Почему опасно хранить файлы за пределами «Документов» и других папок пользователя

24.11.2020|Антон Максимов|Комментарии

Если на вашем компьютере несколько учетных записей и вы работаете с данными, которые не хотели бы показывать другим пользователям, то стоит хранить их в предназначенных для этого папках (документы, изображения, видео и прочее), которые располагаются внутри вашей учетной записи. Если размещать эти данные в других местах (например, на другом диске), то они будут доступны всем без ограничений.

Чтобы понять почему так происходит и как это исправить, разберемся для начала с тем, какие типы данных можно встретить в системе.

Какие данные встречаются в Windows

Для упрощения разделим все данные на компьютере на три условные группы: ваши личные, чужие, общие и системные.

1) Личные данные расположены внутри вашей учетной записи в папке C:\Users\%UserName%, где вместо %UserName% название каталога вашего профиля.

Просто введите %homepath% в адресной строке Проводника, чтобы увидеть свой путь.

Там вы найдете «Документы», «Изображения», «Видео», «Музыка» и другие. Это ваша личная папка и все данные там лично ваши. Доступ к ним есть у вас и всех процессов (программ), которые вы запустите от своего имени.

2) Чужие данные — это личные данные других пользователей вашего компьютера. Они доступны только им и процессам, которые они запустят. Как и ваши личные файлы, они располагаются под своими именами в каталоге C:\Users.

3) Общие данные — это папки и файлы, к которым имеют доступ все пользователи на ПК без ограничений. Они могут располагаться где угодно на дисках за пределами профилей пользователей и системных папок. Это может быть C:\MyFolder, а может быть D:\Video или D:\Games.

Любая созданная за пределами вашей учетной записи папка или файл — общие. То есть к ним будут иметь доступ все пользователи компьютера и приложения, которые запускаются любым из пользователей.

4) Системные — это каталоги, с которыми работает операционная система и где хранятся важные для нее файлы. Обычные пользователи не могут записывать туда что-либо (а иногда и считывать). С ними могут работать только Администраторы.

Администратор — это всемогущий пользователь с повышенными правами доступа, который может совершать любые действия без ограничений. Соответственно, те программы, которые запускаются от имени администратора, имеют наивысший уровень доступа ко всем данным пользователей и системных папок.

Почему важно хранить данные в личных папках

При использовании общих папок для хранения личной информации, пользователи или запущенные ими программы могут получить полный доступ к информации (читать, изменять, удалять).

Например, ваш ребенок, который садиться за компьютер поиграть, сможет в перерывах читать вашу рабочую переписку или конфиденциальные документы. Случайно удалить что-то тоже не составит труда. Если не поленится, то ответит клиенту от вашего имени. Полная свобода действий.

Но главная угроза заключается в том, что если кто-то из пользователей случайно запустит вредоносный код от своего имени, то этот процесс получит полный доступ ко всем личным данным этого человека, а также ко всем общим данным (и вашим). И вот это уже гораздо более серьезная угроза.

Ну а если вы храните файлы в папках учетной записи, то другие пользователи не смогут получить к ним доступ. Не смогут их прочесть, не смогут переписать или как-то изменить. Те процессы, которые они запустят в рамках своей учетной записи, не смогут получить доступ к ваши данным.

Не стоит работать в Windows под учетной записью администратора. Лучше иметь учетную запись простого пользователя для повседневной работы, а под администратором заходишь лишь тогда, когда надо что-то настроить. В этом случае при запуске вредоносного кода будут повреждены лишь данные одной учетной записи.

Как быть, если личные данные надо хранить на другом диске или в другой папке?

Для освобождения места на системном диске можно перенести папки с документами на другой носитель. Например, ваша операционная система установлена на SSD небольшого объема, а рядом с ним стоит HDD значительно большего объема для данных. И вам вроде бы достаточно в свойствах своих папок с документами выбрать вкладку «Расположение» и нажать на кнопку «Переместить…», чтобы разгрузить основной диск.

Перенос документов в другую папку или на другой диск

Но при этом вы переместите свои документы из личной папки в общую, к которой получат доступ все остальные пользователи вашего компьютера и запущенные ими программы.

Настройки доступа к папке сразу после ее создания

Это происходит потому, что перед перемещением вам потребуется создать новую папку. И эта папка по умолчанию будет общей для всех пользователей. Как можно видеть на картинке выше, доступ к папке имеют категории Пользователи, Прошедшие проверку, Администраторы и Система.

Пользователи — группа, которая включает в себя всех зарегистрированных локальных пользователей.

Прошедшие проверку пользователи — это все, кто успешно подключился к системе, введя корректные логин и пароль.

Администраторы — все пользователи с правами администратора.

Система — это операционная система.

Чтобы это исправить, надо изменить права доступа у папки, в которую вы будете перемещать свои данные. Создав ее один раз, вы сможете размещать внутри все, что пожелаете и это все будет защищено от других пользователей. Для этого необходимо убрать группы «Пользователи» и «Прошедшие проверку», а вместо них добавить свой профиль в качестве единственного, у кого есть доступ.

Выберите вкладку «Безопасность» в свойствах созданной папки. В самом низу нажмите на кнопку «Дополнительно».

В появившемся окне нажмите на кнопку «Отключение наследования». Это необходимо для того, чтобы папка перестала брать права доступа от папки уровнем выше.

Отменяем наследование в настройках прав пользователей для папки

Затем в верхней части необходимо удалить группы «Пользователи» и «Прошедшие проверку». Выберите последовательно каждую из них и нажмите на кнопку «Удалить».

Удаление лишних групп пользователей из списка разрешенных

Добавляем вашу учетную запись с полными правами на эту папку. Для этого нажмите на кнопку «Добавить». В верхней части появившегося окна будет ссылка «Выберите субъект».

Настраиваем права для папки, добавляя нужного пользователя

Введите название папки вашего профиля без пути (все после C:\Users). В моем случае это ant_m. Затем Нажмите кнопку «Проверить имена», а затем «ОК».

Поиск пользователя для добавления в настройки прав доступа

Указываем права пользователя для этой папки. Нам нужно установить галочку напротив пункта «Полный доступ» и нажать «ОК».

Выбираем полный доступ для выбранного пользователя

Еще раз нажимаем «ОК» для применения всех изменений.

Мы видим, что у нашей папки теперь три допуска: Система, Администраторы и конкретный пользователь (в данном случае я). Другие пользователи ПК, которые не имеют учетной записи с административными правами, не смогут попасть в директорию.

Так вы сможете создать свою собственную папку для личных данных на другом диске и уже в нее перенести все свои документы, изображения, видео и прочее.