Přidat článek mezi oblíbenéZasílat nové komentáře e-mailem Bezpečnost na internetu: pracujeme s neprivilegovaným účtem (III).

Jsou programy, které buď z principu nebo kvůli chybě programátora nedovedou pracovat pod účtem, který nemá administrátorská práva (naštěstí jich stále ubývá). Windows jsou však systém víceuživatelský, a tak můžeme spustit více programů pod více uživateli, ať už pomocí funkce RUNAS (Spustit jako), přepínáním uživatelů (Fast User Switching) nebo příkazem SU. Dnes se podíváme, co můžeme dělat s funkcí "Spustit jako".

Nejdříve trochu technické historie. Windows NT 3.1, první předchůdce dnešních Windows XP/Vista, byly navrženy jako pseudo-víceuživatelský systém, kdy může být každý běžící proces spuštěn jiným uživatelem, a práva izolují jednotlivé uživatele navzájem (s výjimkou administrátora, který může kontrolovat procesy ostatních uživatelů). Procesy vytváří i systém, za pomocí uživatele NT Authority\System (viz první díl seriálu), a proces uživatele SYSTEM může být uzamčen i před administrátorem. Každý proces (=spuštěný program, tj. například Notepad, Příkazový řádek, Firefox...) dědí práva od uživatele, který jej spustil (opět viz první díl seriálu).

Interakce uživatele probíhá přes fyzickou session, takzvanou Console, kde je viditelný jeden z mnoha možných Desktopů (Plocha, neplést s "plochou", kterou vytváří Průzkumník, to je něco úplně jiného). Desktopů může být větší množství a každá session uživatele také jeden desktop vytváří (neplést s virtuálními session Terminal Services, toto jsou všechno desktopy uživatelů přihlášených místně). Uživatel u konzoly však vidí jen jeden jediný desktop, ten svůj. Mezi desktopy se dá přepínat, ale systém žádnou takovou funkci neobsahuje. První šance, jak umožnit uživateli spustit program s alternativním oprávněním byl SU.EXE pro Windows NT, který umožnil i přepnout mezi desktopy (jednorázově); po ukončení všech procesů druhého uživatele se automaticky obnovil původní desktop. (Na podobném principu pracuje i "přepínání uživatelů" ve Windows XP; to však umožňuje i přepnutí zpět na původní desktop podle vůle uživatele).

S Windows 2000 přišel uživatelsky daleko přívětivější program než SU, a to RUNAS. Nabídka "spustit jako" byla přidána k položkám v Průzkumníku a uživatel dostal možnost spustit jeden program s jiným oprávněním, aniž by musel uvádět, v jakém desktopu jej chce pustit. Chování kontextového menu se napříč verzemi měnilo; u Windows 2000 bylo potřeba držet Shift, aby se nabídka objevila, Windows 2003 Server již nabízí tuto nabídku ve výchozím stavu na každém zástupci. Ukažme si, jak se s kontextovým menu pracuje a jak použít příkaz rovnou z příkazového řádku.

[http://pc.poradna.net/files/article/836/runas1bd0.p ng]

Za tím účelem jsem si vytvořil zástupce na ploše - jeden ukazující na devmgmt.msc, tedy "Správce zařízení", a Internet Explorer. Správce je vyloženě typ programu, který vyžaduje administrátorská práva - neadministrátor nemůže odebírat hardwarová zařízení, zatímco prohlížeč je program, který je naopak nebezpečné pod administrátorským účtem spouštět. Přihlášen jsem jako uživatel s právy Users, "_vladimir".

[http://pc.poradna.net/files/article/836/runas2fm7.p ng]

Po stisknutí nabídky Runas ("Spustit jako") se nám nabízí, zda si to nechceme rozmyslet a přeci jen spustit program s aktuálním uživatelem, nebo nám to nabízí seznam posledních uživatelů, které si to pamatuje + uživatele Administrator a Guest, kteří jsou přítomni vždy. Můžeme tam přirozeně vepsat jakéhokoliv uživatele. Následně musíme zadat heslo uživatele.

