Jump to content

Kā pareizi jāstrādā ar Windows 2000 un Windows XP


Recommended Posts

Raksts: Droša seksa skola. (Jebšu kā no mazas tējkannas* kļūt pa lielu patvāri**)

Apraksts: Instrukcijas kā pareizi jālieto MS w2k/XP OS lai izvairītos no dažādām nepatikšanām (apsifeljošanās ar vīrusiem, Trojas zirgiem, dažādām spiegošanas programmām).

Autors

 

 

Kas ir Permissions?

Permissions ir lietotāju pieejas tiesības failiem / mapēm un Registry atslēgām . Ar Permissions palīdzību var norādīt ko kurš lietotājs vai lietotāju grupa drīkst vai nedrīkst darīt ar doto failu/mapi/registry atslēgu. Permissions uz failiem / mapēm darbojas tikai uz diskiem kuri formatēti NTFS, uz Registry atslēgām, tās darbojas visos gadījumos arī uz FAT32.

Datorā ar Windows NT un augstāk var būt vairāki lietotāji un tie ir sadalīti grupās ar dažādām Permissions uz failiem/mapēm/Registry. Noklusēti Windows visu jaunos lietotājus grib ielikt grupā Administrators ar pilnām pieejas tiesībām uz visu, bet tas nemaz nav labi. Iekš Windows jau ir izveidotas vairākas lietotāju grupas, bet jēga apskatīt ir tikai divas grupas - Administators un Users.

 

Kur var redzēt Permissions failiem / mapēm/ Registry?

Iekš Windows 2000, Permissions var redzēt uzklikšķinot labo pogu uz faila/mapes un sadaļā Security arī ir tie Permissions. Lai Permissions varētu redzētu uz Windows XP Pro, vispirms iekš Windows Explorer – Tools – Folder Options – View vajag atķeksēt Use simple file sharing (Recommended). Iekš Windows XP Home, normālā režīmā lietotājam nav iespējas piekļūt pie Permissions caur GUI. Pastāv vairākas iespējas, kā tomēr var piekļūt pie tām:

1) iekš SAFE MODE, lietotājs var tikt pie Permissions

2) izmantot komandrindas programmu %SystemRoot%System32cacls.exe

3) izmanto kādu arēju programmu, piemēram ACLView

4) ar Total Commander iebūvēto komandu cm_EditPermissionInfo.

5) izmainīt Permissions var arī ar kopēšanas palīdzību. Ar Total Commander var kopēt / pārvietot failus / mapes saglabājot to Permissions. To var izdarīt arī ar Windows komandrindas programmu Xcopy.

Registry atslēgu Permissions var redzēt iekš “Regedit” un attiecīgās atslēgas Properties.

 

Lietotāju grupa Administrators

Administrator, Admin.

Noklusēti Windows piedāvā veidot jaunu lietotāju no grupas ‘Administrators’ un lielākā daļa tā arī dara :(.

Lietotājiem no grupas Administrators ir ar pilnām tiesībām uz visiem failiem / mapēm/ registry atslēgām izņemot mapes “System Volume Information”, failu %SystemRoot%system32configsam un Registry atslēgas HKEY_LOCAL_MACHINESAM (pēdojos divus bloķē sistēma un tas nav saistītas ar Permissions).

 

Lietotāju grupa USERS

Limited User, Restricted User, Least-privileged User Account, User.

“Limited User” ir pilnas tiesības tikai uz savu mapi %USERPROFILE% un savu daļu no Registry - HKEY_CURRENT_USER. Noklusēti, lietotājam ir lasīšanas tiesības failiem visās mapēs izņemot citu lietotāju: %USERPROFILE%,

“System Volume Information”

citu lietotāju Miskastes daļas.

Noklusēti, lietotājs var izpildīt programmas no visām mapēm :( kur tam ir lasīšanas tiesības, arī %SystemRoot% un %ProgramFiles%, bet viņš tajās nevar neko labot, dzesēt, pievienot jaunus failus vai mapes. Lietotājs nevar labot, dzēst un pievienot jaunus failus sistēmas diska saknes katalogā, bet var veidot jaunas mapes. Lietotājam ir lasīšanas tiesības lielākajai daļai Registry atslēgu, bet nav iespējas veikt izmaiņas izņemot savā HKEY_CURRENT_USER . Lietotājs nevar izmanīt sistēmas parametrus kuri varētu ietekmēt citus šī datora lietotājus. Nav iespējams manīt lielāko daļu parametru kurus maina caur “Control Panel”. Arī datora pulksteni nevar regulēt, jo tas ir kopīgs visiem lietotājiem.

 

Kāpēc strādāt ar Administratora tiesībām nav droši?

Lietotājs ar Administratora tiesībām ir galvenais lietotājs un viņš var savā datorā darīt visu ko grib, arī sabojāt un iznicināt datus ir neatņemamas Administratora tiesības un nav nekāds vajadzības tās ierobežot. Darbinot kādu programmu ar Administratora tiesībām arī šī programma iegūst (manto) Administratora tiesības ar no tā izrietošajām sekām – tā var darīt datorā visu kas tai ienāk prātā (īstenībā to kas tajā ieprogrammēts). Tāda programma iegūst pilnas pieejas tiesības uz visiem failiem/mapēm un Registry atslēgām, un ja tā kaut ko sabojā, tad tas ir pilnīgi normāli un nav uzskatāms par Windows defekts. Ja programma kura tiek darbināta ar Administratora tiesībām izrādās ļaunprātīga (vīsuss, trojan, keyloger, spyware), tad tā var veikt savas destruktīvās darbības un nekas tai netraucē to darīt.

Kaitīgā programma var:

* vienkārši sagraut sistēmu, tā ka, tā vairs neielādējas

* atslēgt, nokaut Antivīrusu un Firewall

* izmainīt FireWall iestatījumus un atvērt portus datora attālinātai vadībai

* pievienot un palaist jaunus Services

* atslēgt “Windows File Protection”

* nomainīt vai inficēt sistēmas vai programmas failu

* piekļūt citu lietotāju datiem

* instalēt kaitīgus ActiveX

* instalēt kaitīgās programmas kā draiverus, kurus neredzēs antivīruss

* darbināt kaitīgās programmas iekš procesora ring0, liedzot iespēju citām programmā atklāt to esamību

Ja kādai programma ir atrasts drošības caurums kurš dod iespēju izpildīt ļaunprātīgu kodu, tad šis kods manto Administratora tiesības un tas tāpat varēs darīt visu to pašu ko Administrators.

 

Ko es iegūšu nestrādājot ar Administratora tiesībām?

Strādājot no Least-privileged User Account, lietotājs nevar gandrīz neko sabojāt savā datorā. Arī programmas kuras darbina LUA, neko nevar sabojāt, jo manto tikai šī lietotāja tiesības. Ja programma kuru darbina šis lietotājs izrādās kaitīga, tad tā var iegūt tikai šī lietotāja tiesības ar no tā izrietošajām sekām.

Kaitīgā programma nevar:

* sabojāt sistēmu tā, ka to vairs nevar ielādēt

* sabojāt, dzēst, labot sistēmas un programmu failus

* sabojāt Registry atslēgas

* pievienot jaunas programmas mapēs %SystemRoot% un %Program Files%

* nokaut priviliģētākus (antivīruss, firewall) vai cita lietotāja procesus

* instalēt Sevices, programmas, draiverus

* darbināt programmas iekš ring0

* sabojāt citu lietotāju datus, kuri atrodas to %USERPROFILE%

Arī tad, ja kādai programmai tiek atklāts drošības caurums kurš teorētiski dod iespēju izpildīt kaitīgu kodu (buffer overflow), tad tik un tā kaitīgais kods iegūst tikai tā lietotāja tiesības kurš šo programmu palaidis. Tas nozīmē, ka strādājot ar “Limited User” tiesībām un darbinot programmas tikai ar tām, vīrusi kurus tomēr ir palaidis šis lietotājs, nevar veikt lielāko daļu to kaitīgo darbību ar kurām tos apvelta vīrusu autori. Inficēt failus iekš %SystemRoot % un %ProgramFiles% kaitīgā programma nevar, arī labot Registry ierakstus iekš HKEY_LOCAL_MACHINE nevar. Ceļš uz vīrusu iecienīto vietu - HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun tiem ir slēgts.

