- PVSM.RU - https://www.pvsm.ru -
Для пользователя компьютера в целом будет лучше, если он не будет использовать права администратора в своей повседневной работе. Особенно это актуально, когда речь заходит о взаимодействии пользователя с сетью Интернет. Не секрет, что большая часть появляющейся на компьютере малвари попадает туда посредством использования уязвимостей в сетевых приложениях или посредством неаккуратной работы пользователя в сети.
Если пользователи *nix систем привыкли использовать sudo или su для решения некаждодневной задачи, то пользователи ОС Windows не спешат приучать себя к хорошим манерам, продолжая работать с правами администратора.
Учетная запись пользователя Windows представляет собой набор данных, определяющих, к каким папкам и файлам пользователь имеет доступ, какие изменения могут вноситься пользователем в работу компьютера, а также персональные настройки пользователя, такие как фон рабочего стола и экранная заставка
Типы учетных записей Windows
Различаются по предоставляемым возможностям управления компьютером:
При этом учетная запись «Администратор» позволяет:
В то время как «обычная» учетная запись, позволяет лишь:
Проанализировав, можно прийти к выводу, что недостаток привилегий обычной учетной записи не столь критичен, однако пользователей таких учетных записей в ходе работы ждут следующие проблемы:
Для решения возникающих проблем пользователю каждый раз необходимо будет использовать либо «Run as administrator», либо утилиту runas.exe, раз за разом вводя пароль администратора или же каждый раз изменять пользователя на «администратор», выполнить необходимый набор действий и возвращаться в свою учетную запись. Все эти телодвижения непонятны рядовому пользователю, и он продолжает свою работу с правами администратора.
У системных администраторов есть правило «Наименьших прав». Оно гласит, что пользователь должен выполнять свою работу только с минимальным набором привилегий, необходимых для решения поставленных задач.
Дабы не сталкивать пользователя с дополнительными задачами, решение которых будет отвлекать его от выполнения основной работы, но при этом не оставлять у пользовательских приложений прав администратора, предлагается понизить в правах не пользователя, а сами приложения.
Для этой цели существует ряд утилит, рассмотрим наиболее распространенные:
Для примера, понизим привилегии браузера Internet Explorer.
После выполнения установки, создаём ярлык браузера, заходим в свойства ярлыка и в поле «объект» прописываем строку:
PathToDropmyrightsDropMyRights.exe «C:Program FilesInternet ExplorerIEXPLORE.EXE» С
«С» в конце строки означает уровень привилегий «Constrained user», всего определенно три уровня привилегий:
Приведенную строку можно ввести в консольном режиме.
PsExec — это облегченный вариант программы Telnet. Она позволяет выполнять процессы в удаленных системах, используя для этого все возможности интерактивного интерфейса консольных приложений, и при этом нет необходимости вручную устанавливать клиентское программное обеспечение. В нашем случае из всего мужества ключей утилиты, используются только два:
psexec -l -d «C:Program FilesInternet ExplorerIEXPLORE.EXE»
-d – указывает, что не нужно ждать завершения приложения.
-l – при запуске процесса пользователю предоставляются ограниченные права (права группы администраторов отменяются, и пользователю предоставляются только права, назначенные группе «пользователи»).
Для проверки корректности проведенной настройки применяется специальная панель инструментов для IE – PrivBar. С помощью неё можно легко отследить права пользователя, работающего с браузером.
Стоит всегда помнить, что работая с правами администратора, угрозе подвергается не только компьютер, но и данные, привилегии администратора должны применяться только для решения нестандартной задачи, а по выполнению таковой сразу же оставляться. В случае, если по каким-либо причинам временное получение прав «Администратора» некомфортно, предлагается понизить в правах само приложение.
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/pesochnitsa/88520
Нажмите здесь для печати.