ComputerBase Menü
Aktuelles

Lesezugriff auf Verzeichnis für Programme verbieten

F

fkarger

Cadet 2nd Year
Registriert
Jan. 2022
Beiträge
16
Wie kann man unter Windows Programmen verbieten die Inhalte eines Verzeichnisses (und der Unterverzeichnisse) zu lesen?

Vorteilhaft wäre dabei folgender Ablauf:
  1. Allen Programmen das Lesen verbieten
  2. Falls ein Programm lesen will, wird der Benutzer um Erlaubnis gefragt.
  3. Bei erteilter Erlaubnis wird das Programm einer Whitelist hinzugefügt und darf in Zukunft das Verzeichnis lesen.
Dieser Ablauf wäre schön, aber nicht zwingend erforderlich.
 
Programm mit einem anderen User ausführen und diesem die Rechte nicht geben für die betreffenden Ordner.
Aber was willst du eigentlich erreichen?
 
  • Gefällt mir
Reaktionen: madmax2010
rg88 schrieb:
Programm mit einem anderen User ausführen und diesem die Rechte nicht geben für die betreffenden Ordner.
Aber was willst du eigentlich erreichen?
Zum Vergrößern anklicken....
Ich möchte verhindern, dass Programme, außer denen, denen ich explizit die Erlaubnis erteilt habe, Inhalte eines Ordners lesen können um so zB Datenklau zu vermeiden.
Könnte ich das mit Deiner Idee schaffen? Ich vermute Deine Lösung wäre für den Fall geeigneter, bei dem ich nur bestimmte Programme ausschließen will. Ich möchte aber "alle, bis auf..." ausschließen.
 
Also wenn ich dein Vorhaben richtig verstanden habe, soll z.B. der Editor.exe auf Ordner X aber nicht Zugriff auf Ordner Y haben. Dass ginge in dem Fall nur mit 2 Profilen, dem Pfrofil, dass den Ordner anlegt und diesen für gewisse Leute frei gibt.

Oder willst ddu es auch bei Netzwerkfreigaben so handhaben? Dann wirds echt umständlich
 
tidus1979 schrieb:
Probier's mal mit dem überwachten Ordnerzugriff vom Windows Defender:

https://docs.microsoft.com/de-de/mi...tomize-controlled-folders?view=o365-worldwide
Zum Vergrößern anklicken....
Danke. Das bezieht sich aber leider nur auf den Schreibzugriff, wenn ich das richtig sehe. Ein Problem ist auch, dass Windows dann vielen Programmen automatisch die Erlaubnis erteilt.
Ergänzung ()

1lluminate23 schrieb:
Also wenn ich dein Vorhaben richtig verstanden habe, soll z.B. der Editor.exe auf Ordner X aber nicht Zugriff auf Ordner Y haben. Dass ginge in dem Fall nur mit 2 Profilen, dem Pfrofil, dass den Ordner anlegt und diesen für gewisse Leute frei gibt.

Oder willst ddu es auch bei Netzwerkfreigaben so handhaben? Dann wirds echt umständlich
Zum Vergrößern anklicken....
Netzwerkfreigaben sind für mich nicht relevant. Ich möchte, dass ein Ordner x zB fdurch notepad.exe und commander.exe geöffnet werden darf, aber von keinem anderen Programm. Also programmbezogen, nicht benutzerbezogen.
 
Okay ich denke ich verstehe dein Vorhaben. Ich muss aber gleich dazu sagen, dass mir nicht bekannt ist, dass Windows so eine Funktion vorsieht / besitzt. Auf einen Ordner kann erstmal alles zugreifen, was unter deinem Benutzerkonto läuft. Es müsste ja um deinen Wunsch zu verwirklichen eine Option geben, dass man dem Ordner XYZ die Maßgabe gibt, nur Edit.exe darf zugreifen, alles andere nicht.
 
Funktioniert so nicht mit Boardmitteln und mir ist da auch keine 3rd-Party-App bekannt.
 
Viele Programme würden aber einfach Macken haben ohne rückzumelden, dass es mit den Rechten beim Verzeichniszugriff zu tun hat, weil sie einfach davon ausgehen, auf Verzeichnisse zugreifen zu können.

Oder geht es nur um die reinen „Endprodukte“? Also z.B. Dokumente bei Word?

Warum ist das denn so relevant für dich, dich vor „Datenklau“ zu schützen? Wenn man das wüsste, könnte man dir besser helfen.
Ergänzung ()

Mit Linux wärst du da besser aufgestellt…
 
  • Gefällt mir
Reaktionen: Toms
1lluminate23 schrieb:
Okay ich denke ich verstehe dein Vorhaben. Ich muss aber gleich dazu sagen, dass mir nicht bekannt ist, dass Windows so eine Funktion vorsieht / besitzt. Auf einen Ordner kann erstmal alles zugreifen, was unter deinem Benutzerkonto läuft. Es müsste ja um deinen Wunsch zu verwirklichen eine Option geben, dass man dem Ordner XYZ die Maßgabe gibt, nur Edit.exe darf zugreifen, alles andere nicht.
Zum Vergrößern anklicken....
derlorenz schrieb:
Funktioniert so nicht mit Boardmitteln und mir ist da auch keine 3rd-Party-App bekannt.
Zum Vergrößern anklicken....

