Изменение прав пользователя Windows XP

955

«Noadmin» – ограничение разрешений

Очень эффективный способ избежать многих инфекций – это работать без административных прав, то есть с учетной записью с ограниченными разрешениями. Каждая вредоносная программа автоматически получает доступ вошедшего в систему пользователя после получения доступа к компьютеру, поэтому, будучи администратором, мы даем ей полный контроль над системой. Эта учетная запись позволяет устанавливать руткит на уровне ядра, устанавливать и запускать вредоносные службы и драйверы, а также иметь полный доступ к реестру.

Аналогичная запись:
Изменение Windows Vista и 7 пользовательских разрешений

Связанная запись: Отказано в доступе: удаление файлов и папок без разрешений

Учетные записи пользователей

По умолчанию Windows XP создает два типа учетных записей пользователей:

  • администратор с полными разрешениями
  • ограничено с ограниченными правами

Большинство проблем безопасности в этой системе связано с тем, что пользователи работают с учетными записями с правами администратора. Администратор может делать все на компьютере: устанавливать программы, устройства, драйверы, обновлять, изменять реестр. Это удобно, но с другой стороны опасно: любая вредоносная программа после установки сможет нанести серьезный ущерб вашему компьютеру. Решение заключается в создании учетной записи с более низкими привилегиями, которая позволяет выполнять только основные задачи, но подходит для повседневной работы: работа в Интернете, получение почты, использование мессенджера, создание и воспроизведение документов, музыки и фильмов. Мы не можем изменять системные настройки или устанавливать программы, которым требуются дополнительные привилегии, например, вредоносные программы. Однако работа с такой учетной записью не удобна для пользователей, поэтому они быстро отказываются от нее.

Способы создания учетных записей пользователей

1. Панель управления

– Меню Пуск >>> Панель управления >>> Аккаунты пользователей
– меню «Пуск» >>> «Выполнить» >>> введите «control userpasswords» (или клавиши Win + R)

Мы можем создать новую учетную запись, нажав «Создать новую учетную запись». Запустится мастер, где вы введете имя для учетной записи и выберите его тип: администратор (по умолчанию) или ограниченный. Мы также можем редактировать каждую учетную запись в системе, например, изменять ее тип, устанавливать пароль, удалять учетную запись.

Здесь мы также можем изменить экран входа в систему, нажав кнопку Изменить способ входа в систему. Мы можем выбрать экран приветствия, где мы просто нажимаем на имя пользователя и вводим пароль или классическое приглашение для входа в систему, где мы вводим имя учетной записи и пароль.

Расширенная панель учетной записи пользователя .
– меню Пуск >>> Выполнить >>> введите “control userpasswords2”

Здесь мы можем создать новую учетную запись пользователя, но у нас есть доступ ко всем типам, а не только к двум стандартным, например, мы можем создать учетную запись, принадлежащую группе «Репликатор» или «Гости».
Автоматический вход для данного пользователя
Мы выбираем пользователя для автоматического входа. Затем снимите флажок «Чтобы использовать этот компьютер, пользователь должен ввести имя пользователя и пароль». Нажмите ОК, появится окно «Автоматический вход», где вы вводите пароль учетной записи. OK.
Примечание: чтобы войти в другую учетную запись, мы должны удерживать клавишу Shift после того, как сообщения BIOS завершены и логотип Windows отображается. Чтобы предотвратить это, в ключе HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon мы создаем новое значение для строки IgnoreShiftOverride, устанавливая значение 1. Теперь, когда вы включаете компьютер, система автоматически войдет в выбранную учетную запись.
Однако, когда система работает, выход из учетной записи отобразит экран входа в систему. Чтобы предотвратить это, мы создаем значение DWORD с именем ForceAutoLogon и значением в ключе 1. Это автоматически снова входит в систему, если пользователь пытается выйти из системы.

