Comment masquer le volume complet?

Question

En utilisant Windows Server 2003 dans un environnement multi-utilisateur (via Remote Desktop, en l'utilisant comme serveur d'applications), comment monter un volume (de préférence crypté) d'une manière qui n'apparaîtra pas sur le bureau d'un autre utilisateur?

Essayé, et l'échec des approches:

• peaufinage droits d'utilisateur -display de volume monté ne peuvent pas être modifiés.

• Bestcrypt/truecrypt. Les deux affichent le volume pour un administrateur local

Answer 1

Vous allez avoir de la difficulté à trouver une solution à votre problème exact. Les points de montage du lecteur ne sont pas stockés au niveau de l'utilisateur (afaik). Vous pouvez utiliser certaines solutions de contournement dont la sécurité n'est pas garantie:

1. Masquer l'accès à certaines lettres de lecteur en fonction de la stratégie de groupe. Pas très sécurisé, facile à contourner.
2. Ne montez pas un volume séparé: utilisez le cryptage NTFS et définissez simplement des autorisations de sécurité sur certains dossiers.

Y at-il une raison particulière pour que ce soit un lecteur entier? Si vous essayez d'éviter de laisser l'administrateur local avoir des droits sur un disque local, vous n'avez pas vraiment de chance, à moins d'utiliser une solution tierce qui va probablement aller jusqu'à l'échec. Vous pouvez truquer quelque chose avec la stratégie de groupe pour interdire l'accès administrateur local, mais cela va être difficile et sujet aux erreurs.

Si votre objectif est d'avoir des dossiers (ou volumes) distincts auxquels les autres utilisateurs ne peuvent accéder, stockez les fichiers sur un serveur distant. De cette façon, les administrateurs locaux sur le serveur d'applications ne peuvent pas accéder arbitrairement aux dossiers d'autres utilisateurs. (À moins qu'ils n'aient les droits Administrateur de domaine ou Admin d'entreprise) Vous pouvez configurer un seul grand lecteur réseau et avoir différents dossiers utilisateur, chacun crypté à l'aide de NTFS/autre solution et avoir seulement des droits de lecture/écriture pour cet utilisateur.

Answer 2

Il existe une clé dans le Registre qui est utilisée pour masquer les lecteurs mappés.

Si vous voulez arrêter toute combinaison de disques apparaissant dans Poste

Ajouter la valeur binaire de 'NoDrives' dans le registre à

« HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer »

Voici le tableau de toutes les valeurs (Notez que vous pouvez ajouter des valeurs à cacher plusieurs lecteurs, aussi la valeur est de type binaire, mais doit être entré en hexadécimal, donc si vous ajoutez un quelques disques, Préparez-vous pour un petit calcul mathématique.):

A 1 00 00 00 
B 2 00 00 00 
C 4 00 00 00 
D 8 00 00 00 
E 16 00 00 00 
F 32 00 00 00 
G 64 00 00 00 
H 128 00 00 00 
I 00 1 00 00 
J 00 2 00 00 
K 00 4 00 00 
L 00 8 00 00 
M 00 16 00 00 
N 00 32 00 00 
O 00 64 00 00 
P 00 128 00 00 
Q 00 00 1 00 
R 00 00 2 00 
S 00 00 4 00 
T 00 00 8 00 
U 00 00 16 00 
V 00 00 32 00 
W 00 00 64 00 
X 00 00 128 00 
Y 00 00 00 1 
Z 00 00 00 2 

Answer 3

Même si les lettres de lecteurs sont cachées - les volumes sont toujours accessibles à moins que vous ne modifiiez les ACL sur le système de fichiers lui-même - pourquoi est-ce si désagréable?

Answer 4

NTFS prend en charge les volumes de montage dans les répertoires.

Exemple - au lieu de monter un lecteur externe comme D:, vous pouvez le monter sous C:\mountedVolumes\externalHardDrive

Vous pouvez ensuite utiliser ACL sur le dossier parent (mountedVolumes) pour empêcher les utilisateurs autres que vous d'y accéder. S'ils ne peuvent pas entrer dans le dossier, ils ne peuvent pas entrer dans le lecteur, ou voir qu'il est là. Cela ressemble à un dossier qu'ils ne peuvent pas ouvrir. Remarque: Cela suppose que vous disposez des droits d'administration (au moins pour la première fois) et que les autres utilisateurs ne le sont pas (ils ne peuvent donc pas prendre en charge mountedVolumes et entrer dans le lecteur de toute façon).