V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
imaginefish
V2EX  ›  问与答

想请教各位 v 友们,如何实现给用户提供完整软件运行权限的前提下又禁止其获取本地数据?

  •  
  •   imaginefish · 2021-07-15 12:00:02 +08:00 · 1057 次点击
    这是一个创建于 1228 天前的主题,其中的信息可能已经有所发展或是发生改变。

    目前单位有一台高配置 Windows 主机,存放有一些重要数据,但是这台电脑经常需要提供给临时用户使用。
    现在的需求如下:

    • 提供用户所有已经安装软件的运行权限
    • 禁止用户以任何形式获取本地数据

    个人能想到的获取本地数据的方式有两种,一种是通过网络传输,一种是移动硬盘拷贝。
    目前思路是新建一个 Windows 普通用户,然后通过配置用户策略组加防火墙之类的方式,禁止网络访问和 USB 端口使用,但是不知是否能够具体实现。并且其中还有一个难点,因为某些专业软件的运行需要加密狗( dongle ),所以还必须开放一个 USB 端口给这种特定的 USB 设备。在此向各位 V 友提问,望不吝指教。

    第 1 条附言  ·  2021-07-15 13:30:47 +08:00

    感谢各位回答,正如某些V友提到的,可以通过远程桌面访问,编辑组策略中的设备和资源重定向,具体开启以下策略:

    • 不允许剪贴板重定向
    • 不允许COM端口重定向
    • 不允许驱动器重定向
    • 不允许LPT端口重定向

    但是,有三个问题还是没有解决。第一,没有禁止网络访问,用户可以向外网发送数据,因为是单位网络,无法配置路由器或交换机,但估计可以通过配置防火墙规则实现无法访问外网。第二,某些软件的操作对画面实时要求高,不能有较大延迟,不过单位局域网下估计还好。第三,本意是想用户直接登录一个普通账号,限制相应权限,就能保证数据安全,但是如果远程桌面的话,还要再单独使用一台电脑,或则用户自己带,增加使用成本的同时也闲置了单位这台电脑。

    14 条回复    2021-07-16 22:43:38 +08:00
    muzuiget
        1
    muzuiget  
       2021-07-15 12:04:22 +08:00
    建议不要折腾,直接上虚拟机,或者分点预算再买一台低配物理机专用。
    3dwelcome
        2
    3dwelcome  
       2021-07-15 12:14:35 +08:00
    @muzuiget 估计楼主的意思是,公司的专业软件需要访问本地重要数据,但重要数据不能被用户给复制走。

    虚拟机和物理机貌似都不能解决问题。
    ho121
        3
    ho121  
       2021-07-15 12:17:11 +08:00 via Android
    用远程桌面,限制可以复制到远程主机,但不能从远程主机复制。

    但如果远程主机可以开微信,还是可以漏出去
    Tink
        4
    Tink  
       2021-07-15 13:27:28 +08:00 via Android
    Remote Apps
    imaginefish
        5
    imaginefish  
    OP
       2021-07-15 13:32:07 +08:00
    @3dwelcome 是的,简而言之就是这样的需求,感谢解释
    imaginefish
        6
    imaginefish  
    OP
       2021-07-15 13:32:58 +08:00
    @ho121 是的,还是无法防止用户通过网络向外发送数据
    polaa
        7
    polaa  
       2021-07-15 13:38:40 +08:00
    这不行那不行 干脆旁边站个人看着吧
    Mithril
        8
    Mithril  
       2021-07-15 13:43:04 +08:00
    给他一个专门的 Windows 用户,去掉数据文件夹的访问权限。然后开 EFS 加密。
    如果你担心他用系统服务获取数据,就直接给那个文件夹设置只有你的用户可以访问。
    mingl0280
        9
    mingl0280  
       2021-07-15 13:43:53 +08:00 via Android
    用啥远程桌面,开受限用户啊,然后打开组策略里面的“所有可移动存储类:禁止所有访问”,最后防火墙配好(非管理员用户是无法修改系统防火墙设置的)。最后用个箱子把机箱锁上,里面插好加密狗,只留电源按钮在外面就得了。
    mingl0280
        10
    mingl0280  
       2021-07-15 13:44:37 +08:00 via Android
    对了记得把启动项选择设上密码并删除 WinRE
    imaginefish
        11
    imaginefish  
    OP
       2021-07-15 13:54:58 +08:00
    @mingl0280 哈哈哈哈想到过这种方案,但是没有具体实现过,感谢大佬指教,但是禁止所有可移动存储类访问后,加密狗还能用吗
    imaginefish
        12
    imaginefish  
    OP
       2021-07-15 14:05:14 +08:00
    @Mithril 的确可以这样,但是限制了我们存放数据的位置,使用起来不灵活。并且登录的普通用户如果使用的软件需要访问该数据文件夹,可能就没有权限了,如果有,用户可以通过软件导出到其他位置,然后拿到数据。
    lakehylia
        13
    lakehylia  
       2021-07-15 14:07:55 +08:00   ❤️ 1
    组策略禁止安装软件不就行了。怕用户插盘的话就拿个大箱子锁上。正所谓武功再高也怕菜刀,天灾再强网络异常。
    mingl0280
        14
    mingl0280  
       2021-07-16 22:43:38 +08:00
    @imaginefish 加密狗不是可移动存储类。那个东西一般是智能卡那个类别下的东西。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   906 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 20:21 · PVG 04:21 · LAX 12:21 · JFK 15:21
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.