NTFS файлы с записью один раз

Для резервного копирования у меня есть внешний жесткий диск, и я использую Windows.

Что и как мне настроить, чтобы файлы можно было записывать на диск один раз, но чтобы не было возможности их удалять или изменять? (Это защита от случайных или злонамеренных (=вирусных) действий. Поэтому даже администраторам следует запретить вмешиваться в файлы после их записи на носитель.) Я думаю о чем-то вроде файловой системы только для добавления.

Хотя схема «настроить один раз и забыть» была бы лучше, я готов запустить скрипт при каждой операции резервного копирования, если это необходимо.

PS: У меня нет серьезного опыта с NTFS (не намного больше, чем у обычного пользователя).

Такой файловой системы не существует. Ваши варианты — это носители DVD-R или CD-R или просто подключать жесткий диск во время резервного копирования. Вариант с отключением хуже, так как диск все еще доступен для записи, когда он подключен.

Жесткие диски по определению являются средствами записи и чтения, и вы не можете сделать их средствами записи только один раз.

В NTFS поведение WORM имитируется с помощью определенных записей ACL. Например, вы можете запретить добавление файлов, установив соответствующий ACL.

Проблема в том, что любые администраторы (или пользователи с необходимыми правами) могут просто изменить примененный ACL, и таким образом ваш файл только для чтения снова становится доступным для записи.

К сожалению, простой USB-накопитель не может работать так, как вы хотите, поскольку привилегированный процесс может причинить значительный вред такому диску (например, он может инициировать форматирование USB-накопителя).

Просто используйте Macrium Reflect и создайте образ диска на жестком диске. Если хотите, сделайте это запланированной дифференциальной резервной копией. Вредоносные программы не повлияют на файлы образов Reflect. Вы можете смонтировать образ как том только для чтения, чтобы скопировать оттуда при желании. Для дополнительной безопасности отключайте жесткий диск, когда он не используется для резервного копирования.

Я пришел сюда из Google в поисках шагов настройки для создания папки записи один раз, чтение часто (иногда также называемой запись один раз, чтение много раз). Я хочу поделиться своим решением, которое мне пришлось собрать с разных сайтов.

Предположим, у вас есть папка Archive на томе NTFS, и вы хотите, чтобы любое содержимое этой папки стало запись один раз, чтение часто. Выполните следующие шаги:

1. Откройте Свойства этой папки.
2. Перейдите на вкладку Безопасность.
3. Нажмите Дополнительно.
4. Удалите группу CREATOR OWNER¹.
5. Удалите или измените любые другие учетные записи в соответствии с вашими потребностями, чтобы предотвратить нежелательные обходы. (В моем случае только SYSTEM и Administrators остаются с полным доступом.)
6. Добавьте пользователя или группу, которым следует разрешить запись один раз и чтение часто.
7. Отредактируйте расширенные разрешения, как показано на скриншоте ниже:

После этого вы сможете копировать и перемещать файлы и папки в эту папку, а также создавать файлы и папки, но вы не сможете изменять существующие данные (никакого перемещения, переименования или изменения).

¹ Группа CREATOR OWNER на самом деле не является группой, имеющей какие-либо разрешения NTFS на файлы или папки. Это шаблон. Он используется каждый раз, когда вы создаете файл или подпапку. В этом случае ваша учетная запись добавляется в ACL этого файла или подпапки с теми же правами, что и группа CREATOR OWNER родительского каталога.

Она удаляется в этом случае, чтобы ни одна учетная запись не получила индивидуальной записи в ACL, и применялись только уже определенные права.

Вы можете установить программу, такую как Folder Guard, и назначить программе, для которой Folder Guard позволит вам создавать и изменять содержимое папки резервного копирования или диска. В результате у вас будет хранилище, доступное только архивирующей программе и доступное только для чтения для всех пользователей и программ. Это определенно защитит вас от вирусов.