witam mam pytanie dlaczego niewarto siedziec w windowsie na koncie administatora??
czy założenie nowego konta może nas uchronić od włamania lub wirusów???
Konto administratora
witam mam pytanie dlaczego niewarto siedziec w windowsie na koncie administatora??
czy założenie nowego konta może nas uchronić od włamania lub wirusów???
Załozenie konta z ograniczonymi uprawnienieniami moze nas uchronić od roznego "paskudctwa".
Witam!
Chodzi tutaj o to że jak załozysz konto z uprawnieniami a posciągasz z internetu niechcaco jakieś smieci Typu Spyweare Dialery konie trojańskie i reszte pasci konto admina dalej nie bedzie zainfekowane. Bedziesz mógł usunac konto z uprawnieniami i kożystać z konta admina aby wszystko naprawić. Jesli chcesz zabezpieczyć swojego kompa to posciagaj najnowsze uaktualnienia do systemu , zainstaluj antywirusa (preferuje tutaj NOD32) i program do usuwania spyware (proponuje Ad-aware) z taką elitą nie bedziesz miał problemu z komputerem. Wyłacz usługi niepotrzebne poblokuj porty i wyłacz posłańca i przywracanie systemu. Bedziesz bardziej bezpieczny.
Na koncie Admina nie mozne pracowac! Jest to wielki i typowy blad. Wielu uzytkownikow tworzac podczas instalacji nowych uzytkownikow (przydzielajac im nazwy w stylu Jasu, Kasia, Ja, ...) zapomina ze utworzeni uzytkownicy posiadaja prawa Administratora! Jest to duza niedogodnosc w systemie Windows. Naturalnie trzeba w panelu sterowania ustawic by ci uzytkownicy posiadali ograniczone prawa. Dla ciekawostki dodam, ze nawet specjalisci od zabezpieczen (rootkit, anti rootkit) korzystaja zazwyczaj z kont uprzywilejowanych mimo ze doskonale wiedza, iz standardowo rootkit'y Kernel Mode mozna tylko uruchomic na prawach Administratora (ladowanie sterownika). Zatem jesli natknelibysmy sie na rootkit'a KM a bedziemy korzystac z konta z ograniczonymi prawami to jest on nieszkodliwy. Jedyny krytyczny scenariusz ma miejsce jesli tworca rootkit'a zna jakas luke w systemie pozwalajaca mu zdobyc uprawnienia Administratora lub Systemowe.
Konto z ograniczonymi prawami naturalnie nie chroni przed szkodliwym oprogramowaniem. W pewnym stopniu mozna nazwac ochrona niemozliwosc dostania sie do katalogu systemowego i rejestru przez szkodliwe oprogramowanie lecz jest to ograniczenie po fakcie infekcji. Wiekszosc problemow, z ktorymi mozna sie spotkac na wszystkich kontach to ActiveX, JavaScript/VBScript oraz bledy krytyczne w oprogramowaniu. IE nie posiada zbyt wielu ulatwien dla uzytkownikow dlatego tez trzeba recznie manipulowac ustawieniami. Zazwyczaj ActiveX nie sa potrzebne (chyba, ze ktos lubi animacje Flash). Podobnie jest ze skryptami. Lecz wiele stron wymaga wlaczenia obslugi skryptow (np. Interia - email). Jesli chodzi o aktualizacje krytycznych bledow to specialnie nie przejmujemy sie tym. A chyba teraz kazdy kto nie ma legalnej kopii systemu nie moze na bierzaco aktualizowac systemu?! Zachecam wszystkich, ktorzy maja taka mozliwosc by zainteresowali sie bezplatnymi i legalnymi kopiami produktow Microsoft'u przeznaczonymi dla uczniow. Nie wiem jak sytuacja wyglada poza uczelniemu - wiekszosc uczelni bowiem jest w porozumieniu z MS - MSDNAA. Dzieki niemu mozna sciagnac i wypalic na plyte bardzo duzo produktow MS - od Windows po Visual Studio...
Gdy juz zadbamy o odpowiednia konfiguracje przegladarki oraz aktualizacje jestesmy w 99% bezpieczni. Tylko w 99% poniewaz zawsze jest ten 1% ludzkiej glupoty i naiwnosci. Musimy zdawac sobie sprawe ze nikt obcy nie pisze do nas meili bo nas lubi, nikt obcy nie wysyla nam linkow ze zdjeciami na gg... Wszystkie sztuczki z podszywaniem sie pod osoby i instytucje sa bardzo proste lecz mimo to wiele osob sie na nie nabiera. Jesli cos nie pochodzi z pewnego zrodla zostawmy to w spokoju. Na unitedcrew.net zostal przedstawiony klasyczny przypadek. Osoba dostala link z niby zdjeciem. (Czasem nie wchodzcie na ten link z wlaczona obsluga skryptow!) Po uruchomieniu sktyptu instaluje sie na komputerze ofiary 5MB syfu. Syf jest na tyle perfidny ze zawiesza komputer meczac go sciaganiem i skanowaniem dysku, tworzy kilka ukrytych procesow ktore bez przerwy zabijaja i tworza proces IE bez widocznego okna (metoda na ominiecie Firewall'i)... Skoro juz jestesmy przy Firewall'ach to wspomne tylko ze zarowno firewall'e jak i programy antyvirusowe sa zbednym opciazeniem systemu. Mimo ze nadal korzystaja z technik wykorzystywanych przez szkodliwe oprogramowanie (hooking, filtrowanie) to i tak nie potrafia usunac szkodliwego syfu. Skoro na poziomie UM mozliwe jest ominiecie wiekszosci FW to pomyslcie jakie mozliwosci ma szkodliwe oprogramowanie pracujace w trybie jadra? Nie tak dawno na konferencji w Polsce Joanna Rutkowska opisywala rootkit'y w odniesieniu do nowych technik ukrywania. Przedstawiony na konferencji rootkit deepdoor korzystajacy z wlasnego stosu TCP/IP bez problemu omijal wszystkie firewall'e. Nie warto jest leczyc skoro mozna zapobiegac a do tego nie potrzeba specjalnego oprogramowania tylko troche wiedzy i wyobrazni! Wielokrotnie pisalem o wadach oprogramowania antyvirusowego. Moglbym powtorzyc to raz jeszcze ale szkoda na to czasu i miejsca. Zaden program nie da wam 100% pewnosci skoro sami bedziecie balansowac na granicy szalenstwa jaki jest praca na koncie Administratora. Wystarczy przyzwyczaic sie do klikniecia prawym przyciskiem myszy i przytrzymaniu Shift'a by moc uruchomic dowolna aplikacje na dowolnych prawach.
Ok chyba tyle na ten temat z mojej strony. Zawsze jednak znajda sie osoby, ktore zkrytykuja moje spojrzenie na oprogramowanie zabezpieczajace. Kazdy ma prawo do wyboru...
Jesli juz mowimy o niepracowaniu na koncie z uprawnieniami admina to ja cos dorzuce
Jak komus tak bardzo przeszkadza np brak cmd dzialajacego na zasadzie unixowego su (a nie pasuje mu zrobienie sobie skrotu i uruchamianie go z shiftem =_=`) to nizej podaje skrypt jakiegos goscia ktory costam ma wspolnego z microsoftem. Zmienilem go doslownie minimalnie zmieniajac slowo 'Administrators' na polska wersje 'Administratorzy', dzieki czemu skrypt dziala w polskiej wersji windowsa.
