Există un echivalent Windows pentru chroot? (Administrarea sistemului, Windows, Windows Server 2008, Securitate, Chroot)

Rook a intrebat.
a intrebat.

Pe un sistem *nix pot folosi un chroot pentru a izola două procese unul de celălalt și de restul sistemului. Există vreun sistem de securitate similar sub Windows? Sau există vreo modalitate de a împiedica două procese să citească/scrie în fișierele celuilalt?

Comentarii

  • Nu sunt sigur că eticheta de securitate este justificată aici. kerneltrap.org/Linux/Abusing_chroot –  > Por MDMarra.
  • @The Rook – În acea discuție despre kerneltrap, dezvoltatorii de kernel discută despre faptul că chroot nu a fost niciodată menit să fie un dispozitiv de securitate/ – –  > Por MDMarra.
  • @The Rook – Corect, spuneam doar că poate doriți să reformulați întrebarea. Au existat extensii la chroot sau învârteli ale conceptului (cum ar fi jails) care au fost concepute cu gândul la securitate. În mesajul dvs., vă referiți la chroot ca la un dispozitiv de securitate, ceea ce nu a fost niciodată intenționat să fie. –  > Por MDMarra.
  • @Nathan Adams Sunt de acord, dar „securitate în straturi”. –  > Por Rook.
  • Se pare că am întrebat ceva destul de asemănător aici. Ați reușit vreodată să configurați acest lucru pe Windows Server? Răspunsul pe care l-ați acceptat nu explică cum se poate face acest lucru și nici nu spune că nu este posibil…  > Por RomanSt.
6 răspunsuri
Jon Rhoades

Nu sunt sigur că veți câștiga ceva pe Windows prin chrooting – aveți o nevoie specifică?

În caz de orice rezultatul de top pe google este http://www.winquota.com/wj/.

Poate virtualizarea aplicațiilor ar putea fi o opțiune? Microsoft are următoarele comentarii în această privință:

Într-un mediu fizic, fiecare aplicație depinde de sistemul său de operare pentru o serie de servicii, inclusiv alocarea memoriei, driverele de dispozitiv și multe altele. Incompatibilitățile dintre o aplicație și sistemul său de operare pot fi rezolvate fie prin virtualizarea serverului, fie prin virtualizarea prezentării; dar pentru incompatibilitățile dintre două aplicații instalate pe aceeași instanță a unui sistem de operare, aveți nevoie de virtualizarea aplicațiilor.

Comentarii

  • Unul dintre procesele mele a fost scris prost și foarte nesigur, iar conducerea nu vrea să îl repare pentru că ar fi „prea scump”. Mă aștept ca acest proces să fie deținut în cele din urmă și vreau să limitez impactul asupra sistemului meu. Dacă într-adevăr credeți că nu aveți nimic de câștigat, atunci trebuie să citiți mai multe despre chroots. –  > Por Rook.
  • @Rook Pentru că pe Windows poți avea drepturi de acces divorțate de aspectul sistemului de fișiere. Lăsând la o parte bătăile tale de piept din secțiunea de comentarii a acestui răspuns, aceasta este abordarea pe care majoritatea oamenilor o adoptă pentru a izola porțiuni din sistemul de fișiere de un proces care nu este autorizat să le acceseze; pur și simplu, oferiți utilizatorului sub care este pornit procesul acces la subsetul de sistem de fișiere și la serviciile de care are nevoie. –  > Por Asad Saeeduddin.
  • @Asad Saeeduddin Apropo de sisteme de fișiere, nu-i așa că Windows nu execută automat executabilele nesigure găsite pe un stick USB?? În ce an este? –  > Por Rook.
  • Am o nevoie specifică, nu legată de securitate – acest program pe care îl portez se așteaptă să funcționeze pe propriul sistem de fișiere rădăcină și ar fi o masiv efort masiv pentru a-l porta pentru a utiliza corect directoarele actuale. Din fericire, funcționează independent de sistemul de fișiere – pe Windows, se va întinde pe rădăcina oricărei unități pe care este rulat. Dacă aș putea să „aliasez” directorul rădăcină din Windows într-un subdirectoriu, ar fi mult mai curat și mai ușor de urmărit, de unde și dorința de a avea un chroot. –  > Por Finanțați procesul Monicăi.
Jason Berg