 

Es gribu strādāt kā “Limited User”. Ko man darīt?

Pāreju uz strādāšanu kā “Limited User” labāk veikt svaigi instalētā sistēmā. Var to arī darīt jau esošajā, bet nav nekāds garantijas, ka tā ir pilnīgi tīra no kaitīgām programmām. Instalēt Windows vajag uz NTFS sistēmā formatēta diska. Iekš Windows gan ir programma, kura dod iespēju pārkonvertēt FAT32 uz NTFS nezaudējot datus, bet to labāk neizmantot – pēc pārkonvertēšanas visiem lietotājiem uz visiem failiem būs Full Control. Pēc tam salikt pareizās Permissions būs ļoti grūti.

Tātad esam uzinstalējuši svaigu Windows, salikuši visus draiverus, ielāpus, programmas un tagad varam taisīt jaunu lietotāju, tikai šoreiz “Computer Administrator” vietā izvēlamies “Limited”. Ja datoru izmantos vairāki cilvēki, būtu ļoti vēlams izveidot katram lietotājam savu accaunt un uzlikt paroli, tas palidzēs izsargāties no nevajadzīgiem strīdiem, ka kāds kaut ko ir sabojājis. Nevajadzētu mēģināt esošo Administratora account pārtaisīt par “Limited User” account. Atkal var rasties drošības problēmas ar Permissions. Var izrādīties, ka “pārtaisītais” lietotājs ir īpašnieks (owner) kādām svarīgām mapēm ar Full Control tiesībām uz tām (kā Owner), lai arī pašai lietotāju grupai USERS tādu tiesību nav.

Pēc tam, kad esam uztaisījuši jauno “Limited User” lietotāju ielogojamies ar to un padarbinām uzinstalētās programmas. Programmas kuras ir savietojams Windows 2000/XP pie pirmās palaišanas uzinstalēs konkrētam lietotājam nepieciešamos failus un iestatījumus (tam nav vajadzīgas Administratora tiesības). MS Office 2000 un jaunāka, Tildes Birojs 2002 un jaunāks, OpenOffice, FineReader 6 un jaunāks, pilnībā atbilst "Designed for Windows XP" nosacījumiem un normāli darbojas ar “Limited User” tiesībām. Nero 5 un jaunāka, pēc programmas “Nero Burn Rights” uzinstalēšanas arī darbojas no “Limited User”. Programmas kuras ir iebūvētas pašā Windows arī darbojas ar “Limited User” tiesībām, ja vien to darbināšana nav saistīta ar datu lasīšanu no aizliegtajām vietām vai sistēmas parametru maiņu, kuri var ietekmēt citus lietotājus.

 

Es mēģināju sākt “jaunu dzīvi” kā Limited User, bet man nestrādā gandrīz neviena programma! Ko man darīt?

Tas par to, ka “nestrādā gandrīz neviena programma”, gan ir nedaudz pārspīlēts, ļoti daudzas programmas labi strādā ar Limited User tiesībām. Jā, tiešām ir vēl daudz tādu programmu kuras negrib strādāt no “Limited User”, un visa nelaime ir iekš tā, ka programmētāji vēl ar vien turpina rakstīt programmas, kuras nav savietojams ar Windows 2000/XP/2003 (laikam savietojamība ar Windows 9x ir svarīgāka) :(. Vai arī paši strādā kā Administrator un nemaz neiedomājās pārbaudīt kā viņu programma darbosies no “Limited User”. Lai programmu varētu uzskatīt par savietojamu ar Windows XP, tai ir jāatbilst specifikācijai "Designed for Windows XP". Programmu izstrādātāji var izmanto rīku Windows Application Compatibility Toolkit lai pārbaudītu savu programmu saderību ar “Windows 2000 Service Pack 3 or later, Windows XP and Windows Server 2003”.

