/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Kun tillade adgang til visse direktorier -~
Fra : Poul Nielsen


Dato : 15-09-06 19:59

ER det muligt at begrænse adgangen således at der kun er adgang til
visse direktorier ?

F.eks. Starte stifinder i et direktorie X således at den alene kan se X
og underdirektorier men ikke nogle direktorier over X?

Env:
- XP - pro
- Workgroup (ikke mulighed for domæne)


Jeg har kigget på RUNAS men kan ikke umiddelbart se hvordan det kan
komme til at virke.
Heller ikke polices ser ud til atdække ?



/ Poul

 
 
Michael Rasmussen (15-09-2006)
Kommentar
Fra : Michael Rasmussen


Dato : 15-09-06 20:58

Poul Nielsen <news@langhuse.dk> wrote:

>ER det muligt at begrænse adgangen således at der kun er adgang til
>visse direktorier ?

>- XP - pro
>- Workgroup (ikke mulighed for domæne)

Heldigt at du har en XP Pro, for i modsætning til Home udgaven kan Pro
nemlig den slags....

Åben en tilfældig folder, gå ind i 'Funktioner' -> 'Mappeindstillinger'
-> 'Vis' -> 'Avancerede Indstillinger'. Der fjerner du fluebenet i 'Brug
enkel fildeling (Anbefales).

Når du herefter åbner 'Egenskaber' for en folder eller mappe, opdager du
et nyt faneblad, 'Sikkerhed' hvor du kan bestemme hvem der har adgang
til filen / mappen.






<mlr>

--

Af alle seksuelle afvigelser er afholdenhed dog den mest besynderlige..

Poul Nielsen (15-09-2006)
Kommentar
Fra : Poul Nielsen


Dato : 15-09-06 21:40

Michael Rasmussen skrev:
> Poul Nielsen <news@langhuse.dk> wrote:
>
>> ER det muligt at begrænse adgangen således at der kun er adgang til
>> visse direktorier ?
>
>> - XP - pro
>> - Workgroup (ikke mulighed for domæne)
>
> Heldigt at du har en XP Pro, for i modsætning til Home udgaven kan Pro
> nemlig den slags....
>
> Åben en tilfældig folder, gå ind i 'Funktioner' -> 'Mappeindstillinger'
> -> 'Vis' -> 'Avancerede Indstillinger'. Der fjerner du fluebenet i 'Brug
> enkel fildeling (Anbefales).
>
> Når du herefter åbner 'Egenskaber' for en folder eller mappe, opdager du
> et nyt faneblad, 'Sikkerhed' hvor du kan bestemme hvem der har adgang
> til filen / mappen.
>
> <mlr>
>

Tak - det var ikke let at se at man skulle klikke på en "tilfældig"
option i mappeindstillinger.

Det virker næsten men:

Kan man køre et shortcut med RUNAS/kørSom - uden at skulle taste
password ind ?
RUNAS/kørSom kræver password.
Altså kan man forud definere et shortcut så det bare kan aktiveres ?

Poul

Alex Holst (15-09-2006)
Kommentar
Fra : Alex Holst


Dato : 15-09-06 22:38

Poul Nielsen wrote:
> Kan man køre et shortcut med RUNAS/kørSom - uden at skulle taste
> password ind ?
> RUNAS/kørSom kræver password.
> Altså kan man forud definere et shortcut så det bare kan aktiveres ?

Nej.

Når jeg læser dette indlæg og dit forrige vil jeg næsten vædde en plade
chokolade på, at du har opfundet en unødvendigt kompleks løsning på en eller
anden situation. Har jeg vundet?

Lars Kim Lund (15-09-2006)
Kommentar
Fra : Lars Kim Lund


Dato : 15-09-06 22:53

Alex Holst <a@mongers.org> wrote:

>> Kan man køre et shortcut med RUNAS/kørSom - uden at skulle taste
>> password ind ?
>> RUNAS/kørSom kræver password.
>> Altså kan man forud definere et shortcut så det bare kan aktiveres ?
>
>Nej.

runas /savecred

--
Lars Kim Lund
http://www.net-faq.dk/

Alex Holst (17-09-2006)
Kommentar
Fra : Alex Holst


Dato : 17-09-06 11:50

Lars Kim Lund wrote:
> Alex Holst <a@mongers.org> wrote:
>
>>> Kan man køre et shortcut med RUNAS/kørSom - uden at skulle taste
>>> password ind ?
>>> RUNAS/kørSom kræver password.
>>> Altså kan man forud definere et shortcut så det bare kan aktiveres ?
>> Nej.
>
> runas /savecred
>

Orv, ja. Dén havde jeg glemt.


Poul Nielsen (17-09-2006)
Kommentar
Fra : Poul Nielsen


Dato : 17-09-06 09:38

Alex Holst skrev:
> Poul Nielsen wrote:
>> Kan man køre et shortcut med RUNAS/kørSom - uden at skulle taste
>> password ind ?
>> RUNAS/kørSom kræver password.
>> Altså kan man forud definere et shortcut så det bare kan aktiveres ?
>
> Nej.
>
> Når jeg læser dette indlæg og dit forrige vil jeg næsten vædde en plade
> chokolade på, at du har opfundet en unødvendigt kompleks løsning på en
> eller anden situation. Har jeg vundet?

