מבוא
אנחנו מודעים למידע מפורט ולכלים שניתן להשתמש בהם כדי לגשת לקבצים במכשירים נשלפים. כלים אלה יכולים לעקוף הרשאות של קבצי NTFS בהפצות שאינן של שרת של Microsoft Windows. אנחנו מודעים לכך שבעיה זו עלולה להשפיע על דיסקים פנימיים, דיסקים קבועים המסומנים כנשלפים וכן מדיה נשלפת כגון USB, Firewire, E-SATA, SD ומדיה נשלפת אחרת. אנחנו מודעים למצבים שבהם דיסקים בבקרי אחסון מסוימים מסומנים כ"נשלפים" ללא קשר למיקום הפיזי בתוך מארז המחשב או מחוצה לא או סוג החיבור המשמש את הדיסק.
בעיה זו לא משפיעה על אמצעי האחסון הראשי של המערכת (כלומר המכשיר שממנו Windows מופעל כעת).
מערכות המושפעות בתצורת ברירת מחדל הן בעיקר בסיכון. לדוגמה, מצב זה כולל דיסקים מרובים של מערכות שמפעילות את Windows Vista, Windows 7 ו- Windows 8.
מידע נוסף
כיצד תדע אם הסביבה שלך מושפעת
-
פתח חלון שורת פקודה עם הרשאות מלאות. לשם כך, לחץ על התחל, הקלד CMD, לחץ באמצעות לחצן העכבר הימני על Cmd.exe ולאחר מכן לחץ על הפעל כמנהל.
-
הקלד את הפקודה הבאה בשורת הפקודה בעלת הרשאות מלאות, ולאחר מכן הקש Enter:
Powershell
-
הקלד את הפקודה הבאה בשורת הפקודה של Powershell:
Get-WmiObject -Class Win32_DiskDrive | Format-Table Name,Model, MediaType
script זה יחזיר פלט שדומה לבא:
|
שם |
דגם |
MediaType |
|---|---|---|
|
\\.\PHYSICALDRIVE0 |
ST31000528AS |
מדיית דיסק קשיח קבועה |
|
\\.\PHYSICALDRIVE3 |
מכשיר WD Ext HDD 1021 בחיבור USB |
מדיית דיסק קשיח חיצונית |
|
\\.\PHYSICALDRIVE4 |
מכשיר Corsair Voyager 3.0 בחיבור USB |
מדיה נשלפת |
אם ה- MediaType שמוחזר הוא "מדיה נשלפת" או "מדיית דיסק קשיח חיצונית", התצורה מושפעת על-ידי הבעיה המתוארת במאמר זה.
פתרון הבעיה
אנו ממליצים ללקוחות שרוצים לשמר הרשאות דיסק ברמת מערכת ההפעלה בדיסקים משניים שמסומנים כ"נשלפים" לבצע אחת מפעולות ההקשחה הבאות:
-
הפיכת Microsoft Bitlocker לזמין (מומלץ).
-
הפיכה לזמינים פקדים לגישת קריאה וכתיבה למכשירים או מדיה נשלפים.
הפיכה לזמינים פקדים לגישת קריאה וכתיבה למכשירים או מדיה נשלפים
כדי להפוך לזמינים פקדים לגישת קריאה וכתיבה למכשירים או מדיה נשלפים, בצע את הפעולות הבאות:
-
הקש על מקש Windows ועל R כדי לפתוח את התפריט הפעלה.
-
הקלד MMC.exe והקש על Enter.
-
בתפריט קובץ, לחץ על הוספה-הסרה של Snap-in (CTRL+M) ולאחר מכן בחר עורך האובייקטים של מדיניות קבוצתית. לחץ על אישור.
-
לחץ על עיון, לחץ על הכרטיסיה משתמשים ולאחר מכן לחץ פעמיים על לא מנהל מערכת.
-
לחץ על סיום ולאחר מכן לחץ על אישור.
-
בחלונית 'ניווט', הרחב את מדיניות מחשב מקומי\לא מנהלי מערכת, הרחב את תצורת משתמש, הרחב את תבניות ניהול, הרחב את מערכת ולאחר מכן לחץ על גישה לאמצעי אחסון נשלף.
-
לחץ פעמיים על כל דרגות האחסון הנשלף: מנע את כל הגישות, ולאחר מכן לחץ כדי לבחור באפשרות זמין.
-
לחץ על החל ולאחר מכן על אישור.
