Problemas en la programación del controlador de archivos usando filedisk
No sé por qué crees que hay IRP_MJ_SET_INFORMATION.
Puedes llamar a SetEndOfFile en modo usuario...
I.Restringir el acceso del usuario a los archivos
Si el sistema de archivos de la partición del disco donde está el programa. ubicado es el formato NTFS, la cuenta de administrador puede usar las opciones de seguridad de archivos y carpetas proporcionadas por el sistema de archivos NTFS para controlar el acceso de los usuarios a programas y archivos. Normalmente, después de instalar una aplicación en un sistema, todas las cuentas de la computadora local pueden acceder y ejecutar el programa. Si elimina el acceso de un usuario específico a la aplicación o carpeta, ese usuario también pierde la capacidad de ejecutar la aplicación.
Por ejemplo, para evitar que usuarios restringidos ejecuten la aplicación Outlook Express, puede realizar las siguientes operaciones:
(1) Inicie sesión en el sistema utilizando una cuenta de administrador. está habilitada en la opción de disfrute de Archivo **** del sistema actual, debe deshabilitar esta opción. El método específico es hacer clic en "Opciones de carpeta" en el menú "Herramientas" en la ventana del navegador de Windows, hacer clic en la página de opciones "Ver", cancelar la selección de la opción "Usar uso compartido simple de archivos" y hacer clic en "Aceptar". .
(2) Abra la carpeta Archivos de programa, seleccione la carpeta Outlook Express y haga clic derecho, seleccione "Propiedades".
(3) Haga clic en la página de opción "Seguridad", podrá ver que los usuarios del grupo de usuarios tienen permisos de lectura y ejecución en la carpeta, haga clic en "Avanzado".
(4) En el cuadro de diálogo emergente, anule la selección de la opción "Heredar permisos de objetos principales que se pueden aplicar a objetos secundarios, incluidos los permisos definidos explícitamente nuevamente", haga clic en "Copiar", puede hacerlo. Consulte Los permisos para el usuario ahora se han cambiado para que no se hereden.
(5), haga clic en "Aceptar", regrese a la ventana "Propiedades", seleccione el elemento "Usuario" en la lista "Nombre de usuario o grupo", haga clic en "Eliminar", haga clic en "Aceptar", Haga clic en "Eliminar". Haga clic en "Aceptar" para completar la configuración de permisos.
Para eliminar restricciones de acceso de usuarios específicos a un archivo o programa, debe agregar usuarios o grupos específicos al archivo o carpeta y otorgarles derechos de acceso.
Este enfoque permite a los administradores restringir el acceso y la ejecución de aplicaciones específicas por usuario. Sin embargo, esto requiere un requisito previo muy importante, es decir, la partición donde se encuentra la aplicación debe estar formateada como NTFS, de lo contrario no se realizará ninguna operación.
Para particiones formateadas FAT/FAT32 donde no se pueden aplicar opciones de seguridad de archivos y carpetas, podemos configurar políticas informáticas para deshabilitar la ejecución de aplicaciones específicas.
Habilite la política "No ejecutar aplicaciones específicas de Windows"
Hay una política llamada "No ejecutar aplicaciones específicas de Windows" en la Política de grupo. Al habilitar esta política y agregar las aplicaciones correspondientes, puede restringir la ejecución de estas aplicaciones por parte de los usuarios.
(1) Ejecute el comando gpedit.msc en "Iniciar Ejecutar" para iniciar el Editor de políticas de grupo, o ejecute el comando mmc para iniciar la consola y cargar el complemento de Política de grupo. Cargue el complemento "Política de grupo" en la consola;
(2) Expanda "Política de computadora local", "Configuración de usuario", "Plantillas administrativas" y "Programas de usuario". En Plantillas administrativas, haga clic en Sistema y haga doble clic en la política "No ejecutar aplicaciones específicas de Windows" en el panel derecho. Seleccione la opción Activado y haga clic en Mostrar.
(3) Haga clic en "Agregar", ingrese el nombre de la aplicación que desea seguir ejecutando, como cmd.exe, y luego haga clic en "Aceptar" para agregar el nombre de la aplicación especificada a la lista. de programas en ejecución.
(4) Haga clic en "Aceptar" para regresar al Editor de políticas de grupo y haga clic en "Aceptar" para completar la configuración.
Cuando un usuario intenta ejecutar una aplicación que está incluida en la lista de programas prohibidos, se mostrará un mensaje de advertencia. La copia de aplicaciones que no pueden ejecutarse en otros directorios y particiones aún no se ejecuta. Para restaurar la capacidad de ejecución de programas restringidos específicos, puede establecer la política "No ejecutar aplicaciones de Windows específicas" en "No configurado" o "Desactivado" o eliminar las aplicaciones especificadas de la lista "No permitir" (esta requiere que la lista no quede vacía después de la eliminación).
Este método sólo puede evitar que los usuarios ejecuten programas iniciados desde el Explorador de Windows, pero no puede deshabilitar programas iniciados por procesos del sistema u otros procesos. De esta forma de prohibir la ejecución del programa, el alcance del objeto de usuario es todos los usuarios, no solo los usuarios restringidos, las cuentas en el grupo de Administradores e incluso las cuentas de administrador integradas estarán restringidas, por lo que trae ciertos problemas al administrador. Cuando un administrador necesita ejecutar un programa incluido en la lista de programas prohibidos, primero debe eliminar el programa de la lista de programas prohibidos a través del Editor de políticas de grupo y luego agregar el programa a la lista de programas prohibidos una vez finalizado el programa. correr. Cabe señalar que no debe agregar el Editor de políticas de grupo (gpedit.msc) a la lista de programas prohibidos, porque esto hará que la Política de grupo se autobloquee y ningún usuario podrá iniciar el Editor de políticas de grupo y modificar el ajustes que se han establecido.
Consejo: Si el programa del símbolo del sistema no está deshabilitado, puede ejecutar el programa deshabilitado desde el símbolo del sistema a través del comando cmd, por ejemplo, agregue el programa notepad.exe a la lista de ejecución prohibida. Por ejemplo, si agrega el programa notepad.exe a la lista de programas prohibidos, puede ejecutar el programa desde el escritorio en XP, pero puede ejecutar el Bloc de notas desde el símbolo del sistema y el programa Bloc de notas se inicia correctamente. Por lo tanto, para desactivar completamente un programa, primero agregue cmd.exe a la lista "Prohibidos".
3. Establecer la política de restricción de software
La política de restricción de software es una parte integral de la política de seguridad local. El administrador identifica archivos y programas configurando la política y los divide en confiables. y Hay dos tipos de no confiables, que controlan la ejecución del programa brindando los niveles de seguridad correspondientes. Esta medida resuelve de manera muy efectiva el problema del funcionamiento controlado de código desconocido y que no es de confianza. Las políticas de configuración de software utilizan dos aspectos de la configuración para restringir programas: niveles de seguridad y otras reglas.
Los niveles de seguridad se dividen en "no permitido" y "sin restricciones". No permitido "Prohíbe la ejecución de programas independientemente de los permisos del usuario, mientras que "Sin restricciones" permite a los usuarios que han iniciado sesión ejecutar programas con los permisos que tienen.
Otras reglas, que los administradores identifican estableciendo reglas Especificar lotes o archivos y programas, y dar un nivel de seguridad de "no permitido" o "sin restricciones". En esta sección, el administrador puede crear cuatro tipos de reglas, en orden de prioridad: reglas hash, reglas de certificado, reglas de ruta y reglas de zona de Internet. , que proporcionará el nivel más alto de autorización para acceder a archivos y ejecutar programas
Establecer política de restricción de software
1 Política de restricción de acceso a software
Como parte de la política de seguridad local, la política de restricción de software también se incluye en la política de grupo. Debe iniciar sesión en el sistema como una cuenta de administrador o como miembro del grupo de administradores para configurarla. Hay dos formas de acceder a la política de restricción de software: <. /p>
(1) Ejecute secpol.msc desde "Inicio" y "Ejecutar" para iniciar el editor de políticas de seguridad local. En "Configuración de seguridad" puede ver el elemento "Política de restricción de software". p>
(2) Ejecute gpedit.msc en "Inicio" y "Ejecutar" para iniciar el Editor de políticas de grupo, que se puede ver en "Configuración de la computadora", "Configuración de Windows" y "Configuración de seguridad". Vaya a "Software". Política de restricción".
2. Cree una nueva política de restricción de software
Cuando abre la política de restricción de software por primera vez, este elemento está vacío y el administrador debe agregarlo manualmente. administrador.
