Bestimmte Ordner für ein Programm sperren?

so_la_la

Lieutenant
Dabei seit
Feb. 2014
Beiträge
749
Hallo,
ich möchte nicht, dass bestimmte Programme Zugriff auf bestimmte Ordner erhalten. Also ich möchte einfach nur, dass ein Programm nicht auf E:/Eigene Dateien/Ordnersowieso zugreifen kann.
Ich möchte hier eine Funktion anwenden, die es bei W10 so ähnlich gibt, aber dort kann man nur für Nutzer nicht für Programme den Zugriff verbieten. Windows gewährt standardmäßig allen Programmen Zugriff, die es für vertrauenswürdig erachtet, und welche das sind ist leider nicht klar.
 

Drakonomikon

Commander
Dabei seit
Okt. 2005
Beiträge
2.263
Das geht nur mit einer Sandbox. Google mal ein bisschen in die Richtung, da wirst du was finden.
 

Twostone

Captain
Dabei seit
Dez. 2013
Beiträge
3.846
Das Programm kann man auch als anderer Nutzer ausführen (lassen), dann ist es nur eine Frage, ob man die Berechtigungen für Datei-/Ordnerzugriffe sinnvoll vergeben hat.
 

Andreas_

Commander
Dabei seit
Jan. 2017
Beiträge
2.084
Windows gewährt standardmäßig allen Programmen Zugriff, die es für vertrauenswürdig erachtet, und welche das sind ist leider nicht klar.
Das ist Unsinn. Die Rechte-Verwaltung erfolgt ausschließlich auf Benutzer-Ebene. Welche Rechte ein Programm hat, bestimmt sich durch den Benutzeraccount mit dem das Programm ausgeführt wird.

Du könntest dementsprechend ein Benutzerkonto einrichten, welches keinen Zugriff auf die fraglichen Verzeichnisse hat und Dein Programm mit diesem Benutzer ausführen.

Was Du verlinkt hast, ist eine Erweiterung der Antiviren-Lösung von Microsoft:
Hinweis: Die Zugriffsrechte des Ordners werden nicht verändert. Im Grunde verwaltet Windows nur eine Whitelist, welche Anwendungen Schreibzugriff auf die geschützten Ordner erhalten.
Aus meiner Sicht ist es nicht sinnvoll, Zugriffsrechte für genutzte Anwendungen mittels Virenschutz einzuschränken ... zumal dies ja für alle Programme gilt, die nicht auf der Whitelist stehen und nicht nur für eine Anwendung.
 
Zuletzt bearbeitet:

so_la_la

Lieutenant
Ersteller dieses Themas
Dabei seit
Feb. 2014
Beiträge
749
Hallo,
Das geht nur mit einer Sandbox. Google mal ein bisschen in die Richtung, da wirst du was finden.
Das soll ja demnächst Standard werden. Leider nicht für das eher spärlich ausgestattete Netbook mit 32bit Windows...
Das Programm kann man auch als anderer Nutzer ausführen (lassen), dann ist es nur eine Frage, ob man die Berechtigungen für Datei-/Ordnerzugriffe sinnvoll vergeben hat.
Das ist Unsinn. Die Rechte-Verwaltung erfolgt ausschließlich auf Benutzer-Ebene. Welche Rechte ein Programm hat, bestimmt sich durch den Benutzeraccount mit dem das Programm ausgeführt wird.
Also die Lösung wäre, einen neuen Nutzer zu erstellen, der dann auf dieses Verzeichnis nicht zugreifen darf.
Aus meiner Sicht ist es nicht sinnvoll, Zugriffsrechte für genutzte Anwendungen mittels Virenschutz einzuschränken ... zumal dies ja für alle Programme gilt, die nicht auf der Whitelist stehen und nicht nur für eine Anwendung.
Konkret geht es hier um Adobe Digital Editions, was nach dem englischen Wikipedia-Eintrag eine Liste aller E-Books unverschlüsselt an Adobe übermittelt.
Ergänzung ()

Ich hoffe, ich habe jetzt alles richtig gemacht. Ich habe die Berechtigungen den Benutzern entzogen, ich selber bin ja Administrator und kann immer noch lesen. Allerdings wußte ich nicht, daß wirklich jede Datei getrennt behandelt wird. Bei 10gb PDFs ist das schon eine lange Dauer.
 
Zuletzt bearbeitet:

cumulonimbus8

Admiral
Dabei seit
Apr. 2012
Beiträge
9.860
..? Rechte auf die Ordner wo die PFDs sind wären wohl logischer.

