Ограничеваем в правах приложения ОС Windows

Для пользователя компьютера в целом будет лучше, если он не будет использовать права администратора в своей повседневной работе. Особенно это актуально, когда речь заходит о взаимодействии пользователя с сетью Интернет. Не секрет, что большая часть появляющейся на компьютере малвари попадает туда посредством использования уязвимостей в сетевых приложениях или посредством неаккуратной работы пользователя в сети.

Если пользователи *nix систем привыкли использовать sudo или su для решения некаждодневной задачи, то пользователи ОС Windows не спешат приучать себя к хорошим манерам, продолжая работать с правами администратора.

Немного теории

Учетная запись пользователя Windows представляет собой набор данных, определяющих, к каким папкам и файлам пользователь имеет доступ, какие изменения могут вноситься пользователем в работу компьютера, а также персональные настройки пользователя, такие как фон рабочего стола и экранная заставка
Типы учетных записей Windows
Различаются по предоставляемым возможностям управления компьютером:

• обычные учетные записи пользователей предназначены для повседневной работы;
• учетная запись администратора предоставляет полный контроль над компьютером, этот тип учетной записи не рекомендуется для ежедневного применения, им следует пользоваться только при необходимости;
• учетная запись гостя предназначена для временного доступа к компьютеру.

При этом учетная запись «Администратор» позволяет:

• устанавливать программы и оборудование
• вносить изменения на уровне системы
• иметь доступ на чтение всех общих файлов
• создавать и удалять учетные записи пользователей
• изменять учетные записи других пользователей
• изменять имена и типы своей учетной записи
• изменять рисунок своей учетной записи
• создавать, изменять и удалять свой пароль

В то время как «обычная» учетная запись, позволяет лишь:

• изменять рисунок своей учетной записи
• создавать, изменять и удалять свой пароль

Проанализировав, можно прийти к выводу, что недостаток привилегий обычной учетной записи не столь критичен, однако пользователей таких учетных записей в ходе работы ждут следующие проблемы:

• невозможность прохождения системой проверки подлинности;
• невозможность обновления стороннего софта;
• невозможность выборочной установки обновлений Windows.

Для решения возникающих проблем пользователю каждый раз необходимо будет использовать либо «Run as administrator», либо утилиту runas.exe, раз за разом вводя пароль администратора или же каждый раз изменять пользователя на «администратор», выполнить необходимый набор действий и возвращаться в свою учетную запись. Все эти телодвижения непонятны рядовому пользователю, и он продолжает свою работу с правами администратора.

Предлагается

У системных администраторов есть правило «Наименьших прав». Оно гласит, что пользователь должен выполнять свою работу только с минимальным набором привилегий, необходимых для решения поставленных задач.
Дабы не сталкивать пользователя с дополнительными задачами, решение которых будет отвлекать его от выполнения основной работы, но при этом не оставлять у пользовательских приложений прав администратора, предлагается понизить в правах не пользователя, а сами приложения.
Для этой цели существует ряд утилит, рассмотрим наиболее распространенные:

• Drop My Rights;
• PsExec.

Для примера, понизим привилегии браузера Internet Explorer.

Утилита Drop My Rights

После выполнения установки, создаём ярлык браузера, заходим в свойства ярлыка и в поле «объект» прописываем строку:
PathToDropmyrights\DropMyRights.exe «C:\Program Files\Internet Explorer\IEXPLORE.EXE» С
«С» в конце строки означает уровень привилегий «Constrained user», всего определенно три уровня привилегий:

• N – normal user (обыкновенный пользователь);
• C – constrained user (ограниченный пользователь);
• U – untrusted user (ненадежный пользователь).

Приведенную строку можно ввести в консольном режиме.

Утилита PsExec

PsExec — это облегченный вариант программы Telnet. Она позволяет выполнять процессы в удаленных системах, используя для этого все возможности интерактивного интерфейса консольных приложений, и при этом нет необходимости вручную устанавливать клиентское программное обеспечение. В нашем случае из всего мужества ключей утилиты, используются только два:

psexec -l -d «C:\Program Files\Internet Explorer\IEXPLORE.EXE»

-d – указывает, что не нужно ждать завершения приложения.
-l – при запуске процесса пользователю предоставляются ограниченные права (права группы администраторов отменяются, и пользователю предоставляются только права, назначенные группе «пользователи»).