El método es hacer clic en "Política de restricción de software" para seleccionarla, hacer clic en el elemento "Nueva política" en el menú "Acción" en la ventana de edición y podrá ver el "Nivel de seguridad" y "Otros" en "Política de restricción de software". "abajo. Reglas" y otros tres atributos, como se muestra en la Figura 2. Una vez que se crea una nueva política, no se puede volver a crear ni eliminar.
3. Establezca el nivel de seguridad predeterminado
Después de crear una nueva política de restricción de software, el nivel de seguridad predeterminado de la política es "Sin restricciones". , debe establecer el "Nivel de seguridad" de la siguiente manera:
Después de crear una nueva política de restricción de software, el nivel de seguridad predeterminado es "Sin restricciones". Como se muestra a continuación:
(1) Abra "Nivel de seguridad", puede ver dos configuraciones en el panel derecho, entre las cuales la configuración con una pequeña marca de verificación en el ícono es la configuración predeterminada;
p>(2) Haga clic en la configuración que no sea el valor predeterminado, haga clic derecho y seleccione el elemento "Establecer como predeterminado". Establecer como elemento predeterminado". Al configurar "No permitido" como valor predeterminado, el sistema mostrará un cuadro de diálogo de mensaje, haga clic en "Aceptar".
También puede hacer doble clic en la configuración no predeterminada en este paso. Haga clic en "Establecer como predeterminado" en la ventana emergente de propiedades.
4. Establezca el alcance y el objetivo de la política. le permite configurar los archivos de software a los que se aplica la política si se incluye el archivo de la biblioteca y si el objetivo de la política incluye la cuenta de administrador. En términos generales, para evitar problemas innecesarios y facilitar la administración del sistema, el alcance de la política debe ser. debe configurarse para todos los archivos de software que no incluyen archivos de biblioteca, y el destino debe configurarse para excepto el archivo de biblioteca para todos los usuarios excepto los administradores locales
4. Todos los usuarios excepto administradores locales" y haga clic en "Aceptar".
5. Realizar ajustes. Reglas
Obviamente, no es posible controlar bien archivos y programas sólo estableciendo niveles de seguridad. Se deben formular reglas razonables para determinar quién tiene prohibido o permitido ejecutar archivos y programas, y luego controlar estos archivos y programas. Control flexible de archivos y programas. Como se mencionó anteriormente, se pueden formular cuatro tipos de reglas: hash. reglas, reglas de certificado, reglas de ruta y reglas de zona de Internet. Los métodos para identificar archivos y formular reglas son los siguientes:
Regla hash: el algoritmo hash se utiliza para calcular el valor hash del archivo especificado. El valor hash es una serie de bytes de longitud fija que identifican de forma única el archivo. Una vez establecida la regla hash, el software restringe la política cuando el usuario accede o ejecuta el archivo. Se permite o bloquea el acceso o la ejecución de un archivo. valor hash del archivo y nivel de seguridad Cuando un archivo se mueve o cambia de nombre, el valor hash del archivo no se ve afectado y la política de restricción de software permanece vigente para el archivo.
(1) Haga clic en "Otras reglas" en. "Políticas de restricción de software", haga clic derecho en "Otras reglas", o haga clic derecho en el panel derecho de la ventana y seleccione "Otras reglas", o haga clic derecho en "Otras reglas" Haga clic derecho en el área en blanco de el panel derecho y seleccione "Nueva regla hash"
(2) Haga clic en "Examinar" y especifique el archivo o programa que se identificará, como cmd.exe, y confirme. Puede ver el valor hash calculado. en el valor hash del archivo. En "Nivel de seguridad", seleccione "No permitido". En "Nivel de seguridad", seleccione "No permitido" o "Sin restricciones" y haga clic en "Aceptar", en "Otras reglas". que se ha agregado una nueva regla de tipo hash.
Regla de certificado: identificar un archivo o programa utilizando el certificado de firma asociado con el archivo o programa. La regla de certificado requiere autofirmado, firmado por una autoridad de certificación (. CA), o firmado por una autoridad de clave pública de Windows 2000. Las reglas de certificado no se aplican a archivos EXE y DLL, sino principalmente a scripts y paquetes de instalación de Windows cuando el archivo está firmado por su asociado. La política determina si el archivo se puede ejecutar en función del nivel de seguridad del archivo. Los movimientos de archivos y los cambios de nombre no afectan la aplicación de las reglas de certificado. La creación de reglas de certificado requiere acceso al archivo de certificado que identifica el archivo, que tiene una extensión .CER. Se crea de la misma forma que una regla hash.
