Evitar que usuários não privilegiados alterem os parâmetros de extensão e invocação de arquivos

1

Em uma LAN do escritório, quero instalar um banco de dados do MS-Access. Eu colocarei o banco de dados em sua própria pasta oculta. Em outra pasta (folder1), colocarei um link para o arquivo db oculto na pasta1 (oculto de todos os usuários, exceto superusuário).

para qualquer usuário, exceto o superusuário, gostaria que os usuários tivessem permissão apenas para clicar no link na pasta2 (para iniciar o aplicativo db na pasta1), mas não abrir as propriedades do link ou alterá-las ou ver eles . Eu não quero que o superusuário não saiba onde o bd que o link está apontando existe e eu não quero que ele mude o parâmetro no link como (/ runtime).

Essa não seria a única medida de "segurança", pretendo adicionar mais medidas, como senha para o banco de dados e segurança em nível de usuário no aplicativo.

Isso é possível?

Atualmente, não tenho acesso a nenhuma LAN, então tive que perguntar. Thx.

    
por NoChance 08.07.2016 / 17:06

2 respostas

2

Se eu estou entendendo bem, isso pode ser feito removendo o privilégio "Read Extended Attributes" dos usuários em questão.

Você deve ser capaz de fazer o seguinte:

  1. Abra as propriedades do link, guia Segurança
  2. Clique em "Avançado"
  3. Escolha Editar ou Adicionar para alterar as permissões
  4. No lado direito, clique em "Mostrar permissões avançadas"
  5. Remova a permissão "Ler atributos estendidos"

As configurações acima ocultarão a guia "Atalho" dos usuários configurados, que pode ser o que você deseja.

Edit: Devo acrescentar, isso é definitivamente apenas segurança pela obscuridade e qualquer pessoa que realmente queira encontrar o arquivo original do banco de dados encontrará uma maneira de contornar isso (ou seja: procurando por open filehandles, talvez até mesmo MS Access dê isto fora)

    
por 08.07.2016 / 17:29
2

Eu testaria sua teoria em uma VM / rede de teste se o usuário não souber onde o db está localizado.

Outra coisa, é que você poderia implantar o aplicativo, empacotado para o usuário através de métodos de tipo horizonte ou xenapp. Tudo o que eles verão é um ícone para clicar.

Acho que você poderia bloquear janelas até o ponto em que elas não conseguissem nem criar um atalho ou abrir qualquer coisa / alterar qualquer coisa por meio da política de grupo. Eles só terão acesso ao que lhes é permitido ter acesso.

Você também pode escrever um check-in no powershell e utilizar o DSC, e as alterações serão revertidas e um relatório será enviado a você quando ocorrer, especificando qual usuário fez o que ...

Apenas algumas ideias que podem ajudá-lo a chegar a uma conclusão

    
por 08.07.2016 / 20:06