Måske - men så kom med en simplere løsning

Vi kører en application hvor vi vil tillade brugeren at starte visse
windows applicationer. F.eks. Notepad.
- det er så et krav at brugeren kun må navigere i et subtræ. (hvis du i
openFile i notepad browser ud af subtræet kan du faktisk starte andre
programmer (idet notepad jo nedarver brugerrettigheder fra vores
application).

RUNAS tillader at programmet afvikles som en anden meget begrænset
bruger - så "runas /savecred" vil gøre det muligt at oprette et
shortcut som opfylder ovenstående krav.


Hvad er den simplere løsning du tænker på ?


Alex Holst (17-09-2006)
Kommentar
Fra : Alex Holst


Dato : 17-09-06 12:03

Poul Nielsen wrote:
> Vi kører en application hvor vi vil tillade brugeren at starte visse
> windows applicationer. F.eks. Notepad.

Kan du uddybe situationen? Måske er Software Restriction Policies en løsning,
eller måske er filrettigheder. Hvad er det basale problem? Er der data som
brugeren ikke må tilgå? Er der programmer som brugeren ikke må køre?


Poul Nielsen (17-09-2006)
Kommentar
Fra : Poul Nielsen


Dato : 17-09-06 22:08

Alex Holst skrev:
> Poul Nielsen wrote:
>> Vi kører en application hvor vi vil tillade brugeren at starte visse
>> windows applicationer. F.eks. Notepad.
>
> Kan du uddybe situationen? Måske er Software Restriction Policies en
> løsning, eller måske er filrettigheder. Hvad er det basale problem? Er
> der data som brugeren ikke må tilgå? Er der programmer som brugeren ikke
> må køre?
>

Der skal
1) være begrænsninger i adgang til filer
2) kun adgang til visse programmer som findes på en drop-down menu i en
applikation
(bemærk der derudover er blokeret for alt adgang til XP, startmenu m.m)

1) løses v.h.a. speciel bruger som kun har adgang til en "sandkasse",
ingen læse/skrive/eksekverings adgang til andre direktorier.
2) løses ved at hardkode kommandoerne og eksekvere dem v.h.a. runas,
herved køres kommandoerne uden den startende applikations privilegier.


Er der sikkerhedshuller ved at gøre dette ?

Allan Olesen (17-09-2006)
Kommentar
Fra : Allan Olesen


Dato : 17-09-06 22:56

Poul Nielsen wrote:

> 2) løses ved at hardkode kommandoerne og eksekvere dem v.h.a. runas,

Er der en grund til, at man ikke bare logger ind som den meget
upriviligerede bruger og kører programmerne?

Det lyder i mine ører lidt bagvendt at bruge runas til at nedgradere
sine rettigheder, men der kan naturligvis være en god grund.

--
Allan Olesen

Poul Nielsen (18-09-2006)
Kommentar
Fra : Poul Nielsen


Dato : 18-09-06 19:26

Allan Olesen skrev:
> Poul Nielsen wrote:
>
>> 2) løses ved at hardkode kommandoerne og eksekvere dem v.h.a. runas,
>
> Er der en grund til, at man ikke bare logger ind som den meget
> upriviligerede bruger og kører programmerne?
>
> Det lyder i mine ører lidt bagvendt at bruge runas til at nedgradere
> sine rettigheder, men der kan naturligvis være en god grund.
>

Ja grunden er at brugeren kun har adgang til vores application som
kræver visse privilegier.
Det kan ikke tillades at vores application stopper.

Nu er det svært at sige nej til at PC-en ikke også kan bruges til lidt
normalt PC arbejde.
Det er derfor nødvendigt at give kontrolleret adgang til visse
programmer/direktorier.


Allan Olesen (19-09-2006)
Kommentar
Fra : Allan Olesen


Dato : 19-09-06 01:02

Poul Nielsen wrote:
> Ja grunden er at brugeren kun har adgang til vores application som
> kræver visse privilegier.
> Det kan ikke tillades at vores application stopper.

Det lyder stadig lidt bagvendt. Var det ikke lettere at begrænse
brugerens rettigheder og derefter lade ham køre, hvad han vil/kan.

Jeres applikation kan jo så bare køres med en anden brugers rettigheder.

--
Allan Olesen

Alex Holst (19-09-2006)
Kommentar
Fra : Alex Holst


Dato : 19-09-06 02:04

Poul Nielsen wrote:
> 1) løses v.h.a. speciel bruger som kun har adgang til en "sandkasse",
> ingen læse/skrive/eksekverings adgang til andre direktorier.
> 2) løses ved at hardkode kommandoerne og eksekvere dem v.h.a. runas,
> herved køres kommandoerne uden den startende applikations privilegier.
>
>
> Er der sikkerhedshuller ved at gøre dette ?

Jeg ville lade personen logge ind som den bruger I ønsker, i stedet for at lege
med RunAs.

Jeg ville udskifte brugerens explorer.exe shell til fordel for jeres applikation
(eller whiteliste nogle få applikationer i Software Restriction Policies) så
brugeren ikke *kan* starte andet.


Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408921
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste