Uprawnienia dostępu do dysku wymiennego lub zewnętrznego z systemem plików NTFS mogą zostać ominięte

Dotyczy: Windows RTWindows 8Windows 8 Enterprise

WPROWADZENIE


Jesteśmy świadomi istnienia szczegółowych instrukcji i narzędzi, które pozwalają uzyskać dostęp do plików na urządzeniach wymiennych. Przy użyciu tych narzędzi można ominąć uprawnienia plików w systemie NTFS w innych niż serwerowe wersje systemu operacyjnego Microsoft Windows. Wiemy, że ten problem może dotyczyć dysków wewnętrznych, dysków stałych, które są oznaczone jako wymienne, a także nośników zewnętrznych, takich jak pamięci USB, Firewire, E-SATA, SD i inne dyski wymienne. Zdajemy sobie sprawę z tego, że w niektórych sytuacjach dyski podłączone do kontrolerów pamięci masowej mogą być oznaczone jako „wymienne” niezależnie od ich fizycznego położenia wewnątrz obudowy komputera lub poza nią oraz metody podłączenia. 

Ten problem nie dotyczy głównego woluminu systemowego (czyli urządzenia, z którego system Windows jest uruchomiony).

Zagrożone są przede wszystkim systemy, w przypadku których ten problem występuje w konfiguracji domyślnej. Obejmuje to na przykład komputery z kilkoma dyskami, na których są zainstalowane systemy Windows Vista, Windows 7 i Windows 8.

Więcej informacji


Jak sprawdzić, czy ten problem może wystąpić w danym środowisku

  1. Otwórz okno wiersza polecenia z podwyższonym poziomem uprawnień. Aby to zrobić, kliknij przycisk Start, wpisz polecenie CMD, kliknij prawym przyciskiem myszy plik Cmd.exe, a następnie kliknij polecenie Uruchom jako administrator.
  2. Wpisz następujące polecenie w wierszu polecenia z podwyższonym poziomem uprawnień, a następnie naciśnij klawisz ENTER:
    Powershell
  3. W wierszu polecenia programu PowerShell wpisz następujące polecenie:
    Get-WmiObject -Class Win32_DiskDrive | Format-Nazwa tabeli,Model, Typ Nośnika



Skrypt zwróci wyniki przypominające następujące:



NazwaModelTyp nośnika
\\.\PHYSICALDRIVE0ST31000528AS Nośnik stałego dysku twardego
\\.\PHYSICALDRIVE3WD Ext HDD 1021 USB Device Nośnik zewnętrznego dysku twardego
\\.\PHYSICALDRIVE4Corsair Voyager 3.0 USB DeviceNośnik wymienny
Jeśli zwrócona wartość Typ nośnika zawiera pozycje „Nośnik wymienny” lub „Nośnik zewnętrznego dysku twardego”, to w konfiguracji może występować problem opisany w tym artykule.

Rozwiązanie


Klientom, którzy chcą zachować uprawnienia z dysku systemowego na dyskach pomocniczych oznaczonych jako „wymienne”, zalecamy wykonanie następujących czynności zabezpieczających:

Włączenie kontroli dostępu (odczyt/zapis) do urządzeń i nośników wymiennych

Aby włączyć kontrolę dostępu (odczyt/zapis) do urządzeń i nośników wymiennych, wykonaj te kroki:
  1. Naciśnij klawisze Windows+R, aby otworzyć menu Uruchom.
  2. Wpisz polecenie MMC.exe i naciśnij klawisz ENTER.
  3. W menu Plik kliknij polecenie Dodaj/Usuń przystawkę (CTRL+M), a następnie wybierz opcję Edytor obiektów zasad grupy. Kliknij przycisk OK.
  4. Kliknij przycisk Przeglądaj kliknij kartę Użytkownicy, a następnie kliknij dwukrotnie pozycję Inni niż administratorzy.
  5. Kliknij przycisk Zakończ, a następnie kliknij przycisk OK.
  6. W okienku nawigacji rozwiń kolejno węzły Komputer lokalny\Zasady grupy Inni niż administratorzy, Konfiguracja użytkownika, Szablony administracyjne, System, a następnie kliknij pozycję Dostęp do magazynu wymiennego.
  7. Kliknij dwukrotnie pozycję Wszystkie klasy magazynu wymiennego: odmowa dostępu, a następnie kliknij, aby zaznaczyć opcję Włączone.
  8. Kliknij przycisk Zastosuj, a następnie kliknij przycisk OK.
Jeśli wykonanie tych czynności zabezpieczających nie jest możliwe, nie zalecamy zapisywania poufnych informacji na dyskach i urządzeniach, których ten problem może dotyczyć. Obejmuje to na przykład dane osobowe lub informacje uwierzytelniania w przypadku korzystania z jednej stacji roboczej przez kilku użytkowników, oraz kopie zapasowe systemu plików. Aby uzyskać więcej informacji, należy się skontaktować z producentem kontrolera dysku twardego.  

