Centrum informacji o Windows XP/2000/2003 - Strona nieoficjalna  
Cofnij Do przodu XP.net.pl Forum Artykuły Szukaj Downloads Drivers Redakcja i info Redakcja i info

 

   

 

 
Bezpieczne surfowanie z konta administratora





Wstęp

Wielu domowych użytkowników pracuje w systemie Windows XP/2003 z wykorzystaniem konta o uprawnieniach administratora niezdając sobie sprawy z konsekwencji, jakie to może spowodować.

Należy uświadomić sobie, że Administrator posiada dostęp do wszystkich plików na dyskach twardych oraz do wszystkich gałęzi rejestru. Może więc w szczególności usuwać czy też zmieniać pliki wykonywalne w katalogu systemowym WINDOWS\System32.
Teraz wystarczy wyobrazić sobie prostą sytuację, kiedy podczas surfowania po Internecie z wykorzystaniem konta administratora do systemu przedostaje się wirus i uaktywnia się niespostrzeżenie w tle. Złośliwy proces wirusa uruchamiając się jako proces potomny przeglądarki, a więc z uprawnieniami administratora, kasuje z systemu część istotnych plików systemowych (administrator posiada takie uprawnienia) i dodatkowo instaluje i uruchamia usługę, która w tle śledzi nasze wizyty na stronach internetowych i zbiera informacje podane w rozmaitych formularzach. Oprócz tego zmienia istotne wpisy w rejestrze w gałęzi HKLM. Skutki tych operacji nietrudno przewidzieć…
Teraz warto zastanowić się, co byłoby, gdyby użytkownik surfujący po Internecie pracował na koncie z uprawnieniami ograniczonymi. Otóż użytkownik taki nie posiada praw do kasowania ważnych plików systemowych oraz praw pozwalających na instalację usług w systemie czy też zmian wpisów w gałęzi HKLM.

Wniosek nasuwa się sam – katastrofy opisanej powyżej da się uniknąć pracując na koncie z uprawnieniami zwykłego użytkownika. Wiele osób stwierdzi, że jest to niewygodne, gdyż użytkownik taki nie może instalować programów, zmieniać większości ustawień systemowych itp. Rozwiązania powyższego problemu są w zasadzie trzy.
 

Rozwiązanie 1: Polecenie "Uruchom jako Administrator"

Pierwsze, najbezpieczniejsze, zakłada codzienną pracę jako zwykły użytkownik bez uprawnień administratora i wykorzystywanie polecenia Uruchom jako… (Run as…).

Całość sprowadza się do utworzenia, będąc zalogowanym jako Administrator, konta z ograniczeniami za pomocą apletu Panel sterowania->Konta użytkowników (Control Panel -> User Accounts). Następnie należy zalogować się jako nowy użytkownik, skonfigurować pulpit i pracować normalnie z wykorzystaniem wszystkich zainstalowanych aplikacji. W razie potrzeby należy jeszcze tylko z konta Administratora przekopiować pliki z folderu:
C:\Documents and Settings\Administrator\Moje dokumenty do folderu:
C:\Documents and Settings\<Nazwa uzytkownika>\Moje dokumenty
(My documents).
Jeśli natomiast przyjdzie potrzeba instalacji nowej aplikacji (co w większości przypadków wymaga uprawnień administracyjnych), można skorzystać z menu kontekstowego (wywoływanego prawym przycisk myszy na pliku wykonywalnym lub skrócie) i wybrać opcję Uruchom jako… (Run as…).
Następnie należy wybrać opcję drugą: Następujący użytkownik (The following user) i wpisać jako nazwę użytkownika Administrator oraz podać odpowiednie hasło.


Rys. Funkcja "Uruchom jako Administrator"

Funkcja ta pozwoli uruchomić dany program (instalator) z uprawnieniami administratora, co umożliwi mu dostęp do folderu C:\Program files oraz do gałęzi rejestru HKLM, które to dla zwykłego użytkownika są dostępne w trybie do odczytu.
 

Rozwiązanie 2: Polecenie "Uruchom z ograniczeniami"

Drugie rozwiązanie zakłada co prawda w dalszym ciągu pracę na koncie z uprawnieniami administratora, ale uruchamianie niektórych programów (np. przeglądarki internetowej) z ograniczeniami.

Można to osiągnąć poprzez wybranie z menu kontekstowego skrótu do aplikacji lub pliku wykonywalnego opcji Uruchom jako… (Run as…) i zaznaczeniu pierwszej opcji: Bieżący użytkownik (Current user) oraz zaznaczeniu pola Uruchom ten program z ograniczonym dostępem (Protect my computer and data…).
Pozwala to na uruchomienie programu, tak jakby odbywało się to z konta użytkownika z ograniczeniami (bez uprawnień administracyjnych).


Rys. Funkcja: "Uruchom z ograniczonym dostępem"

Działanie tej funkcji można sprawdzić za pomocą narzędzia Process Explorer:


Rys. Process Explorer: Uprawnienia procesu iexplore.exe

Jak widać uprawnienia administracyjne zostały odebrane (Deny), a uprawnienia zwykłego użytkownika dodatkowo ograniczone (Restricted). Niestety to ostatnie powoduje czasami, że niektóre programy nie chcą działać w pełni poprawnie.
 

Rozwiązanie 3: Group policy

Ciągłe uruchamianie programów z wykorzystaniem menu kontekstowego Uruchom jako... może być dość uciążliwe, jednak istnieje dużo wygodniejsze i praktyczniejsze rozwiązanie.

Początkowo należy w rejestrze (regedit.exe) w gałęzi:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers]

dodać następujący klucz typu DWORD:
"Levels"=dword:00031000

Alternatywnie można pobrać plik levels.reg i dokonać jego importu do rejestru.

Następnie należy uruchomić edytor obiektów GPO z menu Start->Uruchom: gpedit.msc (Group Policy) i przejść do gałęzi: Konfiguracja komputera->Ustawienia systemu Windows->Ustawienia zabezpieczeń->Zasady ograniczeń oprogramowania (Computer Configuration->Windows Settings->Security Settings->Software Restriction Policies) i kliknąć na niej prawym przyciskiem myszy, a następnie wybrać opcję Nowe zasady ograniczeń oprogramowania (New restriction rules). Następnie należy uruchomić ponownie komputer.

Po ponownym uruchomieniu systemu należy wrócić do edytora GPO do gałęzi Zasady ograniczeń oprogramowania, kliknąć na polu Wymuszanie (Enforcement) w prawym panelu i upewnić się, że wybrane są następujące opcje: Wszystkie pliki oprogramowania oprócz bibliotek (All software files except libraries) i poniżej Wszyscy użytkownicy (All users). Jeśli nie, zalecane jest właśnie takie ustawienie dostępnych właściwości.


Rys. Edycja właściwości Wymuszania

Kolejnym krokiem jest przejście do gałęzi Poziomy zabezpieczeń (Security Levels) i sprawdzenie czy dostępnych jest 5 poziomów, jak na poniższym rysunku. Jeśli dostępnych jest mniej poziomów (np. 2), należy jeszcze raz zimportować plik rejestru levels.reg i ponownie uruchomić edytor GPO.


Rys. Poziomy zabezpieczeń

Najważniejszą częścią całej operacji jest dodanie wrażliwych na ataki programów do Reguł dodatkowych (Additional Rules) definiujących, które programy uruchamiane są za pomocą konta z ograniczeniami czy konta zwykłego użytkownika. Chodzi tutaj przede wszystkim o programy intensywnie korzystające z zasobów Internetu, a więc przeglądarki, komunikatory i programy pocztowe, które są najczęstszymi celami hackerów.
W tym celu klikamy prawym przyciskiem myszy na Reguły dodatkowe i wybieramy opcję Nowa reguła ścieżki… (New path rule…).
W nowym oknie klikamy przycisk Przeglądaj… (Browse…) i lokalizujemy plik wykonywalny (*.exe) uruchamiający naszą przeglądarkę (np. C:\Program files\Internet Explorer\iexplore.exe lub C:\Program files\Avant Browser\avant.exe), a następnie z listy poziomów zabezpieczeń wybieramy: Użytkownik podstawowy. Poziom ten gwarantuje już dość wysoki poziom bezpieczeństwa podczas surfowania po Internecie w porównaniu z działaniem na najwyższych uprawnieniach administratora, a jednocześnie sprawia przy tym najmniej problemów (w przeciwieństwie np. do poziomu z ograniczeniami – część aplikacji ma problemy nawet z uruchomieniem na tym poziomie).


Rys. Dodawanie nowej aplikacji do Reguł dodatkowych

Analogiczne postępowanie zalecane jest dla komunikatorów internetowych (np. Gadu-Gadu gg.exe) oraz aplikacji do obsługi poczty elektronicznej (np. Outlook XP Outlook.exe, Outlook Express - Msimn.exe).


Rys. Lista dodanego oprogramowania z ograniczeniami

Wskazówka: Zazwyczaj pliki uruchamiające daną aplikację znajdują się w folderze:
C:\Program files\<Nazwa aplikacji>
lub C:\Program files\<Producent aplikacji>\<Nazwa aplikacji>

Opisane powyżej czynności pozwalają już na w miarę bezpieczne surfowanie po sieci z konta o uprawnieniach administratora.
 

Weryfikacja zmiany poziomu zabezpieczeń

Weryfikację poprawności wykonanych wyżej operacji można przeprowadzić za pomocą darmowego programu Process Explorer. Po jego uruchomieniu, na liście procesów należy dwukrotnie kliknąć na sprawdzanym procesie (np. avant.exe), a następnie przejść do zakładki Security. Jeśli konto BUILTIN\Administrators ma ustawiony znacznik Deny, to operacja zmiany poziomu zabezpieczeń dla danej aplikacji zakończyła się sukcesem.


Rys. Process Explorer: Uprawnienia procesu avant.exe
 

Łatwo też sprawdzić działanie wprowadzonych zabezpieczeń poprzez próbę zapisania dowolnego pliku z wybranej strony internetowej w katalogu C:\WINDOWS\System32 lub C:\Program files. Dla konta administratora (bez wprowadzonych ograniczeń) próba zapisu powiedzie się. Natomiast po zmianie ustawień w edytorze Group Policy operacja taka zakończy się niepowodzeniem.


Rys. Nieudana próba pobrania pliku do katalogu C:\WINODWS\System32
 

Podsumowanie

Przedstawione powyżej rozwiązania pozwalają na uniknięcie większości przykrych niespodzianek czyhających na niedoświadczonego użytkownika w zakamarkach Internetu. Na pewno któreś z podanych rozwiązań będzie dla Ciebie odpowiednie. Dodatkowym zabezpieczeniem będzie świadome korzystanie z zasobów sieci i nieignorowanie komunikatów przeglądarki (w szczególności nie należy bezmyślnie klikać OK/Yes w oknach, które pojawiają się przy przeglądaniu niektórych stron internetowych!). Zalecane jest również bezwzględne korzystanie ze skanera antywirusowego działającego ciągle w tle (np. Norton Antivirus, NOD32, AntiVir Personal) oraz aplikacji "antyszpiegowskiej" MS AntiSpyware, która będzie przedmiotem jednego z moich kolejnych artykułów.


MSDN: Browsing the Web and Readin E-mail Safely as an Admin >>

Forum XP  : Specjalny wątek dotyczący tego artykułu >>

Strona główna serwisu XP.net.pl >>


Na podst. : własnych doświadczeń ze stosowania powyższych technik oraz materiałów dostępnych na witrynie msdn.microsoft.com
Wersja artykułu : 1.0
Ostatnia aktualizacja : 08.12.2005
Wydanie oryginalne: wersja 1.0 (13.09.2005)

Autor : GreGM © 2005
Dodane przez : GreGM © 2005

 


 
 
All rights reserved. XP.net.pl © 2005 ^Do góry^