«Noadmin» – обмеження дозволів
Дуже ефективний спосіб уникнути багатьох інфекцій – це працювати без адміністративних прав, тобто з обліковим записом з обмеженими дозволами. Кожна шкідлива програма автоматично отримує доступ увійшов в систему користувача після отримання доступу до комп’ютера, тому, будучи адміністратором, ми даємо їй повний контроль над системою. Ця обліковий запис дозволяє встановлювати руткіт на рівні ядра, встановлювати і запускати шкідливі служби і драйвери, а також мати повний доступ до реєстру.
Аналогічна запис:
Зміна Windows Vista і 7 користувальницьких дозволів
Пов’язана запис: Відмовлено в доступі: видалення файлів і папок без дозволів
Облікові записи користувачів
За замовчуванням Windows XP створює два типи облікових записів користувачів:
- адміністратор з повними дозволами
- обмежено з обмеженими правами
Більшість проблем безпеки в цій системі пов’язано з тим, що користувачі працюють з обліковими записами з правами адміністратора. Адміністратор може робити все на комп’ютері: встановлювати програми, пристрої, драйвери, оновлювати, змінювати реєстр. Це зручно, але з іншого боку небезпечно: будь-яка шкідлива програма після установки зможе нанести серйозної шкоди вашому комп’ютеру. Рішення полягає в створенні облікового запису з більш низькими привілеями, яка дозволяє виконувати основні завдання, але підходить для повсякденної роботи: робота в Інтернеті, отримання пошти, використання месенджера, створення та відтворення документів, музики і фільмів. Ми не можемо змінювати системні налаштування або встановлювати програми, яким потрібні додаткові привілеї, наприклад, шкідливі програми. Однак робота з такою обліковим записом не зручна для користувачів, тому вони швидко відмовляються від неї.
Способи створення облікових записів користувачів
1. Панель управління
– Пуск >>> Панель управління >>> Облікові записи користувачів
– меню «Пуск» >>> «Виконати» >>> введіть control userpasswords» (або клавіші Win + R)
Ми можемо створити новий обліковий запис, натиснувши «Створити новий обліковий запис». Запуститься майстер, де ви введете ім’я облікового запису та виберіть тип: адміністратор (за замовчуванням) або обмежений. Ми також можемо редагувати кожен обліковий запис у системі, наприклад, змінювати її тип, встановлювати пароль, видаляти обліковий запис.
Тут ми також можемо змінити екран входу в систему, натиснувши кнопку Змінити спосіб входу в систему. Ми можемо вибрати екран привітання, де ми просто натискаємо на ім’я користувача і вводимо пароль або класичне запрошення для входу в систему, де ми вводимо ім’я облікового запису та пароль.
Розширена панель облікового запису користувача .
– Пуск >>> Виконати >>> введіть control userpasswords2″
Тут ми можемо створити новий обліковий запис користувача, але у нас є доступ до всіх типів, а не тільки до двох стандартних, наприклад, ми можемо створити обліковий запис, що належить групі «Реплікатор» або «Гості».
Автоматичний вхід для даного користувача
Ми вибираємо для автоматичного входу. Потім зніміть прапорець «використовувати цей комп’ютер, користувач повинен ввести ім’я користувача та пароль». Натисніть ОК, з’явиться вікно «Автоматичний вхід», де ви вводите пароль облікового запису. OK.
Примітка: щоб увійти в інший обліковий запис, ми повинні утримувати клавішу Shift після того, як повідомлення BIOS завершені та логотип Windows відображається. Щоб запобігти це, в ключі HKEY_LOCAL_MACHINESOFTWAREMicrosoftwindows NTCurrentVersionWinlogon ми створюємо нове значення рядка IgnoreShiftOverride, встановлюючи значення 1. Тепер, коли ви вмикаєте комп’ютер, система автоматично увійде в обрану облікову запис.
Однак, коли система працює, вихід з облікового запису відображає екран входу в систему. Щоб запобігти це, ми створюємо параметр DWORD з ім’ям ForceAutoLogon і значенням в ключі 1. Це автоматично знову входить в систему, якщо користувач намагається вийти з системи.
Приховування імен користувачів на екрані входу
У ключі HKEY_LOCAL_MACHINESOFTWAREMicrosoftwindowscurrentversionpoliciessystem ми редагуємо параметр DWORD dontdisplaylastusername, змінюючи значення з 0 на 1. Те ж саме можна зробити за допомогою оснастки «Локальна політика безпеки» >>> Локальні політики >>> Параметри безпеки >>> Правило інтерактивного входу в систему: не відображати останнє ім’я користувача, відображати останнє ім’я користувача не відображати останнє ім’я користувача, відображати останнє ім’я користувача, перевіряти, чи не відображається останнє ім’я користувача
2. Локальні користувачі і групи
– Пуск >>> Панель управління >>> Продуктивність і обслуговування >>> Адміністративні інструменти >>> Керування комп’ютером
Системні інструменти, Локальні користувачі та групи, які Користувачі
– Пуск >>> Виконати >>> введіть “compmgmt.msc” або “lusrmgr.msc”
Вкладення пропонує нам більше функцій, ніж стандартний спосіб. Дозволяє створювати і редагувати облікові записи користувачів і груп користувачів. Група користувачів – це набір облікових записів користувачів з однаковими привілеями. Один обліковий запис може бути членом більш ніж однієї групи. Дві найбільш поширені групи користувачів – це стандартна група користувачів (Користувачі) і група адміністраторів (Адміністраторів).