Скрытие имен пользователей на экране входа
В ключе HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem мы редактируем параметр DWORD dontdisplaylastusername, изменяя значение с 0 на 1. То же самое можно сделать с помощью оснастки «Локальная политика безопасности» >>> Локальные политики >>> Параметры безопасности >>> Правило интерактивного входа в систему: не отображать последнее имя пользователя, отображать последнее имя пользователя, не отображать последнее имя пользователя, отображать последнее имя пользователя, проверять, не отображается ли последнее имя пользователя

2. Локальные пользователи и группы
– меню Пуск >>> Панель управления >>> Производительность и обслуживание >>> Административные инструменты >>> Управление компьютером
Системные инструменты, Локальные пользователи и группы, Пользователи
– Меню Пуск >>> Выполнить >>> введите “compmgmt.msc” или “lusrmgr.msc”

compmgmt.msc

Вложение предлагает нам больше функций, чем стандартный способ. Позволяет создавать и редактировать учетные записи пользователей и группы пользователей. Группа пользователей – это набор учетных записей пользователей с одинаковыми привилегиями. Одна учетная запись может быть членом более чем одной группы. Две наиболее распространенные группы пользователей – это стандартная группа пользователей (Пользователи) и группа администраторов (Администраторы).

3. Командная строка
– меню Пуск >>> Все программы >>> Аксессуары >>> Командная строка
– стартовое меню >>> Run >>> введите “cmd”

Добавление нового пользователя (учетная запись имеет ограниченные разрешения пользователя)

  чистое имя пользователя / добавить 

Добавление нового пользователя с паролем

  net user username пароль / добавить 

Активация отключенной учетной записи (деактивация / активная: нет)

  net user account_name / active: да 

Удалить учетную запись пользователя

  чистое имя пользователя / удалить 

Добавление новой группы пользователей

  net localgroup group_name / add 

Удалить группу пользователей

  net localgroup имя_группы / удалить 

Добавить пользователя в группу

  net localgroup group_name имя пользователя / добавить 

Удалить пользователя из группы

  net localgroup group_name имя пользователя / удалить 

net-user-xp

Мы выбираем учетную запись с ограниченными правами для ежедневной работы на компьютере. Использование интернета, воспроизведение мультимедиа, работа в офисном пакете не требует прав администратора. Это уменьшит количество инфекции.

С ограниченной учетной записи, увеличивая привилегии

Работа с ограниченной учетной записью с повышением привилегий по запросу является рекомендуемым направлением. Такая модель существует в системах Linux, где все работают с ограниченной учетной записью, но после предоставления пароля для учетной записи «root» они могут выполнять операции, требующие более высоких привилегий.

1. Системная функция «Запуск от имени»
В Windows XP у нас есть доступ к команде «Запуск от имени», которая позволяет выполнять операции с использованием другой учетной записи >>> нажмите PPM в файле >>> «Запуск от имени» и выберите другую учетную запись. Таким образом, мы можем запускать приложения с более высокими привилегиями на ограниченной учетной записи, не выходя из системы, что является наиболее часто используемым, но также и на учетную запись администратора с другой ограниченной учетной записью. Учетные записи должны иметь пароли для входа в систему, чтобы этот метод работал. Недостаток этого решения состоит в том, что приложения, запускаемые таким образом, могут видеть чужую среду, то есть рабочий стол / меню «Пуск» / мои пользовательские документы, на которые мы переключили приложение. Кроме того, пользователь должен знать пароль для учетной записи администратора, иначе ничего не произойдет.
Стоит отметить, что для правильной работы функции требуется служба вторичного входа. Если опция «Запуск от имени» не отображается в меню, эта служба может быть отключена.

Изменение прав пользователя Windows XP

2. Расширенный запуск приложения

Расширенный запуск
Лицензия: бесплатная
Платформа: Windows XP / Vista / 7

описание
Приложение является альтернативой системным функциям «Запуск» и «Запуск от имени». Имеет 3 встроенных так называемых по умолчанию профили безопасности с различными уровнями разрешений – защита от шпионских программ, максимальный запрет, максимальное разрешение.
После установки требуется перезагрузка компьютера. Приложение заменяет системную функцию «Выполнить» и добавляет опцию «Расширенный запуск» в контекстное меню файла.

Загрузить : последняя версия , advanced-run-3.0.zip (требуется установка)

Снимок экрана:
Изменение прав пользователя Windows XP

3. Консоль Runas Tool
Эквивалентом функции «Запуск от имени» является инструмент «runas», управляемый из командной строки.
В окне командной строки введите следующий синтаксис:

  runas / user: имя пользователя "pathFileProfile" 

Вам будет предложено ввести пароль учетной записи, который необходимо ввести в окне командной строки. Параметр / sevecred позволяет сохранить пароль, который необходимо вводить только в первый раз (это не работает в выпусках Windows Home).

