Я створюю резервну копію мого системного розділу Windows за допомогою розкладу резервного копіювання Macrium Reflect 6. Програмне забезпечення додає запис до планувальників завдань Windows, і резервне копіювання, як правило, працює без проблем. Оскільки місце резервного копіювання - це папка на завжди встановленому жорсткому диску - F:\Files-, я ризикую пошкодженням резервної копії, якщо мій комп'ютер заразиться (тобто, вимога програмного забезпечення), перш ніж я можу скопіювати файли на зовнішній диск. Щоб вирішити це, ось що я зробив:

• Я використовую ПК як стандартний (не адміністратор) обліковий запис
• Я правою кнопкою миші натиснув папку резервного копіювання, перейшов до Властивості >> Безпека >> Редагувати дозволи та натиснув " Заборонити " під дозволом "Написати" для користувачів, які належать до Usersгрупи.

Моя мета - зробити неможливим для користувачів, які не користуються адміністратором, - а отже, і більшості зловмисних програм - замінити або пошкодити файли резервного копіювання. Обмеження набрало чинності так, як я очікував: наприклад, мені зараз потрібно ввести пароль адміністратора, якщо я хочу написати файл F:\Files. Проблема полягає в тому, що завдання резервного копіювання зараз не працює. У користувальницькому інтерфейсі Macrium ось помилка, яку я бачу:

Backup aborted! - None of the specified locations could be written to

Я здивований цією помилкою, тому що я думаю, що завдання встановлено для роботи в якості облікового запису адміністратора; коли я встановлював завдання резервного копіювання в Macrium, мені було явно запитано, який обліковий запис користувача слід використовувати, і ввести пароль цього користувача, щоб я вибрав Admin. Як результат, я очікував, що програмне забезпечення не матиме проблем із записом у папку резервного копіювання навіть після того, як я відкликав дозволи на запис від не-адміністраторів. Якщо я відкрию Планувальник завдань і перегляну деталі завдання, ось що відображається у розділі Параметри безпеки:

Як бачите, завдання виконується як Admin. Автор завдання (не показаний на скріншоті) також Admin. Дія завдання:

C:\...\Reflect.exe 
   -e -w "F:\Files\Schedule.xml" -inc -g {some long token here}

Я щось переглядаю чи це помилка з моїм програмним забезпеченням для резервного копіювання? Останній результат запуску планувальник завдань показує просто(0x1)

Після подальшого розслідування я виявив, що якщо я ввійду як Adminі спробую записати файл у папку з обмеженими можливостями, я не можу. Забороняючи писати perm для Usersгрупи, також відмовили в Adminобліковому записі. Це, мабуть, причина моєї роботи з резервного копіювання. Зображення нижче показує ефективні дозволи для Adminпісля того, як я заборонить Usersгрупувати дозволи на запис .

Я також виявив, що хоча заблоковані облікові записи не можуть зберегти новий файл у папку, вони все одно можуть видалити вже наявні файли. Тому я все ще був уразливим до зловмисного програмного забезпечення, яке видаляло ці файли. Мені були потрібні більш обмежувальні дозволи. Мені також потрібно знайти спосіб заборонити perms для всіх користувачів, які не є адміністраторами, але дозволити це адміністраторам.

Ось що я зробив

Замість того, щоб відмовити у дозволі для всієї Usersгрупи, я вирішив спробувати відмовити у дозволі лише на той обліковий запис, яким я користуюся щодня.

На екрані Властивості папки (клацніть папку правою кнопкою миші та виберіть Властивості):

1. клацніть Advanced
2. клацніть Change Permissions
3. клацніть Add
4. введіть ім’я користувача облікового запису, яке я хочу обмежити
5. клацніть Check Names: повністю кваліфіковане ім'я користувача (наприклад MyPC\John:) має автоматично заповнити текстову область
6. клацніть OK
7. Спливаюче вікно, яке дозволяє поступово встановлювати дозволи для вибраних користувачів, має відкритися. Ось що я зробив зі своїм:

Найголовніше, я заперечував усі дозволи на запис , видалення , зміну та отримання прав власності . Зараз, здається, все працює за призначенням. За допомогою свого щоденного облікового запису я не можу ні писати, ні видаляти файли в папці резервного копіювання. Однак Adminя можу зробити і те, і інше. Щойно успішно виконано резервну копію вручну, тому все здається нормальним. Я завтра знаю, чи заплановане завдання проходить без проблем.

