Bestimmte Ordner für ein Programm sperren?

so_la_la · 1. Januar 2019

Hallo,
ich möchte nicht, dass bestimmte Programme Zugriff auf bestimmte Ordner erhalten. Also ich möchte einfach nur, dass ein Programm nicht auf E:/Eigene Dateien/Ordnersowieso zugreifen kann.
Ich möchte hier eine Funktion anwenden, die es bei W10 so ähnlich gibt, aber dort kann man nur für Nutzer nicht für Programme den Zugriff verbieten. Windows gewährt standardmäßig allen Programmen Zugriff, die es für vertrauenswürdig erachtet, und welche das sind ist leider nicht klar.

Drakonomikon · 1. Januar 2019

Das geht nur mit einer Sandbox. Google mal ein bisschen in die Richtung, da wirst du was finden.

Twostone · 1. Januar 2019

Das Programm kann man auch als anderer Nutzer ausführen (lassen), dann ist es nur eine Frage, ob man die Berechtigungen für Datei-/Ordnerzugriffe sinnvoll vergeben hat.

Andreas_ · 1. Januar 2019

so_la_la schrieb:
Windows gewährt standardmäßig allen Programmen Zugriff, die es für vertrauenswürdig erachtet, und welche das sind ist leider nicht klar.

Das ist Unsinn. Die Rechte-Verwaltung erfolgt ausschließlich auf Benutzer-Ebene. Welche Rechte ein Programm hat, bestimmt sich durch den Benutzeraccount mit dem das Programm ausgeführt wird.

Du könntest dementsprechend ein Benutzerkonto einrichten, welches keinen Zugriff auf die fraglichen Verzeichnisse hat und Dein Programm mit diesem Benutzer ausführen.

Was Du verlinkt hast, ist eine Erweiterung der Antiviren-Lösung von Microsoft:

Hinweis: Die Zugriffsrechte des Ordners werden nicht verändert. Im Grunde verwaltet Windows nur eine Whitelist, welche Anwendungen Schreibzugriff auf die geschützten Ordner erhalten.

Aus meiner Sicht ist es nicht sinnvoll, Zugriffsrechte für genutzte Anwendungen mittels Virenschutz einzuschränken ... zumal dies ja für alle Programme gilt, die nicht auf der Whitelist stehen und nicht nur für eine Anwendung.

so_la_la · 1. Januar 2019

Hallo,

Drakonomikon schrieb:
Das geht nur mit einer Sandbox. Google mal ein bisschen in die Richtung, da wirst du was finden.

Das soll ja demnächst Standard werden. Leider nicht für das eher spärlich ausgestattete Netbook mit 32bit Windows...

Twostone schrieb:
Das Programm kann man auch als anderer Nutzer ausführen (lassen), dann ist es nur eine Frage, ob man die Berechtigungen für Datei-/Ordnerzugriffe sinnvoll vergeben hat.

Andreas_ schrieb:
Das ist Unsinn. Die Rechte-Verwaltung erfolgt ausschließlich auf Benutzer-Ebene. Welche Rechte ein Programm hat, bestimmt sich durch den Benutzeraccount mit dem das Programm ausgeführt wird.

Also die Lösung wäre, einen neuen Nutzer zu erstellen, der dann auf dieses Verzeichnis nicht zugreifen darf.

Andreas_ schrieb:
Aus meiner Sicht ist es nicht sinnvoll, Zugriffsrechte für genutzte Anwendungen mittels Virenschutz einzuschränken ... zumal dies ja für alle Programme gilt, die nicht auf der Whitelist stehen und nicht nur für eine Anwendung.

Konkret geht es hier um Adobe Digital Editions, was nach dem englischen Wikipedia-Eintrag eine Liste aller E-Books unverschlüsselt an Adobe übermittelt.

Ergänzung (1. Januar 2019)

Ich hoffe, ich habe jetzt alles richtig gemacht. Ich habe die Berechtigungen den Benutzern entzogen, ich selber bin ja Administrator und kann immer noch lesen. Allerdings wußte ich nicht, daß wirklich jede Datei getrennt behandelt wird. Bei 10gb PDFs ist das schon eine lange Dauer.

cumulonimbus8 · 1. Januar 2019

..? Rechte auf die Ordner wo die PFDs sind wären wohl logischer.

Muss aber der zugriff Kreuz und Quer erlaubt und verboten sein - herzlichen Glückwunsch jede Datei anfassen zu müssen.
Wie wäre es mal mit Ordnern??!

CN8

so_la_la · 1. Januar 2019

cumulonimbus8 schrieb:
..? Rechte auf die Ordner wo die PFDs sind wären wohl logischer.

Ich hoffe ich verstehe dich richtig. Ich habe ja den Zugriff auf den Ordner modifiziert. Trotzdem wrude es halt für jede Datei einzeln vollzogen.

