@echo off
psexec -l -d "%ProgramFiles%\Mozilla Firefox\firefox.exe"
Права доступа в WIN XP
Решил я исправить ситуацию с моим обезьяньим использованием админского аккаунта в WIN XP на все случаи жизни. Ну, в самом деле, наверняка сегодня уже и относительно смышленые школьники каких-нить младших классов грамотно налаживают политики безопасности и прочее у себя под вынь. Я уж не говорю про всяческих *nix'оидов. В общем, пора. ^_^
Для чего сие дело мне нужно? Я вижу только одно актуальное для меня применение — обеспечение минимальных потерь после буйств какого-нибудь червя и прочих продуктов всяких негодяев. В неподходящий момент подобная неприятность только раз пока случилась, но мне УЖЕ не хочется повторений.
Чего я ожидаю от разграничения прав хотя бы на объекты ФС — это автоматическая поддержание в целостности всех необходимых приложений и самой ОС, если мой ограниченный в правах юзер погибнет смертью храбрых.
Чего я хочу от вас. =) Хотелось бы "услышать" основные принципы разграничения прав на файлы/папки (с привязкой к структуре папок), какими вы руководствовались, и прочие полезные комментарии.
p.s.: Поиск смотрел.
Для чего сие дело мне нужно? Я вижу только одно актуальное для меня применение — обеспечение минимальных потерь после буйств какого-нибудь червя и прочих продуктов всяких негодяев. В неподходящий момент подобная неприятность только раз пока случилась, но мне УЖЕ не хочется повторений.
Чего я ожидаю от разграничения прав хотя бы на объекты ФС — это автоматическая поддержание в целостности всех необходимых приложений и самой ОС, если мой ограниченный в правах юзер погибнет смертью храбрых.
Чего я хочу от вас. =) Хотелось бы "услышать" основные принципы разграничения прав на файлы/папки (с привязкой к структуре папок), какими вы руководствовались, и прочие полезные комментарии.
p.s.: Поиск смотрел.
Пытался "жить" под юзером в XP, но всякий раз испытывал дискомфорт. Так эту идею-фикс и закинул. Могу посоветовать почитать подшивку статей на:
http://blogs.msdn.com/aaron_margosis/
Все на английском, но разобраться реально. Для себя единственно что делаю, это запускаю браузер с пониженными привилегиями с помощью батника:
Так же можно с папки своего профиля удалить из владельцев системную учетную запись (NT AUTHORITY\SYSTEM). Это даст некоторую защиту от других пользователей, если они попытаются через планировщик получить доступ к вашим данным.
http://blogs.msdn.com/aaron_margosis/
Все на английском, но разобраться реально. Для себя единственно что делаю, это запускаю браузер с пониженными привилегиями с помощью батника:
Код:
Так же можно с папки своего профиля удалить из владельцев системную учетную запись (NT AUTHORITY\SYSTEM). Это даст некоторую защиту от других пользователей, если они попытаются через планировщик получить доступ к вашим данным.
начни чтение отсюда :)
http://forum.sysfaq.ru/index.php?showtopic=16346
http://forum.sysfaq.ru/index.php?showtopic=16346
Цитата: 01MDM
Пытался "жить" под юзером в XP, но всякий раз испытывал дискомфорт.
это от недостатка знаний. постоянная работа под администратором в Windows ничем не оправдана.
Мне моих знаний хватает.
А оправдана или нет работа под учеткой из группы локальных администраторов, время показывает, что это оправданно. Систему переустанавливал только один раз, сразу после покупки бука 3 года назад, т.к заводская установка не отвечала моим требованиям. Все работает так же шустро, как и в первый день после установки.
Работа под пользователем заметно напрягает, но это не значит что под ним нельзя работать. Мне же достаточно моего рабочего компьютера, где нельзя даже сделать выдох, не говоря о вдохе. Таковы корпоративные правила и админы строго следуют инструкциям.
А оправдана или нет работа под учеткой из группы локальных администраторов, время показывает, что это оправданно. Систему переустанавливал только один раз, сразу после покупки бука 3 года назад, т.к заводская установка не отвечала моим требованиям. Все работает так же шустро, как и в первый день после установки.
Работа под пользователем заметно напрягает, но это не значит что под ним нельзя работать. Мне же достаточно моего рабочего компьютера, где нельзя даже сделать выдох, не говоря о вдохе. Таковы корпоративные правила и админы строго следуют инструкциям.
Цитата: 01MDM
Мне моих знаний хватает.
знаний много не бывает :)
Цитата: 01MDM
А оправдана или нет работа под учеткой из группы локальных администраторов, время показывает, что это оправданно. Систему переустанавливал только один раз, сразу после покупки бука 3 года назад, т.к заводская установка не отвечала моим требованиям. Все работает так же шустро, как и в первый день после установки.