Це все ще не виправлення, яке я шукаю

Що б я хотів, це обмеження для всіх користувачів, які не є адміністраторами. Моє рішення блокує лише одного не-адміністратора - MyPC\John- але якщо був створений інший профіль, який не є адміністратором (а може, навіть якщо мій ім'я користувача змінилося?), Обмеження будуть відхилені Я шукаю щось ближче до захисту в C:\Program Filesкаталозі: мені завжди заборонено вносити зміни там, якщо я не адміністратор.

Замість того, щоб намагатися блокувати певні облікові записи користувачів, просто надайте дозволи тим обліковим записам, для яких потрібно виконати завдання резервного копіювання. Ви можете дозволити виконувати завдання резервного копіювання всій групі адміністраторів або лише певні адміністративні акаунти. Іншими словами, немає жодної причини ЗАБЕЗПЕЧИТИ будь-який обліковий запис або групу облікових записів, тому що їм вже буде відмовлено, якщо в списку дозволів не буде запису, який надає їм доступ.

Що відбувається? (Частина 1)

"Заперечувати" дуже небезпечно. Якщо користувач / процес має дозвіл "дозволити" і "заборонити", йому заборонено доступ. Проблема тут полягає в тому, що ваш обліковий запис адміністратора є прихованим членом групи користувачів. Це можна побачити, якщо ви запустите whoami/groupsз командного рядка, який працює як адміністратор. (Ви можете знайти результат більш читабельним, якщо ви введете whoami/groups /fo list.) Я кажу, що він «приховано є членом групи користувачів», тому що я знайшов два-три інші способи перевірити, хто є в яких групах, і вони цього не показали користувач адміністратора знаходиться в групі Користувачі.

Що відбувається? (Частина 2)

Погляньте докладніше на дозволи в каталозі. Я знайшов це для кореневого каталогу свого C:диска:

"Автентифіковані користувачі" мають великий доступ!

Що робити?

Використовуйте відповідь kreemoweet . Але спочатку з’ясуйте, для чого ви маєте дозвіл на написання F:\Files. Подивіться на його дозволи , і ті, що входять до кореневого каталогу, F:\. Знайдіть записи "Усі" та "Автентифіковані користувачі" та знайдіть запис, який дає вам дозвіл на запис (через встановлені прапорці "Дозволити") і зніміть їх. Не встановлюйте прапорці "Заборонити".

Дозвольте мені розширити це. Ви, ймовірно, знайдете запис контролю доступу, F:\Files який дає вам доступ до запису. Якщо це "<не успадковано>", ви зможете редагувати його безпосередньо. Якщо він говорить про те, що він переданий у спадок F:\, ви, ймовірно, виявите, що ви можете встановити прапорці, які є порожніми, але ви не зможете зняти жодне з тих, що вже перевірені (і вони позначені сірим кольором, щоб вказати на це). Зніміть прапорець у полі "Включити успадковані дозволи від батьківського об'єкта":

Якщо ви отримуєте спливаюче вікно, як це:

виберіть "Додати". Тепер ви повинні побачити, що всі записи дозволу F:\Files є копіями записів, які раніше не були "успадкованими" . Тепер ви зможете повністю та вільно редагувати ці дозволи та зніміть прапорці з поля, що дає вам доступ до запису.

Потім, коли ви вимкнули доступ для запису для користувачів, які не є адміністраторами, увійдіть (до того ж ACL; тобто для  F:\Files) та додайте запис, щоб надати доступ до запису до групи «Адміністратори».

Альтернативу
я цього не пробував, але: окрім облікового запису "Адміністратор", який ви створили при першому завантаженні в Windows, є вбудований обліковий запис під назвою "Адміністратор", який вимкнено та приховано за замовчуванням. Інструкції щодо розкриття та ввімкнення його легко знайти тут, на Super User та в інших місцях. Ви можете виявити, що "Адміністратор" не є членом групи Користувачі, і ви можете запускати резервну копію як "Адміністратор". Але спробуйте спершу відповідь kreemoweet ; Я не знаю, чи спрацює цей.