Dostępne są zautomatyzowane rozwiązania w postaci poprawek Microsoft Fix It, które pozwalają skonfigurować zabranianie odczytu i zapisu na urządzeniach wymiennych.
Aby automatycznie rozwiązać ten problem, przejdź do sekcji Automatyczne rozwiązywanie problemu.

Automatyczne rozwiązywanie problemu


Poprawki automatyczne dla systemów Windows 7 i Windows 8



Aby włączyć lub wyłączyć tę poprawkę automatyczną, należy kliknąć przycisk lub łącze Fix it w obszarze nagłówka Włącz lub Wyłącz. Następnie należy kliknąć przycisk Uruchom w oknie dialogowym Pobieranie pliku i wykonać kroki kreatora rozwiązywania problemu.
WłączWyłącz

Poprawki automatyczne dla systemu Windows Vista


Aby włączyć lub wyłączyć tę poprawkę automatyczną, należy kliknąć przycisk lub łącze Fix it w obszarze nagłówka Włącz lub Wyłącz. Następnie należy kliknąć przycisk Uruchom w oknie dialogowym Pobieranie pliku i wykonać kroki kreatora rozwiązywania problemu.
WłączWyłącz
Uwagi
  • Kreatorzy mogą być dostępni tylko w języku angielskim. Jednak te poprawki automatyczne działają również w innych wersjach językowych systemu Windows.
  • Jeśli używany komputer nie jest tym, którego dotyczy problem, można zapisać tę poprawkę automatyczną na dysku flash lub dysku CD i uruchomić ją na odpowiednim komputerze.

Często zadawane pytania


  • Dlaczego w systemie Windows obowiązują inne zasady dla różnych nośników magazynowania?
    System Windows obsługuje wiele urządzeń magazynujących — od tradycyjnych dysków stałych, takich jak dyski twarde i SSD, po dyski wymienne, takie jak karty SD i pamięci flash USB. Obsługa wielu urządzeń magazynujących pozwala klientom na korzystanie z systemu Windows w wielu scenariuszach obejmujących liczne urządzenia zgodne z tym systemem. Obejmuje to urządzenia, takie jak aparaty, telefony komórkowe. System Windows zapewnia kompleksową obsługę dla wszystkich scenariuszy wykorzystania i urządzeń w różnorodnych środowiskach — od zastosowań domowych, przez małe firmy, po wdrożenia korporacyjne.

    Dostosowanie systemu Windows do różnorodnych scenariuszy wymaga zrozumienia wymagań i priorytetów powiązanych z każdym z nich. Obejmują one liczne zagadnienia, takie jak łatwość obsługi, bezpieczeństwo, możliwości zarządzania i inne funkcje. Stąd też wynikają różnice w zarządzaniu różnymi kategoriami urządzeń magazynujących pod kątem zabezpieczeń. Jest to uzależnione od wielu czynników obejmujących środowisko, w którym urządzenie jest zastosowane (na przykład dom lub firma), i to, czy urządzenie będzie współużytkowane z wieloma innymi urządzeniami. Mogą to być urządzenia, które nie działają w oparciu o systemu Windows. 
  • Jaka jest przyczyna tego problemu?
    Zasady zabezpieczeń różnią się dla poszczególnych typów nośników magazynujących (tradycyjne dyski stałe i urządzenia wymienne).

    Domyślnie dostęp do danych zapisanych na tradycyjnym dysku twardym jest ograniczony przez systemowe listy kontroli dostępu i wymaga podwyższonego poziomu uprawnień. Zapewnia to odpowiedni poziom zabezpieczeń w różnych środowiskach. Takie rozwiązanie umożliwia pracę w systemach z jednym użytkownikiem lub z wieloma użytkownikami. W przypadku większości komputerów na dysku twardym są przechowywane ważne informacje, takie jak system operacyjny, a listy kontroli dostępu są używane do wymagania poświadczeń administracyjnych podczas dostępu do danych. System Windows zapewnia różne narzędzia do zarządzania, które w razie potrzeby umożliwiają szczegółową kontrolę nad tymi zasadami. Obejmują one funkcję BitLocker, Zasady grupy i dodatkowe listy kontroli dostępu. Użytkownicy bez uprawnień administratora nie mogą uruchamiać na dyskach twardych narzędzi poziomu woluminu, takich jak formatowanie, ani uzyskiwać bezpośredniego dostępu na poziomie bloku do zawartości systemu plików.  

