INTRODUKSJON
Vi kjenner til detaljert informasjon og verktøy som kan brukes til å få tilgang til filer på flyttbare enheter. Disse verktøyene kan omgå NTFS-filtillatelser på-server-distribusjoner av Microsoft Windows. Vi er klar over at dette problemet kan påvirke interne disker, faste disker som er merket som flyttbare, og også eksterne medier som USB, Firewire, SD, E-SATA, og andre flyttbare medier. Vi kjenner til situasjoner der disker på visse lagringskontrollere kan være merket som "flyttbare" uansett fysisk plassering i eller utenfor datamaskindekslet eller hva slags tilkobling som brukes av disken.
Dette problemet påvirker ikke det primære systemvolumet (det vil si enheten der Windows kjører).
Systemer som berøres i en standardkonfigurasjon er hovedsakelig i faresonen. Hvis du for eksempel inkluderer dette systemer flere disker som kjører Windows Vista, Windows 7 og Windows 8.
Hvis du vil ha mer informasjon
Hvordan å fortelle hvis miljøet er berørt
-
Åpne en hevet ledetekst-vinduet. Hvis du vil gjøre dette, klikker du Start, Skriv inn CMD, høyreklikk Cmd.exeog klikk deretter Kjør som Administrator.
-
Skriv inn følgende kommando ved ledeteksten i forhøyet modus, og trykk deretter Enter:
PowerShell
-
Skriv inn følgende kommando i Windows PowerShell-ledeteksten:
Get-WMI-objekt-klassen Win32_DiskDrive | Formater tabell navn, modell, MediaType
Dette skriptet vil returnere utdata som ligner på følgende:
|
navn |
Modell |
MediaType |
|---|---|---|
|
\\.\PHYSICALDRIVE0 |
ST31000528AS |
Fast harddisk media |
|
\\.\PHYSICALDRIVE3 |
WD Ext HDD 1021 USB-enhet |
Ekstern harddisk media |
|
\\.\PHYSICALDRIVE4 |
Corsair Voyager 3.0 USB-enhet |
Flyttbare medier |
Hvis medietypen som returneres, er "Flyttbart medium" eller "ekstern harddisk media", er konfigurasjonen berørt av problemet som er beskrevet i denne artikkelen.
Oppløsning
Vi anbefaler at kunder som vil beholde disk drive-systemnivå tillatelser for sekundære disker som er merket som "flyttbare" utfører en av følgende økt:
-
Aktivere Bitlocker for Microsoft (anbefales).
-
Aktiver Kontroller for lese- og skrivetilgang til flyttbare enheter eller medier.
Aktiver kontroller for lese- og skrivetilgang til flyttbare enheter eller medier
Hvis du vil aktivere kontroller for lese- og skrivetilgang til flyttbare enheter eller medier, gjør du følgende:
-
Trykk Windows-tasten og R for å åpne Run -menyen.
-
Skriv inn MMC.exe, og trykk deretter Enter.
-
Klikk Legg til / fjern snapin-modul (CTRL + M)på fil -menyen, og velg deretter Redigeringsprogrammet for gruppepolicyobjekt. Klikk på OK.
-
Klikk Bla gjennom, klikk kategorien brukere , og dobbeltklikk deretter Ikke-administratorer.
-
Klikk Fullfør, og klikk deretter OK.
-
I navigasjonsruten, utvid Lokalpolicy for Computer\Non-administratorer, Brukerkonfigurasjon, Administrative maler, System, og deretter Tilgang til flyttbare lagringsmedier.
-
Dobbeltklikk alle flyttbare lagringsmedier klasser: nekte tilgang for alle, og klikk deretter for å velge alternativet aktivert .
-
Klikk Bruk, og klikk deretter OK.
Hvis du ikke kan utføre trinnene hardening, anbefaler vi at du ikke lagre sensitiv informasjon på berørte disker eller enheter. Hvis du for eksempel ikke lagre personlige eller godkjenning informasjon der forskjellige brukere deler en arbeidsstasjon eller sikkerhetskopier av filsystemet. Hvis du vil ha mer informasjon, kontakter du produsenten av maskinvaren for disk-kontrolleren.
Automatisert Microsoft Korriger løsninger er tilgjengelig for å konfigurere automatisk systemer for å tillate lese- og skrivetilgang til flyttbare enheter.
Hvis du vil at vi skal løse dette problemet for deg, kan du gå til delen "Løs det for meg".
Løs det for meg
Løs det løsninger for Windows 7 eller Windows 8
Hvis du vil aktivere eller deaktivere denne løsning-løsningen, klikker du løse det knappen eller koblingen under overskriften aktivere eller under overskriften deaktivere . Klikk Kjør i dialogboksen Filnedlasting , og følg deretter trinnene i reparasjonen denne veiviseren.
|
Aktiver |
Deaktiver |
|---|---|
Løs det løsninger for Windows Vista
Hvis du vil aktivere eller deaktivere denne løsning-løsningen, klikker du løse det knappen eller koblingen under overskriften aktivere eller under overskriften deaktivere . Klikk Kjør i dialogboksen Filnedlasting , og følg deretter trinnene i reparasjonen denne veiviseren.
|
Aktiver |
Deaktiver |
|---|---|
Notater
-
Disse veiviserne kan være på engelsk. Automatisk løser imidlertid også arbeidet for andre språkversjoner av Windows.
-
Hvis du ikke bruker datamaskinen som har problemet, kan du lagre den automatiske reparasjonen på en flash-stasjon eller på en CD og deretter kjøre den på datamaskinen som har problemet.
VANLIGE SPØRSMÅL
-
Hvorfor har Windows ulike sikkerhetspolicyer for ulike typer lagringsmedier?
