Konto administratora

Gorilo17

Użytkownik
Dołączył
Lipiec 8, 2006
Posty
1
witam mam pytanie dlaczego niewarto siedziec w windowsie na koncie administatora??
czy założenie nowego konta może nas uchronić od włamania lub wirusów???
 

Speedie88

Użytkownik
Dołączył
Styczeń 31, 2006
Posty
148
Załozenie konta z ograniczonymi uprawnienieniami moze nas uchronić od roznego "paskudctwa".
 

Roaders

Użytkownik
Dołączył
Kwiecień 17, 2006
Posty
79
Witam!

Chodzi tutaj o to że jak załozysz konto z uprawnieniami a posciągasz z internetu niechcaco jakieś smieci Typu Spyweare Dialery konie trojańskie i reszte pasci konto admina dalej nie bedzie zainfekowane. Bedziesz mógł usunac konto z uprawnieniami i kożystać z konta admina aby wszystko naprawić. Jesli chcesz zabezpieczyć swojego kompa to posciagaj najnowsze uaktualnienia do systemu , zainstaluj antywirusa (preferuje tutaj NOD32) i program do usuwania spyware (proponuje Ad-aware) z taką elitą nie bedziesz miał problemu z komputerem. Wyłacz usługi niepotrzebne poblokuj porty i wyłacz posłańca i przywracanie systemu. Bedziesz bardziej bezpieczny.
 

fl3a

Użytkownik
Dołączył
Marzec 12, 2005
Posty
538
Na koncie Admina nie mozne pracowac! Jest to wielki i typowy blad. Wielu uzytkownikow tworzac podczas instalacji nowych uzytkownikow (przydzielajac im nazwy w stylu Jasu, Kasia, Ja, ...) zapomina ze utworzeni uzytkownicy posiadaja prawa Administratora! Jest to duza niedogodnosc w systemie Windows. Naturalnie trzeba w panelu sterowania ustawic by ci uzytkownicy posiadali ograniczone prawa. Dla ciekawostki dodam, ze nawet specjalisci od zabezpieczen (rootkit, anti rootkit) korzystaja zazwyczaj z kont uprzywilejowanych mimo ze doskonale wiedza, iz standardowo rootkit'y Kernel Mode mozna tylko uruchomic na prawach Administratora (ladowanie sterownika). Zatem jesli natknelibysmy sie na rootkit'a KM a bedziemy korzystac z konta z ograniczonymi prawami to jest on nieszkodliwy. Jedyny krytyczny scenariusz ma miejsce jesli tworca rootkit'a zna jakas luke w systemie pozwalajaca mu zdobyc uprawnienia Administratora lub Systemowe.

Konto z ograniczonymi prawami naturalnie nie chroni przed szkodliwym oprogramowaniem. W pewnym stopniu mozna nazwac ochrona niemozliwosc dostania sie do katalogu systemowego i rejestru przez szkodliwe oprogramowanie lecz jest to ograniczenie po fakcie infekcji. Wiekszosc problemow, z ktorymi mozna sie spotkac na wszystkich kontach to ActiveX, JavaScript/VBScript oraz bledy krytyczne w oprogramowaniu. IE nie posiada zbyt wielu ulatwien dla uzytkownikow dlatego tez trzeba recznie manipulowac ustawieniami. Zazwyczaj ActiveX nie sa potrzebne (chyba, ze ktos lubi animacje Flash). Podobnie jest ze skryptami. Lecz wiele stron wymaga wlaczenia obslugi skryptow (np. Interia - email). Jesli chodzi o aktualizacje krytycznych bledow to specialnie nie przejmujemy sie tym. A chyba teraz kazdy kto nie ma legalnej kopii systemu nie moze na bierzaco aktualizowac systemu?! Zachecam wszystkich, ktorzy maja taka mozliwosc by zainteresowali sie bezplatnymi i legalnymi kopiami produktow Microsoft'u przeznaczonymi dla uczniow. Nie wiem jak sytuacja wyglada poza uczelniemu - wiekszosc uczelni bowiem jest w porozumieniu z MS - MSDNAA. Dzieki niemu mozna sciagnac i wypalic na plyte bardzo duzo produktow MS - od Windows po Visual Studio...

Gdy juz zadbamy o odpowiednia konfiguracje przegladarki oraz aktualizacje jestesmy w 99% bezpieczni. Tylko w 99% poniewaz zawsze jest ten 1% ludzkiej glupoty i naiwnosci. Musimy zdawac sobie sprawe ze nikt obcy nie pisze do nas meili bo nas lubi, nikt obcy nie wysyla nam linkow ze zdjeciami na gg... Wszystkie sztuczki z podszywaniem sie pod osoby i instytucje sa bardzo proste lecz mimo to wiele osob sie na nie nabiera. Jesli cos nie pochodzi z pewnego zrodla zostawmy to w spokoju. Na unitedcrew.net zostal przedstawiony klasyczny przypadek. Osoba dostala link z niby zdjeciem. (Czasem nie wchodzcie na ten link z wlaczona obsluga skryptow!) Po uruchomieniu sktyptu instaluje sie na komputerze ofiary 5MB syfu. Syf jest na tyle perfidny ze zawiesza komputer meczac go sciaganiem i skanowaniem dysku, tworzy kilka ukrytych procesow ktore bez przerwy zabijaja i tworza proces IE bez widocznego okna (metoda na ominiecie Firewall'i)... Skoro juz jestesmy przy Firewall'ach to wspomne tylko ze zarowno firewall'e jak i programy antyvirusowe sa zbednym opciazeniem systemu. Mimo ze nadal korzystaja z technik wykorzystywanych przez szkodliwe oprogramowanie (hooking, filtrowanie) to i tak nie potrafia usunac szkodliwego syfu. Skoro na poziomie UM mozliwe jest ominiecie wiekszosci FW to pomyslcie jakie mozliwosci ma szkodliwe oprogramowanie pracujace w trybie jadra? Nie tak dawno na konferencji w Polsce Joanna Rutkowska opisywala rootkit'y w odniesieniu do nowych technik ukrywania. Przedstawiony na konferencji rootkit deepdoor korzystajacy z wlasnego stosu TCP/IP bez problemu omijal wszystkie firewall'e. Nie warto jest leczyc skoro mozna zapobiegac a do tego nie potrzeba specjalnego oprogramowania tylko troche wiedzy i wyobrazni! Wielokrotnie pisalem o wadach oprogramowania antyvirusowego. Moglbym powtorzyc to raz jeszcze ale szkoda na to czasu i miejsca. Zaden program nie da wam 100% pewnosci skoro sami bedziecie balansowac na granicy szalenstwa jaki jest praca na koncie Administratora. Wystarczy przyzwyczaic sie do klikniecia prawym przyciskiem myszy i przytrzymaniu Shift'a by moc uruchomic dowolna aplikacje na dowolnych prawach.

Ok chyba tyle na ten temat z mojej strony. Zawsze jednak znajda sie osoby, ktore zkrytykuja moje spojrzenie na oprogramowanie zabezpieczajace. Kazdy ma prawo do wyboru...
 

D0han

Były Moderator
Dołączył
Lipiec 27, 2005
Posty
975
Jesli juz mowimy o niepracowaniu na koncie z uprawnieniami admina to ja cos dorzuce
smile.gif

Jak komus tak bardzo przeszkadza np brak cmd dzialajacego na zasadzie unixowego su (a nie pasuje mu zrobienie sobie skrotu i uruchamianie go z shiftem =_=`) to nizej podaje skrypt jakiegos goscia ktory costam ma wspolnego z microsoftem. Zmienilem go doslownie minimalnie zmieniajac slowo 'Administrators' na polska wersje 'Administratorzy', dzieki czemu skrypt dziala w polskiej wersji windowsa.
Kod:
@echo off

REM ********************************************************************

REM  This batch file starts a command shell under the current user account,

REM  after temporarily adding that user to the local Administrators group.

REM  Any program launched from that command shell will also run with

REM  administrative privileges.

REM

REM  You will be prompted for two passwords in two separate command shells:

REM  first, for the password of the local administrator account, and

REM  second for the password of the account under which you are logged on.