Skrypt tymczasowo dodaje nas do grupy 'Administratrzy' dzieki uzyskujemy prawa do wszystkiego. Obsluga: wlaczamy, podajemy haslo do konta o nazwie 'Administrator' a nastepnie haslo do konta na ktorym siedzimy.Kod:@echo off REM ******************************************************************** REM**This batch file starts a command shell under the current user account, REM**after temporarily adding that user to the local Administrators group. REM**Any program launched from that command shell will also run with REM**administrative privileges. REM REM**You will be prompted for two passwords in two separate command shells: REM**first, for the password of the local administrator account, and REM**second for the password of the account under which you are logged on. REM**(The reason for this is that you are creating a new logon session in REM**which the user will be a member of the Administrators group.) REM REM**CUSTOMIZATION: REM**The following values may be changed in order to customize this script: REM REM*** _Prog_**: the program to run REM REM*** _Admin_ : the name of the administrative account that can make changes REM**************to local groups (usu. "Administrator" unless you renamed the REM**************local administrator account).**The first password prompt REM**************will be for this account. REM REM*** _Group_ : the local group to temporarily add the user to (e.g., REM**************"Administrators"). REM REM*** _User_**: the account under which to run the new program.**The second REM**************password prompt will be for this account.**Leave it as REM**************%USERDOMAIN%%USERNAME% in order to elevate the current user. REM ******************************************************************** setlocal set _Admin_=%COMPUTERNAME%Administrator set _Group_=Administratorzy set _Prog_="cmd.exe /k Title *** %* as Admin *** && cd c: && color 4F" set _User_=%USERDOMAIN%%USERNAME% if "%1"=="" ( ****runas /u:%_Admin_% "%~s0 %_User_%" ****if ERRORLEVEL 1 echo. && pause ) else ( ****echo Adding user %* to group %_Group_%... ****net localgroup %_Group_% "%*" /ADD ****if ERRORLEVEL 1 echo. && pause ****echo. ****echo Starting program in new logon session... ****runas /u:"%*" %_Prog_% ****if ERRORLEVEL 1 echo. && pause ****echo. ****echo Removing user %* from group %_Group_%... ****net localgroup %_Group_% "%*" /DELETE ****if ERRORLEVEL 1 echo. && pause ) endlocal
Nie radze wlaczac skryptu w momencie gdy jestesmy w grupie adminow, moga byc problemy.
Temat bardzo ważny, dlatego przyklejam.
Pytanie techniczne: po założeniu konta z ograniczeniami, nie mam dostępu do dysków, tylko tej niedogodności nie mogę ominąć. Bo programy odpalam przy pomocy "run as"
Najdziwniejsze jeszcze, że w nero nie można kasować cd/dvd korzystając z konta z ograniczeniami.
opcje folderow > odznacz 'uzyj prostego udostepniania plikow'
potem
wlasciwosci dysku > zabezpieczenia i przyciskiem dodaj dodajesz siebie z odpowiednimi uprawnieniami
//edit
FaktycznieZapomnialem dodac ze to robimy na koncie admina.
Dzięki D0han, pomogło. Szkoda, błąkałem sie po opcjach, az w końcu sie zorientowałem, żenie jestem przecież na koncie admina
Ale ok. Działa, zara sprawdze, czy dobrze działa udostępnianie plików.
/edit
Mam rozwiązanie:
Instalujemy Nero Burnrights a następnie
W narzędziach administracyjnych bierzemy zarządzanie komputerem [czy jak to tam jest w PL wersji] potem użytkownicy lokalni grupy i tam powinna pojawić się grupa "Nero"
Dodajemy swoje konto wlasnie tam i wszystko jest jak należy.
Wydaje mi się, że ten topik trzeba przeczyścić i ujednolicić, bo wiele waznych, ale rozrzuconych informacji.
/edit2
Nie działa to burnrights, nie wiem czemu po inscalacji nie ma w ogóle nicz oprócz pliku helpa, stworzyłem ręcznie taką grupe, ale puki co nici ;/
Nero to normlanie ma problemy...eh...Jak ktoś znajdzie coś to niech da znac. Ja ide dalej szukac rozwiazania.
jak mogę wyłączyć przywracanie systemu i co to da ??Originally posted by Roaders
wyłacz posłańca i przywracanie systemu. Bedziesz bardziej bezpieczny.
Uprawnienia
Odpowiedź z Cytatem
