GIỚI THIỆU
Chúng tôi được biết thông tin chi tiết và các công cụ có thể được sử dụng để truy cập các tập tin trên thiết bị di động. Các công cụ này có thể bỏ qua quyền tệp NTFS trên máy chủ phân phối của Microsoft Windows. Chúng tôi được biết vấn đề này có thể ảnh hưởng đến ổ đĩa nội bộ, khắc phục ổ đĩa được đánh dấu là phương tiện di động và cũng bên ngoài như USB, Firewire, E-SATA, SD, và phương tiện di động khác. Chúng tôi sẽ biết được những tình huống trong đó đĩa trên các bộ điều khiển lưu trữ có thể được đánh dấu là "di động" bất kể vị trí vật lý bên trong hoặc bên ngoài vỏ máy tính hoặc các loại kết nối được sử dụng đĩa.
Sự cố này không ảnh hưởng đến ổ đĩa hệ thống chính (tức là, thiết bị mà Windows hiện đang chạy).
Hệ thống bị ảnh hưởng trong một cấu hình mặc định là chủ yếu nguy. Ví dụ, điều này bao gồm hệ thống nhiều đĩa đang chạy Windows Vista, Windows 7 và Windows 8.
Thông tin
Cách nhận biết môi trường của bạn bị ảnh hưởng
-
Mở một cửa sổ dấu nhắc lệnh nâng cao. Để thực hiện việc này, bấm bắt đầu, nhập CMD, bấm chuột phải vào Cmd.exevà sau đó nhấp vào chạy như quản trị viên.
-
Nhập lệnh sau tại dấu nhắc lệnh nâng cao, và sau đó nhấn Enter:
PowerShell
-
Gõ lệnh sau tại dấu nhắc Windows PowerShell:
Get-WmiObject-lớp Win32_DiskDrive | Định dạng bảng mẫu, MediaType
Tập lệnh này sẽ trả về kết quả tương tự như sau:
|
Tên |
Mô hình |
MediaType |
|---|---|---|
|
\\.\PHYSICALDRIVE0 |
ST31000528AS |
Phương tiện truyền thông đĩa cứng cố định |
|
\\.\PHYSICALDRIVE3 |
Thiết bị USB WD máy lẻ ổ cứng 1021 |
Ổ cứng ngoài phương tiện |
|
\\.\PHYSICALDRIVE4 |
Thiết bị Voyager 3.0 USB Corsair |
Phương tiện di động |
Nếu MediaType được trả về là "Phương tiện di động" hoặc "ổ cứng ngoài phương tiện", cấu hình bị ảnh hưởng bởi sự cố được ghi lại trong bài viết này.
Giải pháp
Chúng tôi khuyên bạn nên khách hàng muốn giữ quyền cấp hệ điều hành đĩa cho đĩa thứ cấp được đánh dấu là "di động" thực hiện một trong các bước cứng sau:
-
Kích hoạt Microsoft Bitlocker (được khuyến nghị).
-
Cho phép điều khiển để đọc và ghi vào thiết bị di động hoặc phương tiện.
Kích hoạt điều khiển để đọc và ghi tới thiết bị di động hoặc phương tiện
Để kích hoạt điều khiển để đọc và ghi tới thiết bị di động hoặc phương tiện, hãy làm theo các bước sau:
-
Nhấn phím Windows và R để mở menu chạy .
-
Loại MMC.exe, và sau đó nhấn Enter.
-
Trên menu tệp , bấm thêm / loại bỏ phần đính vào (CTRL + M), và sau đó chọn Chỉnh sửa đối tượng chính sách Nhóm. Bấm OK.
-
Bấm trình duyệt, nhấp vào tab người dùng và sau đó bấm đúp Non-quản trị viên.
-
Bấm kết thúc, và sau đó bấm OK.
-
Trong ngăn điều hướng, mở rộng Chính sách Computer\Non-quản trị viên cục bộ, bung rộng Cấu hình người dùng, bung rộng Khuôn mẫu quản trị, mở rộng hệ thốngvà sau đó bấm Lưu bộ nhớ truy cập.
-
Bấm đúp vào tất cả các lớp lưu trữ di động: từ chối truy cập tất cả, sau đó bấm chọn kích hoạt .
-
Bấm áp dụng, và sau đó bấm OK.
