Windows 10 下如何控制共享一台物理主机的用户互相访问对方的文档?

2016-10-27 09:41:03 +08:00
 8e47e42
场景:公司有台电脑,平时有 4 个兼职的 sales 会轮流使用,大家各自会在机器上存一些比较敏感的资料(客户信息相关资料),所有 sales 都会物理接触该电脑,但是按照公司要求,任何情况下他们不应该能各自看到对方的文件(哪怕是文件名)

系统: win10

硬盘情况:一个装着系统的 256GB SSD+4TB HDD 仓库盘

求解决方案
1452 次点击
所在节点    问与答
11 条回复
hellommd
2016-10-27 09:53:07 +08:00
新建标准用户就可以了,人手一个账号。

最好不要分盘符,就一个系统 C 盘,免得使用者把文件放到其他盘符去了。默认存放用户的“文档”文件夹下,标准用户权限的无法访问他人目录。
hellommd
2016-10-27 09:56:09 +08:00
如果楼主要求是资料要放 “仓库盘”,就建立对应目录给他们,利用 NTFS 权限功能控制。
3yvsye
2016-10-27 09:57:03 +08:00
分别建立 4 个子账户和独立密码,客户文件放在各自账户文件夹中,如果要访问其他账户信息就需要管理员密码。
wevsty
2016-10-27 10:10:28 +08:00
既然有物理接触的情况,光靠账户权限是不行的,人家 PE 启动一下数据就一览无余。
如果要系统自带的解决方案,除了得每个人一个账户外,需要设置对文档启用 EFS 加密才行,这样才有可能阻止数据被拷贝走。不过使用 EFS 依然不能解决文件名需要保密的问题, PE 启动后需要虽然不能复制或者访问文件内容,但是文件名还是可以看到的。
剩下的备选方案就是,用系统自带的 bitlocker 每个人给他们新建 VHD ,然后对 VHD 分区启用 bitlocker 。
或者使用第三方解决方案,比如 VeraCrypt , EncfsMP
titanium98118
2016-10-27 10:19:10 +08:00
开启 bitlocker ,为每位 sales 建一个标准用户,文档放在各自用户名的目录下就行了。
shlabc
2016-10-27 10:57:14 +08:00
1 、每个人一个独立的 VM 虚拟机

2 、瘦客户机
http://baike.so.com/doc/2756466-2909168.html
8e47e42
2016-10-27 11:41:10 +08:00
@titanium98118 我一直以为所有用户是用同个密匙的!学习了

@wevsty 我有想过这个问题,我其实是想直接 VHD 加密后自动挂载,但是公司这种 sales 流动性比较大,经常需要增加用户, windows 10 似乎又没 template 新建标准用户,怕用户量增加了不好维护

@shlabc 因为不是国内公司, terminal server 不管是用哪个 windows server 的正版都太贵了(还要 CAL )。。我们其他部门系统的确是用 thin client+terminal server 的,但是这个 senario 估计老板不会批
wevsty
2016-10-27 12:36:26 +08:00
@8e47e42 @titanium98118

这里有几个误区,前面说加账户就行的这个实际上是不对的。因为可以通过 PE 一类无视权限进行拷贝。即使是对系统盘开启 bitlocker 然后再建立标准用户存放数据仍然是不能保证安全的,因为 bitlocker 的密钥一旦共享出去就跟没有加密一样, PE 下面一样可以解开 bitlock 然后无视权限拷贝走数据。
只有每个人一个独立的加密密钥才可以保证安全,账户设置的太多是个麻烦事,其实直接使用 EncfsMP 这样的第三方解决方案是最合适楼主需求的。
EncfsMP 开源产品提供文件级的加密,不需要加密磁盘分区,很适合储存共享空间,并且可以提供文件名加密的功能,有 GUI ,谁来了自己输入密码挂载一下就行了。
最后为什么一定要是 Windows ?
如果没有特殊需求, Linux 可能更适合楼主。简单的文档办公 Linux 是可以胜任的, Encfs 也是可以在 Linux 下面使用的。而且不用考虑 MS 的授权问题。
longaiwp
2016-10-27 15:02:53 +08:00
@wevsty BIOS 可以加锁的, PE 需要你能更改默认的加载顺序
baoyexi
2016-10-27 15:24:23 +08:00
@longaiwp 拆硬盘直接挂到别的机器上呢
8e47e42
2016-10-27 16:08:14 +08:00
@wevsty 哈哈哈因为还要用一些专业性软件,只有 win 下有 license ,所以 Linux 肯定没办法了

@longaiwp 已经加锁并物理锁机箱,但是并没有啥用,都是能徒手掰锁的鬼佬,分分钟掰开机箱拿硬盘哈哈哈哈

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/315790

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX