Разница между пользователем и администратором

Защищаем учетную запись локального администратора

Разница между пользователем и администратором

В каждой операционной системе Windows по умолчанию присутствует встроенная (built-in) учетная запись администратора. Эта учетная запись имеет неограниченные права и при ее компрометации злоумышленник получает полный контроль над системой. Чтобы этого не произошло, встроенную учетную запись администратора необходимо защитить.

Существует множество различных способов защиты и сегодня мы рассмотрим некоторые из них.

Отключение и переименование

Одной из наиболее распространенных атак является перебор паролей. Обычно от перебора защищаются с помощью политик блокировки, ограничивающих количество попыток ввода пароля.

Однако особенностью встроенной учетной записи администратора является то, что она не зависит от количества неправильного ввода пароля и ее невозможно заблокировать.

Поэтому учетная запись администратора является распространенной целью для подобного рода атак.

Одним из способов защиты от перебора является отключение учетной записи либо, если отключение невозможно, то ее переименование.

В производственной среде сделать это проще всего с помощью групповых политик. Нужные нам параметры находятся в разделе Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options.

Для получения доступа к системе необходимо узнать две вещи — имя пользователя и его пароль. В случае со встроенной учеткой администратора по умолчанию имя всегда Administrator (или Администратор в русскоязычной версии системы). Переименование усложнит процесс взлома, поскольку злоумышленнику придется сначала выяснить имя пользователя, а уже затем приступить к перебору.

За переименование отвечает параметр политики с именем Accounts: Rename administrator account. Надо открыть его, отметить чекбокс ″Define this policy settings″ и задать новое имя пользователя. Имя может быть любое, насколько хватит фантазии. Как вариант, можно переименовать администратора в гостя (Guest), а гостя в администратора. Поскольку у гостевой учетной записи практически нулевые права в системе, то взломав ее злоумышленник будет неприятно удивлен

Что лучше – Администратор или Стандартный пользователь?

Разница между пользователем и администратором

Рассмотрим один очень важный момент, который не понимают или просто пренебрегают даже те пользователи, которые считают себя уверенными. Речь идет о работе на компьютере под ограниченной учетной записью, которая в Windows 10 называется Стандартный пользователь.

Откуда появился миф о том, что под данной учетной записью не работают какие-то программы или настройки?  Именно этот довод приводят обычно пользователи, пытающиеся доказать нецелесообразность работы под ограниченной учетной записью.

  1. Начинающим пользователям в обязательном порядке рекомендуется работать только под ограниченной учетной записью. Это поможет избежать массы проблем. Вы не сможете случайно изменить какие-то важные настройки операционной системы или опять же случайно установить какую-то вредоносную программу.
  2. Работа под ограниченной учетной записью является одним из основных условий безопасной работы на компьютере. Удивляет тот факт, что пользователи, которые называют себе «уверенными» или «продвинутыми» и при этом выступают против использования ограниченной учетной записью под Windows, не проводят никаких параллелей с операционной системой Линукс, которую в свою очередь они же считают намного более безопасной. Но в Линукс «По умолчанию!»  все пользователи имеют ограниченные права, а администраторские полномочия выдаются только после дополнительного ввода пароля.
  3. В этом отношении Windows ничем не отличается от Linux и работая из под ограниченной учетной записи можно получить администраторские полномочия, введя пароль администратора.
  4. Все вирусы или вредоносные программы стараются как можно глубже внедриться в систему, чтобы оставаться в ней как можно дольше незамеченными или чтобы получить доступ к нужной им информации. Это очень легко сделать, если вредоносная программа была запущена от имени администратора, а работая в учетной записи Администратора, вы даете все полномочия любой программе, которая запускается от вашего имени.
  5. Вирусописатели постоянно изощряются и маскируют свои программы под обычные файлы вроде картинок, засовывают их в виде макросов в офисные документы, в виде скриптов размещают на сайтах в интернете и используют еще тысячи уловок. Если вы запускаете вредоносный код под Администратором, то вы собственноручно отдаете свой компьютер под управление вирусу. Но если вредоносная программа проберется на ваш компьютер и вы будете работать под ограниченной учетной записью, то сделать что-либо она вряд ли сможет, а значит и угроза снизится до минимума. Хотя стоит знать, что есть вредоносные программы способные работать и под ограниченной учетной записью, но их на порядок меньше.

Пользователям необходимо понимать смысл процессов, происходящих на компьютере и организовывать его работу оптимальным образом.