Galvenie iemesli kāpēc programmas nedarbojas ar “Limited User” tiesībām:

* programma ir uzinstalēta mapē iekš %ProgramFiles% un tur tā glabā savus konfigurāciju (ini, cfg); log; vai pagaidu (tmp) failus kuros visu laiku grib rakstīt

* programma glabā savus iestatījumus konfigurāciju (ini, cfg) failā iekš %SystemRoot%

* programma glabā savus iestatījumus Registry iekš HKEY_LOCAL_MACHINE

 

Visās šajās vietās, lietotājam ar “Limited User” tiesībām nav tiesību rakstīt, un tātad mainīt programmu iestatījumus. Šādā gadījumā programma vai nu vispār nedarbojas, vai darbojas ne tā kā tam vajadzētu būt. Klasisks “nesavietojamās” programmas piemērs: WinAmp :(. Lielākā daļa vīrusu arī ir “nesavietojami” ar Windows XP :).

 

Tātad, esam uzinstalējuši programmu izmantojot Administratora tiesības, bet mēģinot to darbināt kā “Limited User”, tā nedarbojas. Ja tā programma nav ļoti vajadzīga, vai tai ir alternatīvas, tad labāk izvēlēties alternatīvo “savietojamu” programmu un “nesavietojamo” programmu vienkārši atinstalējam un nelietojam vairs. Programētāji ir jāaudzina, jo vairāk cilvēki atteiksies izmantot “nesavietojamās” programmas, jo mazāk to būs.

Ja nu tomēr, programmai izrādās ļoti vajadzīga un tai nav alternatīvas, vai arī tā ir par lielu naudu nopirkta, tad vajadzēs meklēt veidus kā to programmu darbināt atkal nepārejot uz pilnīgi VISU programmu darbināšanu no Administratora (vainīga jau ir tā viena programma nevis visas).

Ir zināmi šādi veidi, kā darbināt “nesavietojamās” programmas atrodoties iekš “Limited User”:

* darbināt “nesavietojamo” programmu caur Run As... ar Administratora tiesībām. Run As... darbojas tikai ar tiem Administratora accaunts kuriem ir parole. Uz Windows 2000; Windows XP Pro “nesavietojamo” programmu var palaist automātiski ar Administratora tiesībām bez atkārtotas paroles ievadīšanas izveidojot ShortCut ar šādu ierakstu:

runas.exe /noprofile /env /savecred /user:Administrator "programma"

To pašu var izdarīt ar pievienojot jaunu asociāciju exe failiem

Windows Registry Editor Version 5.00



[HKEY_CLASSES_ROOTexefileshellRun as AdminCommand]

@="runas.exe /noprofile /env /savecred /user: Administrator "%1""

Tagad jebkuru programmu var darbināt ar Administratora tiesībām caur context menu – Run as Admin.

* Atrodam un izlabojam visus iemeslus, kāpēc programma negrib darboties no “Limited User”. Labākie palīgi šim darbam ir programmas RegMon; FileMon un kāds failu menedžeris kuru var darbināt caur Run As piemēram Total Commander. Kā labot nesavietojamu programmu.

* Pāčojam pašu programmu, lai tā sāktu pareizi strādā, bet tas var būt pretrunā ar licenzēšanas nosacījumiem un nebūt vienkārši izdarāms.

 

 

Skaidrojumi:

* tējkanna – iesācējs

* patvāris – īstens IT guru. Pieredzējis datorsistēmu administrators.

 

Autors

  • Patīk 1
Link to post
Share on other sites

Nu tas i Tavupraat.. a manupraat ;) Atbilst..

kaa tiek apsaukaats datora atviirusoshanas process? "nopisos liidz x naktii", "Taada jaashanas bija kamer savedu visu kaartiibaa" utml.,

 

:)

 

Taa ka zinaamaa meeraa nosaukums ir pa teemu ;)

Galu galaa.. jamais tachu ir nomainaams ;)

 

update: padomaaju.. paskatijos no malas.. un nodzeesu nesmukos vaardus :)

Link to post
Share on other sites

nu tad kaa? nomainiisi vai dzeesiisi uzreiz aaraa? m, Gint?

P.S. personiigi man, citeeju: ""piestāstita", "aizdrista" uttl." ar sexu nesaistaas ... bet par gaumeem jau nestriidaas.

P.P.S. :)

Link to post
Share on other sites
Guest vējš

Ir jau vēl viens veids - uzreiz instalēt to programmu savā direktorijā (My Documents) vai C: direktorijā izveidojot mapi un tad arī tā strādās ar Limited user kontu. Manuprāt, tas ir vienkāršāk, nekā aprakstītie veidi.

 

Tikai visu pēc kārtas tā instalēt arī nav labi. Piemēram, RealPlayer uzvedība man nepatīk, kurš pats bez manas ziņas lien Internetā, kad es vienkārši gribu paklausīties kādu dziesmu, kas ir man uz diska. Tā es nevaru kontrolēt, ko tas plaijeris atvilks no Interneta un bez manas ziņas kaut kur noglabās.

Link to post
Share on other sites

vējš

Savaa profailaa var uzinatsleet.. bet ljoti maz programmas.

Visas kuras izmanto daudzmaz normaalus installerus..neljausies. Taa pat jebkura programma kura kautko raksta sisteemas folderos. vai regjistraa.

 

Instaleet zem My Documents & setings ir gauzhaam neparaizi un liiki.

Uzinstaleetajaam programmaam ir mapiite.. Un ja grib kaartiibu uz PC.. tas viss ir jaadara kaartiigi.. nevis softi sainstaleeti pa visu disku hvz kaadaas direktorijaas.

 

Tas kautkaads sviesc..

Vieglaak blin.. Vieglaak ir dziivot kaa adminam..

KAs teica ka pareizi un viegli ir viens un tas pats..?

Vieglaak..

fuj.. liels fuj

Link to post
Share on other sites
Guest vējš

Bet kāda atšķirība, vai programma ir instalēta kaut kādā atsevišķā izveidotā direktorijā uz C: vai arī to vienmēr visos gadījumos nākas startēt ar "Run as..." ?

Kāda atšķirība?

Skaitās pareizāk? No kādiem kritērijiem vadoties tā skaitās pareizāk? Subjektīviem?

Pareizāk ir tad, ja - kā Firza rakstīja - programmu var instalēt WindowsXP atbilstīgā veidā un vispār neko vairāk nevajag.

Link to post
Share on other sites

1) ne visas programmas tu ieinstaleesi savaa My Documents

Tak teicu jau

2) Taa tak nav kaartiiba ka softi ir izmeetaati pa visu HDD..

Kas tur nav saprotams?

 

My Documents NAV domaats softu instaleeshanai.

Un caur Run as.. ljoti reti vajag laist programmu.. Tas gadiijumaa ja vinja nedarbojas ar usera permisijaam..

Un ja jau ar usera permisijaam vinja nedarbojaas.. tad nav skjirbas kur tu vinju instalee..

Taas tak pashsaprotamas lietas kuras izriet no izlasiitaa matereaala..

Link to post
Share on other sites
Guest vējš

Un caur Run as.. ljoti reti vajag laist programmu.. Tas gadiijumaa ja vinja nedarbojas ar usera permisijaam..

Un ja jau ar usera permisijaam vinja nedarbojaas.. tad nav skjirbas kur tu vinju instalee..

Taas tak pashsaprotamas lietas kuras izriet no izlasiitaa matereaala..

 

Gan no izlasītā materiāla, gan no personīgās pieredzes es noprotu, ka ir programmas, kuras nestrādā ar Limited User kontu tāpēc, ka tās izveido Temporary direktoriju, piemēram, C:Program Filesattiecīgās_programmas_mape bet tur no Limited User konta neko neļauj ierakstīt. Ja nevar ierakstīt pagaidu failus, tad programma nestrādā.

Savukārt, ja izveido mapi C:Softs un tur instalē tās nepielāgotās programmas, tad tās strādā ar Limited User kontu un nav jāstartē ar "Run As..."

 

Man personīgi šķiet mazāk riskanti noteiktu programmu ieinstalēt citā mapē, nekā pierast (vai vēl citiem ieteikt) paņēmienu katrā sarežģījuma gadījumā programmu startēt kā Administratoram ar "Run As..."

