A cserélhető vagy külső adathordozók NTFS-lemezelérési engedélyei megkerülhetők

A következőkre vonatkozik: Windows RTWindows 8Windows 8 Enterprise

BEVEZETÉS


Tudomásunkra jutott, hogy bizonyos részletes információk és eszközök használatával hozzá lehet férni a cserélhető eszközökön tárolt fájlokhoz. Ezekkel az eszközökkel megkerülhetők a Microsoft Windows nem kiszolgálói kiadásainak NTFS-fájlengedélyei. Tudomásunkra jutott, hogy ez a probléma érintheti a belső lemezeket, a cserélhetőként feltüntetett rögzített merevlemezeket, valamint a külső, például USB-, Firewire- E-SATA-, SD- és egyéb cserélhető adathordozókat. Tudomásunkra jutott, hogy bizonyos helyzetekben egyes tárolóvezérlők lemezei „cserélhetőként” lehetnek feltüntetve, függetlenül attól, hogy a számítógépházon belül vagy kívül találhatók, és hogy milyen kapcsolatot használnak. 

Ez a probléma nem érinti az elsődleges rendszerkötetet (vagyis azt az eszközt, amelyen a Windows jelenleg fut).

Elsősorban olyan rendszerek vannak veszélyben, amelyeket az alapértelmezett konfigurációban érinti a probléma. Ebbe többek között beletartoznak a több lemezt használó rendszerek, amelyek Windows Vista, Windows 7 és Windows 8 rendszert futtatnak.

További információ


Annak megállapítása, hogy a probléma érinti-e a környezetet

  1. Nyisson meg egy rendszergazdai jogú parancssori ablakot. Ehhez kattintson a Start gombra, írja be a CMD parancsot, kattintson jobb gombbal a Cmd.exe elemre, majd kattintson a Futtatás rendszergazdaként parancsra.
  2. Írja be a következő parancsot az emelt szintű parancssorba, majd nyomja le az ENTER billentyűt:
    PowerShell
  3. Írja be a következő parancsot a Powershell parancssorba: 
    Get-WmiObject -Class Win32_DiskDrive | Format-Table Name, Model, MediaType



Ez a parancsfájl a következőhöz hasonló kimenetet eredményez:



NameModelMediaType
\\.\PHYSICALDRIVE0ST31000528AS Fixed hard disk media
\\.\PHYSICALDRIVE3WD Ext HDD 1021 USB Device External hard disk media
\\.\PHYSICALDRIVE4Corsair Voyager 3.0 USB DeviceRemovable Media
Ha a MediaType visszaadott értéke „Removable Media” vagy „External hard disk media”, akkor a konfigurációt érinti a jelen cikkben ismertetett probléma.

A megoldás


Azon ügyfelek számára, akik meg kívánják tartani a „cserélhetőként” megjelölt másodlagos lemezek operációsrendszer-szintű lemezengedélyeit, javasoljuk, hogy hajtsanak végre egyet vagy többet a következő biztonsági lépések közül:

A cserélhető eszközök vagy adathordozók olvasási és írási hozzáférés-vezérlőinek engedélyezése

A cserélhető eszközök vagy adathordozók olvasási és írási hozzáférés-vezérlőinek engedélyezéséhez hajtsa végre az alábbi lépéseket:
  1. Nyomja le a Windows+R billentyűkombinációt a Futtatás menü megnyitásához.
  2. Írja be az MMC.exe parancsot, majd nyomja le az Enter billentyűt.
  3. Kattintson a Fájl menü Beépülő modul hozzáadása/eltávolítása (CTRL+M) parancsára, majd válassza a Csoportházirendobjektum-szerkesztő lehetőséget. Kattintson az OK gombra.
  4. Kattintson a Tallózás lehetőségre, majd a Felhasználók fülre, és kattintson duplán a Nem rendszergazdák lehetőségre.
  5. Kattintson a Befejezés, majd az OK gombra.
  6. A navigációs ablaktáblán bontsa ki a Helyi számítógép\Nem rendszergazdai házirendek csomópontot, a Felhasználói konfiguráció, a Felügyeleti sablonok, majd a Rendszer csomópontot, és kattintson a Hozzáférés a cserélhető tárolókhoz lehetőségre.
  7. Kattintson duplán az Összes cserélhető tároló osztály: Minden hozzáférés megtagadása elemre, majd kattintson az Engedélyezve lehetőségre.
  8. Kattintson az Alkalmaz, majd az OK gombra.
Ha nem tudja végrehajtani ezeket a biztonsági megerősítő lépéseket, javasoljuk, hogy a bizalmas adatokat ne az érintett lemezeken vagy eszközökön tárolja. Ne tároljon például személyes vagy hitelesítési adatokat, illetve a fájlrendszerről készített biztonsági másolatokat olyan helyeken, ahol több felhasználó dolgozik ugyanazon a munkaállomáson. További információért forduljon a lemezvezérlő hardver gyártójához.  

A cserélhető lemezek olvasási és írási hozzáférésének automatikus letiltására a Microsoft automatikus Fix it megoldásai is elérhetők.
Ha azt szeretné, hogy a probléma megoldása automatikusan történjen, lépjen tovább az „Automatikus javítás” című részhez.

Automatikus javítás


Fix it megoldások a Windows 7 vagy a Windows 8 rendszerhez



A Fix it megoldás engedélyezéséhez vagy letiltásához kattintson a Fix it gombra vagy a hivatkozásra az Engedélyezés vagy a Letiltás alcím alatt. Ezután kattintson a Futtatás gombra a Fájl letöltése párbeszédpanelen, és kövesse az automatikus javítási varázsló lépéseit.
EngedélyezésLetiltás

Fix it megoldások a Windows Vista rendszerhez


A Fix it megoldás engedélyezéséhez vagy letiltásához kattintson a Fix it gombra vagy a hivatkozásra az Engedélyezés vagy a Letiltás alcím alatt. Ezután kattintson a Futtatás gombra a Fájl letöltése párbeszédpanelen, és kövesse az automatikus javítási varázsló lépéseit.
EngedélyezésLetiltás
Megjegyzések:
  • Előfordulhat, hogy a varázslók csak angol nyelven érhetők el. Az automatikus javítások ugyanakkor a Windows többi nyelvi verziójával is működnek.
  • Ha a jelen cikket nem azon a számítógépen tekinti meg, amelyen a problémát tapasztalja, mentse az automatikus javítást egy USB-meghajtóra vagy CD lemezre, és azon a számítógépen futtassa, amelyen a hiba jelentkezik. 

Gyakori kérdések


  • Miért rendelkezik a Windows különböző biztonsági irányelvekkel a különböző típusú adathordozók számára?
    A Windows számos tárolóeszközt támogat, a hagyományos rögzített lemezektől, mint a merevlemez-meghajtók és a tartós állapotú meghajtók, a cserélhető lemezekig, mint például az SD-kártyák vagy az USB-meghajtók. A sokféle tárolóeszköz támogatásának köszönhetően a felhasználók számos helyzetben használhatják a Windows rendszert és a Windows-kompatibilis hardverek széles választékát, többek között az olyan eszközöket, mint a fényképezőgépek, a mobiltelefonok stb. A Windows kiváló, teljes körű szolgáltatásokat kínál minden ilyen helyzetben és eszközhöz a kisvállalkozásoktól a nagyvállalatokig. 

    Ahhoz, hogy a Windows támogassa ezeket a különböző helyzeteket, a tervezés során tisztában kell lennünk az egyes helyzetekhez kapcsoló követelményekkel és prioritásokkal. Ez azt jelenti, hogy számos szempontot kell figyelembe venni, többek között az egyszerű használatot, a biztonságot és a kezelhetőséget. A különböző tárolóeszköz-kategóriák biztonsági kezelése ezért különböző. Ezt számos szempont befolyásolja, többek között az, hogy az eszközt milyen környezetben (például elsősorban otthon, illetve nagyvállalati környezetben) és milyen más eszközökkel együtt fogják használni, a nem Windows rendszerű eszközöket is beleértve. 
  • Mi okozta a problémát?
    A biztonsági irányelvek terén az elsődleges különbség a hagyományos, a rögzített és a cserélhető lemezek kezelésének módja.

    A hagyományos merevlemezeken tárolt adatok elérését alapértelmezés szerint a hozzáférés-vezérlési szabálygyűjtemények (ACL) korlátozzák, amelyek rendszergazdai jogosultságot igényelnek. Ez megfelelő szintű biztonságot nyújt a különböző környezetekben, akár egy-, akár többfelhasználós rendszerekről van szó. A legtöbb számítógépen a merevlemezen találhatók az olyan fontos adatok, mint például az operációs rendszer, és a hozzáférés-vezérlési szabálygyűjtemények emelt szintű rendszergazdai hitelesítéshez kötik a fontos adatok elérését. A Windows különböző kezelési eszközökkel teszi lehetővé a házirend részletesebb vezérlését, amennyiben az szükséges. Ezek közé tartozik a Bitlocker, a Csoportházirend és a további hozzáférés-vezérlési szabálygyűjtemények. A merevlemezeken a nem rendszergazda felhasználók nem futtathatnak kötetszintű eszközöket, például a formázást, és nem rendelkezhetnek közvetlen blokkszintű hozzáféréssel a fájlrendszer tartalmához.  

