Защита файлов базы данных Locker-a от администраторов

Этим способом поделился Дмитрий ( ).

Работает он только под современными ОС WIndows и с файловой системой NTFS.

Способ основан на применении программы NetExec (www.netexec.de), при помощи которой можно запускать любую программу (в данном случае Locker) с правами другого пользователя.

1. Создаём пользователя от которого будет работать Locker (к примеру zzz) с минимальными правами.

2. Закрываем пользователю zzz доступ к IExplorer.exe, Explorer.exe, к настройке принтера. Нужно также закрыть доступ к IExplorer.exe всем пользователям на его удаление так как винда сама его восстанавливает с правами для всех.

3. В Locker-e для администраторов позакрывать все кнопки, через которые можно запустить (Far.exe, Explorer.exe, Cmd.exe и т.д.), потому что всё что будет запускаться через Locker будет работать от пользователя zzz, следовательно можно попасть и в папку с данными Locker-а.

4. Закрыть доступ всем (кроме zzz и себя) к папке Locker-а.

5. С помощью программы NetExec (CustomClient-Creator) создать exe-файл в котором указать путь к Locker.exe, пользователя zzz и пароль. После этого ни один амин не попадёт к файлам Locker-а, а запустить его сможет созданным еxe-файлом.

---------
Примечание:  Вместо NetExec можно использовать утилиту ExecAs, написанную специально для этого.