Изменение прав пользователя Windows XP

4. Улучшение инструмента ‘runas’
Системный инструмент runas не позволяет вводить пароль учетной записи в качестве параметра. Затем пользователь должен вводить пароль каждый раз (конечно, если он его знает). Мы также не всегда хотим поделиться паролем. Решением являются альтернативные приложения, которые позволяют вводить пароль в качестве параметра. Некоторые приложения дополнительно позволяют создавать специальные исполняемые файлы вместе с шифрованием пароля, что значительно повышает безопасность.
Решение, когда мы хотим разрешить администраторам запускать только стандартные приложения.

Примечание: каждое приложение должно быть сначала скопировано в каталог c: windows, поэтому вам не нужно вводить полный путь, все, что вам нужно, это имя исполняемого файла.

Примечание: для простоты использования вы можете создать пакетный файл (.bat) из каждой команды >>> скопировать команду в записную книжку из меню Файл> Сохранить как> Установить расширение в Все файлы> Сохранить как BAT.
Но я заметил, что на XP необходимо добавить .exe в файл, например lsrunas.exe вместо lsrunas. Чтобы сделать это еще проще, такой «bat» файл можно преобразовать в простой исполняемый файл «exe» – преобразование пакетных файлов BAT в EXE . Это позволяет скрыть пароль от неопытного пользователя, но я предупреждаю вас, что он небезопасен, поскольку пароль не зашифрован.

MiniRunAs
простейшее консольное приложение; синтаксис команды:

  командная строка пароля пользователя miniRunAs 

Lsrunas
консольная альтернатива runas с поддержкой пароля в качестве параметра:
/ пользователь: имя пользователя
/ пароль: пароль учетной записи
/ домен: домен
/ команда: путь к программе
/ runpath: путь к началу

пример:

  lsrunas / пользователь: seba / пароль: sss / домен: Mydomain /command:notepad.exe / runpath: c: 

NirCmd
консольное приложение имеет собственную команду runas

Сталь RunAs

Лицензия: бесплатное программное обеспечение для частных и коммерческих целей

Приложение позволяет запускать программы от имени другого пользователя. Операция проста, программа имеет графический интерфейс.
В окне приложения введите имя учетной записи, пароль и выберите исполняемый файл. Затем нажмите «Создать исполняемый файл», который создаст специальный зашифрованный исполняемый файл, используемый для запуска указанных приложений.

Загрузить: SteelRun-As-v1.2.zip (последняя бесплатная версия)

Снимок экрана:
steel-run-as

RUNASSPC

Лицензия: бесплатное программное обеспечение для личных целей
Платформа: Windows

Приложение представляет собой комбинацию инструмента runas с возможностью ввода пароля в качестве параметра и очень надежного шифрования. Это позволяет запускать программы от имени другого пользователя. Имя учетной записи, пароль и запускаемая программа сохраняются в специальном зашифрованном файле >>> по умолчанию crypt.spc (хотя вы можете запустить его без этого файла).

Работа из командной строки:
– прямое использование без зашифрованного файла

  runasspc /program:"prog.exe "/ домен:" localhost "/ пользователь:" testadmin "/ пароль:" пароль " 

– использовать с зашифрованным файлом

  runasspc /cryptfile:"crypt.spc " 

– создать зашифрованный файл

  runasspc /cryptfile:"crypt.spc "/program:"prog.exe" / домен: "localhost" / пользователь: "testadmin" / пароль: "пароль" 

GUI: RunasSpcAdmin.exe позволяет легко создавать зашифрованный файл

runasspcadmin

Запуск приложения:
– скопируйте файл crypt.spc (не меняйте его имя!) и запустите runasspc.exe в одну папку; мы запускаем runasspc.exe
– закинуть зашифрованный файл в окно runasspc
– скрытие окна runasspc во время запуска: добавляем параметр / quiet

  c: pathrunasspc.exe /cryptfile:"pathNameOfCryptfile.spc "/ quiet 

– создаем ярлык, указываем путь как локации
например, c: pathrunasspc.exe /cryptfile:utajpathNameOfCryptfile.spc

5. Приложение SuRun

SuRun

лицензия: Изменение прав пользователя Windows XP
Платформа: Windows 2000 / XP / Vista / 7, Сервер (поддержка 32 и 64 бит)

описание
Приложение позволяет ограничить права учетной записи администратора аналогично механизму контроля учетных записей в системах Vista / 7. Операция заключается в создании новой группы пользователей – SuRunners, которая по умолчанию работает в ограниченной среде, но п
и необходимости пользователи смогут повысить свои права и запускать приложения в качестве администратора. Важно, что при выполнении операций, требующих больших разрешений, пользователь не покидает свою учетную запись и ее контекст – приложения видят среду пользователя, то есть наш рабочий стол, меню «Пуск», документы. Это существенная разница по сравнению с методом «Запуск от имени» в Windows XP, где приложения, запускаемые таким образом, видят среду другого пользователя). Для повышения безопасности приложение также использует собственный «безопасный рабочий стол», где взаимодействие может происходить только между запросами, генерируемыми Surun с помощью клавиатуры и мыши.

