是否有可能不接受一个文件的所有权?

是否有可能不接受一个文件的所有权?,第1张

概述是否有可能不接受一个文件所有权

我很好奇,是否有办法阻止用户(包括属于pipe理员组的用户)获取文件的所有权?

我最初创build这样的文件从我的服务在Local System帐户下运行。 然后,我将该文件的DACL设置为D:(A;OICI;GA;;;SY) ,只让SYstem帐户具有完全访问权限,并将my service设置为所有者:

DWORD DWRes = ::SetnamedSecurityInfo( strDatafilePath,SE_file_OBJECT,OWNER_Security_informatION,// change only the object's owner pMyServiceUserSID,// User SID for my service NulL,NulL,NulL);

但是,在完成所有这些之后,我仍然可以通过windows资源pipe理器以pipe理员身份获取此文件的所有权:

如何在C ++中执行caching *** 作?

如何使表格停留在另一个上面

c atoi()在linux上的宽字符?

我需要在windows中的c / c ++中解压/ regzip文件进行编辑

孤立的存储误解

我们如何使用程序的输出进行进一步的计算? C(linux)

增加string的分配性能

分析在Win7 / 64的XP / 32机器上生成的windows崩溃转储?

将sockaddr中的IP地址转换为uint32_t

代码执行在subprocess中开始在哪里?

不,这是不可能的。 具有管理权限的帐户的本质是他们可以实质上他们想要的。 管理员拥有该系统。 无论您如何设置权限,他们总是可以拥有文件的所有权。

你所做的只是让管理员更难以更改文件,因为他们必须首先获得所有权。 这是有价值的; 它甚至可以防止管理员进行无意的更改。 没有人“意外地”拥有一个文件的所有权。

正常的解决方法是分配每个人非管理帐户(这实际上是你应该做的),或使用一些外部手段加密文件。

底线:不要给你不信任你的机器或你的文件管理访问的人。

不可能阻止具有足够特权的任何用户获取文件的所有权。

管理账户拥有(或可以授予)任何特权 – 这意味着他们可以做任何他们需要的事情,包括覆盖其他账户设置的访问控制,包括其他管理账户。

通常情况下,使用具有管理访问权限的帐户的人员应避免采取危及系统完整性的行为。

免责声明:这不会太容易。

假设目标是阻止管理员使用内置的 *** 作系统工具和常用的第三方工具来取得所有权(并且不关心管理员引导备用 *** 作系统,移除驱动器以及需要物理访问的各种其他威胁),那么下面的方法将是强大的。

在本文中实施4个对策措施。 通过实施,我的意思是与您的供应商合作,获得支持所述技术的硬件和软件。

实施作为早期启动防恶意软件(ELAM)的文件系统过滤器驱动程序,并根据需要停止采取所有权 *** 作。 我相信ELAM API不公开。 如果这是真的,你将不得不直接工作,直接访问MS。

如果没有物理访问,这种方法也将(至少在设计上)击败恶意软件,包括root工具包。 请注意,“物理访问”包括锁定远程访问控制器(如IDRAC和iLO),允许远程访问传统上只能通过本地访问才能访问的功能,包括通过远程介质引导备用 *** 作系统。

如果你想要一个更简单但不太可靠的方法,你只能实现文件系统过滤器驱动程序(而不是ELAM)。

总结

以上是内存溢出为你收集整理的是否有可能不接受一个文件的所有权?全部内容,希望文章能够帮你解决是否有可能不接受一个文件的所有权?所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错,欢迎将内存溢出网站推荐给程序员好友。

欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/langs/1155246.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022-06-01
下一篇 2022-06-01

发表评论

登录后才能评论

评论列表(0条)

保存