[http://pc.poradna.net/files/article/836/runas3dn9.p ng]

Tento obrázek by měl přehledně ukazovat, co se vlastně děje, když si spustím Device Manager přes Spustit jako a Internet Explorer způsobem klasickým. Obě okna mám teď na své ploše (= ploše Průzkumníku, neplést s NT Desktopem), a jen Správce úloh mi může prozradit, jaký uživatel spustil který program. Vidíme, že Device Manager spustil uživatel Administrator (to je správně, pouštěli jsme ho přeci přes Runas, zelená barva), Internet Explorer spustil původní uživatel _vladimir (červená barva) a tudíž má jen práva User, stejně jako celý Průzkumník s tlačítkem Start a vše, co vytváří uživatelské prostředí (modrá barva).

[http://pc.poradna.net/files/article/836/runas4mc6.p ng]

Celé si to můžeme vyzkoušet přímo z příkazového řádku. Nástroj RUNAS má velmi dobrou nápovědu s příklady, kterou vyvoláme parametrem

/?

.

[http://pc.poradna.net/files/article/836/runas5eh1.p ng]

Nebudeme řešit žádné složité parametry a zadáme syntaxi nejjednodušší. (Nechcete-li si zjednodušit práci proměnnou %COMPUTERNAME% nebo je váš účet členem domény, samozřejmě vepište jméno domény nebo název počítače.)

[http://pc.poradna.net/files/article/836/runas6qi5.p ng]

Nyní můžeme i vidět, jak funguje dědičnost. Z takto spuštěného programu cmd (příkazové řádky, vidíme v titulku, že je spuštěn s alternativním oprávněním, zelená barva) zadáme příkaz Notepad, tím se nám spustí Notepad se stejným oprávněním (růžová barva). Vše máme hezky na jedné naší ploše (ploše průzkumníku, modrá barva).

Související:

http://pc.poradna.net/article/view/600-bezpecnost-n a-internetu-pracujeme-s-neprivilegovanym-uctem-i
http://pc.poradna.net/article/view/714-bezpecnost-n a-internetu-pracujeme-s-neprivilegovanym-uctem-ii

Předmět Autor Datum
Tak opat mozem len pogratulovat, aj ked sa mi javi tento clanok oproti predoslym krapet neprehladnej…
2laak 15.03.2008 07:42
2laak
Tentokrát to bylo více teorie než praxe; praktickou část jsem tu víceméně nechal na čtenáři :) Chceš…
Vladimir 15.03.2008 09:36
Vladimir
Je mi jasne, ze nemozete mat cas na vsetko, ja -a ostatni citatelia urcite tiez- ocenujeme, ze nam i…
2laak 15.03.2008 09:40
2laak
ten zákeřný trik se shift ve w2000 jsem neznal, dík za něj, ještě se občas hodí.
lední brtník 16.03.2008 13:51
lední brtník
Vladimíre, článek je bezva, nicméně jednu připomínku mám. Článek je svým zaměřením určen především p…
Georgij Gadjukin 17.03.2008 06:55
Georgij Gadjukin
No problém tady není nadřazenost, ale prostě to, že české Windows nemám a licenci na MUI taky ne :(
Vladimir 17.03.2008 10:20
Vladimir
Používání originálních Windows je obvykle dáno tím, jaké vám váš zaměstnavatel (který má multilicenc…
jirka44 17.03.2008 12:24
jirka44
Souhlas, nicméně článek není až tak určen pro zaměstnance velkých nadnárodních podniků, ale pro běžn…
Georgij Gadjukin 17.03.2008 14:03
Georgij Gadjukin
No, ono spíš je pitomá praxe taková, že jakmile (méně schopní, líní.. atd) administrátoři narazí na…
Vladimir 17.03.2008 14:31
Vladimir
Nerad bych Tě, Vladimíre odradil od další práce. To rozhodně ne! Škoda žes nebékl. Mohli jsme to dát…
Georgij Gadjukin 17.03.2008 15:05
Georgij Gadjukin
Někdy je to dáno i programem, který má primárně na OS běžet. Používáme jeden, který v některých příp…
Jack 19.03.2008 08:18
Jack
Eventuelně můžu nafotit český screeny, i když taky myslím, že je to zbytečnost. V popisu je jasně (v…
kmochna 17.03.2008 17:16
kmochna
Opravdu dobrý článek, kde jsem taky našel pár nových informací. Bohužel však jeho informační hodnotu…
Miloslav 19.03.2008 08:48
Miloslav
screeny v tomto článku jsou celkem komplikované a specifické k situaci, chtěl bych vidět jak bys něk…
Vladimir 19.03.2008 13:36
Vladimir
Bohužel, je to tak, lidi vidí obrázky, kouknou na ně, a když nejsou česky, rychle pryč.
Miloslav 19.03.2008 14:57
Miloslav
Podle mě je nějaká čeština celkem hovadina a bohatě stačí to, co tady je. Já ještě nedávno o těchto…
Kuncek 20.03.2008 22:46
Kuncek
IMHO clovek ktory to chce vediet si to precita aj ked su obrazky z anglickych Win (podla polohy tej…
MM.. 01.04.2008 21:14
MM..
To že použil Vladimír angličtinu je jen dobře. Kdybych to měl psát já a měl bych vybírat mezi anglič…
Flash_Gordon 26.05.2008 11:58
Flash_Gordon
No,ja se za tu cestinu primlouvam,chapu ze pro absolventy skol po roce 1989 je ajina bezna,ale pro m…
mejlak 02.09.2008 16:28
mejlak
Díky Vladimíre. Všechno funguje a viry jsou ty tam! :beer::puff: poslední
vlk56 04.11.2008 14:44
vlk56

