chrootに相当するウィンドウはありますか?

24

* nixシステムでは、chrootを使用して、2つのプロセスを相互に分離したり、システムの残りの部分から分離したりできます。Windowsに同様のセキュリティシステムはありますか?または、2つのプロセスが互いにファイルを読み書きするのを防ぐ方法はありますか?

windows  windows-server-2008  security  chroot 
ルーク
ソース
1
セキュリティタグがここで保証されるかどうかはわかりません。kerneltrap.org/Linux/Abusing_chroot
MDMarra
1
@The Rook-そのカーネルトラップの議論で、カーネル開発者はchrootがセキュリティデバイスになることを意図していないという事実について議論します/
-MDMarra
1
@The Rook-そうです、私は単にあなたが質問を言い換えたいと思うかもしれないと言っていました。セキュリティを考慮して設計された概念(jailなど)のchrootまたはスピンの拡張機能があります。投稿では、chrootをセキュリティデバイスとして参照していますが、これは意図されていませんでした。
MDマーラ
1
@Nathan Adams同意しますが、「層のセキュリティ」です。
ルーク
1
ここでかなり似ようなことをしたようです。Windows Serverでこれを設定できましたか?あなたはどちらも受け入れられない答えは...これを実行する方法について説明し、またそれは不可能だと言う
RomanSt

回答:

5

Windowsでchrootすることで何かが得られるかどうかはわかりません。特定のニーズがありますか?

Googleで上位の結果がhttp://www.winquota.com/wj/である場合

おそらく、アプリケーションの仮想化はオプションかもしれませんか?Microsoftには次のように言われています。

物理環境では、すべてのアプリケーションは、メモリ割り当て、デバイスドライバーなど、さまざまなサービスをOSに依存しています。アプリケーションとそのオペレーティングシステムの非互換性は、サーバー仮想化またはプレゼンテーション仮想化のいずれかによって対処できます。ただし、OSの同じインスタンスにインストールされた2つのアプリケーション間の非互換性のために、Application Virtualizationが必要です。

ジョン・ロードス
ソース
5
私のプロセスの1つは不十分に記述されており、非常に安全ではありません。管理者は、「高すぎる」ため、修正を望みません。私はこのプロセスが最終的に所有されることを期待しており、システムへの影響を制限したいと考えています。得るものがないと本当に信じているなら、chrootについてもっと読む必要があります。
ルーク
1
@Rook Windowsでは、ファイルシステムのレイアウトとは別のアクセス権を持つことができるためです。この回答のコメントセクションにあるあなたの胸を打つことは、ほとんどの人がファイルシステムの一部を、アクセスを許可されていないプロセスから隔離するためのアプローチです。必要なファイルシステムとサービスのサブセットにアクセスしてプロセスが開始されるようにするだけです。
アサドSaeeduddin
@Asad Saeeduddinファイルシステムといえば、WindowsはUSBスティックにある信頼できない実行可能ファイルを自動実行しないのですか?それは何年のことか?
ルーク
セキュリティ関連ではなく、特定のニーズがあります-私が移植しているこのプログラムは、独自のルートファイルシステムで動作することを期待しており、現在のディレクトリを正しく使用するために移植するのは多大な努力です。ありがたいことに、ファイルシステムに依存せずに動作します。Windowsでは、実行されているドライブのルート全体に広がります。Windowsのルートディレクトリをあるサブディレクトリに「エイリアス」することができれば、ずっときれいで追跡しやすくなるため、chrootが必要になります。
モニカの訴訟
2

私はこのようなものを使用しません、あなたはWindowsの仲間の下で実行されています。

NTFSには、最もきめ細かいアクセス権があります。特権の低いユーザーから始めて、そのユーザーにこの単一のアプリケーションのファイルへのアクセス権を与えることだけを許可することは難しくありません。

どのユーザーがどのディレクトリで何を実行できるかを既に定義できる場合、セキュリティツールではないchrootのようなものを使用する必要はありません。

LinuxでApacheに自分のユーザーを与え、フォルダー内でのみ作業を許可するのと同じです。

オーケー・ドキー
ソース
2
これは、chroot環境が必要とされない理由として正しい答えである
ジム・B
@rook、彼らはゴールデンチケット攻撃を排除するために、BPSADおよびPTHホワイトペーパーに従わなかった。私の知る限り、* nixベースのkerbでのみ機能することはわかっています。
ジムB
@Jim Bの区分化は、ブラウザ、データベース、およびWebサーバーに日常的に管理者権限を付与するプラットフォームでは異質に聞こえるかもしれません。ただし、サンドボックスは、プラットフォームに関係なく、非常に重要な多層防御手段です。
ルーク
@rook、あなたは分離と権利を混同していると思います、Windowsはデフォルトでプロセスを分離します。プロセスは、許可がある場合のみ、別のプロセスにアクセス/統合するか、別のプロセスに影響を与えることができます。
ジムB
@JimB、私は思いません(だからあなたのコメントを完全に誤解しない限り)。たとえば、Windows 7でプロセスを開始すると、セキュリティプロンプトは表示されず、その後、プロセスはシステムプロセスに問い合わせることなくストレージドライブの90%を読み取ることができます。「C:\ Program Files」と言って変更しようとする場合にのみ、OSは手首をたたくことができますが、それはセキュリティではありません。
dimitarvp
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.