pueblo <nomail@nomail.pl> napisał(a):
Jednakże, jak rozumiem, nie jest zalecane, z pkt. widzenia
bezepieczeństwa, żeby zwykły user używał na co dzień (co od zawsze
robię) takiego konta - z grupy Administrator?
To, co uruchamiasz, np. ewentualnego wirusa, działa z niskimi uprawnieniami,
więc nie ma tu większej różnicy w stosunku do zwykłego konta. Różnica jest
taka, że możesz podnieść swoje uprawnienia przez UAC. UAC jest tak zrobiony,
żeby żadna aplikacja nie mogła za Ciebie potwierdzić akcji. Więc moim
zdaniem praca na koncie administracyjnym nie jest jakoś szczególnie
niebezpieczna. Praca na zwykłym koncie będzie jednak oczywiście bardziej
zalecana, szczególnie jeśli nie grzebiesz na codzień w systemie i
ograniczasz się do przeglądarki, gier czy edycji dokumentów.
Trzeba też pamiętać, że wirus wcale nie musi mieć uprawnień
administracyjnych żeby być groźny. Jeśli ma np. przechwytywać co piszesz na
klawiaturze, np. numer karty kredytowej, przeglądać Twoje pliki czy w inny
sposób szpiegować albo np. kopać kryptowaluty, to żaden admin mu nie jest
potrzebny. Twoje konto zwykłego użytkownika już zawiera wszystko co jest dla
nigo cenne. Admin da mu tyle, że się będzie mógł lepiej ukryć oraz utrudnić
skasowanie go.
Dopiero
okienko UAC albo funkcja Uruchom jako administrator przełącza token
na pełne uprawnienia.
Czy dokładnie takie, jak ma wbudowane konto Administrator - jak po
zalogowaniu na to konto?
Tak
Tego próbowałem, tylko najpierw użyłem net user administrator
/active:yes i potem się na nie zalogowałem przez GUI. Net use
/user:administrator? Nie chcę teraz eksperymentować - czy to polecenie
zaloguje mnie na wbudowane konto Admina, nawet kiedy nie jest
aktywne/widoczne?
Nie wiem czy dobrze rozumiem. net use podłącza do udziałów sieciowych, net
user zarządza użytkownikami. net user uzytkownik wyświetla informacje o
koncie uzytkownik. net use /user podłączy Cię do określonego udziału
sieciowego jako podany użytkownik. Ale to jest zupełnie inny temat niż teraz
mówimy. net use nie służy do logowania się na konta loklnego komputera. net
use i net user to oddzielne komendy, niezwiązane ze sobą.
Druga opcja to wyłączenie UAC, która w sumie nie
nadaje żadnych uprawnień, ale wyłącza konieczność potwierdzania
operacji podnoszenia uprawnień.
Rozumiem, że mówisz o obrazku z zasadami zabez. lok.?
Tak
Natomiast chyba w gołym
windowsie nie ma możliwości oddania własności i są do tego programy.
A co w tym kontekście znaczyłoby "goły windows".
Fakt, niejasno napisałem. Po prostu Windows bez zainstalowanych dodatkowych
programów, mający tylko wbudowane polecenia.
Wiedziałem, że nie trzymam na dysku bez potrzeby sysinternals suite :)
Bardzo przydatne programy :)
Dobrze wiedzieć. Już wykonałem dodatkowy eksperyment i z tej konsoli
wpisałem explorer c:\System Volume Information
Niestety, chyba tak łatwo nie zostanę specem - nadal odmowa dostępu.
Popatrz w menedżer zadań - uruchomiony explorer działa na Twoim użytkowniku,
nie na SYSTEM. Dlatego nie ma uprawnień. Dlaczego działa na Twoim a nie na
odziedziczonym po cmd.exe, tego nie wiem. Niemniej uprawniena masz, możesz z
wiersza polecenia wejść do System Volume Information. Jesli potrzebujesz
czegoś graficznego, to po prostu musisz użyć innego menedżera plików niż
explorer.
No i na koniec nie mógłbym się nie zastanowić głośno: ciekawe, czy
możliwe jest zalogowanie się/używanie/przypisanie sobie na stałe(jak by
tego nie nazwać) tych najwyższych uprawnień konta LocalSystem.
Chyba nie ma takiej możliwości.
Bo co to
ma niby być? - mogę naprawdę wszystko, ale mam tylko to małe czarne
okienko cmd :)
Ależ nie, wcale nie jesteś ograniczony do cmd, możesz sobie uruchamiać różne
programy. Odpal sobie choćby notepad z tego cmd. Zobaczysz, że masz do
wszystkiego dostęp, łącznie z System Volume Information jak klikniesz
Plik -> Otwórz. Tylko explorer jest wyjątkiem, że sam się przełącza na
zwykłego użytkownika. Pewnie jakieś takie zabezpieczenie MS wymyślił.
--
Grzegorz Niemirowski
http://www.grzegorz.net/
|