Come nascondere il volume completo?

Question

Utilizzando Windows Server 2003 in un ambiente multiutente (tramite Desktop remoto, utilizzandolo come server applicativo), come montare un volume (preferibilmente crittografato) in un modo che non venga visualizzato sul desktop di nessun altro utente?

Approcci provati e falliti:

• modifica dei diritti utente: la visualizzazione del volume montato non può essere modificata.

• Bestcrypt/truecrypt.Entrambi visualizzano il volume per un amministratore locale

Answer 1

Ti sarà difficile trovare una soluzione per il tuo problema esatto.I punti di montaggio delle unità non vengono archiviati a livello utente (afaik).È possibile utilizzare un paio di soluzioni alternative la cui sicurezza non è garantita:

1. nascondere l'accesso a determinate lettere di unità in base ai criteri di gruppo.Non molto sicuro, facile da risolvere.
2. Non montare un volume separato:utilizza la crittografia NTFS e imposta semplicemente le autorizzazioni di sicurezza su determinate cartelle.

C'è qualche motivo particolare per cui deve essere un intero disco?Se stai cercando di evitare di consentire all'amministratore locale di avere i diritti su un'unità locale, sei praticamente sfortunato a meno che non utilizzi una soluzione di terze parti che probabilmente fallirà in modo orribile.Puoi manipolare qualcosa con Criteri di gruppo per impedire l'accesso dell'amministratore locale, ma sarà difficile e soggetto a errori.

Se l'obiettivo desiderato è avere cartelle (o volumi) separati a cui altri utenti non possono accedere, archiviare i file su un server remoto.In questo modo gli amministratori locali sul server delle applicazioni non possono accedere arbitrariamente alle cartelle di altre persone.(A meno che non dispongano dei diritti di amministratore di dominio o di amministratore aziendale) È possibile configurare un'unica grande unità di rete e avere diverse cartelle utente su di essa, ciascuna crittografata utilizzando NTFS/altra soluzione e avere diritti di lettura/scrittura solo per quel singolo utente.

Answer 2

C'è una chiave nel registro che viene utilizzata per nascondere le unità mappate.

Se desideri impedire la visualizzazione di qualsiasi combinazione di unità in Risorse del computer

Aggiungi il valore binario di "NoDrives" nel registro in

"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"

Ecco la tabella di tutti i valori (nota che puoi sommare valori per nascondere più unità, inoltre il valore è di tipo binario ma deve essere inserito in formato esadecimale, quindi se sommi alcune unità, preparati per un po' di matematica esadecimale .):

A 1 00 00 00
B 2 00 00 00
C 4 00 00 00
D 8 00 00 00
E 16 00 00 00
F 32 00 00 00
G 64 00 00 00
H 128 00 00 00
I 00 1 00 00
J 00 2 00 00
K 00 4 00 00
L 00 8 00 00
M 00 16 00 00
N 00 32 00 00
O 00 64 00 00
P 00 128 00 00
Q 00 00 1 00
R 00 00 2 00
S 00 00 4 00
T 00 00 8 00
U 00 00 16 00
V 00 00 32 00
W 00 00 64 00
X 00 00 128 00
Y 00 00 00 1
Z 00 00 00 2

Answer 3

Anche se le lettere delle unità sono nascoste, i volumi sono ancora accessibili a meno che non si modifichino gli ACL sul filesystem stesso, perché è così sgradevole?

Answer 4

NTFS supporta il montaggio di volumi all'interno delle directory.

Esempio: invece di montare un'unità esterna come D:, puoi montarlo sotto C:\mountedVolumes\externalHardDrive

È quindi possibile utilizzare gli ACL nella cartella principale (mountedVolumes) per impedire ad utenti diversi da te di accedervi.Se non riescono ad accedere alla cartella, non possono accedere all'unità o vedere che è lì.Sembra proprio una cartella che non possono aprire.

Nota:Ciò presuppone che tu disponga dei diritti amministrativi (almeno per la prima volta che lo configuri) e che altre persone no (quindi non possono semplicemente assumerne la proprietà mountedVolumes ed entrare comunque nel vialetto)