Přístupová oprávnění k diskům se systémem souborů NTFS u vyměnitelných nebo externích médií lze obejít

ÚVOD

Jsme si vědomi podrobných informací a nástrojů, které lze využít k přístupu k souborům na vyměnitelných zařízeních. Tyto nástroje mohou obejít oprávnění k souborům v systému souborů NTFS v neserverových distribucích systému Microsoft Windows. Jsme si vědomi toho, že tento problém může ovlivnit vnitřní disky, pevné disky, které jsou označeny jako vyměnitelné, a také externí média, jako jsou jednotky s rozhraním USB či Firewire nebo jednotky E-SATA, SD a další vyměnitelná média. Víme o situacích, ve kterých mohou být disky u některých řadičů paměťových zařízení označeny jako vyměnitelné bez ohledu na jejich fyzické umístění uvnitř či vně počítače nebo na druh připojení používaný daným diskem.

Tento problém se netýká primárního systémového svazku (tedy zařízení, na kterém je nyní spuštěn systém Windows).

Ohroženy jsou zejména systémy, jichž se tento problém týká ve výchozí konfiguraci. To zahrnuje například systémy s více disky, které používají systémy Windows Vista, Windows 7 a Windows 8.

Další informace

Jak zjistit, zda je vaše prostředí ohroženo

  1. Otevřete okno příkazového řádku se zvýšenými oprávněními. Chcete-li tak učinit, klikněte na tlačítko Start, zadejte příkaz CMD, klikněte pravým tlačítkem myši na možnost Cmd.exe a pak klikněte na položku Spustit jako správce.

  2. Na příkazový řádek se zvýšenými oprávněními zadejte následující příkaz a stiskněte klávesu ENTER:

    Powershell

  3. Na příkazový řádek prostředí Powershell zadejte následující příkaz:

    Get-WmiObject -Class Win32_DiskDrive | Format-Table Name,Model, MediaType




Tento skript vrátí výstup podobný následujícímu:



Name

Model

MediaType

\\.\PHYSICALDRIVE0

ST31000528AS

Fixed hard disk media

\\.\PHYSICALDRIVE3

WD Ext HDD 1021 USB Device

External hard disk media

\\.\PHYSICALDRIVE4

Corsair Voyager 3.0 USB Device

Removable Media

Pokud se u položky MediaType vrátí hodnota Removable Media nebo External hard disk media, je konfigurace systému ohrožena problémem popsaným v tomto článku.

Řešení

Zákazníkům, kteří chtějí pro sekundární disky označené jako vyměnitelné zachovat oprávnění na úrovni disku operačního systému, doporučujeme provést některý z následujících kroků pro posílení zabezpečení:

Povolení ovládacích prvků čtení a zápisu na vyměnitelná zařízení nebo média

Chcete-li povolit ovládací prvky pro čtení a zápis na vyměnitelná zařízení nebo média, postupujte takto:

  1. Stiskněte klávesu Windows a klávesu R. Otevře se nabídka Spustit.

  2. Zadejte příkaz MMC.exe a stiskněte klávesu ENTER.

  3. V nabídce Soubor klikněte na položku Přidat nebo odebrat modul snap-in (CTRL+M) a pak vyberte možnost Editor objektů zásad skupiny. Klikněte na tlačítko OK.

  4. Klikněte na tlačítko Procházet, klikněte na kartu Uživatelé a dvakrát klikněte na položku Všichni uživatelé.

  5. Klikněte na tlačítko Dokončit a potom klikněte na tlačítko OK.

  6. V navigačním podokně postupně rozbalte položky Místní počítač\Všichni uživatelé – zásady, Konfigurace uživatele, Šablony pro správu a Systém a pak klikněte na položku Přístup k vyměnitelnému úložišti.

  7. Dvakrát klikněte na možnost Všechny třídy vyměnitelného úložiště: Odepřít veškerý přístup a pak kliknutím vyberte možnost Povoleno.

  8. Klikněte na tlačítko Použít a potom na tlačítko OK.

Pokud tyto kroky k posílení zabezpečení nemůžete provést, doporučujeme neukládat na ohrožené disky či zařízení citlivé informace. Například neukládejte osobní ani ověřovací údaje do pracovní stanice, kterou sdílejí různí uživatelé, a neukládejte ani zálohy systému souborů. Další informace vám poskytne výrobce hardwaru řadiče disku, který používáte.  

