Существует ли брандмауэр файловой системы?
С тех пор, как брандмауэры появились на сцене, программам жулика стало трудно получить доступ к Интернету. Но Вы и я знаем, что запущенные приложения получают неограниченный доступ к файловой системе. Они могут считать Ваши файлы и отправить их папе. (программы, такие как веб-браузеры и клиенты IM, которые разрешены через интернет-брандмауэр),
Какой-либо способ знать, какие программы получают доступ к Вашим файлам? или ограничьте их доступ к определенному разделу?
5 ответов
Основанное на хосте предотвращение вторжения (БЕДРА) и игра в песочнице можно рассматривать как брандмауэр файловой системы. МОДНЫЕ приложения контролируют и ограничивают операции файловой системы приложениями. Играющие в песочнице приложения создают виртуальную файловую систему для других приложений так, чтобы операции файловой системы (записи/изменения), сделанные приложением, работающим в песочнице, могли быть очищены. Вот статья, которая объясняет различные типы БЕДЕР, доступных для Windows:
Монитор процесса скажет Вам, к чему процессы получают доступ который файлы в соответствии с Windows. Можно настроить фильтры для ограничения подавляющего объема информации, который может быть сначала отображен только к определенным процессам.
Это также говорит Вам о доступе к реестру и дает информацию об отслеживаниях стека и т.д...
Windows Vista/w7/2008/2008r2 включает "обязательные уровни целостности", программа, работающая в "Низком", может только получить доступ к файлам/папкам, отмеченным как "Низкие". Большинство пользовательских файлов отмечено "Носитель", таким образом, исчерпывающий ресурсы IE не может получить доступ к ним.
Однако это только дает ограниченный контроль и требует, чтобы приложения были записаны для использования его.
Под Unix (включая Linux) существует chroot ("корень изменения"), который заставляет каталог действовать как filsystem корневой каталог для конкретной программы (и любые программы, которые это выполняет). Таким образом целевая программа не может получить доступ ни к каким файлам вне данного дерева каталогов.