简介
我们发现,详细信息和工具可用于访问可移动设备上的文件。这些工具可绕过 Microsoft Windows 非服务器分发上的 NTFS 文件权限。此问题可能会影响内部磁盘、标记为可移动的固定磁盘以及外部介质,例如 USB、Firewire、E-SATA、SD 及其他可移动介质。我们了解到,存在这样一些情况:对于某些存储控制器上的磁盘,不论其物理位置位于计算机机箱之内还是之外,也不论该磁盘使用何种连接类型,都可能会标记为“可移动”。
此问题不会影响主系统卷(即,目前从中运行 Windows 的设备)。
主要存在风险的是默认配置受到影响的系统。例如,这包括运行 Windows Vista、Windows 7 和 Windows 8 的多个系统磁盘。
更多信息
如何判断系统环境是否受到影响
-
打开提升的命令提示符窗口。为此,请单击“开始”,键入 CMD,右键单击“Cmd.exe”,然后单击“以管理员身份运行”。
-
在提升的命令提示符下键入以下命令,然后按 Enter:
Powershell
-
在 Powershell 命令提示符处键入以下命令:
Get-WmiObject -Class Win32_DiskDrive | Format-Table Name,Model, MediaType
上述脚本将返回类似以下内容的输出:
|
名称 |
型号 |
介质类型 |
|---|---|---|
|
\\.\PHYSICALDRIVE0 |
ST31000528AS |
固定硬盘介质 |
|
\\.\PHYSICALDRIVE3 |
WD Ext HDD 1021 USB Device |
外部硬盘介质 |
|
\\.\PHYSICALDRIVE4 |
Corsair Voyager 3.0 USB Device |
可移动介质 |
如果返回的介质类型为“可移动”或“外部硬盘介质”,则配置已受到本文所述问题的影响。
解决方案
我们建议想要为标记为“可移动”的辅助磁盘保留操作系统级磁盘权限的客户执行以下强化步骤:
-
启用 Microsoft Bitlocker(推荐)。
启用可移动设备或介质的读写访问权限控件
若要启用可移动设备或介质的读写访问权限控件,请执行以下步骤:
-
按 Windows 键 + R,打开“运行”菜单。
-
键入 MMC.exe,然后按 Enter 键。
-
在“文件”菜单上,单击“添加/删除管理单元(CTRL+M)”,然后选择“组策略对象编辑器”。单击“确定”。
-
单击“浏览”,单击“用户”选项卡,然后双击“非管理员”。
-
单击“完成”,然后单击“确定”。
-
在导航窗格中,依次展开“本地计算机\非管理员策略”、“用户配置”、“管理模板”、“系统”,然后单击“可移动存储访问”。
-
双击“所有可移动存储类: 拒绝所有权限”,然后单击选中“已启用”选项。
-
单击“应用”,然后单击“确定”。
如果无法执行这些强化步骤,我们建议您不要在受影响的磁盘或设备上保存敏感信息。例如,不要在不同用户共享工作站或任何文件系统备份的位置保存个人或身份验证信息。有关更多信息,请与磁盘控制器硬件制造商联系。
自动 Microsoft Fix It 解决方案也可自动将系统配置为禁用对可移动设备的读写访问权限。
若要让我们为您修复此问题,请转到“帮我修复此问题”部分。
帮我修复此问题
适用于 Windows 7 或 Windows 8 的 Fix it 解决方案
若要启用或禁用此 fixit 解决方案,请单击“启用”标题或“禁用”标题下方的“修复此问题”按钮或链接。单击“文件下载”对话框中的“运行”,然后按照 Fix it 向导中的步骤执行操作。
|
启用 |
禁用 |
|---|---|
适用于 Windows Vista 的 Fix it 解决方案
若要启用或禁用此 fixit 解决方案,请单击“启用”标题或“禁用”标题下方的“修复此问题”按钮或链接。单击“文件下载”对话框中的“运行”,然后按照 Fix it 向导中的步骤执行操作。
|
启用 |
禁用 |
|---|---|
注意
-
这些向导可能只提供英文版本。但是自动修复功能同样适用于其他语言版本的 Windows。
-
如果操作的计算机中未出现此问题,则可以将自动修复功能保存至闪存驱动器或 CD,然后在出现此问题的计算机中运行该功能。
FAQ
-
Windows 为何对不同类型的存储介质设有不同的安全策略?
Windows 支持多种存储设备,包括硬盘驱动器和固态驱动器等传统固定磁盘,以及 SD 卡和 USB 闪存驱动器等可移动磁盘。为多种存储设备提供支持能够让客户在多种场景下将 Windows 与兼容 Windows 的丰富硬件生态系统配合使用。这包括摄像头、手机等消费者设备。从家庭到小型企业再到企业,Windows 跨所有部署了 Windows 的不同环境为所有上述场景和设备提供了出色的端到端体验。
将 Windows 设计为支持这些不同的场景,则需要理解与每个场景关联的各种需求和优先级。这需要考虑一系列事项,例如易用性、安全、可管理性及其他功能。因此,从安全角度,特定存储设备类别的管理方式存在差异。这反映在许多因素中。包括设备使用的环境(例如主要作为家用还是用在企业环境中),以及设备是否要放置在不同设备中使用。还包括设备是否基于 Windows。 -
导致问题的原因是什么?
安全策略中的主要区别在于传统、固定磁盘和可移动磁盘之间。
默认情况下,对存储在传统硬盘上的数据访问受限于系统访问控制列表 (ACL),需要提升管理权限。这一点跨不同环境提供了合适的安全级别。它会考虑单用户系统和多用户系统的情况。在大多数 PC 上,硬盘时保存操作系统等重要数据的地方,而 ACL 需要提升的管理凭据才能访问此数据。Windows 提供了不同的可管理性工具,以使此策略以更详细的方式受控(如有必要)。这包括 Bitlocker、组策略和其他 ACL。在硬盘上,非管理用户无法运行格式等卷级工具,对文件系统的内容也没有直接块级访问权限。
与此相反,可移动介质主要设计为在不同设备之间传输。包括消费电子设备及摄像头和手机等不基于 Windows 的设备。默认情况下,访问存储在可移动介质上的数据不需要提升的管理权限。这些设备通常是与消费电子设备关联的。您必须确保这些设备上的数据易于访问和管理。例如,某可移动设备上的文件系统受损,任何用户都可以运行 chkdsk 并尝试修复该损坏。在重点需要保证额外安全性的环境中,客户可以实施额外的控制,以阻止对可移动介质的访问或加密所有可移动介质。作为安全需求的一部分,这会限制可移动介质的使用。 -
我如何确定我的配置是否容易受到攻击?
用户可以使用桌面通知区域的“安全删除硬件”快速访问图标确定其环境中是否存在可移动设备。如果此菜单中列出设备,则说明该设备已标记为“可移动”。
用户还可以在控制面板中访问可移动设备列表。例如,打开“所有控制面板项”,打开“设备和打印机”,然后单击“设备”选项卡。
请参阅“如何判断系统环境是否受到影响”部分,了解有关如何使用 Windows PowerShell 判断配置是否受到攻击的详细信息。 -
哪些 Windows 操作系统的默认配置会受到影响?
Windows Vista、Windows 7 和 Windows 8 中的默认配置会受到影响。 -
通过组策略执行可移动介质的读写访问权限存在哪些潜在风险?
通过组策略限制对可移动存储设备的访问可能会导致某些应用程序启动失败或需要提升的权限。例如,您的备份软件可能不会将备份执行到可移动设备,或者不会从可移动设备执行备份。类似,任何检查磁盘 (chkdsk) 或格式磁盘类型的活动都会需要管理权限。这可能会导致磁盘管理和操作软件在受限运行模式下出现问题。 -
Bitlocker 有哪些潜在风险?
Bitlocker 是对可移动设备提供数据安全性的推荐解决方案。使用 Bitlocker 后,会导致在加密和解密数据时出现较低程度的性能降低。 -
攻击者可能会使用该漏洞执行哪些操作?
具有非管理访问权限的攻击者可以对磁盘进行读或写操作,不论其是否为本地管理员。攻击者会拥有对设备和文件系统的任意读写访问权限。这会导致有目的的信息泄露。
鸣谢
Microsoft 对以下人士在客户保护方面提供的合作与帮助表示由衷的感谢:
-
在此问题上与我们合作的 George Georgiev Valkov。
