Windows 有没有路径防护的软件？

SAGAN

2023-01-19 00:54:12 +08:00

我有过同样需求，除了火绒也没找到其它软件。但我不想使用（非开源）国产安全软件，所以找了些其它曲线方式。

如果必须用某些国产软件，又不想让这些软件窃取隐私。除了虚拟机，有几种方案：

1. sandboxie-plus. 在 sandbox 配置里可以设置某些路径对于沙盒里程序不可访问。缺点是路径需要自己一个个手动添加，默认配置下所有路径都可以访问。

2. 在 windows 用户管理 (lusrmgr.msc)里创建专门的普通权限("Users" group)用户，然后在当前桌面会话里用这个用户身份安装 /运行程序。Windows 自带的 runas 工具可以命令行形式以其它用户身份运行命令，但是每次必须从 stdin 输入该用户的密码。建议使用微软出的 PSTools 里的 PsExec.exe 命令行工具：

PsExec -accepteula -d -user user -p "123456" "C:\programs\qq\qq.exe"

即可以 user 用户(密码 123456 ）身份运行 qq.exe 。写个 bat 脚本就可以自动化。

这种方式好处是，非 administrators 用户默认配置下即无法访问其它用户的主目录(%USERPROFILE%, 浏览器历史记录等信息都在这里)，如果需要保护其它目录，也可以通过配置 D:\ 等各盘符根目录的 NTFS 权限轻易实现。

3. Windows sandbox. 这个本质上也是(Hyper-V)虚拟机。但是打开和启动速度很快。使用 *.wsb 文件可以配置 Windows Sandbox 很多参数。双击 .wsb 直接用指定的参数启动沙盒。可以在 .wsb 里把 host 里的某个目录挂载到 sandbox 里，或配置 sandbox 启动时自动运行命令，例如：

<Configuration>
<VGpu>Disable</VGpu>
<Networking>Disable</Networking>
<MappedFolders>
<MappedFolder>
<HostFolder>C:\programs\qq</HostFolder>
<SandboxFolder>C:\qq</SandboxFolder>
<ReadOnly>true</ReadOnly>
</MappedFolder>
</MappedFolders>
<LogonCommand>
<Command>C:\qq\qq.exe</Command>
</LogonCommand>
</Configuration>

然后双击 *.wsb 就直接在 sandbox 里打开 qq 了。

这种方式可以提供最佳的保护能力。缺点是一般只能用来运行绿色软件。需要安装的软件必须每次启动 sandbox 时安装一次，体验不可接受。

DrakeXiang

2023-01-19 01:24:34 +08:00

以前的 hips 软件就是干这个的，不过貌似已经都没落了，单纯用这个功能的安全软件受众太小，使用起来门槛高，还容易出问题。

不过 windows 的组策略 uac 貌似可以干这个事，可以研究下

NoOneNoBody

2023-01-19 01:38:42 +08:00

补充提醒 @SAGAN #1 所说的
sandboxie-plus 官方文档写的是付费的版本才有完全的不可读功能，免费版本只是基础的拦截方式
没找到更详细的说明或三方测试文章

H97794

2023-01-19 01:55:41 +08:00

McAfee

crab

2023-01-19 02:31:38 +08:00

只能不同用户权限控制。第三方软件就是 hips 这类通过驱动对读 api 拦截，默认允许一套白名单规则其他外都拒绝。

YsHaNg

2023-01-19 06:05:00 +08:00

windows security - virus & threat protection - virus & threat protection settings - manage settings - controlled folder access

chanwang

2023-01-19 06:17:21 +08:00

hips 不是还有科莫多 Comodo 嘛？

dingwen07

2023-01-19 07:43:48 +08:00

卡巴斯基有这个功能

xuc

2023-01-19 08:44:21 +08:00

Windows 自带的我估计够用了吧

lifansama

2023-01-19 08:50:00 +08:00

@xuc 这个的目的应该是防勒索，可以读不能写

sky96111

2023-01-19 10:17:13 +08:00

@xuc 先不说 QQ 、TIM 、微信不属于微软认为的不友好程序，它也只拦截修改不拦截读取

xmoer

2023-01-19 17:32:12 +08:00

@lifansama @sky96111 你们可以自己写一个测试程序嘛，我亲测 Defender 的 “文件夹限制访问” 可以拦截 “读 /写”。那么剩余的问题只有 “哪些是微软认为的可信程序” 会被默认放行了。

xmoer

2023-01-19 17:36:42 +08:00

另外，Defender 的 “文件夹限制访问” 触发拦截在系统 “通知中心” 是有消息提示的，故我认为这个功能符合题主的需求。我自己也用了很久，发现微软狠起来连自家的 “IE 、Mstsc” 都会拦截，故我猜测 QQ 这种不算 “微软认为的可信程序”。

abc8678

2023-01-19 19:06:19 +08:00

sandboxie?

kenvix

2023-01-20 10:56:50 +08:00

@SAGAN PsExec 这个对 QQ 来说其实没有用，QQ 安全组件 QPCore 直接以 SYSTEM 最高权限运行

nnucfemi

2023-01-20 23:31:25 +08:00

@xuc
@YsHaNg 看了一圈，目前只有这个办法学习成本比较低了

badegglei

2023-02-07 14:42:21 +08:00

@kenvix 优质提醒
@SAGAN 我用的是方法 3 ，选择了网上一个绿色版。主要的缺点 1.可能是我的系统语言的缘故，windows 沙盒需要另外安装拼音输入法，我的沙盒配置文件夹里塞了讯飞安装包静音安装，但是每次安装完都要自己配置一下。我还没有好的解决方案比如能够直接无声安装然后读取配置那种。2.QQ 绿色版需要运行绿化 bat ，这个不麻烦直接添加在 logon command 里了。