Toată lumea știe că unul dintre cele mai importante principii ale securității rețelelor este acela de a oferi cât mai puține drepturi posibil: să le ofere utilizatorilor obișnuiți numai acele drepturi care sunt direct necesare muncii lor și nimic mai mult. De exemplu, în cazul în care utilizatorii obișnuiți nu au nevoie de acces la datele stocate în resursele de contabilitate, nu le acordați niciun drept la această resursă.
Principiul "cât mai puține privilegii" este mai mult decât principiul securității, este un instrument de economisire a administratorului. Motivul pentru aceasta este că utilizatorii sunt creaturi curioase care încearcă totul. Oferi utilizatorului o drepturi de administrator local pe computerul lor, și ei încearcă tot soiul de lucruri, cum ar fi instalarea de software suplimentar, modificarea setărilor de configurare, și chiar va urca la registru pentru a vedea ce poate fi personalizat pentru cea mai bună performanță a computerului lor. Din punctul de vedere al administratorului, acest lucru poate fi un dezastru, deoarece configurația necorespunzătoare poate deteriora unele aplicații sau chiar dezactiva computerul. Utilizatorul apoi începe să cheme în ajutor, și tu ca administrator, există două opțiuni: fie pentru a șterge masina lor și re-a instala sistemul de operare din imaginea standard a companiei dvs., sau inutil să-și petreacă timp pentru ore încercând să identifice cauza a problemei. A doua opțiune este, de obicei, o pierdere de timp, spre deosebire de politica companiei, utilizatorul a stocat fișiere importante pe computerul său și nu pe o resursă de rețea. Și prima opțiune este de fapt scuipătoare împotriva vântului, reinstalați sistemul utilizatorului, iar el o poate dezactiva cu ușurință.
Politica de grup este o modalitate de a determina ce poate și nu poate face utilizatorul cu computerul său. Dar ce ar fi dacă politicile companiei (sau cele culturale sau politice sau alte realități) necesită abilitatea utilizatorului de a-și personaliza propria mașină? În acest caz, aveți două opțiuni, fie pentru a oferi utilizatorilor drepturile administratorului local, fie nu. pentru că Prima opțiune provoacă probleme, despre care am spus mai sus, să analizăm posibilitățile celei de-a doua opțiuni.
Dezavantaje când lucrați fără un cont de administrator
Dacă alegeți să nu faceți contul de utilizator în domeniu administratorul local pe mașina sa, utilizatorul începe să se plângă cu voce tare despre mai multe motive care includ următoarele:
- Când încercați să instalați software-ul pe mașina dvs., procesul de instalare se oprește de obicei cu un mesaj despre o eroare de alt tip.
- Când încearcă să ajusteze data și ora panoului de control, apare o casetă de dialog care vă spune că nu au suficiente drepturi pentru a face acest lucru.
- Când încearcă să configureze opțiunile de alimentare din panoul de control, pot schimba setările în GUI, dar când faceți clic pe OK, apare un mesaj de refuzare a accesului pentru a salva modificările.
- Când doresc să împartă un dosar pe mașina lor, astfel încât alți utilizatori să poată accesa fișierele lor, nu pot face acest lucru pentru că fila Partajare nu este afișată în fereastra de proprietăți.
Ultimele trei reclamații sunt destul de ușor de obținut (o să le arăt în timp util), dar problema incapacității de a instala software-ul este destul de complexă din mai multe motive. În primul rând, majoritatea software-urilor (inclusiv multe aplicații Microsoft) necesită drepturi de administrator local, astfel încât să poată fi instalate pentru orice versiune de Microsoft Windows. Pe baza acestui fapt, ne confruntăm cu faptul că unele aplicații au nevoie de zone speciale pentru scrierea în sistemul de fișiere și în registru. Dar acesta nu este motivul real pentru care aplicațiile au nevoie de drepturi de administrator pentru a instala - motivul real este că dezvoltatorii sunt, de obicei, prea leneși pentru a avea grijă să creeze pachete pentru instalare care vor funcționa și fără un cont de administrator. Toate acestea înseamnă muncă suplimentară pentru dezvoltator (pe care majoritatea dezvoltatorilor încearcă să o evite). Dar, de asemenea, înseamnă dezvoltarea acestor aplicații, de asemenea, care nu funcționează sub contul de administrator, ceea ce conduce din nou la necesitatea de a avea grijă de mult - este mult mai ușor să dezvolți aplicația atunci când sunteți logat ca administrator.
Instalarea software-ului nu ca un cont de administrator
Din păcate, unele programe după ce au fost instalate folosind comanda Runas nu vor funcționa corect atunci când le executați cu drepturile unui utilizator obișnuit. Acest lucru se datorează faptului că atunci când utilizați comanda Runas pentru a instala ceva, unele setări importante sunt scrise în profilul administratorului local și nu în profilul utilizatorului care sa conectat la sistem în acest moment. Desigur, acest lucru cauzează probleme atunci când încercați să rulați aplicația instalată mai târziu ca utilizator normal. Din nou, dezvoltatorul care a scris programul a trebuit să aibă grijă de soluția la această problemă, dar de ce deranjează acest lucru, dacă toate rulează încă Windows cu drepturi de administrator?
Eu însumi am confruntat această problemă de mai multe ori atât cu aplicațiile terță parte, cât și cu aplicațiile .NET Framework și este frustrant. De exemplu, recent am vrut să primesc un curs electronic privind dezvoltarea de formare în ASP.NET de la Microsoft. Din păcate, din anumite motive, nu am putut descărca cursul (aplicația .NET în sine) dacă am fost conectat utilizând contul de utilizator de domeniu, așa că am deschis linkul în Internet Explorer folosind drepturile administratorului local și am încărcat cu succes cursul. Dar când am încercat să pornesc cursul local pe mașina mea, nu a început atunci când am încercat să o fac cu drepturile unui utilizator obișnuit. Așa că am încercat să folosesc Runas pentru a rula cursul cu drepturi de administrator, dar încă nu a început. În cele din urmă, am deconectat, am fost logat ca administrator pentru a începe să lucrez. Este un coșmar! Poate că dacă aș investiga problema mai departe, mi-aș da seama de ce nu a funcționat pentru prima oară, dar ilustrează bine de ce majoritatea oamenilor lucrează tot timpul în Windows cu drepturi de administrator - dacă nu lucrați cu drepturi de administrator, puteți petrece mult timp , pentru a face lucrurile să funcționeze.
Distrugerea manevrei
În plus, și aceasta este ceva care abia acum a început să fie luat în considerare de experții în securitate - s-ar putea dovedi că întreaga problemă cu un minim de privilegii este doar o manevră diversionară. Desigur, dacă v-ați înregistrat ca administrator și ați accesat Internetul, ați trecut prin diferite site-uri urâte și ați descărcat un virus, acest virus va obține controlul asupra sistemului dvs. cu propriile drepturi, adică cu drepturi de administrator. Și dacă sunteți un utilizator obișnuit și mergeți la același site, virusul obține acces limitat (nivelul de privilegii de utilizator pe domeniu) în sistemul dvs., astfel încât prejudiciul potențial va fi redus. În realitate, totul este mult mai complicat. Dacă codul rău intenționat pe care l-ați descărcat este un vierme care utilizează slăbiciune în serviciul Windows, nu contează ce cont pe care l-ați conectat.
În plus, cele mai inteligente hackerii sunt deja lucrează la crearea de noi oportunități prin care hacker poate captura sistemul de cod, chiar și atunci când se lucrează în ea cu drepturi minime. Prin urmare, ieșirea din oportunitate cel mai puțin privilegeUserAccount (LUA) Longhorn (este acum Windows Vista), care refuză să perimate grupului Power Users si permite instalarea si punerea in functiune a cererilor LUA-conforme cu drepturi de utilizator standard, de fapt, nu este panaceu probleme de securitate legate de utilizarea puțin privilegiu . Puteți argumenta cu ultimul dvs. dolar că băieții răi vor găsi noi oportunități de hacking a sistemului.
Prin urmare, în timp ce minimul de privilegii este o soluție bună. Dar nu va dura mult. Cu alte cuvinte, puteți considera strategia "privilegiilor minime" drept un simplu instrument împotriva hackerilor.
Unele soluții
În timp ce suntem aici, rețineți că arborele de directoare din IE afișează nodul Panoului de control. Selectați acest nod și în fereastra din dreapta veți vedea applet-urile din panoul de control. Încercați să schimbați data și ora - va funcționa! pentru că IE este pornită cu drepturi de administrator, toate aplicațiile cu care o utilizați, inclusiv Panoul de control, vor fi executate și cu aceste privilegii. Același lucru este valabil și în cazul Opțiunilor de alimentare, Conexiuni în rețea, Sistem și alte aplicații, la care ați avut acces limitat, când nu lucrați ca administrator.
Există totuși un mod mai simplu (modul în care IE funcționează, dar puțin confuz dacă iexplore.exe nu se află în directorul de sistem) pentru care trebuie să faceți următoarele:
- Deconectați-vă și conectați-vă ca administrator.
- Deschideți Windows Explorer
- Selectați Instrumente. apoi Opțiuni folder. apoi vizualizați. și bifați caseta "Lansați ferestrele folderului într-un proces separat"
- Închideți Windows Explorer și deconectați-vă.
Acum când vă întoarceți din nou ca un simplu utilizator, puteți să faceți clic dreapta pe explorer.exe (sau comanda rapidă), selectați "Run as ...", specificați privilegiile de administrator și Windows Explorer va începe acum cu drepturi de administrator.
concluzie
Rularea Windows nu este un cont de administrator - este o provocare, și atâta timp cât acesta aduce propriile sale avantaje, este posibil să se tolereze neajunsurile sale. În plus, aceste beneficii nu sunt la fel de mare cum se spune, mulți experți de securitate, iar acestea vor funcționa numai atâta timp cât băieții răi, nu găsesc noi modalități de a ocoli sistemul de securitate.
Ce experiență aveți în rezolvarea acestei probleme? Și vă obligați utilizatorii să nu lucreze sub conturile administratorilor locali? Ce dificultăți ați întâmpinat în acest caz? Și cum ați încercat să rezolvați aceste probleme? Trimite un mesaj pentru mine despre toate astea, și voi aduna toate răspunsurile în următorul articol pe WindowsNetworking.com, în cazul în care din nou, eu iau în sus problema la locul de muncă nu este un cont de administrator.