win123 Napisano 22 Maja 2014 Zgłoś Napisano 22 Maja 2014 Witam,Czy w Windows 7 Professional istnieje mozliwosc zarzadzania uprawnieniami w ten sposob, aby modyfikacje dotyczyly wybranego programu, np TrueCrypt zainstalowanego w systmie. Generalnie chodzi o to, aby utworzyć dwa konta typu Administrator z tym, że jedno konto powinno mieć ograniczone prawa. Administrator z ograniczonymi prawami powinien, nie mieć możliwości zmiany hasla w oprogramowaniu TrueCrypt. Czy da sie cos takiego zrobic ? Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
Dijkstra Napisano 22 Maja 2014 Zgłoś Napisano 22 Maja 2014 Hasło w truecrypt to nie hasło, tylko sól do funkcji szyfrującej dysk/kontener. Funkcja jakie konto ma uprawnienia do ponownego szyfrowania musiałaby być funkcją truecrypt'a, nie systemu. Workaround #1 - jakiś na stałe działający skrypt w tle, który monitoruje odpalone procesy i jeżeli zobaczy proces truecrypta z parametrami wskazującymi, że jest to usiłowanie zmiany szyfrowania hasła, ubija go. Straszna rzeźba i zawodne to będzie. Workaround #2 - nie dajesz userowi front-ednu truecrypta - piszesz skrypt, który startuje ze schedulera na koncie głównego admina i montuje truecryptową zawartość używając hasła przechowywanego w secure-stringu, utworzonym na koncie głównego admina - wówczas tylko główny admin może odszyfrować secure-stringa i najsłabszym ogniwem jest jego hasło. Drugi so called admin w ogóle nie zna hasła truecrypta. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
win123 Napisano 23 Maja 2014 Zgłoś Napisano 23 Maja 2014 Czesc,Dzieki za odpowiedz, ale:- czy da się utworzyć konto głównego admina oraz admina z ograniczonymi uprawnieniami ? czy te dwa konta będa mialy takie same prawa ? obawiam sie tego, ze drugi admin moze zablokowac tego pierwszego, ktory zablokowal truecrypta, potem moze byc problem z dostaniem sie do systemu,- drugi admin musi znać hasło truecrypta, ponieważ podczas uruchamiania systemu pojawia sie boot loader truecrypta, ktory wymaga podania hasla, bez tego system sie nie uruchomi, wazne jest tylko to, zeby tego hasla nie mogl zmienic, Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
Dijkstra Napisano 23 Maja 2014 Zgłoś Napisano 23 Maja 2014 W win7 professional masz przystawkę gpedit.msc - za jej pomocą możesz ograniczać uprawnienia do kolejnych komponentów systemu. Ogólnie zacząłbym od przygotowania grupy dla drugiego usera - prawie administratora i tej grupie odpowiednio zwiększać uprawnienia, zamiast pojedynczemu użytkownikowi z grupy administratorów je obniżać. Nie będzie to proste i będzie wymagało min. zmiany ACL katalogów części katalogów systemowych (bo tylko administratorzy mają do nich dostęp). Zacząłbym od testów na jakiejś maszynie wirtualnej po snapshocie, bo bardzo łatwo zrobić kuku, które później będziesz odkręcał kilkadziesiąt minut z konsoli awaryjnej. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
