Чи є вікна, еквівалентні chroot?

24

У системі * nix я можу використовувати chroot, щоб виділити два процеси один від одного та від решти системи. Чи є подібна система безпеки під вікнами? Або є спосіб запобігти читання / запис файлів один одному у два процеси?

windows  windows-server-2008  security  chroot 
Ладья
джерело
1
Я не впевнений, що тег безпеки тут є гарантованим. kerneltrap.org/Linux/Abusing_chroot
MDMarra
1
@The Rook - У цій дискусії з ядром розробники ядра обговорюють той факт, що chroot ніколи не мав бути пристроєм безпеки /
MDMarra
1
@ The Rook - Так, я просто сказав, що ви можете перефразувати питання. Були розширення для chroot або крутиться на концепції (як тюрем), які були розроблені з урахуванням безпеки. У своїй публікації ви посилаєтесь на chroot як на захисний пристрій, яким він ніколи не мав бути.
MDMarra
1
@Nathan Adams Я згоден, але "безпека в шарах".
Грак
1
Схоже , я запитав що - то досить подібне тут . Вам коли-небудь вдалося налаштувати це на Windows Server? Відповідь, яку ви прийняли, ні пояснює, як це зробити, ні говорить, що це неможливо ...
RomanSt

Відповіді:

5

Я не впевнений, що ви отримаєте що-небудь на Windows шляхом хронізації - у вас є особлива потреба?

У випадку, якщо будь-який найкращий результат у Google є http://www.winquota.com/wj/ .

Можливо, віртуалізація додатків може бути варіантом? Microsoft має про це сказати наступне:

У фізичному середовищі кожен додаток залежить від своєї ОС для різноманітних послуг, включаючи розподіл пам'яті, драйвери пристроїв та багато іншого. Несумісність програми та її операційної системи може бути усунена за допомогою віртуалізації сервера або віртуалізації презентації; але для несумісності між двома програмами, встановленими в одному екземплярі ОС, потрібна віртуалізація додатків.

Джон Роудс
джерело
5
Один із моїх процесів був погано написаний і дуже небезпечний, керівництво не хоче цього виправляти, оскільки це було б "занадто дорого". Я очікую, що цим процесом згодом стане власність, і я хочу обмежити вплив на мою систему. Якщо ви дійсно вірите, що виграти нічого, тоді ви повинні прочитати більше про хрооти.
Грак
1
@Rook Оскільки в Windows ви можете мати права доступу, відірвані від макета файлової системи. Ваше грудне побиття в розділі коментарів цієї відповіді відсторонено, тобто такий підхід більшість людей застосовує для ізоляції частин файлової системи від процесу, який не має права доступу до неї; просто дайте користувачеві процес запускається під доступом до підмножини файлової системи та послуг, які йому потрібні.
Асад Саедюддін
@Asad Saeeduddin Якщо говорити про файлові системи, чи не віконця лише автозапуск невірених виконуваних файлів, знайдених на USB-накопичувачах ? Який рік?
Грак
У мене є особлива потреба, не пов’язана з безпекою - ця програма, яку я переношу, очікує, що вона буде працювати у власній кореневій файловій системі, і для її коректного використання поточних каталогів потрібно буде зробити великі зусилля. На щастя, файлова система працює незалежно - у Windows вона просто розповсюдиться через корінь будь-якого диска, на якому вона працює. Якби я міг просто "псевдонімувати" кореневу діру в Windows до якогось підкаталогу, було б набагато чіткіше і простіше відслідковувати, отже, хочу chroot.
Фонд позову Моніки
2

Я б нічого подібного не використовував, ти працюєш під партнером Windows.

NTFS має найдокладніші права доступу, які ви можете знайти. Не важко дозволити програмі починати роботу з нижчим привілейованим користувачем і лише надавати цьому користувачеві доступ до файлів цієї єдиної програми.

Не потрібно використовувати щось на кшталт chroot, що не є інструментом захисту, коли вже можна визначити, якому користувачеві дозволяється робити те, що в якому каталозі.

Це не відрізняється від того, як давати Apache під Linux власному користувачеві, лише дозволяючи працювати всередині його папок.

Гаразд Докі
джерело
2
Це правильна відповідь, чому chroot не потрібен
Jim B
@rook, тоді вони не змогли виконати інформацію про BPSAD та PTH для усунення золотих атак на квитки. Наскільки я знаю, що тільки досі працює над бордюром на основі nix.
Джим Б
@Jim B компартменталізація може здаватися іноземною на платформі, яка регулярно надає адміністративні права на браузер, базу даних та веб-сервер. однак пісочниці - це дуже важливий глибокий захист, незалежно від платформи.
Грач
@rook, я думаю, що ви плутаєте права з ізоляцією, Windows ізолює процеси за замовчуванням. Процеси можуть отримувати доступ / інтегруватися до іншого процесу або впливати на нього лише за наявності дозволу.
Джим Б
@JimB, я не думаю (тому, якщо я повністю не зрозумів твій коментар). Наприклад, запуск процесу в Windows 7 не дає запиту про безпеку, після чого процес може прочитати 90% вашого накопичувача, не запитуючи про це будь-який системний процес. Тільки якщо вона намагається змінити, скажімо, "C: \ Program Files", тоді ОС може ляпати зап'ястями, але це не безпека.
dimitarvp
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.