Comment empêcher les utilisateurs non administrateurs de voir les codes de script dans c: \ alors qu'ils peuvent toujours les utiliser?

0

J'ai une machine Windows 7 Ultimate avec certains utilisateurs avec et sans privilèges administratifs. Des fichiers de commandes confidentiels et des packages LaTeX confidentiels se trouvent dans certains répertoires de c:\. Seuls les utilisateurs dotés de privilèges administratifs sont autorisés à voir ces codes confidentiels. Les utilisateurs sans privilèges administratifs sont uniquement autorisés à les utiliser.

Comment empêcher les utilisateurs non-administrateurs de voir les codes de script confidentiels c:\alors qu'ils peuvent encore les utiliser?

embrasse mon aisselle
la source
6
Je ne pense pas que vous puissiez faire ce que vous décrivez. Pour exécuter un programme, un utilisateur doit avoir l'autorisation de lire le fichier pour le charger en mémoire / l'exécuter.
Darth Android
@DarthAndroid: Pourquoi ne pas simplement cacher ces fichiers pour qu'ils ne puissent toujours pas lire les fichiers de commandes confidentiels? Mes fichiers batch contiennent un code confidentiel qui appelle des programmes confidentiels en coulisse.
Embrasse mon aisselle
2
Il semble que vous ayez un problème XY . Qu'est-ce que vous essayez vraiment de faire?
kinokijuf
1
@GarbageCollector Déplacez tout le code confidentiel vers un autre système sécurisé sur le réseau et ne le laissez jamais être envoyé à un système contrôlé par l'utilisateur. Actuellement, vous ignorez la règle n ° 1 en matière de sécurité: si je peux toucher physiquement une machine, je peux, avec le temps, accéder à toutes les informations qui s'y trouvent . Si vous laissez les informations sur le système utilisé, elles ne sont pas du tout confidentielles.
Darth Android

Réponses:

3

Vous essayez de contrôler séparément deux privilèges:

  • Exécuter un fichier batch spécifique
  • Afficher le contenu d'un fichier de commandes spécifique

Sur un seul ordinateur, ces deux privilèges sont essentiellement indissociables: vous ne pouvez pas laisser une personne exécuter un fichier de commandes à moins d’avoir une permission de lecture dessus, et s’ils ont cette permission, ils peuvent toujours l’ouvrir dans le Bloc-notes ou un autre éditeur de texte.

Comme Darth Android le suggère, pour faire ce que vous demandez, vous devez introduire un intermédiaire entre l'utilisateur et les fichiers de commandes. Il s'agirait d'un ordinateur séparé qui ne serait pas sous le contrôle de l'utilisateur, mais l'utilisateur serait autorisé à demander à l'intermédiaire d'exécuter des fichiers de commandes en son nom.

Une analogie est la façon dont j'effectue des transferts d'argent avec ma banque. Je dois pouvoir effectuer ces virements, mais si la banque me donnait accès à sa base de données pour que je puisse virer les fonds moi-même, ce serait vraiment un problème de sécurité!

Au lieu de cela, la banque me donne un site Web auquel je peux me connecter. Une fois connecté, je peux demander au site Web d'effectuer des transferts en mon nom. Le site Web sait que je suis autorisé à demander des virements de fonds, mais il sait également que je ne suis pas autorisé à voir les informations des comptes que je ne possède pas.

Stephen Jennings
la source