Empêcher l'accès au lecteur C sur les systèmes Windows
Est-il possible d'empêcher les utilisateurs réguliers d'accéder au lecteur C via Windows Explorer? Ils devraient être autorisés à exécuter certains programmes. Cela consiste à garantir que les employés ne puissent pas voler ni copier des logiciels propriétaires, même s'ils devraient pouvoir l'exécuter.
Une solution serait de changer l'option dans la stratégie de groupe Windows et de définir la "coquille" à autre chose que "explorateur.exe". Je cherche un paramètre Windows similaire qui masque le lecteur C ou empêche d'autre chose.
Il est possible d'utiliser des stratégies de groupe pour masquer des lecteurs spécifiques dans mon ordinateur, l'Explorateur Windows et les mécanismes de navigation de fichier similaires ( article Microsoft sur celui-ci ici ).
Cela fait longtemps que j'ai vu cela implémenté, mais à l'époque, il y avait généralement une solution autour de la restriction, ce type de contrôle empêcherait l'accès occasionnel, mais n'arrêterait pas une attaquante déterminée.
En fin de compte, il est assez difficile d'arrêter quelqu'un qui a un accès légitime pour exécuter un fichier de pouvoir le lire, surtout s'il a accès au matériel qui exécute le fichier.
Une solution, qui peut être couverte ici, mais pourrait être utile si le code est aussi précieux, il suffit de permettre à l'utilisateur un client mince (je pense que Citrix ou similaire) afin de ne jamais exécuter le code localement, seulement voir l'écran Vues et sortie.
Il dispose également d'une gamme d'autres avantages utiles, non seulement de limiter le mouvement des informations sensibles, mais permettant de contrôler fortement l'accès, le correctif, la gestion des capacités, etc.
Je suis d'accord avec les roryes. Il est très difficile de permettre à quelqu'un d'exécuter ou de lire des données sans en avoir en même temps de leur donner la capacité (intrinsèquement ou par des moyens implémentés par l'utilisateur) de la copier. L'accès physique ne fait que casser la plupart des mesures de sécurité à court de cryptage au repos.
Cela dit, les suggestions d'utiliser des politiques de groupe et/ou des clients minces sont de bonnes idées - en particulier de ce dernier. Dans tous les cas, vous ne devriez pas chercher à verrouiller un lecteur entier - en particulier un si critique que c:\- s'il ne s'agit que de certaines données sur ce lecteur qui nécessite une protection. Verrouiller le C:\lecteur dans son ensemble entraînera probablement plus de problèmes et de maux de tête que de résoudre.
Si vous préférez verrouiller un lecteur entier, créez une partition séparée spécifiquement pour le logiciel propriétaire et installez-la là-bas. Ensuite, vous pouvez verrouiller la deuxième partition autant que vous le souhaitez sans interférer avec l'accès de l'utilisateur à des fichiers de programme critiques ou non sensibles.