Ja, könnte schwer werden, ich habe aber inzwischen gesehen, dass Comodo eine Funktion "Protection Settings" hat, bei der man spezifizieren kann, was mit einem Verzeichnis getan werden darf. Nur leider finde ich nicht genau die Option, die ich suche.

Trend Micro hat einen "Folder Shield". Das scheint mir am ehesten zu passen, muss ich aber noch ergründen.
Ergänzung ()

Abe81 schrieb:
Viele Programme würden aber einfach Macken haben ohne rückzumelden, dass es mit den Rechten beim Verzeichniszugriff zu tun hat, weil sie einfach davon ausgehen, auf Verzeichnisse zugreifen zu können.

Oder geht es nur um die reinen „Endprodukte“? Also z.B. Dokumente bei Word?

Warum ist das denn so relevant für dich, dich vor „Datenklau“ zu schützen? Wenn man das wüsste, könnte man dir besser helfen.
Ergänzung ()

Mit Linux wärst du da besser aufgestellt…
Zum Vergrößern anklicken....
Es geht in meinem Fall um Texte und einen sehr kleinen Kreis von Programmen (einer handvoll), dem ich den Zugriff erlauben möchte. Der Klau der Texte wäre geistiger Diebstahl, den ich verhindern will.
Linux wäre einfacher, das stimmt, würde aber leider zu anderen Problemen führen.
 
Der einfachste Weg wäre wohl, nur vertrauenswürdige Apps zu installieren und den Rest in einer VM …
Wichtigste Dokumente in verschlüsselten Containern lagern.

Das in Kombination mit überwachten Ordnern sollte dann vor Verschlüsselungstrojanern und Dateklau auch ausreichend schützen, es sei denn, du bist ein priorisiertes Ziel. Dann solltest du dir professionellen Support holen.
 
tidus1979 schrieb:
Der einfachste Weg wäre wohl, nur vertrauenswürdige Apps zu installieren und den Rest in einer VM …
Wichtigste Dokumente in verschlüsselten Containern lagern.

Das in Kombination mit überwachten Ordnern sollte dann vor Verschlüsselungstrojanern und Dateklau auch ausreichend schützen, es sei denn, du bist ein priorisiertes Ziel. Dann solltest du dir professionellen Support holen.
Zum Vergrößern anklicken....
Ok, danke, dann wäre der einfachste Weg nicht so einfach :)

Mir kam die Option nur sehr wenigen vertrauenswürdigen Programmen den Zugriff zu erlauben, angenehm einfach vor, aber offenbar einfacher gesagt, als getan. Whitelisting gilt ja auch als besonders wirksam gegen solche Trojaner.
 
Also geht es dir nur um die „Endprodukte“?

Es wäre wirklich am einfachsten, einen Benutzer „Programme“ anzulegen und diesem nur sehr restriktive Rechte zu geben.

Oder einfach ein Offline-System, das vom Rest getrennt ist.

Oder - wie bereits geschrieben - in/mit einem Container/Safe etc. arbeiten. Davon gibt es viele Lösungen. Axcrypt nutzt mein Schwager, bei dem es um die Erstellung von Abiturklausuren geht.
 
fkarger schrieb:
Der Klau der Texte wäre geistiger Diebstahl, den ich verhindern will.
Zum Vergrößern anklicken....
Warum installierst du Programme, denen du nicht traust und die offensichtlich Trojaner und Spähsoftware sind, so wie du es beschreibst?
Ergänzung ()

fkarger schrieb:
Mir kam die Option nur sehr wenigen vertrauenswürdigen Programmen den Zugriff zu erlauben,
Zum Vergrößern anklicken....
Nochmal: Was sind das für Programme? Wieso installierst du nicht vertrauenswürdige Programme?
 
Abe81 schrieb:
Also geht es dir nur um die „Endprodukte“?

Es wäre wirklich am einfachsten, einen Benutzer „Programme“ anzulegen und diesem nur sehr restriktive Rechte zu geben.

Oder einfach ein Offline-System, das vom Rest getrennt ist.
Zum Vergrößern anklicken....
Ich bin mir nicht sicher, ob ich Deine Frage richtig verstehe.
Mir geht es darum meine erstellten Texte gegenüber Datenklau (Kopieren) zu schützen.
Dabei machen mir weniger User als Programme sorgen. Wenn zB Daten per Trojaner o.ä. geklaut werden würden, wäre das unangenehm. Daher möchte ich nur einem möglichst kleinen Kreis von Programmen den Zugriff auf meine Texte ermöglichen.