Как раз этот фактор однозначно сигнализирует о том, что такой пользователь — самый настоящий Чайник. И такие пользователи, которые с пеной у рта, но без конкретных фактов доказывают необходимость работы в самой навороченной Windows «Максимальной» да еще и под Администратором, однозначно заслуживают этот титул!

Особенно умиляет, когда эти «продвинутые чайники» начинают вещать о нецелесообразности установки антивирусных программ. Думаю, стоит сделать небольшое отступление и объяснить нелогичность подобных рассуждений.

Итак, есть пользователи, которые любят все максимальное. Они, например, устанавливают Максимальную редакцию Windows 7, отключают автоматическое обновление, при этом не используют антивирус и работают от имени Администратора.

Что в итоге?

А в итоге мы получаем компьютер, на котором по умолчанию запущена целая куча абсолютно бесполезных сетевых служб, то есть вспомогательных программ, предназначенных для работы с сетью (ведь максимальная версия ориентирована именно на работу в компьютерной сети).

Эти службы никогда не будут использованы на домашнем компьютере и будут просто автоматически запускаться каждый раз со стартом Windows, открывать порты для своей работы, чем уже потенциально увеличат уязвимость компьютера. При этом компьютер ничем не защищен, так как его хозяин уверен в бесполезности антивирусов. Более того, порой даже пароль на учетную запись не установлен!

И вот парадокс — эти же самые пользователи сейчас на каждом углу кричат, что Windows 10 шпионит! Эта нелогичность и непоследовательность в их действиях и суждениях обескураживает.

Особенно удивляет, когда эти «продвинутые пользователи» говорят о том, что под ограниченной учетной записью нельзя запустить какие-то программы.

Возможно кому-то откроется тайна, но компьютеры используются не только дома, но и практически во всех организациях и учреждениях. Ни в одной компьютерной сети, администрированием которой занимается профессионал, вы не найдете пользователей с администраторскими правами, но тем не менее все необходимые программы на корпоративных компьютерах запускаются и работают!

Ведь неспроста этот тип учетной записи так назван — Администратор. Это пользователь, который способен все настроить в системе для работы Стандартных пользователей, имеющих ограниченные права.

Существуют простые правила работы на компьютере, которые обеспечивают необходимый уровень безопасности и стабильной работы компьютера.

Ими не стоит пренебрегать особенно если вы начинающий и еще не чувствуете уверенность в своих действиях.

Обязательные правила

  1. Работа под ограниченной учетной записью (Стандартный пользователь).
  2. Установка пароля на все (без исключения) учетные записи компьютера.
  3. Установка антивирусной программы, обеспечивающей комплексную защиту.
  4. Это самый минимум, необходимый начинающему.

Например в Windows 10 стандартная защита есть в системе по умолчанию.

Необходимость установки пароля

Многие пользователи считают, что пароль открывает доступ к их компьютеру только с вашей стороны, то есть при получении физического доступа. Но это совсем не так.

Зная ваш пароль можно получить доступ к компьютеру из сети, а так как практически все компьютеры имеют выход в интернет, то, соответственно, через интернет.

При этом, если вы работаете от имени Администратора, то зная ваш логин и пароль можно получить полный контроль над вашим компьютером через сеть.

Поэтому в обязательном порядке следует использовать пароли особенно на администраторских учетных записях и стараться делать их сложными, то есть чтобы пароль был не менее восьми символов и состоял не только из цифр.

Все это опять же перекликается с вопросами защиты компьютера и не хотелось в эту тему углубляться, но позиция многих пользователей по этому вопросу приводит в дальнейшем к проблемам. При этом сами пользователи почему-то никак не связывают отсутствие пароля на учетной записи или антивируса на компьютере с тем, что компьютер, например, начинает тормозить или попросту перестает загружаться.

Компьютерный мир давно стал обезличенным. Позиция вроде — «кому я и мой компьютер нужны», весьма примитивна. Никто не ищет специально Васю Пупкина, проживающего в поселке Хацепетовка на улице Мира дом 1, чтобы атаковать его компьютер и покопаться в его файлах. Существуют программы-сканеры, которые просто сканируют сеть на наличие компьютеров, имеющих определенные уязвимости.

Например, один из популярных сканеров Nmap позволяет сканировать сеть и получать подробные отчеты о компьютерах сети.

Если ваш компьютер отвечает определенным критериям поиска, то злоумышленник легко получит над ним контроль.

Ну а далее с помощью вашего компьютера могут производиться атаки на другие компьютеры в сети, может кто-то от вашего имени выходить в интернет, может рассылаться спам и так далее и тому подобное.

При этом вовсе не обязательно, что вашему компьютеру будет нанесен какой-то вред. Часто он просто используется в качестве прикрытия и с него, например, рассылаются тысячи рекламных сообщений по электронной почте, что само по себе является противозаконным.

Вам за это, скорее всего, ничего не будет, но вопрос лишь в том — хотите ли вы контролировать свой компьютер, или же им может воспользоваться любой желающий для любых, в том числе и противозаконных, действий?

 Загрузка … (: 9 4,89 из 5)
Пожалуйста оцените статью, поставьте свою оценку!
Загрузка…

Администратор, root или обычный пользователь?

Разница между пользователем и администратором

Когда нас спрашивают, почему в корпоративном чате MyChat нет администраторов, мы пожимаем плечами. Далее следует недоумённый взгляд человека и фразы типа «А как же!», «Мне же нужно управлять сервером!», «А как мне всё настраивать?» и так далее.

В этой статье мы попытаемся рассказать, как обстоит дело с администраторами в программе для сетевого общения MyChat.

Есть ли жизнь без админов?

Можно долго говорить и спорить о достоинствах и недостатках суперпользователей (по типу root в Linux), но практика показывает, что от «локального бога» зачастую гораздо больше проблем, чем пользы.

Первым делом, после установки системы, администратор, конечно, всё настраивает и облагораживает согласно своему внутреннему видению под соусом корпоративной политики и желаний руководства. Когда работа пошла, большая часть возникающих вопросов улеглась – тут бы и забрать у себя привилегии суперпользователя. Ан нет, как бы не так! Какой же я админ без прав-то.

Без прав никак невозможно. Значка шерифа нету, погоны не выдают, да и постоянно, чтоб что-то сделать – надо права себе настраивать. Муторно это и незачем.

Совесть усыпили, бдительность расслабилась. А потом, со временем, система превращается в свалку. Кому-то дали права, потому что надо было, да забыли отобрать. А кому-то прав дали больше, чем нужно, всё равно ведь мы в одной компании работаем, не будет же человек гадости делать сознательно.

Оно-то понятно, что надо бы всё правильно настроить, да за правами следить, но в реальности мало какие системы предоставляют удобный и простой способ назначения прав пользователей и эффективного управления ними (современные ОС не в счёт, совершенно иного поля ягоды).

Как устроена система прав и ограничений в MyChat?

Итак, как же обстоит дело с правами в MyChat: программе для обмена сообщениями в сети компании?

Изначально, когда разрабатывалась система прав, хотелось сделать так, чтобы, с одной стороны, она была гибкой и быстрой, а с другой – обеспечивала широкие возможности. И простой, по возможности. От суперпользователей было принято решение отказаться сразу.

Пользователь, которому разрешено всё и нет никаких ограничений — это, конечно, круто. Но с такими правами можно по неопытности наделать больших глупостей, если дать такие права не только тому человеку, который занимается настройкой сервера, но и его помощникам, которые не обладают достаточной квалификацией, однако должны иметь возможность кое-что настраивать и менять в работающей системе.

Ещё один важный момент заключается в том, что вряд ли человек, впервые в жизни устанавливающий сервер для системы обмена мгновенными сообщениями, будет экспертом в данной области и конкретно в нашей программе. Ему надо максимально помочь и, образно говоря, «провести за руку», предложив уже готовые наборы прав на разные случаи.

Учтя все вышеперечисленные нюансы, мы вынесли «соломоново решение»: сделать систему прав и ограничений целиком и полностью настраиваемой, основанной на группах.

Группы и дерево прав в корпоративном чате

Все возможные права в мессенджере разделены на несколько логических блоков, которые, в свою очередь, раскрываются уже на конкретные пункты. Статусов у пунктов всего два: разрешено или запрещено.

Таким образом, можно создать любую комбинацию прав, которая подойдёт, в одном случае, для обычного пользователя, а в другом — например, для помощника администратора, которому надо дать только малую часть административных функций. Наборов прав может быть сколько угодно, они как раз и называются группами прав в MyChat.

Разделение на логические блоки позволяет быстро найти нужное правило, даже если вы точно не знаете, как оно называется. Легко догадаться просто по смыслу, не заглядывая в справочную систему. С другой стороны, древовидная структура позволяет практически неограниченно наращивать количество разных прав в будущем, ведь программа развивается и постоянно обрастает всё новыми и новыми функциями.

Вы можете переносить своих пользователей из одной группы прав в другую без малейших проблем, для этого даже не требуется перезагрузка. Все необходимые изменения применяются «на лету», автоматически.