    A cserélhető adathordozók ezzel szemben alapvetően abból a különböző eszközök között történő adatszállításra készülnek. Ezek közé tartoznak a fogyasztói elektronikai berendezések, és olyan, nem Windows rendszerű eszközök, mint például a fényképezőgépek és a mobiltelefonok. A cserélhető adathordozókon tárolt adatok eléréséhez alapértelmezés szerint nincs szükség rendszergazdai jogosultságra. Ezek az eszközök általában fogyasztói elektronikai berendezésekhez kapcsolódnak. Az ilyen eszközökön található adatok esetében könnyű elérhetőséget és kezelést kell biztosítani. Ha például egy cserélhető eszközön található fájlrendszer megsérül, bármelyik felhasználó javíthatja a sérülést a chkdsk segédprogram futtatásával. Olyan környezetekben, ahol fontos a magasabb szintű biztonság, az ügyfelek további vezérlőket alkalmazhatnak, amelyek megakadályozzák a hozzáférést a cserélhető adathordozókhoz, illetve kötelezővé tehetik az összes cserélhető adathordozó titkosítását. Ez a biztonsági követelmények részeként korlátozza a cserélhető adathordozók használatát. 
  • Hogyan állapítható meg, hogy a konfiguráció sebezhető-e? 
    A felhasználók az asztal értesítési területén található „Hardver biztonságos eltávolítása” gyorselérési ikon használatával állapíthatják meg, hogy van-e cserélhető eszköz a környezetükben. Ha egy eszköz megjelenik ebben a menüben, az azt jelenti, hogy „cserélhetőnek” minősül.

    A cserélhető eszközök listája a Vezérlőpultban is elérhető. Ehhez például nyissa meg a Minden vezérlőpultelem, majd az Eszközök és nyomtatók eszközt, és kattintson az Eszközök fülre.

    Az „Annak megállapítása, hogy a probléma érinti-e a környezetet” című részben talál további információt arról, hogyan állapítható meg a Windows PowerShell használatával, hogy a konfiguráció sebezhető-e.
  • Melyik Windows operációs rendszerek alapértelmezett konfigurációját érinti a probléma? 
    A probléma a Windows Vista, Windows 7 és Windows 8 alapértelmezett konfigurációját érinti.
  • Milyen lehetséges kockázatokkal jár a cserélhető adathordozók olvasási és írási hozzáférésének a Csoportházirenden keresztül történő korlátozása? 
    Ha a Csoportházirenden keresztül korlátozza a cserélhető tárolóeszközök hozzáférését, akkor lehetséges, hogy egyes alkalmazások nem fognak megfelelően működni, illetve rendszergazdai jogosultságot igényelnek. Előfordulhat például, hogy a biztonsági mentési szoftver nem készít vagy nem tölt be biztonsági másolatot a cserélhető eszközről. A lemez-ellenőrzési (chkdsk) és -formázási feladatokhoz szintén rendszergazdai jogosultság szükséges. Emiatt előfordulhat, hogy a korlátozott módban futtatott lemezkezelő szoftverek nem működnek megfelelően.
  • Milyen lehetséges kockázata van a Bitlocker használatának?
    A Bitlocker a javasolt megoldás a cserélhető eszközök adatbiztonsági problémáira. A Bitlocker használata kis mértékű teljesítménycsökkenést okoz az adatok titkosítása és a visszafejtés során. 
  • Mire használhatja fel egy támadó a biztonsági rést?
    A rendszergazdai jogosultsággal nem rendelkező támadók olvasási és írási jogosultsággal rendelkezik a lemezeken, függetlenül attól, hogy helyi rendszergazda-e. A támadók tetszőleges írási és olvasási hozzáféréssel rendelkeznek az eszközhöz és a fájlrendszerhez, ami szándékos adatkiszivárgást tehet lehetővé.

Köszönetnyilvánítás



A Microsoft köszönetét fejezi ki a következőknek az ügyfelek védelmében folytatott együttműködésükért:



  • George Georgiev Valkovnak az együttműködéséért a probléma megoldása érdekében.