Muss aber der zugriff Kreuz und Quer erlaubt und verboten sein - herzlichen Glückwunsch jede Datei anfassen zu müssen.
Wie wäre es mal mit Ordnern??!

CN8
 

so_la_la

Lieutenant
Ersteller dieses Themas
Dabei seit
Feb. 2014
Beiträge
749

Drakonomikon

Commander
Dabei seit
Okt. 2005
Beiträge
2.263
Das mit den Benutzerrechten habe ich mit Absicht nicht genannt. Prinzipiell stimmt das, allerdings gibt es unzählige Wege wie Programme dies umgehen können. Im Falle von Adobe kann es leicht mit den Diensten und Hintergrundprozessen umgangen werden die als System gestartet werden.

Du könntest aber die Kommunikation des Programms einfach verhindern, wenn es darum geht dass Adobe nichs hochladen soll. Der Klassiker wäre hier die Anfragen auf locahost umzuleiten (C:\Windows\System32\drivers\etc\hosts). Allerdings ist das auch nicht narrensicher.
 

cumulonimbus8

Admiral
Dabei seit
Apr. 2012
Beiträge
9.860
Ich wäre ein wenig überrascht, wenn ich auf Inhalte eines Ordners zugreifen kann auf denjenigen selbst ich nicht zugreifen kann.

Ich kenne deine Struktur nicht, aber wenn ich auf viele Dateien nicht zugreifen soll, dann… tue ich die in einen Sack und mache nur einmal den Sack zu. Bildlich gesprochen.

CN8

PS, @Drakonomikon
Wie differenziert die Methode denn zwischen einzelnen Dateien?
 

Drakonomikon

Commander
Dabei seit
Okt. 2005
Beiträge
2.263
Was meinst du?
 

Twostone

Captain
Dabei seit
Dez. 2013
Beiträge
3.846

cumulonimbus8

Admiral
Dabei seit
Apr. 2012
Beiträge
9.860
Was ich meine?
Du könntest aber die Kommunikation des Programms einfach verhindern, wenn es darum geht dass Adobe nichs hochladen soll
Wenn ich ein Programm beschränke erwische ich sämtlliche Datein die zu ihm gehören. Hier aber sollte doch Datei für Datei ein Ausschluss stattfinden?!
CN8
 

so_la_la

Lieutenant
Ersteller dieses Themas
Dabei seit
Feb. 2014
Beiträge
749
Hallo, ich bin dem Vorschlag gefolgt, und habe das Programm von einem Nutzer mit eingeschränkten Rechten ausführen lassen. Ich habe im Autostart nachgeschaut, da war nix von Adobe drin, insofern müsste dies sicher sein. Ist jetzt auch nicht so, dass ich dieses Programm ständig laufen habe, aber generell wollte ich mal darüber Bescheid wissen. Vielen Dank allerseits!
 

Drakonomikon

Commander
Dabei seit
Okt. 2005
Beiträge
2.263
Adobe startet seinen Update Service (AdobeARMservice) über das lokale Konto, sprich mit dem Konto mit dem du dich anmeldest. Das bedeutet auch, dass dieser Prozess sämtliche Zugriffe hat falls dein Konto ein Konto mit Adminrechten ist.

AdobeARM ist zudem noch in der Aufgabenplanung enthalten und startet ebenfalls sobald du dich einloggst.

Je nach dem wie sensibel deine Daten sind würde ich das überdenken. Die Zugriffsbeschränkung durch Benutzerrechte können leicht umgangen werden. Da müssen nicht mal kriminelle Absichten hinter stehen.
 

so_la_la

Lieutenant
Ersteller dieses Themas
Dabei seit
Feb. 2014
Beiträge
749
Adobe startet seinen Update Service (AdobeARMservice) über das lokale Konto, sprich mit dem Konto mit dem du dich anmeldest. Das bedeutet auch, dass dieser Prozess sämtliche Zugriffe hat falls dein Konto ein Konto mit Adminrechten ist.

AdobeARM ist zudem noch in der Aufgabenplanung enthalten und startet ebenfalls sobald du dich einloggst.

Je nach dem wie sensibel deine Daten sind würde ich das überdenken. Die Zugriffsbeschränkung durch Benutzerrechte können leicht umgangen werden. Da müssen nicht mal kriminelle Absichten hinter stehen.
Oh, stimmt. Mannmannmann, was es alles gibt.
https://www.ctrl.blog/entry/how-to-delete-adobearmservice
 
Top