Стандартный набор групп прав и для чего он нужен

С самого начала, как только вы установите сервер чата в своей локальной сети, в нём уже будет несколько созданных групп, для удобства, и вы сможете распределить по ним своих пользователей. Набор этих групп — не догма. Вы можете их все удалить и создать свои собственные, или подстроить существующие в соответствии со своим видением, как должно быть всё устроено у вас в сети.

Опишем назначение групп, которые уже встроены в сервер чата по умолчанию:

  1. Администраторы

    Название говорит само за себя. Эта группа имеет полные права на все сервисы корпоративного чата, нет никаких ограничений.

  2. Операторы

    Пользователи, обладающие стандартным набором прав + возможность для модерирования, такие как изгнание других пользователей из текстовых конференций и наложение разного рода наказаний. Такие пользователи необходимы на публичных серверах, где нужны люди, следящие за порядком. В корпоративных сетях обычно не используются.

  3. Продвинутые пользователи

    Пользователи, обладающие немного увеличенным набором прав: они могут отправлять оповещения любому количеству других пользователей, размещать сообщения на общей доске объявлений и прочее. Обычно такими правами наделяют начальников подразделений или отделов.

  4. Заблокированные

    В эту группу рекомендуется переносить пользователей, учётные записи которых подлежат удалению. Группе закрыты все сервисы чата, даже нет возможности подключения к серверу. Однако, если потребуется восстановить учётную запись пользователя — это будет легко сделать.

  5. Обычные пользователи

    У этой группы прав стандартный набор возможностей, по большей части «только для чтения». Например, пользователи могут читать сообщения на доске объявлений, но не могут их там размещать.

  6. Guests

    В эту группу автоматически попадают все новые зарегистрированные пользователи. Набор прав аналогичен группе «Обычные пользователи». Группа системная и её нельзя удалить, хотя набор прав для неё можно изменять.

    Невозможность удаления группы связана с тем, что у каждого пользователя на сервере MyChat обязательно должна быть назначена группа прав.

    Помимо этого, если какая-то группа прав будет удалена, все пользователи, которые в ней находились, автоматически будут перемещены в группу «Guests».

  7. WEB guests

    Ещё одна системная группа прав, в которую автоматически заносятся все пользователи, зарегистрированные в MyChat с WEB-интерфейса онлайн-службы поддержки. Кнопка вызова WEB-чата можете быть расположена на сайте компании для связи посетителей с вашими пользователями прямо в корпоративном чате.

Надеемся, что в этой небольшой статье мы смогли доступно пояснить, как устроена система прав в программе для корпоративного общения и совместной работы MyChat, и почему в ней нет суперпользователей.

Учетная запись администратора. Зачем нужна такая запись

Разница между пользователем и администратором

Всем известна истина: не очень умелому пользователю, далекому от мира вычислительной техники, не имеющему специальных знаний, не стоит удовлетворять любопытство путем проб и ошибок.  Нажатие неизвестных файлов может привести к нарушению работы всей системы.

А потому, уже на заре появления операционных систем возникла проблема ограничения прав доступа обычного пользователя к информации, влияющей на работу компьютера.

Сейчас мы говорим о различии профилей Администратора и Пользователя. Наша задача разобраться, что же такое учетная запись администратора, показать ее возможности и освоить несколько способов включения этого всемогущего профиля.

Конфиденциальность данных Windows

Пользователь должен быть уверен в соблюдении конфиденциальности, сохранении его личных данных

Проблема разграничения информации возникает, если на вашем компьютере хранится информация нескольких пользователей. В таких случаях остро стоит вопрос о сохранении личной информации.

Разные вкусы, разные привычки – делаем систему под себя

Учетная запись позволяет создавать пользовательский интерфейс с индивидуальными настройками.

Для решения перечисленных выше трех проблем создаются учетные записи и разными правами обращения к информации.

При установке Операционной системы учетная запись Администратора создается автоматически, но, в целях безопасности, она остается скрытой. А на экране после приветствия вы можете увидеть учетные гостевые или стандартные профили. И хотя бы одна из них должна быть с администраторскими правами. Если же вы оставляете только одну запись – она обязательно будет последнего типа.

Права учетных записей Windows

Было время, когда учетных записей существовало только два вида:

  • Пользователь (с ограничениями в правах)
  • Администратор (без ограничений).

А со всех сторон Интернета и справочников сыпались советы не работать под учетной записью Администратора (совет нужный!).

Однако, существует ряд прикладных программ, которые просто отказываются работать без прав администратора, то же самое может произойти при сохранении или копировании некоторых файлов

И пользователь, чтобы облегчить свое существование именно так и поступал – работал под Администратором, подвергая всю систему ПК риску заражения вредоносным программами, опасности нарушения целостности файловой системы.

Таким образом, перед человеком стоял вопрос, какой режим работы выбрать:

  • простой без лишних ограничений, но опасный – под записью Администратора
  • сложный в доступе информации и установке программ, но более безопасный – Пользовательский

И, к сожалению, этот выбор чаще склонялся в сторону простоты и удобства. При этом сам компьютер страдал от действий вредоносных программы или от внесения некомпетентными пользователями изменений в системе, которые нарушали работу компьютера.

Таким образом, двух видов записей стало не хватать.

И в современных версиях Windows 8, Windows 10 их существует значительно больше.

Виды учетных записей Windows

  • Гостевая – без прав свободного пользования Интернетом, установки программ, внесения изменений в настройки;
  • Стандартная с обычным доступом, с установленной службой контроля за посещением сайтов, ограничением на использование программ. Такой урезанный набор возможностей предоставляют для детей.
  • Стандартная с обычным доступом (для взрослого пользователя, чаще всего эта рабочая запись хозяина компьютера)
  • Стандартная с правами администратора (для специалиста, имеющего опыт настройки компьютера, установки программ)
  • Запись Администратора (скрытая)

Учетная запись Администратора Виндовс

  • Создавать, редактировать, удалять учетные записи, в том числе новые записи Администратора;
  • Вносить любые изменения, в том числе в системные настройки;
  • Изменять конфигурацию системы, файлы, устанавливать новое ПО;
  • Администратор имеет доступ информации к остальным учетным записям, может устанавливать и снимать пароли на вход.

Почему она скрыта

особенность скрытой записи Администратора – неограниченные права по внесению изменений. Работа под данной записью не контролируется UAC (Контролем учетных записей).

С работой этой службы вы сталкивались, когда при установке новой программы на экране появлялось следующее окно сообщений:

Эта служба замедляет установку изменений, однако необходима, в целях безопасности.

А работа под Администратором используется в очень редких случаях, если при стандартной записи настройка системы невозможна. И не забываем, сразу после выполнения необходимых процедур скрыть данную запись.

Открываем учетную запись Администратора Windows

Каким же образом можно открыть учетку Администратора?

Способов существует несколько. Свободно работаете в Командной строке – для вас самый удобный способ, работающий практически во всех версиях, в том числе Windows 7 и Windows 8, Windows 10.

Предпочитаете оконный графический интерфейс – можно выполнить настройки через консоль Управления Системой. Правда, они работают с некоторыми ограничениями.

Теперь разберем подробнее каждый из этих способов.

Включаем скрытую запись с помощью Командной строки

Открываем Командную строку  (один из вариантов показан на рисунке)

Набираем команду:

После нажатия кнопки Enter, на вашем экране появятся следующие записи:

Поясняю, система запросила установить пароль учетной записи Windows 8. (Мы разбираем установку профиля Администратора на этой версии) И лучше его сразу придумать и зафиксировать.

Готово, теперь вход в windows будет высвечиваться примерно так:

Не забываем, что администраторскую учетную запись лучше скрыть сразу, как только внесли необходимые системные изменения. Делаем это через Командную строку.

Прописываем код:

Настраиваем Администратора через инструмент  Управления системой

Знакомым уже способом, с помощью контекстного меню кнопки Пуск, открываем оснастку Управление компьютером:

В каталоге, в левой области окна находим:

Открываем Пользователи, в правой области находим Администратора.

На эту же консоль можно выйти, набрав Поиске lusrmgr.msc

Делаем двойной щелчок по строке Администратор

У кнопки-флага с названием «Отключить учетную запись» снимаем галочку.

Администратор открыт для использования.

По окончании работы не забываем открыть консоль и деактивировать профиль, вернув галочку в исходное состояние.

Кстати, в этом же диалоговом окне вы можете изменить имя записи Администратора, что полезно для общей безопасности. В нашем примере появился «Скрытый Администратор» и именно так он теперь высвечивается на стандартном экране входа:

Настраиваем локальную политику безопасности

Если вы опытный специалист  по настройке компьютера, вам такой способ уже не понадобится.

Потому как хороший профи все настроил бы и через командный интерфейс.

Но начинающему компьютерщику (заинтересовавшемуся столь серьёзными настройками, а значит уже подающему надежды) можно посоветовать и такой ход:

Набираем в Поиске: 

Таким способом мы установим новое свойство  безопасности системы.

И снова напоминаем, что эти настройки снижают защиту компьютера! Работать с ними стоит предельно осторожно и не забываем по окончании работы устанавливать стандартные параметры.

Открываем редактор (точное название записано в строке Заголовка нашего примера)

Теперь двигаемся по древовидному каталогу:

Открываем первый подкаталог – Конфигурацию компьютера

В подкаталоге находим Конфигурацию Windows

Далее открываем подкаталоги более низких уровней:

Выбираем Параметры безопасности и в открывшемся диалоговом окне меняем переключатель Отключен на Включен. (Естественно обратное действие вернет учетную запись Администратора в начальное «тайное» положение).

Как узнать имя своей учетной записи Windows

Существуют ситуации, когда вы работаете под именем пользователя, но не знаете, даны ли ему права локального администратора, точнее, ваша запись не названа в группе локальных администраторов. Или имя записи администратора (в целях безопасности!!) было изменено.

Выяснить имя своей записи и наличие прав администратора помогут следующие действия:

Открываем Командную строку

Записываем команду:

whoami

читаем точное название вашей учетной записи (XXX),

а теперь остаётся набрать следующую строку:

net user XXX

Просматриваем информацию находим строку Local Group Memberships  (членство в локальных группах) – если названа группа Администраторы (*Administrators) – значит, ваша запись теперь снабжена  соответствующими правами администратора.

Существует много способов обращения к профилю учетной записи Администратора, вы можете выбрать удобный для себя.

Главное, не забываем, что открытие профиля должно использоваться только для проведения системных, административных изменений и после работы с ним, для общего спокойствия (и вашего и компьютера тоже) его необходимо отключить и пусть скрытое остается скрытым.

Пароли учетных записей Windows

Создание разных типов учетных записей пользователей связано с необходимостью обезопасить работу компьютера, и с целью сохранения файловой системы.

Однако сколько бы записей вы не создавали – свободный доступ к ним увеличивает риск вторжения. И дополнительный способ защиты не помешает. Тем более, что он хорошо известен – это установка паролей. Вариантов windows опять предлагает несколько:

  • Классический набор символов
  • Pin-код
  • Графический пароль
  • Входить в ОС Windows можно и используя пароль учетной записи Windows

Учетная запись майкрософт windows 10, 8 остается дополнительным средством получения лицензионного программного обеспечения из магазина Windows, местом для хранения копий ваших файлов (облачное хранилище), и способом вхождения в ОС с использованием дополнительных паролей.

Чем отличается пользователь от администратора

Разница между пользователем и администратором

В интернете можно найти много статей, которые отвечают на вопрос КАК запустить программу от имени администратора, но в то же время, мало кто говорит о том, ЧТО ТАКОЕ запуск от имени администратора. В этой статье мы разберём, что означает функция «Запуск от имени администратора» , которая впервые появилась в Windows Vista.

Что такое «запуск от имени администратора»

Многие пользователи ошибочно считают, что функция «Запуск от имени администратора» якобы запускает исполняемый файл от имени встроенной учётной записи Администратор. Это полнейшее заблуждение.

Вы можете отключить или даже удалить учётную запись Администратор и убедиться в том, что «Запуск от имени администратора» работать не перестанет.

Виновата в этой путанице компания Майкрософт, которая намудрила с терминами в ОС Windows.

В Windows 2000, Windows XP и Windows 2003 любая учётная запись, входящая в группу «Администраторы» уже имела наивысшие привилегии в системе и повышать их было некуда.

Но, начиная с Windows Vista, был введён новый уровень доступа — доступ с «повышением» прав (в английской терминологии — «elevation»).

Теперь для выполнения некоторых операций в Windows НЕдостаточно того, что вы запустите программу, работая под административной учётной записью. Нужно вдобавок включать «повышение».

Итак, если вы работаете под учётной записью, которая входит в группу Администраторы, то при запросе повышения прав вы должны будете подтвердить повышение в окне UAC:

Если вы работаете под учётной записью ограниченного пользователя, вы должны будете ввести пароль от учётной записи, которая входит в группу Администраторы:

Чем отличается учётная запись «Администратор»

Локальная учётная запись, которая имеет имя «Администратор» , отличается от других только тем, что ей предоставляется повышение прав БЕЗ запроса UAC.

Зачем нужен запуск от имени администратора

Как известно, самое первое правило по борьбе с вредоносными программами — не работать под учётной записью с административными правами. Только, испокон веков, мало кто этим правилом пользуется. Все привыкли «сидеть под админом» и наслаждаться полными правами.

Однако потом, когда компьютер заражается вирусом, редко кто винит себя.