K dispozici jsou automatické opravy společnosti Microsoft, které umožňují automaticky nakonfigurovat systém tak, aby nepovoloval čtení a zápis na vyměnitelná zařízení.
Chcete-li, abychom tyto potíže vyřešili za vás, přejděte k části Automatická oprava.

Automatická oprava

Opravy pro systém Windows 7 nebo Windows 8



Chcete-li povolit nebo zakázat tuto opravu, klikněte na tlačítko Opravit, na odkaz pod nadpisem Povolit nebo na odkaz pod nadpisem Zakázat. V dialogovém okně Stažení souboru klikněte na položku Spustit a postupujte podle kroků v průvodci opravou.

Povolit

Zakázat

Opravy pro systém Windows Vista


Chcete-li povolit nebo zakázat tuto opravu, klikněte na tlačítko Opravit, na odkaz pod nadpisem Povolit nebo na odkaz pod nadpisem Zakázat. V dialogovém okně Stažení souboru klikněte na položku Spustit a postupujte podle kroků v průvodci opravou.

Povolit

Zakázat

Poznámky

  • Tito průvodci mohou být k dispozici pouze v angličtině. Tyto automatické opravy však fungují i pro ostatní jazykové verze systému Windows.

  • Pokud právě nejste u počítače, který má tyto potíže, můžete automatickou opravu uložit na jednotku USB flash nebo na disk CD a spustit ji v příslušném počítači později.

Nejčastější dotazy

  • Proč systém Windows používá pro různé typy paměťových médií různé zásady zabezpečení?
    Systém Windows podporuje různá paměťová zařízení, od klasických pevných disků, jako jsou jednotky pevných disků a jednotky SSD, až po vyměnitelné disky, jako jsou karty SD nebo jednotky USB Flash. Díky podpoře tolika paměťových zařízení mohou zákazníci používat systém Windows v mnoha situacích a s různými typy hardwaru, který je součástí bohatého ekosystému zařízení podporujících systém Windows. Sem patří i spotřební zařízení, jako jsou fotoaparáty, mobilní telefony atd. Systém Windows zajišťuje vynikající práci ve všech těchto situacích a se všemi těmito zařízeními na všech různých platformách využívajících systém Windows, od domácího prostředí přes malé firmy až po velké podniky.

    K návrhu systému Windows tak, aby podporoval všechny tyto různé scénáře, je nutné pochopit různé požadavky a priority spojené s jednotlivými scénáři. To zahrnuje celou řadu aspektů, jako je snadné použití, zabezpečení, možnosti správy a další funkce. Proto z hlediska zabezpečení existují rozdíly mezi způsoby správy různých kategorií úložných zařízení. Tyto způsoby správy odrážejí mnoho faktorů. Mezi na patří například prostředí, ve kterém bude zařízení používáno (například převážně doma nebo převážně v podnikovém prostředí), a to, zda bude zařízení používáno v různých zařízeních, včetně zařízení, která nepoužívají systém Windows.

  • Co je příčinou tohoto problému?
    První rozdíl v zásadách zabezpečení najdeme rozdělení na klasické pevné disky a vyměnitelné disky.

    Ve výchozím nastavení je přístup k datům uloženým na klasickém pevném disku omezen pomocí systémových seznamů řízení přístupu, které vyžadují zvýšené oprávnění správce. To poskytuje odpovídající úroveň zabezpečení v rámci různých prostředí. Tato metoda je vhodná jak pro systémy s jedním uživatelem, tak pro systémy s více uživateli. Ve většině počítačů jsou právě na pevném disku uložena důležitá data jako operační systém a seznamy řízení přístupu požadují k přístupu k těmto datům zvýšené pověření správce. Pro případ potřeby systém Windows poskytuje různé nástroje pro správu, které umožňují podrobnější ovládání této zásady. Jedná se o nástroj Bitlocker, Zásady skupiny a další seznamy řízení přístupu. Uživatelé, kteří nejsou správci, nemohou na pevných discích spouštět nástroje na úrovni svazku, jako je formátování, ani získat přímý přístup na úrovni bloků k obsahu systému souborů.  