3. Командний рядок
– Пуск >>> Всі програми >>> Аксесуари >>> Командний рядок
– стартове меню >>> Run >>> введіть cmd”
Додавання нового користувача (обліковий запис має обмежені дозволу користувача)
чисте ім'я користувача / додати
Додавання нового користувача з паролем
net user username пароль / додати
Активація відключеній облікового запису (деактивація / активна: немає)
net user account_name / active: так
Видалити обліковий запис користувача
чисте ім'я користувача / видалити
Додавання нової групи користувачів
net localgroup group_name / add
Видалити групу користувачів
net localgroup ім'я групи / видалити
Додати користувача в групу
net localgroup group_name ім'я користувача / додати
Видалити користувача з групи
net localgroup group_name ім'я користувача / видалити
Ми вибираємо обліковий запис з обмеженими правами для щоденної роботи на комп’ютері. Використання інтернету, відтворення мультимедіа, робота в офісному пакеті не вимагає прав адміністратора. Це зменшить кількість інфекції.
З обмеженою облікового запису, збільшуючи привілеї
Робота з обмеженою обліковим записом з підвищенням привілеїв за запитом є рекомендованим напрямком. Така модель існує в системах Linux, де всі працюють з обмеженою обліковим записом, але після надання пароля для облікового запису користувача «root» вони можуть виконувати операції, що вимагають більш високих привілеїв.
1. Системна функція «Запуск від імені»
У Windows XP у нас є доступ до команди «Запуск від імені», яка дає змогу виконувати операції з використанням іншого облікового запису >>> натисніть PPM у файлі >>> «Запуск від імені» і виберіть обліковий запис. Таким чином, ми можемо запускати додатки з більш високими привілеями обмеженою облікового запису, не виходячи з системи, що є найбільш часто використовуваним, але також і на обліковий запис адміністратора з іншого обмеженою обліковим записом. Облікові записи повинні мати паролі для входу в систему, щоб цей метод працював. Недолік цього рішення полягає в тому, що додатки, що запускаються таким чином, можуть бачити чужу середу, тобто робочий стіл / меню «Пуск» / мої користувальницькі документи, на які ми переключили додаток. Крім того, користувач повинен знати пароль для облікового запису адміністратора, інакше нічого не станеться.
Варто відзначити, що для правильної роботи функції потрібно служба вторинного входу. Якщо опція «Запуск від імені» не відображається в меню, ця служба може бути відключена.
2. Розширений запуск програми
Ліцензія: безкоштовно
Платформа: Windows XP / Vista / 7
опис
Додаток є альтернативою системних функцій «Запуск» і «Запуск від імені». Має 3 вбудованих так званих за замовчуванням профілі безпеки з різними рівнями дозволів – захист від шпигунських програм, максимальний заборона, дозвіл.
Після установки потрібно перезавантажити комп’ютер. Додаток замінює системну функцію «Виконати» і додає опцію «Розширений запуск» в контекстне меню файлу.
Завантажити : , advanced-run-3.0.zip (потрібна установка)
Знімок екрана: 
3. Консоль Runas Tool
Еквівалентом функції «Запуск від імені» є інструмент «runas», керований з командного рядка.
У вікні командного рядка введіть наступний синтаксис:
runas / user: ім'я користувача "pathFileProfile"
Вам буде запропоновано ввести пароль облікового запису, який необхідно ввести в командному рядку. Параметр / sevecred дозволяє зберегти пароль, який необхідно вводити тільки в перший раз (це не працює у Windows Home).
4. Поліпшення інструменту ‘runas’
Системний інструмент runas не дозволяє вводити пароль облікового запису в якості параметра. Потім користувач повинен вводити пароль кожного разу (звичайно, якщо він його знає). Ми також не завжди хочемо поділитися паролем. Рішенням є альтернативні програми, які дозволяють вводити пароль в якості параметра. Деякі програми додатково дозволяють створювати спеціальні виконувані файли разом з шифруванням пароль, що значно підвищує безпеку.
Рішення, коли ми хочемо дозволити адміністраторам запускати тільки стандартні додатки.
Примітка: кожний додаток має бути спочатку скопійована в каталог c: windows, тому вам не потрібно вводити повний шлях, все, що вам потрібно, це ім’я виконуваного файлу.
Примітка: для простоти використання ви можете створити пакетний файл (.bat) з кожної команди >>> скопіювати команду в записну книжку з меню Файл> Зберегти як> Встановити розширення у Всі файли> Зберегти як BAT.
Але я помітив, що на XP необхідно додати .exe файл, наприклад lsrunas.exe замість lsrunas. Щоб зробити це ще простіше, такий «bat» файл можна перетворити на простий виконуваний файл exe» – перетворення пакетних файлів BAT в EXE . Це дозволяє приховати пароль від недосвідченого користувача, але я попереджаю вас, що він небезпечний, оскільки не зашифрований пароль.
найпростіше консольний додаток
