Защита файлов базы данных Locker-a от администраторов
Этим способом поделился Дмитрий ( ).
Работает он только под современными ОС WIndows и с файловой системой NTFS.
Способ основан на применении программы NetExec (www.netexec.de), при помощи которой можно запускать любую программу (в данном случае Locker) с правами другого пользователя.
1. Создаём пользователя от которого будет работать Locker (к примеру zzz) с минимальными правами.
2. Закрываем пользователю zzz доступ к IExplorer.exe, Explorer.exe, к настройке принтера. Нужно также закрыть доступ к IExplorer.exe всем пользователям на его удаление так как винда сама его восстанавливает с правами для всех.
3. В Locker-e для администраторов позакрывать все кнопки, через которые можно запустить (Far.exe, Explorer.exe, Cmd.exe и т.д.), потому что всё что будет запускаться через Locker будет работать от пользователя zzz, следовательно можно попасть и в папку с данными Locker-а.
4. Закрыть доступ всем (кроме zzz и себя) к папке Locker-а.
5. С помощью программы NetExec (CustomClient-Creator) создать exe-файл в котором указать путь к Locker.exe, пользователя zzz и пароль. После этого ни один амин не попадёт к файлам Locker-а, а запустить его сможет созданным еxe-файлом.
---------
Примечание: Вместо NetExec можно использовать утилиту ExecAs, написанную специально для этого.