Depende de como exatamente o aplicativo interage com o arquivo e o usuário.
A questão-raiz é: " Existe uma maneira de usar uma entidade de segurança diferente ? que aquele da sessão de login do usuário para acessar o arquivo "? Se a resposta for "não", você não poderá restringi-la.
Mais pragmaticamente:
Se o aplicativo for um aplicativo de desktop tradicional usado remotamente (aplicativo em execução no computador do cliente que acessa o arquivo por meio de um compartilhamento SMB) ou localmente (por exemplo, através dos Serviços de Terminal), você não poderá restringir o acesso ao arquivo arquivo usando permissões porque o processo usa a identidade do usuário para acessá-lo.
Se o aplicativo for um aplicativo de n camadas (por exemplo, um aplicativo da web), então você geralmente pode colocar restrições extras no acesso a arquivos de dados: você restringe os direitos dos usuários e permite O nível de acesso é necessário ao principal de segurança que será usado (geralmente feito pela atribuição de uma conta de serviço de serviço específica ao processo relevante). No entanto, esteja ciente de que é possível que um aplicativo de n camadas represente o token de acesso do usuário. Nesse caso, você deve certificar-se de que os arquivos que deseja proteger estejam, na verdade, indisponíveis (por exemplo, colocando-os em uma unidade ou pasta que não seja acessível a partir de qualquer compartilhamento SMB disponível para o computador). usuários).
Observe que, independentemente da resposta acima, se o aplicativo suportar o caminho UNC, você poderá diminuir a probabilidade de o usuário acessar o arquivo, ocultando-o em um compartilhamento de rede oculta . Tudo o que você precisa fazer para ocultar o compartilhamento é adicionar um sinal de dólar ($) no final do nome. Isso não impedirá que ninguém, a não ser que os usuários menos experientes em tecnologia, acessem o arquivo caso desejem, mas isso pode evitar acidentes.