这是一个创建于 1385 天前的主题,其中的信息可能已经有所发展或是发生改变。
最近越来越多的 Windows 国产软件被报告扫描用户隐私文件。我了解了一下大家的保护方法,感觉都有缺点:
- 安装杀毒软件 —— 日常软件不安全问题变成了杀毒软件不安全问题
- 沙盒 —— 功能强但运行效率有损、部分软件不兼容
- 虚拟机 —— 功能强大、兼容性强,但性能太低、很繁琐
于是我想到 Windows 自带的多用户安全机制,可以实现文件访问隐私保护:
- 首先通过
net user $restricted_username $password /add创建新受限用户 - 确保分区的文件系统是 NTFS,为隐私文件(夹)添加权限规则,禁止
$restricted_username读写访问(%userprofile%用户根目录默认只有该用户和管理员可以完全控制,可以不用管) - 对需要限制的应用程序执行
runas /user:$restricted_username $apppath来访问
可以试试创建一个受限用户并保护关键文件夹,使用受限用户运行记事本试试!我试验成功了~ 记事本无法访问的无权限的文件
如果大家实验效果理想或出了问题可以回复一下宝贵意见,不知道这招实不实用?
 |
1
oott123 2021-01-23 21:14:42 +08:00
很实用,推荐配合 《在 Windows 上隔离 app:以百度云管家为例》 https://geelaw.blog/entries/isolate-app/ 一文所述的方法一起用
|
 |
2
kawaiidora 2021-01-23 22:18:34 +08:00
呃,windows defender 有一项功能叫“文件夹限制访问”,用户目录下的文件夹都默认在里面。我又增加了 AppData,不知道够不够用。
例如 git 在读取项目的.git 文件夹后会先被拦截一次,允许后就没问题。 QQ 会在一开始尝试读取 Documents,没同意,后来尝试读取 Documents\Tencent Files 再放行。QQ 也能运行。 |
 |
3
slrey 2021-01-23 22:27:20 +08:00
不但可行。我再提供一条思路:windows 自带的防火墙其实也很好用。有些软件,我不想让它联网,直接弄个禁止出站连接就完了。
再配上文件夹权限。基本安全。我现在就是这么办的。 |
 |
4
chroming 2021-01-23 22:36:31 +08:00 via iPhone
一直想在 mac 下这么用,似乎做不到
|
 |
5
Kiriya 2021-01-23 22:46:50 +08:00
但是某些流氓软件会以驱动的形式利用 system 账户权限
|
 |
7
getadoggie 2021-01-25 00:38:42 +08:00
很好,但有些流氓软件不给管理员权限不给用,这个方法就没用了?
|
 |
8
LittleboyHarry OP @getadoggie 开个受限的管理员账号,然后给待保护文件权限设置该账号拉黑也可以的。Win 拒绝权限规则会高于允许规则。
不过如果具有管理员权限的应用能修改权限配置或者使用一些很 hack 的 API 来读取那也无能为力了~ |
Select Language