims==" %%i In ('WMIC LogicalDisk Where DriveType^=3 Get Name...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
19
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2020, vBulletin Solutions, Inc.