Для проверки корректности проведенной настройки применяется специальная панель инструментов для IE – PrivBar. С помощью неё можно легко отследить права пользователя, работающего с браузером.

Вывод

Данная статья не подлежит комментированию, поскольку её автор ещё не является полноправным участником сообщества. Вы сможете связаться с автором только после того, как он получит приглашение от кого-либо из участников сообщества. До этого момента его username будет скрыт псевдонимом.

Как изменить уровень контроля учетных записей (UAC) в Windows 10

Знаете ли вы, что вы можете изменить настройки контроля учетных записей (UAC) , чтобы изменить уровень безопасности в Windows 10? Хотя большинство пользователей практически не знают о его существовании, контроль учетных записей (UAC) в Windows 10 является основной функцией безопасности, которая предотвращает несанкционированные изменения приложений на вашем компьютере или устройстве. Прочтите это руководство, чтобы узнать, как изменить уровни уведомлений UAC и решить, как часто вы получаете «Хотите ли вы, чтобы это приложение могло вносить изменения в ваш ПК?» подскажите в Windows 10.

Перво-наперво: об управлении учетными записями пользователей в Windows 10

Контроль учетных записей (UAC) является частью системы безопасности Windows начиная с Windows Vista. Первоначально считается слишком раздражающим, но с тех пор был улучшен. В результате получается более спокойная версия UAC, с которой вы сталкиваетесь в Windows 10. Контроль учетных записей пользователей Windows 10 появляется, когда вы запускаете настольное приложение, для работы которого требуются разрешения администратора или меняются важные системные параметры, требующие одобрения администратора.

Задачи, для которых требуются права администратора и которые могут вызывать приглашение UAC, например «Запуск от имени администратора», отмечены желтым и синим значком защитного экрана.

Если вы все еще хотите изменить его настройки впоследствии, имейте в виду, что вам нужны административные разрешения для изменения уровня безопасности контроля учетных записей.

Как получить доступ к настройкам контроля учетных записей в Windows 10

Чтобы изменить способ работы UAC , вам необходимо открыть окно «Настройки контроля учетных записей». Самый простой способ сделать это, набрав «uac» в поле поиска на панели задач. Затем нажмите или нажмите «Изменить настройки контроля учетных записей» или опцию «Открыть» справа.

Откроется окно «Настройки контроля учетных записей», которое можно использовать для изменения уровня безопасности в Windows 10.

Вы можете попасть в то же место, открыв Панель управления и открыв: «Система и безопасность -> Безопасность и обслуживание -> Изменить настройки контроля учетных записей».

Какой уровень уведомлений UAC используется по умолчанию?

«User Account Settings Control» окно имеет только один слайдер, и вы можете использовать его для настройки «когда получать уведомления об изменениях в своем компьютере». По умолчанию для Windows 10 Контроль учетных записей устанавливается на «Уведомить меня только тогда, когда приложения пытаются внести изменения в мой компьютер» уровень безопасности.

Все еще безопасный, хотя и не самый строгий вариант, который вы можете использовать, выбор этого уровня безопасности по умолчанию гарантирует, что UAC уведомит вас только до того, как программы внесут изменения, требующие административных разрешений. Если вы вручную внесете изменения в Windows, вы не получите приглашение UAC.

Поскольку UAC появляется только в том случае, если приложение или файл хочет внести изменения, этот параметр менее раздражает и менее безопасен, чем верхний и самый строгий уровень безопасности, «Всегда уведомлять», что также вызывает вмешательство UAC для подтверждения действий пользователя.

Как изменить уровень контроля учетных записей в Windows 10

На ползунке в окне «Настройки контроля учетных записей» доступны четыре параметра. Чтобы изменить уровень безопасности, предоставляемый UAC в Windows 10, просто переместите ползунок в соответствующую позицию, щелкнув или нажав на нужный уровень. Вы также можете щелкнуть или нажать на ползунок и перетащить его на параметр, который вы хотите использовать.