Reglas de ruta: utilice archivos o programas para identificar rutas. Las reglas pueden apuntar a las rutas de archivos específicos, una clase de archivos con comodines o todos los archivos y subcarpetas de un archivo.
Debido a que la identificación se realiza por ruta, las reglas de ruta pierden efecto cuando los archivos se mueven o se les cambia el nombre. En las reglas de ruta, la prioridad es alta o baja según el tamaño del rango de ruta. Cuanto mayor sea el rango, menor será la prioridad. Por lo general, la prioridad de una ruta de mayor a menor es: el archivo especificado, un tipo de archivo que usa caracteres comodín para representar la ruta, un tipo de archivo que usa caracteres comodín para representar la ruta y la ruta de nivel superior de el camino. El método de creación es el mismo que el de la regla hash.
Reglas de la zona de Internet: Se identifica mediante la zona de Internet desde la que se descargó la aplicación. Las áreas incluyen principalmente Internet, intranet local, computadora local, sitios restringidos y sitios confiables. Las reglas se utilizan principalmente en los paquetes de instalación de Windows. El método de creación es el mismo que el de la regla hash.
6. Mantener los tipos de archivos del código ejecutable
No importa qué regla, los tipos de archivos a los que afecta son los tipos enumerados en el atributo "Tipo de archivo especificado", todas las reglas comparten. estos tipos. En algunos casos, es posible que un administrador necesite eliminar o agregar un archivo de cierto tipo para que una regla pueda omitir o afectar archivos de ese tipo, lo que requiere que mantengamos el atributo "Tipo de archivo asignado".
(1) Haga clic en "Política de restricción de software" y luego haga doble clic en el elemento de propiedad "Tipo de archivo asignado" en el panel derecho. "Si desea eliminar un tipo de archivo, haga clic en el tipo en la lista y haga clic en "Eliminar".
7. Utilice la prioridad de las reglas para controlar de manera flexible la ejecución del programa
Cuatro tipos de reglas Las prioridades de mayor a menor son: reglas hash, reglas de certificado, reglas de ruta y reglas de zona de Internet. Si se aplican varias reglas al mismo programa al mismo tiempo, el nivel de seguridad establecido por la regla con. la prioridad más alta determina si el programa se puede ejecutar. Si se aplican varias reglas del mismo tipo al mismo programa, la regla más restrictiva del mismo tipo entrará en vigor. Esto proporciona una forma flexible de controlar el funcionamiento del programa. aunque el efecto de una sola regla es integral, restringirá las partes que necesitamos, y el efecto combinado de las reglas compuestas tendrá el efecto de "no permitir/restringir nada excepto lo que necesitamos/no necesitamos", lo que puede será el nivel de seguridad que realmente necesitamos.
Consejo: La política de restricción de software debe cerrar sesión y volver a iniciar sesión en el sistema para que entre en vigor si la política de restricción de software establece una regla "sin restricciones". incluido en la lista de programas prohibidos de la política "No ejecutar aplicaciones específicas de Windows", eventualmente el programa no podrá ejecutarse. Para eliminar la restricción del programa, debe eliminar las reglas relevantes: En la lista de reglas de. otras reglas, haga clic derecho en la regla que desea eliminar y seleccione Eliminar. Las medidas implementadas tienen sus propias características. Desde la perspectiva del método de implementación y el efecto de las restricciones, restringir el acceso del usuario a los archivos permite al administrador controlar los permisos de todos. usuarios como la cuenta de Administrador, y el alcance puede ser todo tipo de archivos y carpetas, pero este método está limitado por el entorno de la aplicación. Tomando medidas basadas en políticas, ya sea habilitando la política "No ejecutar aplicaciones de Windows específicas" o. Al establecer una política de restricción de software, el alcance de los objetos de usuario que se restringirán son los grupos de usuarios y no se pueden configurar para usuarios específicos ni para todos los usuarios, ni para todos los usuarios excepto el grupo de Administradores. Sin embargo, estas medidas son menos exigentes para el entorno del sistema y pueden. Además, las configuraciones basadas en políticas permiten una administración más flexible de las computadoras. Las políticas de restricción de software permiten a los administradores identificar programas de diversas maneras, lo que les otorga un alto grado de control sobre su funcionamiento.