Tak opat mozem len pogratulovat, aj ked sa mi javi tento clanok oproti predoslym krapet neprehladnejsi. Najma caste pouzivanie "neplést s..." ma podla mna dost poplietlo. :)) Ale to je asi moja nestudovanost, nie chyba clanku.

Trochu mi tu chyba vytvorenie zastupcu s runas prikazom, aby sa dali trvalo spustat niektore programy s pravami administratora, co by podla mna mnohym ludom pomohlo. Nakolko je prijemnejsie heslo zadat raz. (Pokial viem, ked vytvorim *.bat s runas prikazom so spravnym parametrom, heslo si potom pamata). Teda tato cast mi tu dost chyba, kedze som ju cakal najviac.

Takisto akesi prakticke vyuzitie teorie: povolenie zapisu programom do svojich zloziek (v Program files pod User uctom), zistenie potrebnej vetvy a povolenie zapisu do nej v registroch a pod. Najma kvoli programom, ktore nie su schopne korektne pracovat pod User uctom.

Napisete aj clanok podobneho zamerania? :-)

Inak fakt pekne pokracovanie uspesneho serialu, nakoniec sa staci pozriet, kolkokrat nan bolo odkazane v poslednom case na poradni. :-p

Je mi jasne, ze nemozete mat cas na vsetko, ja -a ostatni citatelia urcite tiez- ocenujeme, ze nam ich pisete.

Sam sa na pisanie necitim: jednak nemam dostatocne skusenosti, trebars ako vy a myslienky treba aj akosi vediet predat, formulovat a na to sa rovnez necitim. :-)

Dakujem za linky, prestudujem.

Vladimíre, článek je bezva, nicméně jednu připomínku mám. Článek je svým zaměřením určen především pro širokou laickou veřejnost a ta v drtivé většině používá česky (slovensky) lokalizovaný OS. Nebudu daleko od pravdy, když řeknu, že nejednomu BFU může obrazový doprovod článku zamotat hlavu.
Chápu, že používání originálních (rozuměj anglických) Windows je známkou jakési profesní "nadřazenosti" nad běžným uživatelem - viz všelijací programátoři, grafici atd., ale tady se mi to moc šťastně nejeví. Přimlouval bych se za dvojjazyčné obrázky. Pak by byl článek naprosto bezchybný ;-) Každopádně díky za něj.

GG

Používání originálních Windows je obvykle dáno tím, jaké vám váš zaměstnavatel (který má multilicenci) poskytne. Takže oni ti vámi zmínění programátoři a grafici nejspíše pracují pro nějakou zahraniční případně nadnárodní firmu. Kromě toho bývaly dříve (W98) origoš verze stabilnější nežli lokalizované.

