Въведение
Ние сме наясно с подробна информация и инструменти, които може да се използва за достъп до файловете на сменяеми устройства. Тези инструменти да заобиколите NTFS файлови разрешения за дистрибуция без сървър на Microsoft Windows. Ние сме наясно, че този проблем може да засегне вътрешните дискове, фиксирани дискове, които са маркирани като сменяеми и също външен носител например USB, Firewire, E-SATA, SD и други сменяеми носители. Ние сме наясно за ситуации, при които дискове на някои съхранение контролери могат да бъдат маркирани като "отстраним" независимо от физическото състояние или извън кутията на компютъра или типа на връзката, която се използва от диска.
Този проблем не засяга основен системен том (т. е устройство, от което в момента се изпълнява Windows).
Системи, които са засегнати в конфигурацията по подразбиране са предимно на риск. Например това включва системи няколко дискове, работещи под Windows Vista, Windows 7 и Windows 8.
Допълнителна информация
Как да разберете, ако е засегната вашата среда
-
Отворете команден прозорец повишени привилегии. За целта щракнете върху Старт, въведете CMD, с десния бутон върху Cmd.exeи след това щракнете върху Изпълнявай като администратор.
-
Въведете следната команда в командния ред с повишени и след това натиснете Enter:
PowerShell
-
В командния прозорец въведете следната команда:
Get-WmiObject-клас Win32_DiskDrive | Формат името на таблицата, модел, носител
Този скрипт ще се върне изход, подобно на следното:
|
Име |
Модел |
Носител |
|---|---|---|
|
\\.\PHYSICALDRIVE0 |
ST31000528AS |
Фиксирана твърд диск носител |
|
\\.\PHYSICALDRIVE3 |
WD Ext HDD 1021 USB устройство |
Външен твърд диск носител |
|
\\.\PHYSICALDRIVE4 |
Corsair Вояджър 3.0 USB устройство |
Сменяеми носители |
Ако носител е "Носител" или "външен твърд диск носител", конфигурация е засегната от проблема, който е документиран в тази статия.
Решение
Препоръчително е, че клиентите, които искате да запазите нивото на операционната система дискета разрешения за вторични дискове, които са маркирани като "отстраним" изпълнете едно от следните стъпки за засилване:
-
Разрешаване на Bitlocker на Microsoft (препоръчва се).
-
Разрешаване на контроли за четене и запис на сменяеми устройства и носители.
Разрешаване на контроли за четене и запис на сменяеми устройства и носители
За да разрешите контроли за четене и запис на сменяеми устройства или носител, изпълнете следните стъпки:
-
Натиснете клавиша Windows и R, за да отворите менюто изпълнение .
-
Въведете MMC.exeи натиснете Enter.
-
В менюто файлДобавяне / премахванена конзолна добавка (CTRL + M), след което изберете Групови правила. Щракнете OK.
-
Щракнете върху Преглед, щракнете върху раздела потребители и щракнете двукратно върху Non-администратори.
-
Щракнете върху Готовои след това щракнете върху OK.
-
В навигационния екран разгънете Правила на локалния Computer\Non администратори, разгънете Конфигурация на потребител, разгънете Административни шаблони, разгънете системаи щракнете върху Достъп до сменяеми носители.
-
Щракнете двукратно върху всички отстраним съхранение класа: отказва достъп на всичкии след това щракнете, за да изберете опцията разрешено .
-
Щракнете върху Приложии след това щракнете върху OK.
Ако не можете да извършите тези стъпки за засилване, ви препоръчваме да не съхранявате поверителна информация на засегнатите дискове или устройства. Например съхранява информация за лични или удостоверяване, където различни потребители споделят станция или някои резервни копия на файловата система. За повече информация се обърнете към производителя на хардуера диск контролер.
Автоматизирани решения Microsoft Fix It са достъпни за автоматично конфигуриране на системи за забрана за четене и запис на сменяеми устройства.
За да решим проблема вместо вас, отидете на раздела "Решете моя проблем".
Решете моя проблем
Fix it решения за Windows 7 или Windows 8
За да разрешите или забраните този fixit разтвор, щракнете върху Fix it бутона или връзката, заглавието на Разрешаване или забраняване на заглавието. Щракнете върху Изпълнение в диалоговия прозорец Изтегляне на файлове и следвайте стъпките в съветника за корекции.
|
Разрешаване на |
Забрани |
|---|---|
Fix it решения за Windows Vista
За да разрешите или забраните този fixit разтвор, щракнете върху Fix it бутона или връзката, заглавието на Разрешаване или забраняване на заглавието. Щракнете върху Изпълнение в диалоговия прозорец Изтегляне на файлове и следвайте стъпките в съветника за корекции.
|
Разрешаване на |
Забрани |
|---|---|
Бележки
-
Тези съветници може да е само на английски. Но автоматичните корекции работят и за други езикови версии на Windows.
-
Ако не сте на проблемния компютър, можете да запишете автоматичната корекция на флаш устройство или Компактдиск и след това да я изпълните на проблемния компютър.