אם אינך יכול לבצע פעולות הקשחה אלה, מומלץ שלא לאחסן מידע רגיש בדיסקים או במכשירים מושפעים. לדוגמה, אל תאחסן מידע אישי או מידע של אימות כאשר משתמשים שונים משתפים תחנת עבודה או גיבויים כלשהם של מערכת הקבצים. לקבלת מידע נוסף, פנה ליצרן של חומרת פקד הדיסק.
פתרונות Microsoft Fix It אוטומטיים זמינים כדי להגדיר מערכות באופן אוטומטי לא לאפשר גישת קריאה וכתיבה למכשירים נשלפים.
כדי שאנו נתקן בעיה זו עבורך, עבור לסעיף "תקנו עבורי".
תקנו עבורי
פתרונות Fix it עבור Windows 7 או Windows 8
כדי להפעיל או להשבית פתרון תיקון זה, לחץ על הלחצן או על הקישור תיקון תחת הכותרת אפשר, או תחת הכותרת השבת. לחץ על הפעלה בתיבת הדו-שיח הורדת קובץ ופעל בהתאם לשלבים באשף התיקון.
|
הפעל |
הפוך ללא זמין |
|---|---|
פתרונות Fix it עבור Windows Vista
כדי להפעיל או להשבית פתרון תיקון זה, לחץ על הלחצן או על הקישור תיקון תחת הכותרת אפשר, או תחת הכותרת השבת. לחץ על הפעלה בתיבת הדו-שיח הורדת קובץ ופעל בהתאם לשלבים באשף התיקון.
|
הפעל |
הפוך ללא זמין |
|---|---|
הערות
-
ייתכן שאשפים אלה מוצגים באנגלית בלבד. עם זאת, התיקונים האוטומטיים פועלים גם עבור גרסאות של Windows בשפות אחרות.
-
אם אינך נמצא מול המחשב שבו אירעה הבעיה, תוכל לשמור את התיקון האוטומטי בכונן הבזק או בתקליטור ולאחר מכן תוכל להפעיל אותו במחשב שבו אירעה הבעיה.
תשובות לשאלות נפוצות
-
מדוע יש ל- Windows תנאים שונים של מדיניות אבטחה לסוגים שונים של מדיות אחסון?
Windows תומך במכשירי אחסון רבים, החל מדיסקים קבועים מסורתיים כגון כונני דיסק קשיח וכונני זיכרון מוצק, ועד לדיסקים נשלפים, כגון כרטיסי SD וכונני USB. תמיכה במכשירי אחסון רבים מאפשרת ללקוחות להשתמש ב- Windows בתרחישים רבים עם המערכת העשירה של חומרה תואמת Windows. חומרה זו כוללת מכשירים לצרכן כגון מצלמות, טלפונים סלולאריים וכדומה. Windows מספק חוויה מצוינת מקצה לקצה בכל התרחישים והמכשירים האלה בין כל הסביבות השונות שבהן Windows נפרס, מהבית אל העסק הקטן ועד לארגון.
התכנון של Windows כדי שיתמוך בתרחישים שונים אלה דורש הבנה של הדרישות והעדיפויות השונות המשויכות לכל תרחיש. אלה כוללות מגוון שיקולים כגון קלות בשימוש, יכולת ניהול ותכונות אחרות. לפיכך, יש הבדלים באופן שבו קטגוריות מסוימות של מכשירי אחסון מנוהלות מנקודת השקפה של אבטחה. מצב זה משקף גורמים רבים. הם כוללים את הסביבה שבה המכשיר ישמש (כגון בעיקר בבית לעומת סביבה ארגונית) ואם המכשיר ישמש בין מכשירים שונים. מכשירים אלה כוללים מכשירים שאינם מבוססים על Windows. -
מה גרם לבעיה זו?
ההבדל העיקרי במדיניות האבטחה הוא בין דיסקים מסורתיים, דיסקים קבועים ודיסקים נשלפים.
כברירת מחדל, הגישה לנתונים המאוחסנים בדיסק קשיח מסורתי מוגבלת באמצעות רשימות בקרת גישה (ACL) של המערכת כדי לדרוש הרשאות מלאות של מנהל. כך מסופקת רמת אבטחה הולמת בין סביבות שונות. הדבר מאפשר גם מערכות של משתמש יחיד וגם מערכות עם משתמשים מרובים. ברוב המחשבים, הדיסק הקשיח הוא המקום שבו נתונים חשובים כגון מערכת ההפעלה ממוקמים, ורשימות ACL דורשות אישורים מלאים של מנהל כדי לגשת לנתונים אלה. Windows מספק כלי יכולת ניהול שונים כדי לאפשר שליטה במדיניות זו באופן מפורט יותר, במידת הצורך. כלים אלה כוללים את Bitlocker, מדיניות קבוצתית ורשימות ACL נוספות. בדיסקים קשיחים, משתמשים שאינם מנהלים לא יכולים להפעיל כלים ברמת אמצעי אחסון כגון אתחול, או לקבל גישה ברמת בלוק לתכנים של מערכת הקבצים.
