Перейти к основному контенту
Поддержка
Войти
Войдите с помощью учетной записи Майкрософт
Войдите или создайте учетную запись.
Здравствуйте,
Выберите другую учетную запись.
У вас несколько учетных записей
Выберите учетную запись, с помощью которой нужно войти.

ВВЕДЕНИЕ

У нас имеются подробные сведения о средствах, которые можно использовать для получения доступа к файлам или съемным устройствам. С помощью этих средств можно отключить разрешения для файла NTFS в сетевых ресурсах Microsoft Windows, которые не являются серверами. Нам известно, что эта проблема может затронуть внутренние диски, несъемные диски, которые помечены как съемные, а также внешние носители, такие как устройство USB, Firewire, E-SATA, SD-карта и другие съемные носители. Мы знаем о ситуациях, когда диски определенных контроллеров запоминающих устройств могут быть отмечены как "съемные" вне зависимости от их физического расположения внутри или снаружи ПК или от типа подключения, которое используется диском. 

Эта проблема не затрагивает основной системный том (т. е. то устройство, на котором запущена ОС Windows).

В первую очередь угрозе подвержены системы, которые используют конфигурацию по умолчанию. Например, несколько системных дисков, на которых запущены ОС Windows Vista, Windows 7 и Windows 8.

Дополнительная информация

Как узнать, затрагивает ли эта проблема вашу систему

  1. Откройте окно командной строки с повышенными привилегиями. Для этого нажмите кнопку Пуск, введите CMD, щелкните правой кнопкой мыши Cmd.exe, а затем выберите команду Запуск от имени администратора.

  2. Введите следующую команду в командной строке с повышенными привилегиями и нажмите клавишу ВВОД:

    Powershell

  3. Введите следующую команду в командной строке Powershell:

    Get-WmiObject -Class Win32_DiskDrive | Format-Table Name,Model, MediaType




Этот скрипт вернет выходные данные следующего вида:



Name

Model

MediaType

\\.\PHYSICALDRIVE0

ST31000528AS

Fixed hard disk media

\\.\PHYSICALDRIVE3

WD Ext HDD 1021 USB Device

External hard disk media

\\.\PHYSICALDRIVE4

Corsair Voyager 3.0 USB Device

Removable Media

Если поле MediaType имеет значение "Removable Media" или "External hard disk media," тогда проблема, описанная в статье, будет затрагивать данную конфигурацию.

Решение

Клиентам, которые хотят сохранить разрешения для дисков на уровне операционной системы для дополнительных дисков, помеченных в качестве съемных, рекомендуется выполнить один из следующих шагов для усиления защиты:

Включите элементы управления для доступа на чтение и запись для съемных устройств и носителей

Чтобы включить элементы управления для доступа на чтение и запись для съемных устройств и носителей, выполните следующие шаги.

  1. Нажмите клавиши Windows и R, чтобы открыть меню Выполнить.

  2. Введите команду MMC.exe и нажмите клавишу ВВОД.

  3. В меню Файл выберите команду Добавить или удалить оснастку (CTRL+M) и щелкните элемент Редактор объектов групповой политики. Нажмите кнопку ОК.

  4. Нажмите кнопку Обзор, затем щелкните вкладку Пользователи и двойным щелчком разверните элемент Пользователи, не имеющие прав Администратора.

  5. Нажмите кнопку Готово, а затем кнопку ОК.

  6. В области навигации последовательно откройте следующие узлы: Политика для локального компьютера и пользователей, не являющихся администраторами, Конфигурация пользователя, Административные шаблоны, Система, а затем щелкните элемент Доступ к съемным запоминающим устройствам.

  7. Дважды щелкните Съемные запоминающие устройства всех классов: запретить любой доступ, затем щелкните, чтобы выбрать параметр Включено.

  8. Нажмите кнопку Применить, а затем — ОК.