Windows støtter mange lagringsenheter, fra tradisjonelle faste disker, for eksempel harddisker og solid state-stasjoner, flyttbare disker, slik som SD-kort og USB rulleknapp stasjoner. Støtter mange lagringsenheter gjør det mulig for kunder å bruke Windows for mange scenarier med rikt økosystem av Windows-kompatibel maskinvare. Dette inkluderer forbrukerenheter som kameraer, mobiltelefoner og så videre. Windows gir en utmerket ende-til-ende-opplevelse for alle disse scenariene og enheter på tvers av alle de forskjellige miljøene hvor Windows distribueres, hjemmefra til små bedrifter i virksomheten.
Utforming av Windows til å støtte disse ulike scenarier må forstå de ulike behov og prioriteter som er tilknyttet hvert enkelt scenario. Disse omfatter en rekke vurderinger som enkelt for bruk, sikkerhet, administrasjon og andre funksjoner. Derfor er det forskjeller i hvordan bestemte kategorier av lagring enheter administreres fra et sikkerhetssynspunkt. Dette gjenspeiler mange faktorer. Disse inkluderer miljøet i som enheten kan brukes (for eksempel som hovedsakelig i hjemmet forhold i et bedriftsmiljø) enheten som skal brukes mellom ulike enheter. Disse inkluderer enheter som ikke er Windows-baserte. -
Hva som forårsaket dette problemet?
Den primære forskjellen i sikkerhetspolicyen er mellom tradisjonell, faste disker og flyttbare disker.
Som standard er tilgang til data som er lagret på en tradisjonell harddisk begrenset av tilgangskontrollister (ACLer) krever forhøyede administrative rettigheter. Dette gir en riktig nivå for sikkerhet på tvers av ulike miljøer. Dette gjør at både enkelt bruker systemer og flerbruker-systemer. I de fleste PCer er harddisken der viktige data, for eksempel operativsystemet er plassert, og ACLer krever forhøyede administrative rettigheter til å få tilgang til disse dataene. Windows inneholder ulike administrasjon verktøy for å aktivere denne policyen skal kontrolleres i en mer detaljert måte, hvis det er nødvendig. Dette inkluderer Bitlocker, gruppepolicy og flere ACLer. På harddisker, kan ikke utskriftstillatelse kjøre volumnivået verktøy, for eksempel format, eller har direkte blokknivå tilgang til innholdet i filsystemet.
Flyttbare medier, i motsetning er hovedsakelig utformet for som skal transporteres mellom ulike enheter. Disse inkluderer elektroniske enheter og enheter som ikke er Windows-basert, for eksempel kameraer og mobiltelefoner. Som standard krever tilgang til data som er lagret på et flyttbart medium ikke forhøyede administrative rettigheter. Disse enhetene er vanligvis knyttet til elektroniske enheter. Du må kontrollere at dataene i disse enhetene lett tilgjengelige og lett håndterlig. Hvis filsystemet på en flyttbar enhet blir skadet, kan en bruker for eksempel kjøre chkdsk og prøve å reparere skaden. Kunder kan implementere tilleggskontroller som hindrer tilgang til flyttbare medier eller krever at alle flyttbare medier krypteres i miljøer der ekstra sikkerhet er en prioritet. Dette begrenser bruken av flyttbare medier som en del av sikkerhetskrav. -
Hvordan finner jeg ut om Min konfigurasjonen er vulnerable?
Brukere kan finne ut om de har flyttbare enheter i miljøet ved hjelp av ikonet "Trygg fjerning av maskinvare" rask tilgang i systemstatusfeltet på skrivebordet. Hvis en enhet er oppført i denne menyen, betyr det at den er merket som "flyttbare."
Brukere kan også få tilgang til en liste over flyttbare enheter i Kontrollpanel. Hvis du for eksempel åpne Alle elementer i Kontrollpanel, åpne enheter og skrivereog deretter kategorien enheter .
Se avsnittet "Slik avgjør du om miljøet er berørt" for mer informasjon om hvordan du bruker Windows PowerShell til å avgjøre om konfigurasjonen er sårbart. -
Hvilke Windows-operativsystemer påvirkes i standard configurations?
Windows Vista, Windows 7 og Windows 8 påvirkes i standardkonfigurasjoner. -
Hva er de potensielle risikoene ved aktivering av lese- og skrivetilgang til flyttbare medier via gruppen Policy?
Begrense tilgang til flyttbare lagringsenheter ved hjelp av gruppepolicy kan føre til at enkelte programmer starte mislykkes eller krever opphøyde tillatelser. Sikkerhetskopieringsprogramvaren kan for eksempel ikke Utfør en sikkerhetskopiering til eller fra flyttbare enheter. På samme måte kan noen kontrollere disken (chkdsk) eller formatere disken type aktivitet krever administrative rettigheter. Dette forårsaker potensielt Diskbehandling og manipulasjon programvare mislykkes i begrenset kjøremodus. -
Hva er de potensielle risikoen ved Bitlocker?
BitLocker er den anbefalte løsningen for datasikkerhet med flyttbare enheter. Ved hjelp av Bitlocker vil føre til en liten nedgang i ytelsen når den er kryptering og dekryptering av data. -
Hva kan en angriper bruke dette sikkerhetsproblemet til?
En angriper med andre access kan lese eller skrive til en disk uansett om han eller hun er lokal administrator. En angriper må vilkårlig lese- og skrivetilgang til enheten og fil-systemet. Dette kan føre til avsløring av målrettede.
Takk
Microsoft takker følgende for samarbeidet med å beskytte kundene:
-
George Georgiev Valkov for samarbeidet i forbindelse med dette problemet.
