Windows 下有没有类似 SELinux 的机制?

2022-01-21 17:01:13 +08:00
 villivateur

最近了解了下 SELinux ,我的理解就是:给每一个进程设置访问资源的权限。

我在 Windows 上有这样的困惑:比如我运行了一个黄油,然后黄油虽然没有申请 UAC 权限,但是偷偷读取了我的 .ssh/id_rsa,岂不是挺危险的。

了解到火绒有这样的文件保护机制,但火绒可信吗?

通过 https://www.wilderssecurity.com/threads/what-does-windows-offer-thats-similar-to-selinux.305609/ 了解到 integrity levels 这样一个概念,但是感觉功能差太远了。

5351 次点击
所在节点    信息安全
33 条回复
ysc3839
2022-01-21 17:10:00 +08:00
没有。要防止程序偷偷读文件的话,应该只能用虚拟机。Sandboxie 只能防止写入,防不了读取。
imbushuo
2022-01-21 17:11:10 +08:00
1. 有
2. 但是因为历史原因,Windows 上的程序做这个有点疼,你可以把 App 踢进 AppContainer 跑(有人写了点工具),权限都要 explicitly granted (against its NT SID ),但是这样需要设置非常多的 ACL
liuxu
2022-01-21 17:12:23 +08:00
火绒用的人挺多的,之前逮 qq 偷偷扫 chrome 的不就是用的它么
codehz
2022-01-21 17:20:29 +08:00
@ysc3839 可以防读取,但是要捐赠
ClericPy
2022-01-21 17:29:23 +08:00
一开始也想的是 Sandboxie ... 以前没注意, 才知道它能读到本地盘的文件, 我还以为它什么都读不到

那它有访问网络权限么, 比如读取敏感文件发送到特定网址
watcher
2022-01-21 18:46:39 +08:00
没有军方订单
march1993
2022-01-21 18:53:03 +08:00
linux 也有这个问题,最好是像移动端,一个 app 一个账户
Buges
2022-01-21 19:49:15 +08:00
Linux 下 SELinux 用的人也不多,win 对标的应该是 hips 。你需要的是容器,flatpak 的 bwrap 或 docker 。
ysc3839
2022-01-21 21:06:46 +08:00
@codehz 多谢指正
abc8678
2022-01-21 22:11:18 +08:00
@ysc3839 sandboxie 越来越难坚持住了。比如,文件资源管理器,右键菜单和窗口上方的那一块工具栏,根本加载不出来,UWP 化的东西都加载不出来。edge 浏览器最近也不能在 sandboxie 里打开了。老是改注册表换回旧版,也不是长期的办法,万一砍刀部下手,就没办法用了
xy2401
2022-01-21 22:17:45 +08:00
百度搜索 selinux 第一位就是如何关闭。
经常我写东西。排查目录权限。排查用户权限。排查端口权限。最终大概率是 tm selinux 给我拦截了
jinliming2
2022-01-21 22:26:26 +08:00
@xy2401 在英文 Google 上搜,出来的结果大部分是 What is SELinux 介绍 selinux 的,扫了一眼,看到几条不太一样的:
What is SELinux and Why You Might Want It
Why SELinux is more work, but well worth the trouble
Does SELinux make Redhat more secure?
Don’t Disable SELinux
Here’s why you should be wary of installing anything that sets SELinux to permissive
sky96111
2022-01-21 22:41:34 +08:00
@ClericPy 不捐赠也可以阻止读,但是要手动写规则
LPeJuN6lLsS9
2022-01-21 23:02:42 +08:00
@ysc3839
@codehz
一直都是不付钱也能组织文件访问的,能自由设置禁止的路径。以前不付钱只是启动程序要弹框等 5 秒钟……
现在 sandboxie-plus 开源了没有限制了
LPeJuN6lLsS9
2022-01-21 23:06:51 +08:00
@ClericPy 默认是允许所有文件读取,然后写入是往沙盒写。不然程序自己都运行不起来
网络也是默认全部允许,但是能自己设置 ip 、协议、端口的黑白名单
shansing
2022-01-21 23:11:35 +08:00
根据你的描述,你仅仅需要用另一个标准用户运行黄油。它不需要请求管理员权限,也就不会(不能)访问主用户的用户目录。
MarvelousDH
2022-01-22 00:00:48 +08:00
hips 类型的软件应该都能实现把。。比如 comodo 这些
documentzhangx66
2022-01-22 03:17:57 +08:00
在 Windows 上,防止用户偷偷访问不该访问的东西,方法是使用用户权限功能。

1.创建一个用户。
2.给某个文件夹,在安全选项里,设置阻止该用户访问。甚至可以阻止整个用户组访问。
3.当该用户登录时,该用户就无法访问。以该用户运行的程序也无法访问。

这个功能做的比 Linux 默认那个权限要好得多。
crab
2022-01-22 06:03:55 +08:00
第三方主动防御类软件就可以,系统 api 调用都会提示。
zenghx
2022-01-22 07:43:02 +08:00
ms defender 不是有一个保护文件夹的功能吗?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/829763

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX