Среди предназначенных для обслуживания Windows программ имеется немало таких, которые для своей работы в обязательном порядке требуют права администратора. Отличить их можно по запросу UAC в момент запуска исполняемого файла, кроме того, значки большинства требующих повышенных привилегий приложений имеют характерную иконку щита желто-синего цвета. Такое программное обеспечение обладает более широкими возможностями в плане конфигурирования ОС, он оно же может нести в себе повышенные риски.
Чем меньше полномочий у стороннего приложения, тем меньший вред оно способно нанести системе, окажись оно вредоносным. Запускать сомнительные программы лучше всего в виртуальной машине или песочнице, если же это по какой-то причине сделать нельзя, можно попробовать принудительно ограничить права таких программ.
Для этого мы предлагаем использовать PsExec — консольную утилиту, входящую в состав пакета PsTools от Microsoft.
Принцип работы утилиты следующий.
Будучи запущенной с повышенными разрешениями, она создает процесс с более низкими правами и запускает в нём требующую повышенных привилегий программу, которая стартует уже с пониженными правами. Чтобы это продемонстрировать, запустим с помощью PsExec с пониженными правами программу для автоматического управления службами Service Trigger Editor .
Программа для управления реестром | RegistryBoom.exe
Распаковываем пакет PsTools в удобное расположение, запускаем от имени администратора командную строку и выполняем в ней такую команду:
«F:PSToolspsexec.exe» -l -d «F:ServiceTriggerEditor.exe»
Первая часть команды — это путь к исполняемому файлу PsExec с параметрами -l и -d, вторая часть — путь к исполняемому файлу утилиты управления службами. У вас пути и запускаемое ПО, естественно, будут свои.
В результате мы получаем сообщение об удачном запуске программы с ID процесса, запускается и сама программа, но уже не требуя подтверждения со стороны контроля учетных записей.
Чтобы убедиться, что программа действительно запустилась с ограниченными правами, воспользуемся утилитой Process Explorer. Если открыть в ней свойства процесса нашей программы на вкладке «Security», то можно будет увидеть, что он не является членом группы «BUILTIN/Администраторы» , зато входит в состав группы «Обязательная метка/Низкий обязательный уровень» .
Если бы программа обладала всеми полномочиями, флаг группы «BUILTIN/Администраторы» был бы Owner, а уровень обязательной метки был бы высоким.
Ну, и раз уж мы упомянули здесь Process Explorer, отметим, что запускать программы с пониженными правами можно и с ее помощью.
10 тысяч пользователей в одном ПК: Как устроены учётные записи в Windows?
В меню «Файл» этой утилиты есть опция «Run as Limited User».
Открывающая окошко быстрого запуска, в котором вы можете указать путь к исполняемому файлу приложения.
Источник: www.white-windows.ru
Постановка вопроса
Для пользователя компьютера в целом будет лучше, если он не будет использовать права администратора в своей повседневной работе. Особенно это актуально, когда речь заходит о взаимодействии пользователя с сетью Интернет. Не секрет, что большая часть появляющейся на компьютере малвари попадает туда посредством использования уязвимостей в сетевых приложениях или посредством неаккуратной работы пользователя в сети.
Если пользователи *nix систем привыкли использовать sudo или su для решения некаждодневной задачи, то пользователи ОС Windows не спешат приучать себя к хорошим манерам, продолжая работать с правами администратора.
Немного теории
Учетная запись пользователя Windows представляет собой набор данных, определяющих, к каким папкам и файлам пользователь имеет доступ, какие изменения могут вноситься пользователем в работу компьютера, а также персональные настройки пользователя, такие как фон рабочего стола и экранная заставка
Типы учетных записей Windows
Различаются по предоставляемым возможностям управления компьютером:
- обычные учетные записи пользователей предназначены для повседневной работы;
- учетная запись администратора предоставляет полный контроль над компьютером, этот тип учетной записи не рекомендуется для ежедневного применения, им следует пользоваться только при необходимости;
- учетная запись гостя предназначена для временного доступа к компьютеру.
- устанавливать программы и оборудование
- вносить изменения на уровне системы
- иметь доступ на чтение всех общих файлов
- создавать и удалять учетные записи пользователей
- изменять учетные записи других пользователей
- изменять имена и типы своей учетной записи
- изменять рисунок своей учетной записи
- создавать, изменять и удалять свой пароль
- изменять рисунок своей учетной записи
- создавать, изменять и удалять свой пароль
- невозможность прохождения системой проверки подлинности;
- невозможность обновления стороннего софта;
- невозможность выборочной установки обновлений Windows.
Предлагается
- Drop My Rights;
- PsExec.
Утилита Drop My Rights
- N – normal user (обыкновенный пользователь);
- C – constrained user (ограниченный пользователь);
- U – untrusted user (ненадежный пользователь).
Утилита PsExec
PsExec — это облегченный вариант программы Telnet. Она позволяет выполнять процессы в удаленных системах, используя для этого все возможности интерактивного интерфейса консольных приложений, и при этом нет необходимости вручную устанавливать клиентское программное обеспечение. В нашем случае из всего мужества ключей утилиты, используются только два:
psexec -l -d «C:Program FilesInternet ExplorerIEXPLORE.EXE»
-d – указывает, что не нужно ждать завершения приложения.
-l – при запуске процесса пользователю предоставляются ограниченные права (права группы администраторов отменяются, и пользователю предоставляются только права, назначенные группе «пользователи»).
Для проверки корректности проведенной настройки применяется специальная панель инструментов для IE – PrivBar. С помощью неё можно легко отследить права пользователя, работающего с браузером.
Вывод
Стоит всегда помнить, что работая с правами администратора, угрозе подвергается не только компьютер, но и данные, привилегии администратора должны применяться только для решения нестандартной задачи, а по выполнению таковой сразу же оставляться. В случае, если по каким-либо причинам временное получение прав «Администратора» некомфортно, предлагается понизить в правах само приложение.
Источник: habr.com
Работа с Registry Editor
Tweak UI. Русская локализованная версия программы настройки пользовательского интерфейса операционных систем Windows 95/98/NT/2000 . «Tweak UI» позволяет производить тонкую настройку («tweak») пользовательского интерфейса Windows («UI»).
От прочих программ настройки интерфейса эта отличается двумя обстоятельствами:
- эта утилита работает со всеми версиями Windows
- она снабжена подробной справкой, описывающей все доступные настройки.
Установка: распакуйте архив во временную папку. Название папки и путь к ней не дожны содержать русских букв, так как это может вызвать трудности при установке в некоторых системах.Щёлкните файл TweakUI.inf правой кнопкой мыши и выберите «Установить». Следуйте появляющимся указаниям.В Панели управления появился ярлык «Tweak UI». Если у Вас уже была установлена английская версия утилиты, русскую можно устанавливать поверх неё. Все настройки, сделанные ранее, сохраняются.
RESTrick. Панель управления RESTrick — это многофункциональная утилита для настройки компьютера. С помощью RESTrick вы сможете быстро и эффективно
настроить Windows в соответствии с вашими потребностями. RESTrick позволит вам управлять различными ограничениями в системе, позволяющих контролировать доступ к компьютеру. Панель управления RESTrick позволит также вам работать с профилями пользователей в системе. Это означает, что вы сможете настроить отдельно для каждого профиля свои собственные ограничения и параметры работы. Вы также сможете определить профиль «по умолчанию» — это профиль, который используется если при загрузке системы был пропущен диалог входа в систему (для случая Windows 9x и WinME). Панель управления RESTrick позволит вам увеличить безопасность
и защиту системы. Доступ к Панели управления RESTrick можно получить через
панель управления Windows. В зарегистрированнй версии программы у вас также появляется возможность ставить пароль на запуск Панели управления RESTrick.
Программные требования: Windows 95/98/ME/NT 4.0 или 2000. Около 0,7 Мегабайт на жестком диске. Ни каких специальных требований к объему оперативной памяти и скорости процессора не предъявляется.
WinseR.Очень большой редактор настроек, предназначен для так называемой «тонкой» настройки Windows, т.е. управления параметрами Windows, не вошедшими в официальную документацию, доступа к которым не предоставляют стандартные приложения. Помимо основного окна, в программе имеется мастер оптимизации работы Windows, позволяющий быстро настроить все основные параметры системы.
Stop.Программа для просмотра и удаления автозапускающих приложений из реестра.
Xteq X-Setup. Xteq X-Setup ориентирован на продвинутых, неплохо знающих ОС пользователей.
Regcleaner W9*/NT/2000 .Программа поможет освободить системный реестр от записей, оставшихся от уже удаленных программ: просканировав реестр, она выводит список зарегистрированных в нем программ. Отметив те программы, которых уже нет на жестком диске, можно дать команду на удаление из реестра записей о них. Regcleaner позволяет отредактировать список программ, запускающихся одновременно с запуском Windows, и меню «Установка и удаление программ», изменить ассоциации файлов, а также удалить неиспользованные «общедоступные» (shared) *.DLL. Крайне полезной является имеющаяся функция резервного копирования с возможностью отменить сделанные изменения.
Windows Accelerator. Эта программа предназначена для скрытых настроек различных параметров операционной системы Windows. Программа позволяет настраивать до 80 различных параметров оболочки. Кроме того в Windows Accelerator встроена информация о загрузке оперативной памяти в текущий момент и за период времени.
Все настройки сгруппированы по модулям, объединяющим похожие по свойствам и функциональному назначению параметры оболочки операционной системы. Win9x/ME/NT, рус.
Источник: megaobuchalka.ru