 

Jo, ja startē kā administrators, tad ir visi tie riski, par ko Firza rakstīja.

Bet ja startē programmu kā Limited User, tikai no citas direktorijas, tad tie apdraudējuma riski nav. Jo no tā konta netiek ļautas funkcijas, kas var būt kaitīgas.

 

Un visur kur uz HDD nav jāizmētā, izveidot vienkārši vienu alternatīvu direktoriju Program Files direktorijai un tur arī instalē, ja ko vajag.

 

Nesaprotu, par ko tu tik sirdīgi strīdies. Manuprāt, mums vai nu abiem ir taisnība, vai arī mans paņēmiens ir pat mazāk riskants (ja vien apsvērsi to, ņemot vērā Firza aprakstītos aspektus).

Link to post
Share on other sites

Nee.

Nepareizi.

Pareizaak ir uzlikt permisijas folderiem. ( C:Program Filesattiecīgās_programmas_mape uzliekam userim rakstiishanas tiesiibas)

Tachu arii tas ne vienmeer paliidz.

Paldies dievam.. taadas gljukainas programmas gadaas reti.

Un attieciigi caur Run as reti kad naaksies ko palaist.

Pie kam.. neviens netraucee uztaisiit savu palaizhamo failu uz desktopa un tur jau caur BAT palaist softu ar admin permisijaam.

Lietotaajs vispar nemaniis ka palaida ar admin permisijaam to softu.

Link to post
Share on other sites
Guest vējš

Nu labi nestrīdēšos, neesmu nekāds guru IT jomā.

 

Piebildīšu vien, ka man uz Desktopa vispār nav un nebūs neviena ikona, jo tur ir smukas bildes, kas priecē aci.

Otrkārt, pilnīga tējkanna var nobīties no tik (salīdzinoši ar viņa zināšanām) sarežģītiem paņēmieniem, kādus jūs ar Firzu iesakāt, un tāpēc labāk izvēlēties vienalga strādāt no Administratora konta, atmetot ar roku potenciāliem riskiem...

 

Zinošam cilvēkam šie ieteikumi nav vajadzīgi, taču tējkannām jāpiedāvā arī pavisam vienkārši paņēmieni alternatīvai (instalācijas laikā izvēlēties citu direktoriju ir gana vienkārši), lai jebkurš tos varētu īstenot un nenobītos, nevis te jāmāca ideoloģija, ka vienkāršākie paņēmieni redz skaitās nepareizi. No ideoloģijas pozīcijas nepareizi skaitās vispār no Limited User konta strādāt ar Administratora privilēģijām - tas, par ko Firza uzbrauca programmu izstrādātājiem.

 

Peace!

Link to post
Share on other sites

Start menjucii ir shortkati uz eemm nz teiksim AutoCAD..

c:proframm filjesfolderiscad.exe

 

Ko dara guru?:)

Nomaina tai shortkataa CAD.exe uz CAD.BAT

 

un uzcert prastu BAT failu..

eem BUJa ir - Kaa palaist caru Run as taa lai katru reizi nebuut jaaievada parole.

 

Sjo.

 

Nezinu ar kaadiem trauceejumiem ir jaabuut piedzimusham lai nespeedu izdariit shiis paars elementaaraas darbiibas.

Saspaidiit ntaas reizes next.. ok.. jes un sainstaleet neskaitaamas drazas.. oojaa.. to mees varam.. to mees maakam. BAT f ailu uzcirst.. ooooneee sarezgjiiti.

 

Pricipaa.. man pofig.

Es zinaamaa meeraa esmu ieintereseets lai uz pasaules buutu vairaak teejkannu. Katra taada teejkanna atnes pie manis savu PC un atstaaj kaa minimums 5Ls (labi paziistamas teejkannas) liidz pat 15Ls (teejkannas parastaas) par to pashu atsifeljoshanu.

Un ir cilveeki kuri nes vairaakas reizes.

heh

Viens stiepa laikam 3 x peec kaartas.. nu tas 3x15Ls un uz cilveeku saaka iedarboties tas ka e varbuut tomer daram taa kaa vajag nevis taa kaa eertaak? :)

 

Dators nav speelju konsole.. taa ir sarezgjiita iekaarta un ar vinju IR JAAAMAACAAS apieties.