Проверьте панель справа для краткого описания того, как каждый параметр влияет на ваши уведомления безопасности Windows 10. Мы подробно рассмотрели различия между четырьмя уровнями безопасности в разделе «Что такое UAC (контроль учетных записей)» и почему вы никогда не должны его отключать. Сделайте свой выбор, а затем нажмите OK.

Вы можете получить запрос контроля учетной записи пользователя с просьбой подтвердить это изменение.

ВАЖНО: Вам необходимо перезагрузить компьютер или устройство с Windows 10, прежде чем будут применены новые настройки контроля учетных записей.

Отключить UAC или Какой уровень UAC обеспечивает самый низкий уровень безопасности?

Если вы перешли наше руководство, настаивая на том, чтобы не отключать UAC, и все еще решили его отключить, переместите ползунок в нижнюю опцию Никогда не уведомлять , самый низкий уровень безопасности. Это отключает контроль учетных записей , что позволяет вредоносным программам заражать и контролировать компьютер или устройство под управлением Windows 10. С другой стороны, надоедливые уведомления прекращаются, так как все приложения могут делать все, что пожелают, без вашего разрешения.

Какой уровень UAC вы используете и почему?

В то время как многие находят уведомления раздражающими, контроль учетных записей пользователей Windows 10 важен для безопасности вашей системы. Мы всегда поддерживаем UAC на рекомендованном (по умолчанию) уровне, чтобы предотвратить нежелательное вредоносное ПО. А как насчет вас? Вы повысили или понизили уровень безопасности? Прежде чем закрыть это руководство, не стесняйтесь поделиться с нами тем, какой уровень UAC вы используете в настоящее время и почему, в комментариях ниже.

Ограничение учетной записи в windows

Добрый день, Друзья! Приветствую Вас На нашем обучающем Интернет портале “С Компьютером на “ТЫ”. Сегодня мы продолжим говорить на тему компьютерной безопасности. И еще один шаг в этом направлении – ограничение учетной записи пользователя.

При установке операционной системы Windows пользователю предоставляются права администратора. Другими словами он имеет абсолютную свободу действий на ПК. Но и вредоносное программное обеспечение, получив доступ к компьютеру, наделяется такими же правами. А это уже серьезная уязвимость в нашей системе безопасности. Пора латать дыры.

В данной статье мы разберем алгоритм перехода с администратора на более безопасную учетную запись, сохранив при этом все настройки.

зачем необходимо ограничение учетной записи?

1. Все программные продукты, запущенные с правами администратора, получают полную свободу действий на ПК, чем непременно воспользуются разработчики вредоносного кода (вирусов и опасных скриптов).

Например, для того, чтобы вирус смог “прописаться” в Вашей операционной системе, ему необходимо внести изменения в записи реестра. Пользователь, с ограниченными правами, не сможет сделать изменения в настройках ОС. А следовательно и зловредный вирус, запустившись с такими же ограниченными правами, не сможет пробить защиту системных настроек и оставить “след” в вашем реестре.

При выходе в Интернет с правами Администратора, Вы помогаете злоумышленнику в кражи Ваших паролей, учетных данных, хранимых в системных файлах ОС. Опасный скрипт, имея права администратора, считает все Ваши секреты и передаст своему хозяину.

Создав ограничение учетной записи пользователя, Вы не только решите эти проблемы, но и не позволите проникнуть на Ваш компьютер распространённому вирусу WinLock (порно баннер, блокирующий работу компьютера).

2. Имея права администратора, неопытные пользователи могут случайно внести критические изменения в системные файлы Windows, приведя ОС в неработоспособное состояние. Защитите свою систему от случайных ошибок – понизьте права пользователя.

Смена прав учетной записи пользователя

Так как операционная система у нас уже установлена и функционирует нормально, то мы пойдем по следующему пути: мы изменим тип ранее созданной учетной записи (понизив ее права) и добавим нового пользователя с правами Администратора (от имени которого и будем уносить изменения в системные файлы ОС и реестр).

1. Первым делом необходимо навести порядок с имеющимися учетными записями. Для этого зайдем в Центр управления учетными записями (правой кнопкой кликаем по значку “Мой компьютер” –> “Управление” –> “Локальные пользователи и группы” –> “Пользователи”).