это не показатель. я допускаю, что твоя квалификация позволяет тебе обходить стороной (до поры-до времени) опасности, которые несет в себе работа с админскими привилегиями. но не факт, что так будет всегда. ну и, на минутку, 99% ботнетов - состоят из Windows десктопов, владельцы которых работают с правами админа (плюс пренебрегают AutoUpdate, но это другая тема). лучше перестраховаться, правда?
Цитата: 01MDM
Работа под пользователем заметно напрягает, но это не значит что под ним нельзя работать. Мне же достаточно моего рабочего компьютера, где нельзя даже сделать выдох, не говоря о вдохе. Таковы корпоративные правила и админы строго следуют инструкциям.
в чем напрягает-то? ну объясни, почему я в FreeBSD, Linux, Solaris, Mac OS X - работаю без прав админа и дискомфорта не испытываю, а в Windows - что-то напрягает? неужели это настолько плохая система?
Спасибо за ссылки, читаю. И пока все выглядит так, как я и полагал. Замечание про планировщик учел, проработаю этот вопрос. =)
На текущий момент проблема вылезла только с imgburn, точнее с SPTI недоступным под Users. Попробовал взятый с офф. форума imgburn совет про изменение групповой политики (оно же HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\allocatecdroms = 1) — не помогло. В принципе, если должно было в общем случае помочь, то понятно, почему это не мой случай. Я к админу обращаюсь через "fast user switching", а оно организует работу юзеров с системой через "terminal server". А allocatecdroms имеет побочным эффектом ограничение доступа к cd-rom для клиентов "terminal server". =) Санта-Барбара в общем.
Различий между SPTI и остальными интерфейсами (в настройках imgburn предлагается пять на выбор, 4 других устанавливаются с другим софтом, который мне не очень нужен / очень не нужен) я не знаю, поэтому буду просто пробовать (запросы мои не велики — раз—два в месяц записать что-нибудь cd/dvd).
Я, конечно, сначала попытался найти способ дать права доступа Users к приводам, но гугл/technet и др. в один голос говорят (всякие гуру на ms форумах и люди на других форумах), что нельзя. cacls работает только с ФС, setACL тоже по части приводов ничего не предлагает. Я допускаю, что права доступа к устройствам нереально контролировать в принципе, или это накладно, сложно, ненадежно (или MS просто это не реализовало), но вот объективной статьи на MSDN, которая это подтвердила бы, не нашел. А нулевой опыт программирования под win (= незнание ее архитектуры) не позволяет быстро вывести тот или иной ответ на данный вопрос. =)
Да, зачем я "fast user switching" использую. Настройка прав еще в процессе и будет продолжаться еще какое-то время. Одновременно с этим ПК мне нужен для повседневных нужд, и если я буду эти нужды удовлетворять под админом, могу запросто запороть весь труд (упомянутый ранее случай с неприятным заражением состоялся на офф-сайте поставщика услуг спутникового телевидения). Это первая причина. Вторая состоит в том, что мне интуитивно такой способ переключения в админа видится более безопасным (в этом случае, как я понимаю, происходит переключение между двумя учетными записями через авторизацию из третьей, встроенной в систему), чем "run as". Хотя эта мысля мне самому вскоре после вызревания показалась параноидальной, т. к. основывается на том, что вредоносный софт может отловить ввод login/pass админа в "run as". Сомневаюсь, что этим черви и прочие занимаются, но и в обратном совсем не уверен. А если это обычная практика, то опять же получается широченная дыра в защите, которую ваяю. =) Хотелось бы здесь комментарии на этот счет услышать. Параллельно, конечно, буду гуглить/думать (хотя для второго нужен фундамент).
На текущий момент проблема вылезла только с imgburn, точнее с SPTI недоступным под Users. Попробовал взятый с офф. форума imgburn совет про изменение групповой политики (оно же HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\allocatecdroms = 1) — не помогло. В принципе, если должно было в общем случае помочь, то понятно, почему это не мой случай. Я к админу обращаюсь через "fast user switching", а оно организует работу юзеров с системой через "terminal server". А allocatecdroms имеет побочным эффектом ограничение доступа к cd-rom для клиентов "terminal server". =) Санта-Барбара в общем.
Различий между SPTI и остальными интерфейсами (в настройках imgburn предлагается пять на выбор, 4 других устанавливаются с другим софтом, который мне не очень нужен / очень не нужен) я не знаю, поэтому буду просто пробовать (запросы мои не велики — раз—два в месяц записать что-нибудь cd/dvd).