В том, что пользователь, сидя под админом с отключённым UAC, скачал под видом игры вредоносный исполняемый файл, сам запустил его с наивысшими правами и вывел систему из строя, виноват будет скорее «плохой антивирус».

Именно поэтому, в компании Майкрософт нашли компромиссное решение:

1) Понизили администраторов в правах. Теперь администратор по умолчанию использует маркер пользователя. Ведь для запуска веб-браузера или, скажем, Скайпа не нужно же обладать административными привилегиями.

2) А для случаев, когда наивысшие права действительно нужны, придумали режим повышения прав — так называемый запуск от имени администратора.

Теперь администратор является пользователем, пока не запросит повышения для выполнения какой-то отдельной задачи.

В качестве моста между режимами пользователя и администратора используется оснастка User Account Control (UAC). Суть её в следующем: когда для запуска приложения требуются наивысшие административные права, UAC выдаёт запрос на повышение права.

А пользователь должен принять решение, запускать ли данную программу с наивысшими правами или нет.

Подразумевается, что в случае запуска неизвестных и сомнительных файлов, пользователь должен отклонить запрос на повышение прав и тем самым воспрепятствовать запуску неизвестного файла.

Но большинство пользователей всячески стараются свести на нет и это преимущество, отключая UAC. А при отключённом Контроле Учётных Записей (UAC) повышение происходит без предупреждения. Фактически (за исключением некоторых случаев) отключив UAC, пользователь снова имеет доступ к наивысшим правам, чем подвергает риску свой компьютер и данные.

Резюме: запуск от имени администратора нужен для временного повышения прав с целью выполнения определённой чётко осознаваемой операции.

Кто же виноват: пользователь или антивирус

В этой статье уместно будет снова повторить одну вещь, о которой мы часто упоминаем в других статьях.

Включить контроль учётных записей можно зайдя в Панель управления => Учетные записи пользователей и семейная безопасность => Учетные записи пользователей => Изменение параметров контроля учётных записей:

Включённый UAC (рекомендуется):

Отключённый UAC (НЕ рекомендуется):

Более-менее продвинутый пользователь должен задуматься, если скачанная «картинка» или «музыка» запросит повышение прав, и отклонить запрос.

Сейчас в интернете очень высокий процент сайтов, распространяющих мошенническое и вредоносное ПО. И самое коварное, что не все вредоносные программы являются вирусами.

Простой пример. Дядя Вася создаёт пакетный файл, который содержит команду очистки диска D:. Это вредоносный файл? Нет. Это просто набор команд для выполнения каких-то задач.

Теперь представьте, что дядя Вася, переименовывает этот файл в «Рецепт Супа Харчо» и выкладывает на свой сайт. Что происходит дальше? Посетитель сайта скачивает рецепт, а получает форматирование диска. Вирусов нет. Антивирус молчит. Что произошло? Заражение? Нет. Произошёл ОБМАН.

Что же делать теперь антивирусу? Блокировать любое действие пользователя, а вдруг оно необдуманное?

Если бы у пользователя был включён UAC, есть хотя бы доля вероятности, что пользователь задумался бы. Да, бесспорно, нашлись бы и те, кто не читая нажал бы «Да», чтобы назойливое окно побыстрее исчезло. Но вы же не собираетесь быть в числе таких вечных пострадавших с «плохими антивирусами» ?

Источник:

В чём отличие запуска программы от администратора — объясняем

Приветствую!

В некоторых руководствах и обзорах рекомендуется запускать стороннюю программу (утилиту) или штатные системные инструменты (командная строка и т.д.) от имени администратора. У вас мог возникнуть вопрос, смысл которого сводился бы к тому, зачем это нужно?

В конце концов, ранее без данной процедуры как-то обходились, и всё было хорошо.

Дело в том, что технологии не стоят на месте, а постоянно развиваются. Если раньше те-же компьютеры были доступны очень малому проценту людей и лишь для выполнения весьма ограниченных задач, то со временем они получили массовое развитие.

Компьютерами стали владеть пользователи, которые обладали весьма базовыми знаниями в части работы с ним и уж тем более не были информированы о том, как эффективно оградить себя от самых разнообразных угроз, которых с каждым годом становилось всё больше.

Тогда-то разработчики операционные систем задумались над тем, как повысить безопасность пользователей и их данных.

Нововведения, призванные осуществить это, внедрялись по всем фронтам:

  • Поступательно упрощались «тонкие» системные настройки, на которые мог повлиять пользователь — включить, выключить, настроить.
  • В дистрибутив операционной системы был встроен штатный антивирус, из-за чего, кстати, сторонние разработчики весьма огорчились.
  • И самое главное, было введено жёсткое разграничение прав — даже будучи администраторам, в современных операционных системах всё равно требуется осуществлять запуск некоторых программ, утилит и штатных системных инструментов от имени администратора.