מדיה נשלפת, בניגוד לכך, מתוכננת באופן בסיסי להעברה בין מכשירים שונים. אלה כוללים מכשירים אלקטרוניים לצרכן ומכשירים שאינם מבוססים על Windows, כגון מצלמות וטלפונים. כברירת מחדל, גישה לתוכן המאוחסן במדיה נשלפת לא דורש הרשאות מלאות של מנהל. מכשירים אלה משויכים בדרך כלל למכשירים אלקטרוניים לצרכן. עליך לוודא שהגישה לנתונים במכשירים אלה קלה ושקל לנהל אותם. לדוגמה, אם מערכת הקבצים במדיה נשלפת נפגמת, כל משתמש יכול להפעיל chkdsk בניסיון לתקן את הפגם. בסביבות שבהן אבטחה נוספת היא עדיפות, לקוחות יכולים ליישם פקדים נוספים שמונעים גישה למדיה נשלפת או לדרוש שכל המדיה הנשלפת תוצפן. מצב זה מגביל את השימוש במדיה נשלפת כחלק מדרישות האבטחה. -
כיצד אוכל לקבוע אם התצורה שלי פגיעה?
משתמשים יכולים לקבוע אם יש להם מכשירים נשלפים בסביבתם באמצעות סמל הגישה המהירה "הוצאת חומרה באופן בטוח" באזור ההודעות בשולחן העבודה. אם מכשיר רשום בתפריט זה, פירוש הדבר שהוא מסומן בתור "נשלף".
משתמשים יכולים לגשת לרשימה של מכשירים נשלפים בלוח הבקרה. לדוגמה, פתח את כל הפריטים בלוח הבקרה, פתח את מכשירים ומדפסות ולחץ על הכרטיסיה מכשירים.
עיין בסעיף "כיצד תדע אם הסביבה שלך מושפעת" לקבלת מידע נוסף על אופן השימוש ב- Windows PowerShell כדי לקבוע אם התצורה שלך פגיעה. -
אילו מערכות הפעלה של Windows מושפעות בתצורות ברירת המחדל?
Windows Vista, Windows 7 ו- Windows 8 מושפעות בתצורות ברירת המחדל. -
מהם הסיכונים הפוטנציאליים של אכיפת גישת קריאה וכתיבה במדיה נשלפת באמצעות מדיניות קבוצתית?
הגבלת הגישה למכשירים אחסון נשלפים באמצעות מדיניות קבוצתית עלולה לגרום לכשלים ביישומים מסוימים או לדרוש הרשאות מלאות. לדוגמה, ייתכן שתוכנת הגיבוי שלך לא תבצע גיבוי אל מכשירים נשלפים או מהם. בדומה לכך, כל פעילות מסוג בדיקת דיסק (chkdsk) או אתחול דיסק תדרוש הרשאות מנהל. מצב זה עלול לגרום לכשלים בניהול הדיסק ובתוכנת טפלול במצב הפעלה מוגבלת. -
מהם הסיכונים הפוטנציאליים של Bitlocker?
Bitlocker הוא הפתרון המומלץ לאבטחת נתונים במכשירים נשלפים. השימוש ב- Bitlocker יגרום לירידה קלה בביצועים כאשר הוא מצפין ומפענח נתונים. -
איך תוקף עלול להשתמש בפגיעות?
תוקף עם גישה שאינה גישת מנהל יכול לקרוא או לכתוב בדיסק ללא קשר אם הוא מוגדר כמנהל מקומי או לא. לתוקף יכולה להיות גישת קריאה וכתיבה שרירותית למכשיר ולמערכת הקבצים. מצב זה עלול להוביל לחשיפת מידע ממוקד.
תודות
Microsoft מודה לאנשים הבאים על העבודה איתנו כדי לעזור לנו להגן על לקוחות:
-
ג'ורג' גיאורגייב ואלקוב על העבודה איתנו על בעיה זו.
