2020年6月6日土曜日

PC ユーザーとアクセス権

Windows を利用していて、
フォルダやファイルの権限について考えた事がありますか?。
マルチユーザー環境の OS 下では、
垣根があって、お隣を覗く事は 容易ではありません。




これが 結構 蔑ろ にされているとは思いませんか?。

マルチユーザー環境の Windows について、
ユーザー間の仕組みを復習しましょう。

ユーザープロファイルとフォルダファイルのアクセス権によって、
各ユーザーの権利は守られています。
既定の各人のデータは、 ユーザープロファイル配下 の種類別のフォルダに格納される様に設計されています。
これらの上位フォルダはユーザーでは無くシステムが作成する特殊な位置付けです。
これに対して、
各ドライブのルート(最上位)そのもの 以外(例えば、データドライブ)は、
広く開かれています。

ユーザープロファイル配下 以外 に作られたものは、
OS のプロテクトの範疇から外れ、
自由に使えます。
言い換えれば、誰でも、弄れる事になるのでしたね。
極端な話、野放図 ... 。

勿論、 同一 PC 内であって、
ネットワークで繋がった他の PC からは、基本的には、隔離されていますね。
この垣根を乗り越えるのが、共有 の仕組みになる訳です。
共有とは、別の PC に対する 公開 と言い換えられます。
ファイル群のアクセス権とは別に、
共有設定内容から、アクセスが可能にもなる訳です。
そう、ユーザーも、同一名であっても、各 PC で独立しているのですね。
PC1 の A さん は PC2 の A さんとは、建前、別人です。
仮に、同一パスワードを設定していようが ... です。
(ドメインでのお話ではありません、 一応。)

基本的に、
ユーザープロファイル配下に作ったものは、
その人だけが使うもので、
他の人には隠蔽されています。
しかし、管理者特権を行使すれば、その権利を取得出来る様になっています。
なっている! のです。  ここは 要注意! ですよ。

ですから、
良くある例、ドライブルートにフォルダを新設し ... 何某 する は、
秘密も糞も無い! 使い方になる筈です。  他のユーザーは覗けて仕舞います。
別に、会社の同僚や家庭の家族に、見られては困るもの? を扱っているのでは無くても、
一応、これは留意して置きましょう。


極論が、
リムーバブルに分類される USB メモリ 等。
もう、何処の誰でも ご自由に どうぞ! です。
NTFS でフォーマットしても、既定では Everyone Full Control ですから。



実は、
とあるプログラムを書いていて、
バックアップに別ドライブを指定して、大丈夫かな? と思ったのがこれのきっかけです。

ユーザープロファイル配下のデータを、
バックアップとは言え、
別ドライブ上に複製する行為は、
セキュリティ上、安全なのだろうか?、 と言った心配です。

システムが新設特殊フォルダに対して行う アクセス権設定と類似の事 を行い、
ユーザーの権限を守る必要があるのでは?、
と考えたのです。

はい。
アクセス権設定と類似の事 とは、
  継承の無効化 と、
  ユーザー別権限設定 と、
  管理者アクセス権設定のみ許可 と,
でしょうか?。
管理者アクセス権設定のみ許可 は、セキュリティ上は、秘匿性を下げる事になる筈ですが、
そうして置かないと、 何か不測の事態が起こった時に回復不可能になりますから、
難しい問題を含んでいますね。

特に、厄介なのが、クリーンインストールや PC 追加導入等で生じる PC そのものの ID (SID) の 変化 ... 。
無論、アクセス権を設定されたユーザーのものも変わって仕舞います。
基本、アクセス権設定は、個々の PC と固く結び付いていますので。



0 件のコメント:

コメントを投稿