Если вам не удалось выполнить следующие шаги для усиления защиты, рекомендуется не хранить важные сведения на дисках и устройствах, которые затрагивает эта проблема. К примеру, не храните личные данные или сведения для проверки подлинности там, где обеспечен общий доступ к рабочей станции или архивам файловой системы для других пользователей. За дополнительными сведениями обращайтесь к производителю оборудования контроллеров диска.  

Автоматизированные решения Microsoft Fix It доступны для автоматической конфигурации систем, чтобы запретить доступ на чтение и запись съемных устройств.
Если для решения проблемы требуется помощь, перейдите к разделу Помощь в решении проблемы.

Помощь в решении проблемы

Решения Fix it для Windows 7 или Windows 8



Чтобы включить или отключить это решение Fix it, нажмите кнопку Fix it или щелкните ссылку под заголовком Включить или Отключить. В диалоговом окне Загрузка файла нажмите кнопку Выполнить и следуйте инструкциям мастера устранения проблем.

Включить

Отключить

Решения Fix it для Windows Vista


Чтобы включить или отключить это решение Fix it, нажмите кнопку Fix it или щелкните ссылку под заголовком Включить или Отключить. В диалоговом окне Загрузка файла нажмите кнопку Выполнить и следуйте инструкциям мастера устранения проблем.

Включить

Отключить

Примечания

  • Эти мастеры могут быть доступны только на английском языке, однако автоматические исправления можно применять в версиях Windows на любых языках.

  • Если файл загружается не с того компьютера, на котором обнаружена проблема, сохраните автоматическое исправление на устройстве флэш-памяти или компакт-диске, а затем запустите его на нужном компьютере.

Часто задаваемые вопросы

  • Почему для ОС Windows существуют различные политики безопасности для различных типов носителей данных?
    ОС Windows поддерживает большинство устройств хранения данных: от традиционных несъемных дисков дисков, таких как жесткие диски и твердотельные накопители, до съемных диском, таких как SD-карты и USB-устройства флэш-памяти. Поддержка большинства устройств хранения данных позволяет клиентам использовать ОС Windows в различных сценариях, а также с обширной экосистемой устройств, которые совместимы с ОС Windows. Например, такие устройства пользователей, как камеры, мобильные телефоны и т. д. Windows обеспечивает прекрасные условия работы для всех этих сценариев и устройств в различных средах, в рамках которых осуществляется развертывание ОС Windows: в домашних условиях, на малых предприятиях или на крупных производствах. 

    Чтобы обеспечить для ОС Windows возможность поддержки различных сценариев, необходимо знать ряд требований и приоритетов, которые связаны с каждым отдельным сценарием. К ним относится ряд предположений, касающихся таких характеристик, как возможность удобной работы, безопасность, возможности управления и другие функции. Поэтому возникают различия в плане управления различными категориями устройств хранения данных с точки зрения безопасности. Учитывается множество факторов. К ним относятся такие факторы, как среда, в которой будет использоваться устройство (преимущественно это касается противопоставляемых сред: использование в домашних условиях или на предприятии), а также устройства, вместе с которыми будет использоваться данное устройство. К ним относятся устройства под управлением операционных систем, отличных от Windows.

  • Что явилось причиной проблемы?
    Основное различие политики безопасности обусловлено типом устройства: традиционные несъемные диски или съемные устройства.

    По умолчанию доступ к данным, которые хранятся на традиционном жестком диске, ограничен системными списками управления доступом (ACL), которые требуют повышенных разрешений администратора. Это обеспечивает соответствующий уровень безопасности для различных сред. Эти списки доступны для однопользовательских и многопользовательских систем. В большинстве компьютеров жесткий диск используется для размещения важных данных, например таких, как операционная система, и для получения доступа к этим данным в соответствии со списками управления доступом (ACL) требуются учетные записи администратора с повышенными правами. Windows предоставляет различные средства управления, чтобы гарантировать четкое соблюдение этой политики при необходимости. такие средства включают Bitlocker, политику группы и дополнительные списки управления доступом (ACL). Пользователи, не являющиеся администраторами не могут запускать средства на уровне системного тома, например, форматирование, а также получить прямой доступ с возможностью блокирования к содержимому файловой системы.  