Drakonomikon · 1. Januar 2019

Das mit den Benutzerrechten habe ich mit Absicht nicht genannt. Prinzipiell stimmt das, allerdings gibt es unzählige Wege wie Programme dies umgehen können. Im Falle von Adobe kann es leicht mit den Diensten und Hintergrundprozessen umgangen werden die als System gestartet werden.

Du könntest aber die Kommunikation des Programms einfach verhindern, wenn es darum geht dass Adobe nichs hochladen soll. Der Klassiker wäre hier die Anfragen auf locahost umzuleiten (C:\Windows\System32\drivers\etc\hosts). Allerdings ist das auch nicht narrensicher.

cumulonimbus8 · 2. Januar 2019

Ich wäre ein wenig überrascht, wenn ich auf Inhalte eines Ordners zugreifen kann auf denjenigen selbst ich nicht zugreifen kann.

Ich kenne deine Struktur nicht, aber wenn ich auf viele Dateien nicht zugreifen soll, dann… tue ich die in einen Sack und mache nur einmal den Sack zu. Bildlich gesprochen.

CN8

PS, @Drakonomikon
Wie differenziert die Methode denn zwischen einzelnen Dateien?

Drakonomikon · 3. Januar 2019

Was meinst du?

Twostone · 3. Januar 2019

cumulonimbus8 schrieb:
Ich wäre ein wenig überrascht, wenn ich auf Inhalte eines Ordners zugreifen kann auf denjenigen selbst ich nicht zugreifen kann.

Möglich ist es. Über Sinnhaftigkeit kann man streiten. Gibt sicherlich einen Anwendungszweck in der Automatisierung.

cumulonimbus8 · 3. Januar 2019

Was ich meine?

Du könntest aber die Kommunikation des Programms einfach verhindern, wenn es darum geht dass Adobe nichs hochladen soll

Wenn ich ein Programm beschränke erwische ich sämtlliche Datein die zu ihm gehören. Hier aber sollte doch Datei für Datei ein Ausschluss stattfinden?!
CN8

so_la_la · 5. Januar 2019

Hallo, ich bin dem Vorschlag gefolgt, und habe das Programm von einem Nutzer mit eingeschränkten Rechten ausführen lassen. Ich habe im Autostart nachgeschaut, da war nix von Adobe drin, insofern müsste dies sicher sein. Ist jetzt auch nicht so, dass ich dieses Programm ständig laufen habe, aber generell wollte ich mal darüber Bescheid wissen. Vielen Dank allerseits!

Drakonomikon · 5. Januar 2019

Adobe startet seinen Update Service (AdobeARMservice) über das lokale Konto, sprich mit dem Konto mit dem du dich anmeldest. Das bedeutet auch, dass dieser Prozess sämtliche Zugriffe hat falls dein Konto ein Konto mit Adminrechten ist.

AdobeARM ist zudem noch in der Aufgabenplanung enthalten und startet ebenfalls sobald du dich einloggst.

Je nach dem wie sensibel deine Daten sind würde ich das überdenken. Die Zugriffsbeschränkung durch Benutzerrechte können leicht umgangen werden. Da müssen nicht mal kriminelle Absichten hinter stehen.

so_la_la · 6. Januar 2019

Drakonomikon schrieb:
Adobe startet seinen Update Service (AdobeARMservice) über das lokale Konto, sprich mit dem Konto mit dem du dich anmeldest. Das bedeutet auch, dass dieser Prozess sämtliche Zugriffe hat falls dein Konto ein Konto mit Adminrechten ist.

AdobeARM ist zudem noch in der Aufgabenplanung enthalten und startet ebenfalls sobald du dich einloggst.

Je nach dem wie sensibel deine Daten sind würde ich das überdenken. Die Zugriffsbeschränkung durch Benutzerrechte können leicht umgangen werden. Da müssen nicht mal kriminelle Absichten hinter stehen.

Oh, stimmt. Mannmannmann, was es alles gibt.
https://www.ctrl.blog/entry/how-to-delete-adobearmservice

Suche

Bestimmte Ordner für ein Programm sperren?

so_la_la

Lt. Commander

Drakonomikon

Commander

Twostone

Commodore

Andreas_

Commander

so_la_la

Lt. Commander

cumulonimbus8

Fleet Admiral

so_la_la

Lt. Commander

Drakonomikon

Commander

cumulonimbus8

Fleet Admiral

Drakonomikon

Commander

Twostone

Commodore

cumulonimbus8

Fleet Admiral

so_la_la

Lt. Commander

Drakonomikon

Commander

so_la_la

Lt. Commander

Ähnliche Themen

Passend zum Thema

Windows-11-Update Microsoft bringt App-Werbung ins Startmenü

Windows 10 Support-Ende Extended Security Updates kosten 61 US-Dollar pro Gerät

Ab April 2024 Microsoft wirbt offensiver für Windows 11 in Unternehmen