Sandboxie http://www.sandboxie.com/

Nu este exact ca chroot. Acesta instalează un sandbox pentru fiecare program pe care îl specificați. Poate menține cu ușurință procesele izolate.

Domnul Beeblebrox

Pentru a rezolva această nevoie specifică (programul presupune că rulează dintr-un director rădăcină), comanda SUBST este probabil ceea ce doriți. Este o rămășiță din DOS și încă există în Windows 10.

comanda SUBST va monta un director ca o nouă literă de unitate.

apoi puteți rula software-ul de pe unitatea nou creată, iar acesta va crede că se află pe noua unitate S dacă îl rulați din acea cale.

Bine Dokey

Eu nu aș folosi așa ceva, tu rulezi sub Windows mate.

NTFS are cele mai fine drepturi de acces pe care le puteți găsi. Nu este greu să lași un proces să pornească cu un utilizator cu privilegii mai mici și să îi dai acces doar la fișierele acestei singure aplicații.

Nu este nevoie să folosiți ceva de genul chroot, care nu este un instrument de securitate, atunci când puteți defini deja ce utilizator are voie să facă ce și în ce director.

Nu este diferit de cum ar fi ca și cum i-am da lui Apache sub Linux propriul utilizator, care are voie să lucreze doar în interiorul dosarelor sale.

Comentarii

  • Acesta este răspunsul corect la întrebarea de ce nu este nevoie de chroot –  > Por Jim B.
  • @rook, atunci nu au reușit să urmeze cărțile albe BPSAD și PTH pentru a elimina atacurile de tip golden ticket. Din câte știu eu, asta mai funcționează doar pe kerb bazat pe *nix. –  > Por Jim B.
  • @Jim B compartimentarea poate suna ciudat într-o platformă care acordă în mod obișnuit drepturi administrative browserului, bazei de date și serverului web. totuși, sandbox-urile sunt o măsură esențială de apărare în profunzime, indiferent de platformă. –  > Por Rook.
  • @JimB, nu cred (deci, dacă nu cumva am înțeles complet greșit comentariul dvs.) Pornirea unui proces în Windows 7, de exemplu, nu vă oferă nicio solicitare de securitate și, ulterior, procesul poate citi 90% din unitatea de stocare fără a fi nevoie să întrebați vreun proces de sistem despre asta. Doar dacă încearcă să modifice, să zicem, „C:Program Files”, atunci sistemul de operare își poate da o palmă, dar asta nu înseamnă securitate, ci elemente esențiale fundamentale abia dacă sunt acoperite. –  > Por dimitarvp.
  • @JimB: dacă trebuie să setați o permisiune de refuz înainte ca unui proces să i se interzică accesul la fișierele unui alt proces, atunci nu este „izolat în mod implicit”, așa cum ați afirmat mai sus. –  > Por Lie Ryan.
mozey

Există un chroot.exe inclus în Gow (Gnu On Windows)

Comentarii

  • Cel din Git Bash pare, de asemenea, să funcționeze, dar cred că trebuie să fiți într-un prompt Git Bash înainte de a-l apela. –  > Por Shawn Eary.
Security Centric Inc.

Dacă nu încărcați fișiere de pe site-ul web, creați pur și simplu un ISO numai pentru citire al site-ului dvs. web și faceți din acesta directorul rădăcină, apoi montați-l.

O altă soluție este să utilizați DISKPART și să creați o partiție/unitate de citire cu paginile web.

Sper că v-a fost de folos.