none
如何隔离应用的运行空间以避免其访问隐私文件(读写权限)而不损害应用的3D性能? RRS feed

  • 问题

  • 我希望使用Windows提供的策略将部分不可信应用的运行空间独立,不允许其访问隐私文件夹。此前,我了解到的解决方案包括:虚拟化方案、使用不同用户设立不同的文件夹访问权限,以及Controlled Folder Access。但是这些方案都遇到了各自不同的问题,在实现过程中也不尽理想。


    第一个方案是虚拟化方案,分别包含了Hyper-V和Vmware Workstation Pro。作为一个游戏爱好者,虚拟机匮乏的3D性能并不满足我的要求。现在Hyper-V由于安全原因禁用了RemoteFX,并且该技术支持的显卡也非常有限,这使得它不能支持本机3D acceleration。而我使用的Intel核显笔记本并没有多余的显卡和额外屏幕支持PCI-E的Passthrough技术。而对于Vmware Workstation Pro,虽然其支持3D加速,但其在玩游戏时面临着严重的延迟问题十分影响游戏体验。


    第二个方案是根据不同的应用设立不同的账号以进行访问控制。这个方案的一个问题是,类似LOL的游戏总会要求管理员权限,而为了防止管理员账号访问隐私账号的文件夹,则需要对该文件夹的访问权限进行更改(禁止该账号对文件夹的所有访问权限)。在这种情况下,也需要防止该账号更改共享使用的应用程序(如在Program Files下的程序)或者Windows文件夹以进一步获得对隐私数据的访问权限,进而需要更改系统文件夹的访问权限。而这种操作则会使得操作系统非常不稳定。


    最理想的解决方案似乎是Controlled Folder Access,它可以对隐私文件夹实施特殊保护,仅允许部分应用删除和写入受保护文件夹的内容。但是其并没有防止应用读取隐私数据,也就是说,不可信的应用还是可以非常轻易地窃取隐私。


    请问有没有什么方法能将应用的运行空间独立,但是不影响其3D性能呢?组策略似乎十分强大,或许其中有某些策略可以需要的操作。

    2020年9月7日 5:50

全部回复

  • 您好,
    欢迎来到微软TechNet技术论坛。
    如果您希望将部分不可信应用的运行空间独立,不允许其访问隐私文件夹,可以尝试安装双系统将这些不可信应用放在另一个系统内。双系统下两个系统间是隔离的,隐私会得到保护,3D性能也得以保留。
    如果此回答对您有帮助,请记得标记为答案
    祝好,
    Molly

    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。

     

    • 已编辑 MollyL 2020年9月8日 9:23
    2020年9月8日 9:22
  • 双系统听起来是个非常贫乏的解决办法,它很难实现文件的共享而保持安全性。而往往可能从不可信环境中处理得到的文件(如*.csv)需要放到可信环境中备份存储,那么没有实现文件共享的双系统很难实现这样的操作。有没有办法通过某种访问权限控制的办法解决这个问题呢?
    2020年9月8日 18:28
  • 此外我也很好奇,是否可以实现在同一个磁盘(Disk)下不同Windows共存,而两份Windows副本分别存储不同的Bitlocker钥匙并与TPM相互保持认证?
    2020年9月8日 18:30
  • 您好,

    在同一个磁盘下使不同Windows共存是无法实现的。

    如果需要使用文件共享功能,就需要承担数据隐私泄露的风险,封闭的环境相对来说是更安全的。双系统可以使两个系统间完全隔离,保证数据安全性,若此解决方案不适用,微软built-in的功能目前无法满足要求

    祝好

    Molly


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。

     


    • 已编辑 MollyL 2020年9月11日 2:08
    2020年9月11日 2:08
  • 您好,

    请问您的问题进展的怎么样了?

    我十分乐意帮助解决您的问题,希望您能及时给我一个反馈。

    祝好

    Molly


     针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。

     

    • 已编辑 MollyL 2020年9月14日 1:52
    2020年9月14日 1:52
  • 您好
    请问您的问题解决了吗? 如果您使用我们的方案解决问题,请“将其标记为答案”,以帮助其他社区成员快速找到有用的回复。 如果您使用自己的方案解决问题,请在此处分享您的经验和解决方案。 对于有类似问题的其他社区成员也是非常有帮助的。 如果没有,请回复并告诉我们目前的情况,以提供进一步的帮助。
    祝好
    Molly

    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。

     


    • 已编辑 MollyL 2020年9月16日 2:04
    2020年9月16日 2:04