    Natomiast nośniki wymienne są przeznaczone głównie do przenoszenia danych między różnymi urządzeniami. Obejmują one sprzęt elektroniczny oraz urządzenia, które nie działają w oparciu o system Windows, takie jak aparaty i telefony komórkowe. Domyślnie dostęp do danych zapisanych na nośniku wymiennym nie wymaga podwyższonego poziomu uprawnień. Takie nośniki są zwykle powiązane ze sprzętem elektronicznym. Dane zapisane na takich urządzeniach powinny być łatwo dostępne, a zarządzanie nimi nie powinno być kłopotliwe. Jeśli na przykład system plików na urządzeniu wymiennym ulegnie uszkodzeniu, każdy użytkownik może uruchomić narzędzie chkdsk, aby spróbować go naprawić. W środowiskach, w których są wymagane bardziej rygorystyczne zabezpieczenia, klienci mogą wdrożyć dodatkowe rozwiązania uniemożliwiające dostęp do nośników wymiennych lub wprowadzające wymóg szyfrowania wszystkich takich urządzeń. W ten sposób można ograniczyć używanie nośników wymiennych w ramach wymagań zabezpieczeń.
  • Jak sprawdzić, czy dana konfiguracja jest zagrożona?
    Użytkownicy mogą sprawdzić, czy w ich środowiskach są zainstalowane urządzenia wymienne, przy użyciu ikony szybkiego dostępu „Bezpieczne usuwanie sprzętu” w obszarze powiadomień. Każde urządzenie wymienione w tym menu jest oznaczone jako „wymienne”.

    Lista urządzeń wymiennych jest też dostępna w Panelu sterowania. Można na przykład otworzyć obszar Wszystkie elementy Panelu sterowania, otworzyć sekcję Urządzenia i drukarki, a następnie kliknąć kartę Urządzenia.

    W sekcji Jak sprawdzić, czy ten problem może wystąpić w danym środowisku zawarto więcej informacji na temat używania programu Windows PowerShell do sprawdzania, czy konfiguracja jest zagrożona.
  • Które systemy operacyjne Windows w konfiguracjach domyślnych są zagrożone tym problemem?
    Ten problem może wystąpić w domyślnych konfiguracjach systemów Windows Vista, Windows 7 i Windows 8.
  • Jakie potencjalne ryzyko jest związane z użyciem Zasad grupy do wdrożenia kontroli zapisu i odczytu na nośnikach wymiennych? 
    Ograniczenie dostępu do wymiennych urządzeń magazynujących przy użyciu Zasad grupy może spowodować problemy z niektórymi aplikacjami. Aplikacje mogą też wymagać podwyższonego poziomu uprawnień. Na przykład oprogramowanie do obsługi kopii zapasowych może nie tworzyć kopii danych z urządzeń wymiennych lub nie zapisywać kopii na takich nośnikach. Również aktywności związane ze sprawdzaniem stanu dysku (chkdsk) i formatowaniem będą wymagały podwyższonego poziomu uprawnień. Może to powodować awarie oprogramowania do zarządzania i obsługi dysków uruchamianego w trybie ograniczonego działania.
  • Jakie potencjalne ryzyko wiąże się z włączeniem funkcji BitLocker?
    BitLocker stanowi zalecane rozwiązanie do zabezpieczania danych na urządzeniach wymiennych. Korzystanie z tego rozwiązania może w małym stopniu zmniejszyć wydajność systemu podczas szyfrowania i odszyfrowywania danych. 
  • Do czego osoba atakująca może wykorzystać tę lukę w zabezpieczeniach?
    Osoba atakująca bez uprawnień administracyjnych może uzyskać dostęp do dysku z możliwością odczytu i zapisu niezależnie od tego, czy jest lokalnym administratorem. W ten sposób taka osoba może uzyskać pełną kontrolę na urządzeniem i systemem plików. Może to doprowadzić do ujawnienia poufnych informacji.

Podziękowania



Firma Microsoft dziękuje następującym osobom za pomoc w ochronie klientów:



  • George Georgiev Valkov — za współpracę w ramach tego tematu.