    Съемные носители наоборот разработаны для того, чтобы использоваться с различными устройствами. К ним относятся электронные устройства клиента и устройства, которые не используют операционную систему Windows, например, камеры и мобильные телефоны. По умолчанию доступ к данным, которые хранятся на съемных носителях, не требует повышенных разрешений администратора. Эти устройства обычно связаны с электронными устройствами клиента. Необходимо убедиться, что данные на это устройстве легкодоступны и ими легко управлять. Например, если файловая система на съемном устройстве оказывается поврежденной, любой пользователь может выполнить команду chkdsk и попытаться исправить повреждения. В условиях, когда важна дополнительная безопасность, клиенты могут применить дополнительные элементы контроля, которые ограничат доступ к съемному носителю или потребуют шифрования всего съемного устройства. Это ограничивает использование съемного устройства в рамках требований безопасности. 

  • Как определить, является ли моя конфигурация уязвимой?
    Пользователи могут определить, используются ли съемные устройства в их среде, с помощью значка быстрого доступа "Безопасное извлечение устройства" в области уведомлений рабочего стола. Если устройство указано в этом меню, это означает, что оно отмечено в качестве съемного.

    Пользователи также могут получить доступ к списку съемных устройств на панели управления. Например, откройте Все компоненты панели управления, откройте Устройства и принтеры, затем щелкните вкладку Устройства.

    Дополнительные сведения об использовании Windows PowerShell для определения уязвимости конфигурации см. в разделе "Как узнать, затрагивает ли эта проблема вашу систему".

  • Какие операционные системы Windows будут затронуты в рамках основной конфигурации?
    Windows Vista, Windows 7 и Windows 8, использующие параметры по умолчанию, являются уязвимыми.

  • Какой потенциальный риск может возникнуть при применении разрешения доступа на чтение и запись для съемного диска с помощью политики группы? 
    Ограничение доступа к съемным устройствам хранения данных с помощью групповой политики может вызвать сбой некоторых приложений или потребовать повышенных разрешений. Например, ПО для архивации может не осуществлять архивацию данных на съемных диск или с него. Точно так же выполнение любой команды для форматирования диска или его проверки (chkdsk) потребует разрешений администратора. Это может привести к сбоям в управлении программным обеспечением в режиме ограниченного запуска.

  • Какой потенциальные риск существует при использовании Bitlocker?
    Bitlocker является рекомендованным решением для обеспечения безопасности данных на съемных устройствах. Использование Bitlocker может вызвать незначительное снижение производительности в том случае, когда производится шифрования и восстановление данных. 

  • Каким образом злоумышленник может использовать данную уязвимость?
    Злоумышленник, не обладающий правами администратора, может производить чтение или запись на съемное устройства вне зависимости от того, является ли администратором. злоумышленник получит доступ на чтение и запись данных на устройстве или в файловой системе. Это может привести к раскрытию сведений.

Благодарность


Корпорация Майкрософт благодарит следующих людей за помощь в защите клиентов:



  • Георгия Георгиевича Валькова (George Georgiev Valkov) за совместную работу по этому вопросу.

Facebook LinkedIn Электронная почта
ПОДПИСКА НА RSS-КАНАЛЫ

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Обнаружение Сообщества

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

Преимущества подписки на Microsoft 365

Обучение работе с Microsoft 365

Microsoft Security

Центр специальных возможностей

В сообществах можно задавать вопросы и отвечать на них, отправлять отзывы и консультироваться с экспертами разных профилей.

Вопросы сообществу Microsoft

Сообщество Microsoft Tech Community

Участники программы предварительной оценки Windows

Участники программы предварительной оценки Microsoft 365

Были ли сведения полезными?

Насколько вы удовлетворены качеством перевода?
Что повлияло на вашу оценку?
После нажатия кнопки "Отправить" ваш отзыв будет использован для улучшения продуктов и служб Майкрософт. Эти данные будут доступны для сбора ИТ-администратору. Заявление о конфиденциальности.

Спасибо за ваш отзыв!

×