REM  (The reason for this is that you are creating a new logon session in

REM  which the user will be a member of the Administrators group.)

REM

REM  CUSTOMIZATION:

REM  The following values may be changed in order to customize this script:

REM

REM  * _Prog_  : the program to run

REM

REM  * _Admin_ : the name of the administrative account that can make changes

REM              to local groups (usu. "Administrator" unless you renamed the

REM              local administrator account).  The first password prompt

REM              will be for this account.

REM

REM  * _Group_ : the local group to temporarily add the user to (e.g.,

REM              "Administrators").

REM

REM  * _User_  : the account under which to run the new program.  The second

REM              password prompt will be for this account.  Leave it as

REM              %USERDOMAIN%%USERNAME% in order to elevate the current user.

REM ********************************************************************



setlocal

set _Admin_=%COMPUTERNAME%Administrator

set _Group_=Administratorzy

set _Prog_="cmd.exe /k Title *** %* as Admin *** && cd c: && color 4F"

set _User_=%USERDOMAIN%%USERNAME%



if "%1"=="" (

    runas /u:%_Admin_% "%~s0 %_User_%"

    if ERRORLEVEL 1 echo. && pause

) else (

    echo Adding user %* to group %_Group_%...

    net localgroup %_Group_% "%*" /ADD

    if ERRORLEVEL 1 echo. && pause

    echo.

    echo Starting program in new logon session...

    runas /u:"%*" %_Prog_%

    if ERRORLEVEL 1 echo. && pause

    echo.

    echo Removing user %* from group %_Group_%...

    net localgroup %_Group_% "%*" /DELETE

    if ERRORLEVEL 1 echo. && pause

)

endlocal
Skrypt tymczasowo dodaje nas do grupy 'Administratrzy' dzieki uzyskujemy prawa do wszystkiego. Obsluga: wlaczamy, podajemy haslo do konta o nazwie 'Administrator' a nastepnie haslo do konta na ktorym siedzimy.
Nie radze wlaczac skryptu w momencie gdy jestesmy w grupie adminow, moga byc problemy.
 

Bercik

Użytkownik
Dołączył
Wrzesień 12, 2004
Posty
713
Pytanie techniczne: po założeniu konta z ograniczeniami, nie mam dostępu do dysków, tylko tej niedogodności nie mogę ominąć. Bo programy odpalam przy pomocy "run as"
Najdziwniejsze jeszcze, że w nero nie można kasować cd/dvd korzystając z konta z ograniczeniami.
 

D0han

Były Moderator
Dołączył
Lipiec 27, 2005
Posty
975
opcje folderow > odznacz 'uzyj prostego udostepniania plikow'
potem
wlasciwosci dysku > zabezpieczenia i przyciskiem dodaj dodajesz siebie z odpowiednimi uprawnieniami
smile.gif


//edit
Faktycznie
<
Zapomnialem dodac ze to robimy na koncie admina.
 

Bercik

Użytkownik
Dołączył
Wrzesień 12, 2004
Posty
713
Dzięki D0han, pomogło. Szkoda, błąkałem sie po opcjach, az w końcu sie zorientowałem, żenie jestem przecież na koncie admina
<

Ale ok. Działa, zara sprawdze, czy dobrze działa udostępnianie plików.

/edit
Mam rozwiązanie:
Instalujemy Nero Burnrights a następnie
W narzędziach administracyjnych bierzemy zarządzanie komputerem [czy jak to tam jest w PL wersji] potem użytkownicy lokalni grupy i tam powinna pojawić się grupa "Nero"
Dodajemy swoje konto wlasnie tam i wszystko jest jak należy.


Wydaje mi się, że ten topik trzeba przeczyścić i ujednolicić, bo wiele waznych, ale rozrzuconych informacji.

/edit2
Nie działa to burnrights, nie wiem czemu po inscalacji nie ma w ogóle nicz oprócz pliku helpa, stworzyłem ręcznie taką grupe, ale puki co nici ;/
Nero to normlanie ma problemy...eh...Jak ktoś znajdzie coś to niech da znac. Ja ide dalej szukac rozwiazania.
 
Do góry Bottom