Приложение может использоваться для повышения компьютерной безопасности – работа с ограниченной учетной записью наряду с увеличением разрешений при необходимости для каждого приложения. Вы также можете наложить различные ограничения для отдельных пользователей, включая указание списка приложений, которые пользователь с ограниченными правами может использовать (белый список) или выбранный блок (черный список), блокирование редактирования настроек SuRun или даже скрытие его от пользователя. Примером является ограниченная учетная запись, где мы блокируем запуск с повышенными привилегиями редактора реестра и командной строки, но мы также разрешаем запускать несколько различных программ и игр с повышенными правами.

Подводя итог, приложение SuRun – лучший способ безопасно и в то же время работать на Windows XP. Конечно, вы также можете использовать этот метод работы на более новых системах Vista / 7, заменив встроенную функцию UAC.

Загрузить : последняя версия , surun_1.2.0.9.zip (требуется установка)

Учебник: Surun: ограничение прав учетной записи администратора и учебник на английском языке

Снимок экрана:
surun

Запустить как СИСТЕМА

PsExec из пакета PsTools

Лицензия: бесплатная
Платформа: Windows XP и выше + версии сервера

описание

Приложение позволяет запускать программы с уровня учетной записи SYSTEM (с разрешениями, превышающими права администратора).

Работа из командной строки. Просто распакуйте файлы: psexec.exe + pdh.dll из пакета и скопируйте в папку C: WINDOWS. Затем запустите командную строку (Windows 7 от имени администратора) и введите следующий синтаксис:

  psexec -s -i -d "путь к программе" 

Пример: запуск редактора реестра с разрешениями учетной записи SYSTEM. Введите следующую команду в командной строке:

  psexec -s -i -d regedit 

Если мы часто запускаем программу таким образом, мы можем создать для нее ярлык: PPM >>> New >>> Ярлык, вставить указанную выше команду в папку и сохранить. Ярлык запускается от имени администратора.

Загрузить : последняя версия (установка не требуется)

Снимок экрана:
Изменение прав пользователя Windows XP

Изменение прав пользователя Windows XP

Менеджер процессов Process Hacker . Выбрав Hacker -> Run as … -> в разделе имени пользователя, мы устанавливаем NT / AUTHORITY SYSTEM .

Загрузка SysRun : Sysrun.zip (32-разрядная и 64-разрядная версия )
Операция: введите путь к файлу или команду (CMD, regedt), дополнительный инструмент позволяет просматривать выбранное местоположение. Требуются права администратора.

Уменьшение привилегий от учетной записи администратора

1. Вызвав функцию API

Process Explorer – в меню «Файл» выберите «Запуск от имени ограниченного пользователя» и в диалоговом окне, напоминающем «Выполнить», укажите путь к приложению.

StripMyRights

скачать: StripMyRights.zip

Это позволяет запускать приложения на трех уровнях с соответствующими аргументами:

/ LN : ограниченный пользователь (по умолчанию)
/ LC : основной пользователь
/ LU : Ненадежный

методы использования:

– запуск приложения через копию программы StripMyRights -> измените имя exeka приложения на name.exe.orig (например, iexplore.exe.orig), а рядом с ним поместите копию программы StripMyRights.exe, изменив ее имя на «exeka» приложения (например, iexplore). .exe). Такой запуск приводит к тому, что копия StripMyRights.exe, одетая под именем процесса приложения, проверяет наличие файла name.exe.orig и, если он найден, вызывает нашу программу в ограниченном режиме. Преимущества: приложение будет работать в ограниченном режиме для всех пользователей компьютера. Недостатки: невозможно выбрать уровень безопасности (запустить как обычный пользователь – параметр / LN), любые обновления или исправления приведут к повторной замене исходной программы.

