Как скрыть полный объем?

Question

Использование Windows Server 2003 в многопользовательской среде (через удаленный рабочий стол, использование его в качестве сервера приложений), способ монтирования (желательно зашифрованного) тома, который не будет отображаться на рабочем столе любого другого пользователя

Пробные и неудачные подходы:

• настройка прав пользователя - отображение подключенного тома изменить нельзя.

• Bestcrypt / truecrypt. Оба они отображают объем для локального администратора

Answer 1

Вам будет трудно найти решение для вашей конкретной проблемы. Точки монтирования диска не сохраняются на уровне пользователя (afaik). Можно использовать несколько обходных путей, которые не гарантируют безопасность:

1. скрыть доступ к определенным буквам дисков на основе групповой политики. Не очень безопасно, легко обойти.
2. Не монтируйте отдельный том: используйте шифрование NTFS и просто установите разрешения безопасности для определенных папок.

Есть ли какая-то конкретная причина, по которой это должен быть целый диск? Если вы пытаетесь не позволить локальному администратору иметь права на локальный диск, вам в значительной степени не повезет, если вы не используете ужасно стороннее решение, которое может привести к сбою. С помощью групповой политики вы можете что-то сделать присяжным, чтобы запретить доступ локального администратора, но это будет сложно и подвержено ошибкам.

Если вы хотите создать отдельные папки (или тома), недоступные для других пользователей, сохраните файлы на удаленном сервере. Таким образом, локальные администраторы на сервере приложений не могут произвольно обращаться к папкам других людей. (Если у них нет прав администратора домена или администратора предприятия) Вы можете настроить один большой сетевой диск и иметь на нем разные пользовательские папки, каждая из которых зашифрована с использованием NTFS / другого решения и имеет права на чтение / запись только для этого отдельного пользователя.

Answer 2

NTFS поддерживает монтирование томов внутри каталогов.

Пример - вместо того, чтобы устанавливать внешний диск как D:, вы можете установить его под C:\mountedVolumes\externalHardDrive

Затем вы можете использовать списки ACL для родительской папки (mountedVolumes), чтобы запретить доступ к ней другим пользователям. Если они не могут попасть в папку, они не могут попасть в накопитель или увидеть, что он там есть. Это выглядит как папка, которую они не могут открыть.

Примечание. Предполагается, что у вас есть права администратора (по крайней мере, при первой настройке), а у других нет (поэтому они не могут просто взять на себя владение mountedVolumes и в любом случае перейти на диск )

Answer 3

Даже если буквы дисков скрыты - тома по-прежнему доступны, если вы не измените ACL на самой файловой системе - почему это так неприятно?

Answer 4

В реестре есть ключ, который используется для скрытия подключенных дисков.

Если вы хотите остановить любую комбинацию дисков, отображаемых в «Моем компьютере»

Добавьте двоичное значение «NoDrives» в реестр на

"HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer"

Вот таблица всех значений (обратите внимание, что вы можете сложить значения, чтобы скрыть несколько дисков, также это значение имеет двоичный тип, но его необходимо ввести в шестнадцатеричном формате, поэтому, если вы добавляете несколько дисков, подготовьтесь к маленькая шестнадцатеричная математика.):

A 1 00 00 00
B 2 00 00 00
C 4 00 00 00
D 8 00 00 00
E 16 00 00 00
F 32 00 00 00
G 64 00 00 00
H 128 00 00 00
I 00 1 00 00
J 00 2 00 00
K 00 4 00 00
L 00 8 00 00
M 00 16 00 00
N 00 32 00 00
O 00 64 00 00
P 00 128 00 00
Q 00 00 1 00
R 00 00 2 00
S 00 00 4 00
T 00 00 8 00
U 00 00 16 00
V 00 00 32 00
W 00 00 64 00
X 00 00 128 00
Y 00 00 00 1
Z 00 00 00 2