Nếu bạn không thể thực hiện các bước cứng, chúng tôi khuyên bạn không lưu trữ thông tin nhạy cảm trên thiết bị hoặc đĩa bị ảnh hưởng. Ví dụ: không lưu trữ thông tin cá nhân hoặc xác thực khi người dùng chia sẻ máy trạm hoặc bất kỳ bản sao lưu của tệp hệ thống. Để biết thêm thông tin, hãy liên hệ với nhà sản xuất phần cứng bộ điều khiển đĩa của bạn.
Microsoft Fix It giải pháp tự động có sẵn để tự động cấu hình hệ thống không cho phép đọc và ghi tới thiết bị di động.
Để giúp chúng tôi khắc phục sự cố này cho bạn, hãy đi tới phần "Khắc phục sự cố cho tôi".
Khắc phục sự cố cho tôi
Giải pháp Fix it Windows 7 hoặc Windows 8
Để kích hoạt hoặc vô hiệu hóa giải pháp khắc phục này, bấm khắc phục sự cố nút hoặc liên kết bên dưới tiêu đề kích hoạt hoặc dưới tiêu đề vô hiệu hoá . Bấm Chạy trong hộp thoại Tải xuống tệp, và sau đó làm theo các bước trong trình hướng dẫn Khắc phục sự cố.
|
Kích hoạt |
Tắt |
|---|---|
Giải pháp Fix it cho Windows Vista
Để kích hoạt hoặc vô hiệu hóa giải pháp khắc phục này, bấm khắc phục sự cố nút hoặc liên kết bên dưới tiêu đề kích hoạt hoặc dưới tiêu đề vô hiệu hoá . Bấm Chạy trong hộp thoại Tải xuống tệp, và sau đó làm theo các bước trong trình hướng dẫn Khắc phục sự cố.
|
Kích hoạt |
Tắt |
|---|---|
Lưu ý:
-
Thuật sỹ này có bằng tiếng Anh chỉ. Tuy nhiên, bản vá tự động cũng hoạt động đối với các phiên bản ngôn ngữ khác của Windows.
-
Nếu bạn không sử dụng máy tính có sự cố, bạn có thể lưu khắc phục sự cố tự động vào ổ đĩa flash hoặc CD và sau đó chạy trên máy tính có sự cố.
CÂU HỎI THƯỜNG GẶP
-
Tại sao Windows không có chính sách bảo mật khác nhau cho các loại phương tiện lưu trữ?
Windows hỗ trợ nhiều thiết bị lưu trữ, từ đĩa cố định truyền thống, chẳng hạn như ổ đĩa cứng và ổ trạng thái rắn, ổ đĩa, chẳng hạn như thẻ SD và USB ngón tay cái ổ đĩa. Hỗ trợ nhiều thiết bị lưu trữ cho phép khách hàng sử dụng Windows cho nhiều kịch bản cùng với các hệ sinh thái phong phú của phần cứng tương thích với Windows. Điều này bao gồm thiết bị tiêu dùng như máy ảnh, điện thoại di động như vậy. Windows cung cấp một kinh nghiệm tuyệt vời để cuối cho tất cả các trường hợp và thiết bị trên tất cả các môi trường khác nhau mà Windows được triển khai, nhà doanh nghiệp nhỏ cho các doanh nghiệp.
Thiết kế Windows hỗ trợ các trường hợp khác nhau cần tìm hiểu yêu cầu và ưu tiên liên quan đến từng tình huống khác nhau. Điều này bao gồm một loạt các xem xét như dễ sử dụng, bảo mật, ả năng quản lý và tính năng khác. Do đó, có những khác biệt trong cách đặc biệt loại bộ nhớ thiết bị được quản lý từ một bảo mật. Điều này phản ánh nhiều yếu tố. Điều này bao gồm môi trường mà thiết bị sẽ sử dụng (chẳng hạn như ở gia đình và môi trường doanh nghiệp) và xem thiết bị sẽ được sử dụng trong các thiết bị khác nhau. Điều này bao gồm các thiết bị không chạy Windows. -
Nguyên nhân gây ra vấn đề này?
Sự khác biệt chính trong chính sách bảo mật giữa truyền thống cố đĩa và ổ đĩa.
