Всеки знае, че една от най-важните принципи на сигурността на мрежата е да се осигури възможно най-малко права: да предостави на обикновените потребители само до тези права, които са пряко необходими за тяхната работа и нищо повече. Например, ако обикновените потребители не се нуждаят от достъп до данните, съхранявани в счетоводството на ресурсите, не ги дават никакви права на ресурса.

Принципът на "възможно най-малко привилегии" - е повече от принцип на сигурност, че е спасител за администратора. Причината за това се крие във факта, че потребителите - любопитни същества, които се опитват всичко. Дава на потребителя местните администраторски права на компютъра си, и те се опитват през цялото разнообразие от неща, като например да инсталирате допълнителен софтуер, промяната на конфигурационни настройки, а дори ще се изкачи до регистъра, за да видите това, което може да се персонализира за най-добро изпълнение на своя компютър. От гледна точка на администратор тя може да бъде катастрофа, тъй като грешна настройка може да повреди някои приложения, или дори да повреди компютъра. След това потребителят започва да се обадя за помощ, а вие като администратор, има две възможности: или да изчистите колата си и да преинсталирате операционната система от стандартния образ на вашата фирма, или безполезно да прекарват времето си в продължение на часове се опитва да установи причината за проблема. Вторият вариант - това обикновено е загуба на време, за разлика от политиката на компанията, потребителят спестява важните файлове на вашия компютър или на мрежов дял. Първият вариант - тя е на практика да плюе срещу вятъра, да преинсталирате системата на потребителя и той може свободно да го извадят от строя отново.

Политика Group е един от начините да се определи какво може и какво може да направи потребителят с компютъра. Но какво, ако политиката на компанията (или културни или политически или други реалности) изискват необходимостта от възможността на потребителя да персонализирате вашата кола? В този случай, че имате две възможности, или да даде на потребителите местните администраторски права или не. защото първият вариант е проблемът, за който говорих по-горе, нека да разгледаме възможността за втори вариант.

Неудобство при работа не е администратор на профила

Ако не изберете потребителски акаунт в домейна, местен администратор на тяхната машина, потребителят започва да се оплаква на висок глас по редица причини, които включват следното:

• Когато се опитате да инсталирате софтуер на вашия компютър, на процеса на настройка обикновено спира със съобщение за грешка от различни видове.
• Когато те се опитват да настроите датата и часа на контролния панел, се появява диалогов прозорец, който казва, че те нямат право да направите това.
• Когато те се опитват да се коригира чрез Опции на захранването в контролния панел, те могат да променят настройките в графичния интерфейс, но когато кликнете OK, за да запазите промените за достъп до съобщение Отказан (Отказан достъп).
• Когато искате да споделите папка на тяхната машина, така че другите потребители могат да имат достъп до своите файлове, те не могат да го направя, защото в прозореца със свойства не е раздела Share.

Последните три оплаквания сравнително лесно да се придвижва (аз ще го покаже в момента), но проблемът е, че не може да инсталирате софтуера е доста сложно поради няколко причини. На първо място, повечето от софтуера (включително Microsoft, много приложения) да изискват от местните администраторски права, за да могат да бъдат определени за всички версии на Microsoft Windows. Въз основа на това, ние се сблъскваме с факта, че някои приложения се нуждаят от специална зона да пише на файловата система и регистъра. Но това не е истинската причина, че приложенията изискват администраторски права, за да инсталирате, истинската причина е, че разработчиците обикновено са твърде мързеливи, за да се грижи за създаването на пакети от които да избирате, че също няма да работи като администратор. Всичко това означава повече работа за предприемача (което е по-голямата част разработчиците се опитват да се избегне). Но той също така означава, че развитието на тези приложения, които работят също като администратор, което отново води до необходимостта да се грижи за много - когато се развиват заявление е много по-лесно влезли като администратор.

Не инсталирането на софтуера е администраторски акаунт

За съжаление, някои програми, след като те са били инсталирани с помощта на Runas все още няма да работи правилно команди, когато ги изпълняват с правата на един обикновен потребител. Това е така, защото, когато използвате командата Runas да инсталирате нищо, някои от най-важните настройки запазва в профила на местния управител, не профила на потребителя, че е влязъл в момента. И разбира се, това води до проблеми при опит за по-късно стартира инсталираното приложение като обикновен потребител. Отново на разработчика, който е написал програмата е трябвало да се грижи за решаването на този проблем, но защо се тревожи за това, ако все още е всичко тече Windows като администратор?