Ja, offline wäre eine harte sichere Lösung, nur leider nicht praktikabel, fürchte ich.
Ergänzung ()

rg88 schrieb:
Warum installierst du Programme, denen du nicht traust und die offensichtlich Trojaner und Spähsoftware sind, so wie du es beschreibst?
Ergänzung ()


Nochmal: Was sind das für Programme? Wieso installierst du nicht vertrauenswürdige Programme?
Zum Vergrößern anklicken....
Keine Sorge, ich bin da sehr vorsichtig und passe beim Installieren auf.

Es geht mir nur darum den Kreis an Programmen, denen ich den Zugriff auf besonders wertvolle Daten erlaube, kleinstmöglich zu halten um das Risiko zu minimieren.
Zudem muss man davon ausgehen, dass Vorsicht nicht immer ausreichen wird. Und dann ist Whitelisting besser.
 
Machs doch einfach ganz anders:
Mach eine verschlüsselte Partition mit VeraCrypt und binde sie nur ein, wenn du die Texte brauchst. Wenn du sie wieder aushängst, sind alle Daten wieder verschlüsselt und nicht mehr zugänglich.

Und gleichzeitig solltest du dein Sicherheitskonzept überarbeiten, wenn die Daten ach so sensibel sind, du aber offensichtlich unsichere und nicht vertrauenswürdige Software einsetzt.
Solche kann übrigens auch einfach den Bildschirm abfotografieren, ganz ohne Zugriff auf deine Daten... Also geht dein aktueller Ansatz so quasi nach hinten los und bringt nichts außer viel Aufwand
 
  • Gefällt mir
Reaktionen: species_0001
rg88 schrieb:
Machs doch einfach ganz anders:
Mach eine verschlüsselte Partition mit VeraCrypt und binde sie nur ein, wenn du die Texte brauchst. Wenn du sie wieder aushängst, sind alle Daten wieder verschlüsselt und nicht mehr zugänglich.

Und gleichzeitig solltest du dein Sicherheitskonzept überarbeiten, wenn die Daten ach so sensibel sind, du aber offensichtlich unsichere und nicht vertrauenswürdige Software einsetzt.
Solche kann übrigens auch einfach den Bildschirm abfotografieren, ganz ohne Zugriff auf deine Daten... Also geht dein aktueller Ansatz so quasi nach hinten los und bringt nichts außer viel Aufwand
Zum Vergrößern anklicken....
Danke für Deinen Vorschlag.
Mit der verschlüsselten Partition würde man so das Zeitfenster für eine Attacke minimieren.
Ich befürchte, das wird mir nicht genügen, wäre aber eine Verbesserung, ja.

Wie gesagt, ich möchte die Angriffsfläche minimieren. In einer Firma hat man ja zB grundsätzlich auch vertrauenswürdige Mitarbeiter. Dennoch würde man den Kreis derer mit Zugang zu den sensibelsten Daten vermutlich auch so klein wie möglich halten.
 
Partition oder Dateien verschlüsseln und vor der Entschlüsselung offline gehen. Das ist sehr unkompliziert und sehr sicher.

Dein Anliegen und die Unzufriedenheit mit den unterbreiteten Vorschlägen mutet etwas seltsam an.
 
  • Gefällt mir
Reaktionen: rg88
Abe81 schrieb:
Partition oder Dateien verschlüsseln und vor der Entschlüsselung offline gehen. Das ist sehr unkompliziert und sehr sicher.

Dein Anliegen und die Unzufriedenheit mit den unterbreiteten Vorschlägen mutet etwas seltsam an.
Zum Vergrößern anklicken....
Danke für die vielen Vorschläge.
Ich bin nicht unzufrieden, aber wäge ab und werde den Ansatz mit Containern evtl weiter ausarbeiten.
 
Ich kann das Anliegen schon nachvollziehen. Es wäre durchaus praktisch, Freigaben so frei je nach Anwendung konfigurieren zu können. Es gibt dem User das Gefühl, selbst die Kontrolle zu haben.

Bei macOS gibt es das ja rudimentär, zumindest für Apps, die nicht aus dem App-Store kommen. Da würde ich mir auch wünschen, dass man das bei Bedarf noch feiner steuern kann.

Bildschirmfoto 2022-01-23 um 20.12.38.png
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

kim88
Leserartikel Gnome-Projekt: Ein Quantensprung in der digitalen Infrastruktur durch die Finanzierung des Sovereign Tech Fund?
Antworten
14
Aufrufe
1.099
netzgestaltung
netzgestaltung
S
[Kaufberatung] Desktop PC für rechenintensive Poker Solver + Multimedia
2
Antworten
22
Aufrufe
2.305
wrglsgrft
wrglsgrft
root@linux
  • Gesperrt
  • Artikel
Leserartikel Alles über Bitcoin-Core & Installation vom Quellcode
2 3 4
Antworten
61
Aufrufe
22.324
aki
aki
Kaito Kariheddo
  • Artikel
Leserartikel Eigene (Arch) Linux ISO erstellen
Antworten
6
Aufrufe
5.535
Kaito Kariheddo
Kaito Kariheddo
merlin123
Adobe Acrobat DC - PDF zu JPEG Konvertierung schlägt fehl
Antworten
4
Aufrufe
1.963
merlin123
merlin123
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz