WindowsシステムでのCドライブへのアクセスを禁止する
通常のユーザーがWindowsエクスプローラーを介してCドライブにアクセスできないようにすることはできますか?特定のプログラムの実行を許可する必要があります。これは、従業員がプロプライエタリソフトウェアを実行できるはずなのに、それを盗んだりコピーしたりできないようにするためです。
1つの方法は、Windowsのグループポリシーのオプションを変更し、「シェル」を「Explorer.exe」以外のものに設定することです。 Cドライブを非表示にするか、さもなければ簡単なアクセスを妨げる同様のWindows設定を探しています。
グループポリシーを使用して、マイコンピューター、Windowsエクスプローラー、および同様のファイル参照メカニズムで特定のドライブを非表示にすることができます( Microsoftの記事 )。
これが実装されたのは久しぶりですが、当時は通常、制限を回避する方法があったため、この種の制御は偶発的なアクセスを防ぎますが、攻撃者を阻止することはできません。
最終的に、ファイルを実行するための正当なアクセス権を持つユーザーがファイルを読み取ることができないようにすることは、特にファイルを実行しているハードウェアへのアクセス権がある場合は非常に困難です。
ここでは範囲外となる可能性がありますが、コードが価値がある場合に役立つ可能性のあるソリューションは、ユーザーにシンクライアントのみを許可することです(Citrixなどを考えています)。ビューと出力。
機密情報の移動を制限するだけでなく、アクセス、パッチ適用、容量管理などの強力な制御を可能にする他のさまざまな有用な利点もあります。
私はロリーズに同意します。誰かがデータを(本質的にまたはユーザーが実装した手段を介して)コピーする能力を与えずに実行または読み取ることを許可することは非常に困難です。物理的アクセスは特に、保管時の暗号化以外のほとんどのセキュリティ対策を破ります。
とはいえ、グループポリシーやシンクライアントを使用することの提案はどちらも良いアイデアです。特に後者はそうです。いずれの場合も、保護が必要なのがドライブ上の特定のデータのみである場合は、ドライブ全体(特にC:\のように非常に重要なドライブ)をロックダウンしないでください。 C:\ドライブ全体をロックダウンすると、解決するよりも多くの問題と頭痛が発生する可能性があります。
ドライブ全体をロックしたい場合は、専用のソフトウェア専用に別のパーティションを作成し、そこにインストールします。次に、重要なOSまたは機密性の低いプログラムファイルへのユーザーのアクセスを妨げることなく、2番目のパーティションを必要なだけロックダウンできます。