Изменение прав пользователя Windows XP

– как отладчик приложения -> нам нужно импортировать в реестр запись в ключе опции исполнения файла образа по модели (например, iexplore.exe = вы можете заменить имя exeka любого приложения) – приложение помещается в папку C: WINDOWSsystem32.

  Редактор реестра Windows, версия 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage Опции выполнения файлаieiexplore.exe]
"Debugger" = "StripMyRights.exe / D / LN" 

Преимущества: приложение будет работать в ограниченном режиме для всех пользователей компьютера. Чтобы запустить приложение с правами администратора, мы должны изменить имя «exeka».

– запуск из командной строки или созданный ярлык -> создать ярлык, нажав PPM> Создать> ярлык.

В поле «Цель» введите путь к StripMyRights.exe (приложение находится в папке C: WINDOWSsystem32), а затем полный путь к нашей программе (если оба имеют пробелы, они должны быть закрыты кавычками):

StripMyRights.exe [/ LN | C | U] {exe путь}

например:

  StripMyRights.exe / LN "C: программные файлы в Интернете Exploreriexplore.exe" 

Недостатки: вызов приложения другим способом, чем этот ярлык, запускает его с правами администратора.

– запуск приложения через контекстное меню -> мы добавляем ограниченные записи запуска. Приложение находится в папке C: WINDOWSsystem32.

Мы копируем текст из кодов, вставляем его в блокнот, выбираем сохранить как «Все файлы» и сохраняем файл с расширением .reg

Изменение прав пользователя Windows XP

добавить записи

  Редактор реестра Windows, версия 5.00
[HKEY_CLASSES_ROOTexefileshellExecute как ограниченный пользователь]
@ = "Запуск от имени пользователя с ограниченными правами"
[HKEY_CLASSES_ROOTexefileshellExecute as Ограниченная команда пользователя]
@ = "StripMyRights / LC"% 1 "% *"
[HKEY_CLASSES_ROOTexefileshellExecute от имени обычного пользователя]
@ = "Запуск от имени основного пользователя"
[HKEY_CLASSES_ROOTexefileshellExecute как обычная команда пользователя]
@ = "StripMyRights / LN"% 1 "% *"
[HKEY_CLASSES_ROOTexefileshellExecute от имени недоверенного пользователя]
@ = "Запускать как ненадежный"
[HKEY_CLASSES_ROOTexefileshellExecute как команда недоверенного пользователя]
@ = "StripMyRights / DW / LU"% 1 "% *" 

удалить записи

  Редактор реестра Windows, версия 5.00
[-HKEY_CLASSES_ROOTexefileshellExecute as Ограниченный пользователь]
[-HKEY_CLASSES_ROOTexefileshellExecute от имени обычного пользователя]
[-HKEY_CLASSES_ROOTexefileshellExecute от имени недоверенного пользователя] 

2. По статической политике secpol.msc

SetSAFER

скачать: последняя измененная версия (требуется создание XML-файла), зеркало (блог Amasan), setsafer.zip

экспериментальное приложение MS создает правило, которое заставляет другие приложения запускаться всегда в ограниченном режиме. Все делается путем редактирования реестра – этот метод более эффективен.

Требуются два файла:

SetSAFER.exe – графическая версия инструмента, позволяет включать / отключать добавленные приложения в xml-файл

SetSAFER.xml – содержит список приложений для запуска в ограниченной среде -> чтобы добавить, мы просто копируем строки из приложения, меняя имя приложения (комментарий), путь доступа (путь) и тип разрешений (пользователь) – ограниченный (true) или неограниченный ( ложь). В качестве пути вы можете сохранить один exe-файл или всю папку приложения, что означает, что все exe-файлы в нем будут наследовать один и тот же параметр (не добавляйте системные папки!). Файл можно редактировать в любом редакторе, например, в блокноте.

Содержание файла:


Ограничения работают только для приложений с путем, указанным в файле xml -> если мы перемещаемся, мы обновляем приложение, нам нужно изменить путь.

Изменение прав пользователя Windows XP

Как проверить статус разрешений работающей программы?
Мы используем приложение Process Explorer. Дважды щелкните по выбранному процессу -> вкладка «Безопасность», выделите группу «Администраторы». Если в Deny aw Privilages имеется ограниченное количество записей, то процесс выполняется ограниченным образом. Если Дена отсутствует, то процесс работает с расширенными разрешениями.
Изменение прав пользователя Windows XP