Theo mặc định, truy cập dữ liệu được lưu trữ trên đĩa cứng truyền thống được giới hạn bởi hệ thống truy cập danh sách kiểm soát (ACLs) yêu cầu quyền quản trị nâng cao. Điều này cung cấp một mức độ bảo mật phù hợp trên môi trường khác nhau. Điều này cho phép người dùng một hệ thống và hệ thống đa người dùng. Trong hầu hết các máy tính, ổ đĩa cứng là nơi các dữ liệu quan trọng như hệ điều hành được đặt, và ACLs yêu cầu nâng cao uỷ nhiệm quản trị để truy cập dữ liệu này. Windows cung cấp công cụ ả năng quản lý khác nhau để kích hoạt chính sách này được điều khiển một cách chi tiết hơn nếu cần thiết. Điều này bao gồm Bitlocker, thêm ACLs và chính sách nhóm. Trên đĩa cứng, người dùng quản trị không thể chạy công cụ mức âm lượng, chẳng hạn như định dạng, hoặc sử dụng khối cấp trực tiếp nội dung của hệ thống tệp.
Phương tiện di động, ngược lại, về cơ bản được thiết kế để chuyển giữa các thiết bị khác nhau. Điều này bao gồm các thiết bị điện tử tiêu dùng và thiết bị không chạy Windows, chẳng hạn như máy ảnh và điện thoại di động. Theo mặc định, truy cập dữ liệu được lưu trữ trên phương tiện di động yêu cầu quyền quản trị nâng cao. Các thiết bị thông thường liên quan đến thiết bị điện tử tiêu dùng. Bạn phải đảm bảo rằng dữ liệu trên các thiết bị dễ dàng truy cập và dễ dàng quản lý. Ví dụ: nếu hệ thống tệp trên thiết bị di động bị hỏng, bất kỳ người dùng có thể chạy chkdsk và cố gắng sửa chữa hỏng. Trong môi trường mà thêm bảo mật là một ưu tiên, khách hàng có thể thực hiện thêm điều khiển ngăn truy cập vào phương tiện di động hoặc yêu cầu tất cả phương tiện di động được mã hóa. Điều này giới hạn việc sử dụng các phương tiện di động như một phần của yêu cầu bảo mật. -
Làm thế nào để xác định xem cấu hình của tôi là vulnerable?
Người dùng có thể xác định xem họ có thiết bị di động trong môi trường bằng cách sử dụng biểu tượng truy cập nhanh "Tháo phần cứng" trong vùng thông báo trên màn hình. Nếu thiết bị được liệt kê trong trình đơn này, có nghĩa là rằng nó được đánh dấu là "di động."
Người dùng cũng có thể truy cập danh sách các thiết bị di động trong Pa-nen điều khiển. Ví dụ: mở Tất cả các mục Pa-nen điều khiển, mở thiết bị và máy in, và sau đó nhấp vào tab thiết bị .
Hãy xem phần "cách nhận biết môi trường của bạn bị ảnh hưởng" để biết thêm thông tin về cách sử dụng Windows PowerShell để xác định xem cấu hình của bạn dễ bị. -
Hệ điều hành Windows mà ảnh hưởng trong mặc định configurations?
Windows Vista, Windows 7 và Windows 8 bị ảnh hưởng trong cấu hình mặc định. -
Những rủi ro tiềm năng thực thi đọc và ghi truy cập vào các phương tiện di động thông qua nhóm Policy? là gì
Hạn chế quyền truy cập vào các thiết bị lưu trữ thông qua chính sách nhóm có thể gây ra các ứng dụng khởi động không hoạt động hoặc yêu cầu quyền nâng cao. Ví dụ, phần mềm sao lưu của bạn có thể thực hiện sao lưu hoặc thiết bị di động. Tương tự, bất kỳ kiểm tra đĩa (chkdsk) hoặc định dạng đĩa loại hoạt động sẽ yêu cầu quyền quản trị. Điều này có thể gây ra phần mềm quản lý đĩa và thao tác thất bại trong giới hạn chế độ chạy. -
Rủi ro tiềm năng Bitlocker là gì?
BitLocker là giải pháp được khuyến nghị để bảo mật dữ liệu với các thiết bị di động. Sử dụng Bitlocker sẽ làm giảm hiệu suất nhỏ khi nó được mã hóa và giải mã dữ liệu. -
Những gì có thể kẻ sử dụng các lỗ hổng làm?
Kẻ có quyền truy cập quản trị có thể đọc hoặc ghi vào đĩa bất kể cho dù đó là một quản trị viên cục bộ. Kẻ nào có bất kỳ đọc và ghi truy cập vào các thiết bị và tệp hệ thống. Điều này có thể dẫn đến tiết lộ đích thông tin.
Acknowledgments
Microsoft cảm ơn sau đây để làm việc với chúng tôi để giúp bảo vệ khách hàng:
-
George Georgiev Valkov để làm việc với chúng tôi về vấn đề này.