Современная концепция разработчика операционной системы такова: пользователь не должен иметь возможность серьёзно влиять на системные настройки, даже если формально владельцем (читай администратором) компьютера. Ровно тот же принцип действует и для программ.

В случае, если запускаемому приложению необходимо больше прав, то будет выводиться соответствующее предупреждение (так называемый UAC — контроль учётных записей пользователей).

Если же приложение не имеет возможности «запросить» таковое разрешение у системы, то оно априори запускается с ограниченными правами. Работая в этом режиме, приложение никак не может влиять на системные настройки, вносить в них какие либо изменения, добавить необходимые для работы модули и файлы в системную директорию операционной системы и т.п.

Системные инструменты также запускаются с ограниченными правами, и если вам необходимо внести какие то изменения, к примеру, отредактировать некоторые ключевые системные настройки в реестре, то запуск также должен быть произведён от имени администратора.

Надеюсь, что теперь не останется вопросов, почему в актуальных операционных системах администратор по фату тактовым не является и соответственно требуется прибегать к команде «запуска от имени администратора» тех или иных программ и системных утилит.

Источник:

Опасный опыт опытных пользователей

  • 08/19/2016
  • Время чтения: 3 мин

Граница между опытным пользователем и полноценным администратором очень тонка.

Раймонд Чен

Опытный пользователь — это по сути администратор, который этого не осознает. Разница только в нескольких простых шагах.

Группа безопасности «Опытные пользователи» (Power Users) входила в состав первой версии Windows NT. Идея создания этой группы заключалась в том, чтобы предоставить пользователям столько прав, чтобы они могли работать в Windows NT так же, как они работали в Windows 3.1. Команде разработчиков Windows NT это удалось, но при этом пришлось «отдать ключи» от системы.

Во времена 16-разрядной Windows не было такого понятия, как группа безопасности. Практически каждый пользователь обладал административными привилегиями. Пользователи привычно выполняли задачи административного уровня, такие как изменение сопоставления файлов, создание общих папок и установка программ. Если разрешить это, то пользователи по сути могут делать все, что угодно.

Если злонамеренный опытный пользователь может выполнить код с административными или системными привилегиями, в сущности он может стать администратором. Вот несколько способов, как опытный пользователь может, применив имеющиеся у него права, выполнять административные задачи.

  • Изменение регистрации COM-объектов Так как опытные пользователи имеют право записи в ветку HKEY_CLASSES_ROOT реестра, особо хитрый опытный пользователь может изменить CLSID, который используется процессом, который обычно работает с привилегиями администратора или системы, и перенаправить его на подложную DLL-библиотеку. Тогда при создании соответствующего объекта подложная DLL будет запущена в контексте учетной записи администратора или системы.
  • Изменение сопоставления файлов Опытный пользователь может также изменить действие по умолчанию, назначенное определенным текстовым файлам для запуска подложной программы. Когда администратор дважды щелкнет, казалось бы, безобидный текстовый файл, будет запущена подложная программа с административными привилегиями.
  • Изменение меню «Пуск» Так как опытные пользователи могут выполнять запись в каталог %ALLUSERSPROFILE%Start Menu, злонамеренный опытный пользователь может изменить в профиле All Users ярлык, такой как Wordpad или Event Viewer. В этом случае по щелчку этого ярлыка будет запускаться подложная программа, и если ее запустит администратор, то у программы будут все административные привилегии.
  • Конфигурирование принтеров Опытные пользователи имеют право устанавливать принтеры. Злонамеренный опытный пользователь может воспользоваться этим для установки подложного драйвера принтера. При следующей попытке печати подложный драйвер выполнит свою черную работу.
  • Установка оборудования Злонамеренный опытный пользователь может изменить INF-файл драйвера, чтобы он указывал на подложный драйвер устройства. После этого при подключении устройства к машине драйвер получит полный контроль над системой, потому что драйверы устройств работают в режиме ядра.
  • Установка программ Так как опытные пользователи могут менять файлы в папке Program Files, они могут изменять бинарные файлы любых программ и таким образом выполнять любой нужный им код. Нужно только подождать, когда администратор запустит подложную программу.
  • Обслуживание системы Как заметил Марк Руссинович (Mark Russinovich), опытные пользователи имеют право менять файлы в папке System32. Это означает, что они могут поменять ntoskrnl.exe так, чтобы он выполнил любые нужные им операции.
Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.