V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
LittleboyHarry
V2EX  ›  问与答

设想一种 Win 基于用户权限设置的文件访问隐私保护方法可行性?

  •  
  •   LittleboyHarry · 2021-01-23 20:56:05 +08:00 · 1864 次点击
    这是一个创建于 1400 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近越来越多的 Windows 国产软件被报告扫描用户隐私文件。我了解了一下大家的保护方法,感觉都有缺点:

    • 安装杀毒软件 —— 日常软件不安全问题变成了杀毒软件不安全问题
    • 沙盒 —— 功能强但运行效率有损、部分软件不兼容
    • 虚拟机 —— 功能强大、兼容性强,但性能太低、很繁琐

    于是我想到 Windows 自带的多用户安全机制,可以实现文件访问隐私保护:

    • 首先通过 net user $restricted_username $password /add 创建新受限用户
    • 确保分区的文件系统是 NTFS,为隐私文件(夹)添加权限规则,禁止 $restricted_username 读写访问(%userprofile% 用户根目录默认只有该用户和管理员可以完全控制,可以不用管)
    • 对需要限制的应用程序执行 runas /user:$restricted_username $apppath 来访问

    可以试试创建一个受限用户并保护关键文件夹,使用受限用户运行记事本试试!我试验成功了~ 记事本无法访问的无权限的文件

    如果大家实验效果理想或出了问题可以回复一下宝贵意见,不知道这招实不实用?

    8 条回复    2021-01-25 22:17:20 +08:00
    oott123
        1
    oott123  
       2021-01-23 21:14:42 +08:00
    很实用,推荐配合 《在 Windows 上隔离 app:以百度云管家为例》 https://geelaw.blog/entries/isolate-app/ 一文所述的方法一起用
    kawaiidora
        2
    kawaiidora  
       2021-01-23 22:18:34 +08:00
    呃,windows defender 有一项功能叫“文件夹限制访问”,用户目录下的文件夹都默认在里面。我又增加了 AppData,不知道够不够用。

    例如 git 在读取项目的.git 文件夹后会先被拦截一次,允许后就没问题。

    QQ 会在一开始尝试读取 Documents,没同意,后来尝试读取 Documents\Tencent Files 再放行。QQ 也能运行。
    slrey
        3
    slrey  
       2021-01-23 22:27:20 +08:00
    不但可行。我再提供一条思路:windows 自带的防火墙其实也很好用。有些软件,我不想让它联网,直接弄个禁止出站连接就完了。

    再配上文件夹权限。基本安全。我现在就是这么办的。
    chroming
        4
    chroming  
       2021-01-23 22:36:31 +08:00 via iPhone
    一直想在 mac 下这么用,似乎做不到
    Kiriya
        5
    Kiriya  
       2021-01-23 22:46:50 +08:00
    但是某些流氓软件会以驱动的形式利用 system 账户权限
    wzzzx
        6
    wzzzx  
       2021-01-23 23:10:10 +08:00
    @oott123 #1 这篇文章看的我眼睛爆炸哈哈哈
    getadoggie
        7
    getadoggie  
       2021-01-25 00:38:42 +08:00
    很好,但有些流氓软件不给管理员权限不给用,这个方法就没用了?
    LittleboyHarry
        8
    LittleboyHarry  
    OP
       2021-01-25 22:17:20 +08:00 via Android
    @getadoggie 开个受限的管理员账号,然后给待保护文件权限设置该账号拉黑也可以的。Win 拒绝权限规则会高于允许规则。

    不过如果具有管理员权限的应用能修改权限配置或者使用一些很 hack 的 API 来读取那也无能为力了~
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2513 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 15:49 · PVG 23:49 · LAX 07:49 · JFK 10:49
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.