Аз самият съм срещал този проблем няколко пъти с двете приложения на трети страни, както и с приложения рамка на .NET, и това е разочароващо. Така например, наскоро исках да се електронен курс за обучение за разработване на ASP.NET от Microsoft. За съжаление, поради някаква причина не можах да изтеглите хода (.NET самото приложение), ако сте влезли в използването на потребителски домейн сметка, така че аз отворих връзка в Internet Explorer с помощта на местните администраторски права и безопасно изтегляне курсове. Но когато се опитах да тече курс локално на компютъра ми, тя не се стартира, когато се опитах да го направя като крайно беден потребител. Така че аз се опитах да се използва Runas, за да стартирате процеса като администратор, но той все още не се стартира. В края на краищата, аз излязох от системата, отиде като администратор, за да започне да работи. Кошмар! Може би, ако аз изследва обстойно проблема, бих разбрал защо той не работи за първи път, но това е добра илюстрация на това защо повечето хора работят през цялото време в Windows с администратора, ако не сте администратор, можете да прекарате много време за да направим нещата работа.

пушена херинга

Освен това, и това е нещо, което съвсем наскоро дойде да се разглежда от експертите на сигурност, може да се окаже, че целия проблем с минимум привилегии, само на зелен хайвер. Разбира се, ако сте влезли в администратор, и да отидете до Интернет, чрез различни неприятни сайтове и изтеглени вирус, вирус ще получи контрол над системата си за собствените си права, т.е. администратор. И ако вие сте обикновен потребител, и вие отидете на една и съща площадка, вирусът получава ограничен достъп (потребителски домейн от първо ниво привилегии), за да ви система, така че потенциалът за увреждане ще бъде намалена. Реалността е много по-сложно. Ако злонамерен код, който сте изтеглили - червей, който използва слабостите в служба на Windows, това няма значение при кой профил сте логнат.

Освен това, най-умните хакерите вече работят върху създаването на нови възможности, чрез които хакерът може да улавят код система, дори когато работят в него с минимални права. Затова излизане възможност Най-слабо privilegeUserAccount (LUA) Longhorn (сега е Windows Vista), който отказва да остарели групата Power Users и позволява монтажа и пускането на LUA-съвместими приложения със стандартни потребителски права, всъщност, не е панацея за проблемите на сигурността, свързани с използването на най-ниски привилегии , Можете да заложите и последния цент, че лошите ще открият нови възможности за пробив на системата ви.

Поради това, а най-малко привилегия - това е добро решение. Но това няма да продължи дълго. Но с други думи, все още можете да помисли за стратегията на "най-малко привилегия", както обикновено средство за защита срещу хакери.

Някои заобиколни

Докато сме тук, да забележите, че дървото на папките в IE показва възел контролния панел. Изберете възел и в десния прозорец ще видите аплети контролния панел. Опитайте се да промените датата и часа - тя работи! защото IE работи с администраторски права, всички приложения, които можете да я отворите, които използват, включително и контролния панел, също ще работи с тези права. Същото важи и в случай на Опции на захранването, мрежови връзки, система и други аплета, който имат ограничен достъп по време на работа не е администратор.

Има обаче още по-лесен начин (на път за работа с IE, но е малко объркващо, ако iexplore.exe не е в системната директория), за които е необходимо да направите следното:

1. Излезте и влезте мениджър.
2. Отворете Windows Explorer
3. Изберете Инструменти. след това Folder Options. Тогава гледката. и отбележете в полето "Стартиране на папките прозорците в отделен процес" на
4. Затворете Windows Explorer, се откажат от системата.

Сега, когато се върнете като обикновен потребител, можете да щракнете с десния бутон върху explorer.exe (или етикет), изберете "Run като ...", уточни идентификационните данни на администратор, и Windows Explorer вече се управлява като администратор.

заключение

Работещи Windows не е администратор сметка - е предизвикателство, и толкова дълго, колкото той носи своите предимства, че е възможно да се толерира своите недостатъци. В допълнение, тези ползи не са толкова големи, както казват, много експерти по сигурността, и те ще работят само толкова дълго, колкото лошите, не намерят нови начини да заобиколят системата за сигурност.

Какво имате опит в работата с този проблем? И да ви принуди потребителите ви не вървят под местното администраторски акаунт? С какви трудности се сблъскахте по този начин? А как ви се опита да реши тези проблеми? Пишете ми за всичко това, и ще събера всичките си отговори в следната статия на WindowsNetworking.com, където отново се разгледа въпросът по време на работа не е администратор сметка.

Свързани статии

• Как да се създаде местна сметка в прозорци 10

• Как да се промени по подразбиране в WordPress администраторски профил

• Стартиране на програмата от името на друг потребител, Енциклопедия прозорци