ЧЕСТО ЗАДАВАНИ ВЪПРОСИ
-
Защо Windows имат различни сигурност правила за различните видове носители?
Windows поддържа много устройства за съхранение, от традиционните фиксирани дискове, като твърди дискове и твърди дискове, за да отстраним disks, като SD карти и USB палец устройства. Поддържане на много устройства за съхранение позволява на клиентите да използват Windows за сценарии с богати система от потребителски интерфейси на съвместими с Windows хардуерни. Това включва потребителски устройства като фотоапарати, мобилни телефони и т.н. Windows предоставя отличен опит за край на всички сценарии и устройства в различни среди, където Windows внедряване от дома за малкия бизнес предприятие.
Проектиране на Windows за тези различни сценарии за поддръжка изисква разбиране на различните изисквания и приоритети, свързани с всеки сценарий. Те включват набор от съображения като лекота на използване, защита, управление и други функции. Затова има разлики в как определени категории съхранение устройства се управляват от гледна точка на сигурността. Това се отразява много фактори. Те са среда, в която устройството ще се използва (като както в дома срещу корпоративна среда) и дали устройството ще се използва между различни устройства. Те включват устройства, които не са базирани на Windows. -
Какво причинява този проблем?
Основната разлика в политиката на сигурност е между традиционни, постоянни и сменяеми дискове.
По подразбиране достъп до данни, съхранявани на традиционен твърд диск е ограничен от системата достъп контрол на списъци (ACL) да изисква повишени права. Това осигурява подходящо ниво на защита в различни среди. Това позволява на един потребител системи и системи за много потребители. В повечето компютри на твърдия диск е важни данни като операционната система се намира, и ACL изисква повишени административни права за достъп до тези данни. Windows предоставя различни управление инструменти, за да разрешите тези правила, за да се контролира по-подробно начин, ако е необходимо. Това включва Bitlocker групови правила и допълнителни файлове. На твърди дискове nonadministrative потребителите не може да изпълни инструменти за нивото на звука, например, или директно блоков достъп до съдържанието на файловата система.
Сменяем носител, обратно, всъщност е предназначено за транспортиране между различни устройства. Те включват електронни устройства и устройства, които не са базирани на Windows, като например фотоапарати и мобилни телефони. По подразбиране достъп до данни, съхранявани на сменяеми носители изисква повишени права. Тези устройства са свързани с електронни устройства. Трябва да се уверите, че данните на тези устройства лесен достъп и лесно управляеми. Например ако повреда на файловата система на преносимо устройство, всеки потребител може да стартирате chkdsk и опитайте да поправите повредата. В среда, в която допълнителна защита е приоритет клиентите може да приложи допълнителни контроли, които забрани достъп до сменяеми носители или изискват, че всички носител е шифрован. Това ограничава използването на сменяем носител като част от изискванията за сигурност. -
Как определите дали моята конфигурация е vulnerable?
Потребителите може да се определи дали те са сменяеми устройства в среда с помощта на иконата "Безопасно премахване на хардуер" бърз достъп в областта за уведомяване на работния плот. Ако е показано в това меню, това означава, че е маркиран като "подвижни."
Потребителите могат да получите достъп до списък на сменяеми устройства в контролния панел. Например отворете Всички елементи в контролния панелотворете устройства и принтерии след това щракнете върху раздела устройства .
Вижте раздела "как да разпознаете, ако е засегната вашата среда" за повече информация как да използвате Windows PowerShell, за да определите дали вашата конфигурация е уязвим. -
Кой Windows операционни системи са засегнати по подразбиране configurations?
Windows Vista, Windows 7 и Windows 8 са засегнати по подразбиране конфигурации. -
Какви са потенциалните рискове за изпълнение на четене и запис на сменяем носител чрез Policy? група
Ограничаване на достъпа до сменяеми носители устройства чрез групови правила може да доведе до някои приложения за стартиране не е или изисква повишени разрешения. Например софтуер за архивиране не може да извършва резервно копие към или от сменяеми устройства. Също така някои проверка диск (chkdsk) или форматиране на диск дейност изисква администраторски права. Това води до потенциално софтуер за управление на дискове и манипулиране неуспешно в режим на ограничена изпълнение. -
Какви са потенциалните рискове от Bitlocker?
BitLocker се препоръчва решения за сигурност на данните със сменяеми устройства. С помощта на Bitlocker ще доведе малко намаляване на производителността, когато е шифроване и дешифриране на данни. -
Какво може да нападател използва уязвимостта да направя?
Атакуващият nonadministrative достъп може да прочете или запише на диск, независимо дали той или тя е локален администратор. Атакуващият би произволни четене и запис на устройството и файловата система. Това може да доведе до разкриване на целевата информация.
Благодарности
Microsoft Благодаря следното за работа с нас, за да защитим потребителите:
-
Джордж Георгиев Вълков за работа с нас по този въпрос.