Nevis jaabakstaas na haljavu un kaa vienkaarshaak.

 

Duriki saliek uuuberpuper ugunsmuurus.. domaa ka buus droshiibaa ;) Gandriiz katru dienu forumaa jautaa.. Kursh AV ir pats labaakais? Kursh FW ir pats labakais..? Nu nepalidizees nekaadi FW un AV ja cilveeks ir ruudiita teejkanna :)

 

Tachu.. paldies vējam par atgaadinaashanu ka ir cilveeki kuri neliek uz darba virsmas nekaadas ikonas.

BUJs atbilstoshi tiks papildinats.

:)

Ja neaizmirsiishu.. pielikshu BUJaa to programmu sarakstu ar kuraam potenciaali var rasties probleemas palaizhot no Limited akaunta.

Kaa jau teicu, nav paaraak daudz taadu programmu. Principaa tas ko cilveeki lieto ikdienaa lieliski darbojas ar limited user permisijaam.. + reizeem shur tur nedaudz pielabojot permisijas uz folderim vai regjistra atsleegaam :) Taadu kuras finaalaa tomer ir jaalaizh caur Run as.. ir sameraa maz. Deelj taa tik tieshaam nav veerts celt probleemu.

 

Jebkuru BUJu var uzlabot un papildinaat. :) Sapraata robezhas to arii centiisimies dariit :)

Link to post
Share on other sites

CEPURI NOST!!!!

 

Tad jau sanāk, ka, ja visas lietojamās, vajadzīgās programmas ir "savietojamās", tad pat ja arī ir tiki 1 usēris, labāk strādāt kā jūzerim! no tāda viedokļa, ka vīrusi un citi zvēri liks mierā datora svarīgos punktus (ak, cik, lāmiski izklausās :) ) vai ne? Super! :)

 

Bet no ārpasaules sērgas jau vislabāk glābs rūters! Un av, ar ko kādreiz izskanēt sistēmu!

 

P.S. ir, ir saistība ar mīlēšanos - neviena kontracepcija nav 100% :)

Link to post
Share on other sites
Guest janiskr

Paldies par labo rakstu.

Šāds pat princips ir arī uz linux un *BSD sistēmām, ka labāk strādāt ar parasto useri. Tur gan gājuši nedaudz tālāk - daudzas programmas paziņo, ka ar root lietotāju (ekvivalents Administrator) nestrādās vispār un čau neatstājot izvēles iespējas.

 

Tāpēc silti iesaku.

 

Kūmiņ - tā tik turēt cīņu ar tējkannām un citiem virtuves palīgrīkiem.

 

rūdītas tējkannas gadījumā nesauc par lameriem?

Link to post
Share on other sites
  • 3 months later...

Vai var uzlikt pa limitetais users nevar pilnībā nevienu softu uzinstalēt?

Uztaisīju lietotāju ar limit tiesībām ir progas ko neatļauj, bet ir ko atļauj es gribu, lai tas users nevar nevienu progu uzinstlēt gpedit.msc tur izlūrēju cauri ieraudzīju ka tur ir Software installation (user) uzliku disable tas neko nedeva var instlēt tāpat dažas neliet derīgas progas mok kāds zin, un var palīdzēt kur var aizliegt instalēt progas userim ar limit tiesībām?

  • Patīk 1
Link to post
Share on other sites

Tu vari vienīgi viņam aizliegt vispār kaut ko rakstīt uz cietā diska. Bet nu tad diezvai vispār viņš uz tā datora ko jēdzīgu varēs darīt. Bez tam mūsdienās ļoti plaši tiek lietotas USB atslēgas un diemžēl tu nevarēsi viņam aizliegt rakstīt uz viņa personīgā noņemā datu nesēja, ja nu vienīgi atslēgt visus USB portus.