    Vyměnitelná média jsou naopak v určena k tomu, aby umožňovala přesuny dat mezi různými zařízeními. Mezi tato zařízení patří spotřební elektronická zařízení a zařízení, která nepoužívají systém Windows, jako jsou fotoaparáty a mobilní telefony. Ve výchozím nastavení přístup k datům, která jsou uložena na vyměnitelných médiích, nevyžaduje zvýšená oprávnění správce. Tato zařízení jsou obvykle spojena se spotřebními elektronickými zařízeními. Je třeba zajistit, aby data na těchto zařízeních umožňovala snadný přístup a správu. Pokud například dojde k poškození systému souborů na vyměnitelném zařízení, kterýkoli uživatel může spustit program chkdsk a poškození opravit. V prostředích, kde je hlavní prioritou vyšší úroveň zabezpečení, mohou zákazníci zavést doplňkové ovládací prvky, které brání v přístupu k vyměnitelným médiím nebo vyžadují šifrování všech vyměnitelných médií. Tím se vzhledem k požadavkům zabezpečení omezují možnosti použití daného vyměnitelného média.

  • Jak zjistím, zda je moje konfigurace ohrožena?
    Uživatelé mohou zjistit, zda mají ve svém systému vyměnitelná zařízení, podle ikony Bezpečně odebrat hardware v oznamovací oblasti plochy. Každé zařízení, které je v této nabídce uvedeno, je označeno jako vyměnitelné.

    Seznam vyměnitelných zařízení mohou uživatelé zobrazit také v okně Ovládací panely. Vyberte například možnost Všechny položky Ovládacích panelů, otevřete položku Zařízení a tiskárny a pak klikněte na kartu Zařízení.

    Další informace o tom, jak zjistit, zda je vaše konfigurace ohrožena, pomocí prostředí Windows PowerShell, naleznete v části Jak zjistit, zda je vaše prostředí ohroženo.

  • Které operační systémy Windows jsou ve výchozí konfiguraci ohroženy?
    Ve výchozí konfiguraci jsou ohroženy systémy Windows Vista, Windows 7 a Windows 8.

  • Jaké jsou možná rizika vynucování přístupu pro čtení a zápis na vyměnitelná média pomocí Zásad skupiny?
    Omezení přístupu k vyměnitelným paměťovým zařízením prostřednictvím Zásad skupiny může způsobit chyby některých aplikací nebo nutnost použít zvýšená oprávnění. Například software pro zálohování nemusí provést zálohování na vyměnitelné zařízení nebo z něj. Dále platí, že všechny aktivity související s kontrolou disku (chkdsk) nebo formátováním disku budou vyžadovat oprávnění správce. V omezeném režimu to může způsobit chybu softwaru pro správu disku a manipulaci s ním.

  • Jaká jsou možná rizika použití nástroje Bitlocker?
    Nástroj BitLocker představuje doporučené řešení pro zabezpečení dat na vyměnitelných zařízeních. Použití nástroje Bitlocker způsobí mírné snížení výkonu během šifrování a dešifrování dat.

  • K čemu může útočník toto chybu zabezpečení využít?
    Útočník, který nemá oprávnění správce, by mohl číst z disku nebo na něj zapisovat navzdory tomu, že by nebyl místním správcem. Útočník by mohl libovolně získávat přístup ke čtení a zápisu na dané zařízení a do systému souborů. To by mohlo vést k cílenému zveřejnění informací.

Poděkování


Společnost Microsoft děkuje následujícím osobám, které spolupracovaly na zvýšení ochrany zákazníků:



  • George Georgiev Valkov, který s námi spolupracoval na tomto problému

Potřebujete další pomoc?

Rozšiřte své znalosti a dovednosti
Projít školení
Získejte nové funkce jako první
Připojit se k programu Microsoft Insider

Byly tyto informace užitečné?

Děkujeme za váš názor!

Děkujeme vám za váš názor! Pravděpodobně bude užitečné, když vás spojíme s některým z našich agentů podpory Office.

×