Удалите все записи, кроме существующей и гость (которая должна быть в режиме отключена).

2. Понизить права действующей учетной записи до уровня обычного пользователя не получится ввиду того, что у системы обязательно должен быть пользователь с правами администратора. Поэтому мы сначала создадим еще одного администратора, а уже потом понизим права действующего пользователя.

Для этого кликните правой кнопкой мыши по пункту “Пользователи” –> выберите “Новый пользователь…”. В открывшемся окошке укажите имя нового администратора, его пароль, отметьте пункт “Срок действия пароля не ограничен” и нажмите кнопку “Создать”.

Созданная нами учетная запись будет обладать правами обычного пользователя. Чтобы придать ей статус настоящего администратора, необходимо его добавить в соответствующую группу пользователей. Для этого делаем двойной клик по новой учетной записи, переходим во вкладку “Членство в группах” –> жмем кнопку “Добавить”.

В блоке “Введите имя объекта” пишем “Администраторы” и кликаем по кнопке “ОК” –> “Применить”.

3. Теперь пришло время заняться понижением прав текущего пользователя. Для этого выбираем в списке текущего пользователя и проделываем все те же операции, что я описал выше. Только теперь необходимо добавить запись “Пользователи”, а запись “Администраторы” удалить.

4. После всего проделанного выйдите из системы и перезагрузите компьютер.

Итак, вы сохранили все свои настройки, но понизили статус пользователя, ограничив его права. Теперь чтобы внести какие-либо изменения в системе, вам придется обращаться к учетной записи вновь созданного администратора.

Как это работает?

Вы работаете в системе как обычно, запуская привычные программы. Если вдруг у вас появится необходимость внести изменения в системные файлы, получить доступ к реестру или установить новую программу, то можно будет поступить двумя способами: либо завершить текущий сеанс и зайти под учетной записью Администратора, использовать «власть” администратора не выходя из текущей учетной записи.

Для этого кликните правой кнопкой мыши по запускаемой программе и выберите пункт “Запуск от имени…” –> в появившемся окошке укажите учетную запись Администратора и введите пароль администратора –> нажмите “ОК”. Таким образом, можно не покидая текущей учетной записи, запустить любое приложение с правами Администратора.

Советы:

• Подойдите серьезно к вопросу выбора пароля для администратора. Чем сложнее и длиннее будет пароль, тем сложнее злоумышленнику будет его взломать.
• Так как новой учетной записью Администратора вы будете пользоваться редко, запишите придуманный пароль в надежном месте.
• Дополнительной мерой безопасности будет переименовать созданного Администратора (например, вместо “Администратор” –> “Сергей). Таким образом создав дополнительную преграду для злоумышленника.

8 комментариев

Я благодарна Вам за все советы, которые Вы даёте. Это очень хорошая помощь. Всё знать невозможно и Ваши советы во время. Но у меня проблема с учётной записью. Купила новый комп. с Win 8.Сдуру создала учётную запись администратора и теперь все новые программы только с разрешения администратора. Всегда требует пароль. Даже при входе. Пыталась удалить эту уч. запись-не получается. На могла удалить пароль, чтобы мне было проще входить в комп. И Win8 не устраивает.Нет программ MS. Мне нужен Word. Но его как и все остальные приложения надо покупать. Полная ерунда.

Для какой оси эта инструкция? У меня 7-ка и в управлении компьютером есть все те же пункты, кроме “Локальные пользователи и группы”. Почему? А через панель управления что-то не получается или дайте, пожалуйста, инструкцию и для этого способа.

Вообще-то это для 7-ки. Если вы не видите этой настройки, то скорее всего у вас просто ограниченные права. Политикой безопасности вам запрещено править это пункт настроек.

Почему нельзя произвести изменения в учетных записях через панель управления > учетные записи пользователей? Это намного проще и короче.

Спасибо за добавление. Так тоже можно сделать. Описал алгоритм, которым сам всегда пользуюсь. Еще раз спасибо! Успехов Вам.

Спасибо, есть чему поучиться. Безопасность прежде всего.

Спасибо большое за оценку статьи. Успехов Вам и всего наилучшего!