Souhlas, nicméně článek není až tak určen pro zaměstnance velkých nadnárodních podniků, ale pro běžné uživatele doma. Nebo je někde normální, že normální řadový uživatel v síťovém prostředí zná heslo administrátora? Ne, že? Tak k čemu je potom takovému uživateli dobré vědět k čemu a jak se používá RUN AS/SPUSTIT JAKO...

No, ono spíš je pitomá praxe taková, že jakmile (méně schopní, líní.. atd) administrátoři narazí na problém s nějakým softwarem, dají uživateli (např.: programátorovi) admina a ne*erou se s tím. Místo aby mu dali dva účty, jeden admin jeden uživatel a edukovali ho jak použít runas.

Problém vždycky nejsou ti nejbfuovatější bfu, ale namyšlení power useři kteří si myslí, že systém je od toho aby se s ním tzv. "experimentovalo", a vyskytují se jak doma, tak ve firmách.

Článek je myslím pro každého, povědomí o použití neprivilegovaných účtů je i u tzv. IT gramotných lidí překvapivě nízké. A české Windows prostě nemám, což uznávám je problém, ale nikdo jiný jak je vidět výše se k psaní článků nemá :)

Někdy je to dáno i programem, který má primárně na OS běžet. Používáme jeden, který v některých případech nekorektně pracuje s jinojazyčnými mutacemi. Částečně se to dá řešit přepnutím v Místní a jazyková nastavení na US, ale některé problémy přetrvávají. (Win2000, WinXP).

Opravdu dobrý článek, kde jsem taky našel pár nových informací. Bohužel však jeho informační hodnotu snižují obrázky v angličtině. Jednoznačně chyba Vladimíra, že pokud nemá česká Windows, někoho nepožádal, byla by to práce na pár minut mu je dodat. Mě to třeba nevadí, angličtinu ovládám, ale těžko budu své známé na tento článek odkazovat.

screeny v tomto článku jsou celkem komplikované a specifické k situaci, chtěl bych vidět jak bys někomu vysvětlil jak to má nascreenovat a naskládat okna na sebe přesně jak to má být aby se to v přijatelném rozlišení a layoutu do článku vešlo. Buďme trochu realističtí.

Fakt je prostě ten, že jsem jediný kdo má vůli nějaké články psát. Asi do příště upirátím MUI, když na té češtině tolik lidí trvá...

Podle mě je nějaká čeština celkem hovadina a bohatě stačí to, co tady je.
Já ještě nedávno o těchto věcech týkajících se bezpečnosti neměl ani ponětí a tyhle články mi jasně udaly směr. Tenhle seriál opravdu stojí za to. Nějaké anglické obrázky...to už je celkem sranda, popis pod tím je v češtině, takže podle mě není co řešit.
Na druhou stranu angličtina mě samotnému moc cizí není, takže nemůžu hodnotit z pozice "no-english" čtenáře.

IMHO clovek ktory to chce vediet si to precita aj ked su obrazky z anglickych Win (podla polohy tej polozky v menu predsa vie ze ktora to je polozka v ceskych Win, a v texte je to predsa aj napisane cesky). Neviem kam "pryc" by ten citatel isiel, poznas podobny clankok ktory je v cestine? No a za tretie predpokladam ze runas v prikazovom riadku je aj v ceskych Win ako runas, tak aspon no-english citatel pochopi ze nazov prikazu runas v prikazovom riadku je nazov z anglictiny (a mozno si to potom aj lahsie zapamata).

P.S: a citatel ktory si v clankoch pozera len obrazky a necita text, by mal IMHO z toho clanku aj tak prd, to nie je obrazkove reporelo pre deti do 6rokov ale technicky clanok s textom.

No,ja se za tu cestinu primlouvam,chapu ze pro absolventy skol po roce 1989 je ajina bezna,ale pro me (nás) z drivejsich casu to neni tak samozrejmé. Nebo co takhle to napsat a nascanovat v rustině? To by bylo reci o nesrozumitelnosti. Neprivilegovany ucet je vynikajici vec a Vladimirovi moc dekuji za clanky,jenze vetsina uzivatelu kteri ho nepouzivaji maji prave s anglictinou potize.(moje zkusenost) Uzivatelé ovladajici ajinu at se nezlobi,ale jeste porad se jmenujeme Česká , ne anglicka republika.

Zpět na články Přidat komentář k článku Nahoru