Я, конечно, сначала попытался найти способ дать права доступа Users к приводам, но гугл/technet и др. в один голос говорят (всякие гуру на ms форумах и люди на других форумах), что нельзя. cacls работает только с ФС, setACL тоже по части приводов ничего не предлагает. Я допускаю, что права доступа к устройствам нереально контролировать в принципе, или это накладно, сложно, ненадежно (или MS просто это не реализовало), но вот объективной статьи на MSDN, которая это подтвердила бы, не нашел. А нулевой опыт программирования под win (= незнание ее архитектуры) не позволяет быстро вывести тот или иной ответ на данный вопрос. =)
Да, зачем я "fast user switching" использую. Настройка прав еще в процессе и будет продолжаться еще какое-то время. Одновременно с этим ПК мне нужен для повседневных нужд, и если я буду эти нужды удовлетворять под админом, могу запросто запороть весь труд (упомянутый ранее случай с неприятным заражением состоялся на офф-сайте поставщика услуг спутникового телевидения). Это первая причина. Вторая состоит в том, что мне интуитивно такой способ переключения в админа видится более безопасным (в этом случае, как я понимаю, происходит переключение между двумя учетными записями через авторизацию из третьей, встроенной в систему), чем "run as". Хотя эта мысля мне самому вскоре после вызревания показалась параноидальной, т. к. основывается на том, что вредоносный софт может отловить ввод login/pass админа в "run as". Сомневаюсь, что этим черви и прочие занимаются, но и в обратном совсем не уверен. А если это обычная практика, то опять же получается широченная дыра в защите, которую ваяю. =) Хотелось бы здесь комментарии на этот счет услышать. Параллельно, конечно, буду гуглить/думать (хотя для второго нужен фундамент).
Цитата:
знаний много не бывает
Это в контексте темы
Цитата:
это не показатель.
Возможно
Цитата:
ну объясни, почему я в FreeBSD, Linux, Solaris, Mac OS X - работаю без прав админа и дискомфорта не испытываю, а в Windows - что-то напрягает? неужели это настолько плохая система?
А это уже провакационный вопрос. Скажу честно никогда не видел FreeBSD, Solaris или макось, с линуксом уже давно знаком. Вопрос не в том плохая или нет система. По моему устоявшемуся мнению она хорошая система. Но лень мне запускать админскую консоль, ради того чтобы, допустим, исполнить батник на запись/перзапись/очистку CD или создать пустой файл заданного размера, или просто запустить какую-либо программу(сейчас без конкретики - не готов). И этих моментов очень много. Это не значит, что система плохая, просто она предназначена для конечного пользователя. В поздних версиях уже сделан шаг в сторону разграничения прав, но нативно все-таки юникс-подобные системы в этом гораздо лучше.
На домашней XP не вижу смысла сидеть с ограниченной учетной записью. Главное контроль системы и все будет ОК.
С SPTI проблема решилась. Изменение политик действительно позволяет Users (или более широкой группе) писать на приводы, даже в случае "fast user switching". А сперва писать из под Users не получалось по следующей причине. Это самое изменение политики заставляет ОС передавать расширенные права на работу с приводами локальному юзеру. Без "fast user switching" такой юзер один, а вот с ним — таких много, и права эти достаются первому залогинившемуся. Причем права эксклюзивные, если первым залогинился юзер, то админ остается не удел. =) Ну а я поначалу логинился первым админом, отсюда и ноги растут.
Что касается "Главное контроль системы", то это зависит от ширины кармана и интересов пересекающихся с интернет. Первое определяет степень необходимости выкачивать софт с неофициальных источников и юзать кряки, от которых можно ожидать всего. А интересы, ну, скажем редкий контент, который приходится брать из p2p (или еще откуда, где можно встретить заразу). Сюда же относится обмен контентом с друзьями, приятелями и т. п. Если круг общения ограничен крутыми специалистами — хорошо, а у меня вот напротив и ждать от переданного ими в принципе можно всего. :) Антивирус и т. п., как правильно сказано в гайде по ссылке от squirL, не панацея (% срабатывания). С этим я уже сталкивался.
Что касается "Главное контроль системы", то это зависит от ширины кармана и интересов пересекающихся с интернет. Первое определяет степень необходимости выкачивать софт с неофициальных источников и юзать кряки, от которых можно ожидать всего. А интересы, ну, скажем редкий контент, который приходится брать из p2p (или еще откуда, где можно встретить заразу). Сюда же относится обмен контентом с друзьями, приятелями и т. п. Если круг общения ограничен крутыми специалистами — хорошо, а у меня вот напротив и ждать от переданного ими в принципе можно всего. :) Антивирус и т. п., как правильно сказано в гайде по ссылке от squirL, не панацея (% срабатывания). С этим я уже сталкивался.
Цитата:
Что касается "Главное контроль системы", то это зависит от ширины кармана и интересов пересекающихся с интернет.
Конечно от используемого софта или интернет-пристрастий многое зависит, но поскольку я единственный пользователь конкретного ноутбука (хозяин - не завишу от вкусов других пользователей) и мой кошелек не позволяет покупать дорогущие софтверные продукты, я легко обхожусь их свободными аналогами. Сама виндоус ОЕМ-лицензионная, програмное обеспечение, как могу, стараюсь использовать свободное. Офис 2003, да, подарили на ДР года 4 назад, но я им вообще не пользуюсь - он мне практически не нужен.
А под "контролем системы" подразумевается именно контроль работоспособности и ''ремонт", если есть причина для него.