Link to post
Share on other sites
  • 1 month later...
Windows XP Pro “nesavietojamo” programmu var palaist automātiski ar Administratora tiesībām bez atkārtotas paroles ievadīšanas izveidojot ShortCut ar šādu ierakstu:  

runas.exe /noprofile /env /savecred /user:Administrator "programma"

Kad es tā izdaru un uzklikšņu uz tā ShortCut'a, atveras konsoles logs, kurā man jāievada parole. Taču es to nevaru izdarīt - kursors mirgo, bet uz klaviatūru nereaģē. Neskatoties uz to, ka uz monitora nekas nemainās, nospiežu taustiņus, kas veido paroli, un spiežu Enter. Konsoles logs pazūd un nekas nenotiek.

 

Varbūt es kaut ko nepareizi daru? To tekstu es rastu iekš Properties>Target, norādot arī ceļu līdz programmai, piemēram:

runas.exe /noprofile /env /savecred /user:Administrator "C:Program FilesFolderprogramma.exe"

Tieši tas pats notiek, ja palaižu *.bat failu, kurš satur to pašu tekstu.

P.S. OS ir WinXP Pro SP2.

Link to post
Share on other sites

varbūt tev administrātors ir nosakuts savādāk, es, piemēram, viņu jau no sākuma nosaucu savādāk, līdz ar to "administrator" vietā rakstu, piemēram, "Lielais"...

varbūt tu neaizstāj vai nepareizi uzraksti šo "C:Program FilesFolderprogramma.exe" frāzi ar savas programmas nosaukumu, atrašanās vietu...

pamēģini palaist cmd un apskaties ko jamais saka kad palaid austākminēto rindiņu...

Link to post
Share on other sites

Nē, administrators man tā arī saucas - "Administrator".

Un, protams, ka es "Folder" vietā rakstīju īsto mapes nosaukumu un "programma.exe" vietā - īsto programmas nosaukumu.

Tikko ierakstīju to rindiņu konsolē - tas pats.

 

Viss kārtībā!

Man venkārši klaviatūrai gļuko dažas pogas, un nevarēju saprast - esmu nospiedis vai nē (jo tajā logā nekas uz klaviatūru nereaģē). Vienreiz izdevās ierakstīt paroli pareizi, un tagad viss notiek.

Link to post
Share on other sites
  • 4 months later...
  • 1 year later...

Iemetīšu arī šeit, lai nenoklīst:

  1. Labākais ko priekš “Limited User” var izdarīt, ir nogriezt viņam tiesībās darbināt programmas no mapēm kur tas nav vajadzīgs, atstājot tikai %SystemRoot% un %Programfiles%. Visvieglāk to ir izdarīt izmantojot “Local Security Policy” (secpol.msc ) sadaļa Software Restriction Policies (tikai uz Windows XP Professional), uzliekot kā noklusēto Security Level – disallowed. Tas uzstādīs tādu drošība līmeni, kurš atļauj darbināt programmas tikai no tām mapēm, kuras tieši ir uzrādīts, ka to drīkst darīt (noklusēti tās ir tikai %SystemRoot% un %Programfiles%). Te gan ir problēma ar to, ka arī LNK fails tiek uzskatīts par izpildāmu, un lietotājs vairs nevar palaist programmas, izmantojot shortcut. Doto problēmu var atrisināt izdzēšot no izpildāmi failu saraksta (Software Restriction Policies – Designated File Types) LNK failu.
    Principā, iesākumam pilnīgi pietiek, ja aizliedz darbināt programmas no mapēm:
    %UserProfile%\Local Settings\Temporary Internet Files\ (99.9% vīrusu, kuri ekspluatē IE atpūšas)
    %UserProfile%\Local Settings\Temp\
    %UserProfile%\Application Data\, bet neaizliedzot visas parējās mapes. Bet var arī aizliegt visu %UserProfile%, jo šajā mapē nav jāatrodas izpildāmām programmām (problēma ar LNK failiem).
  2. Atslēgt iespēju “Limited User” pievienot jaunus programmas iekš viņa Auto Run. Pat, ja neko nedara no tā kas rakstīts 1. punktā, arī tad visi vīrusi, kurus “Limited User” kaut kā iedarbinās, dzīvos tikai līdz nākamajam restartam.

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
×
×
  • Create New...