Přidat článek mezi oblíbenéZasílat nové komentáře e-mailem Bezpečnost na internetu: pracujeme s neprivilegovaným účtem (IV.)

V tomto díle si ukážeme, jak aktualizovat systém pomocí automatických aktualizací pohodlně i tehdy, když jsme přihlášeni pod neprivilegovaným účtem. Ukážeme si i základní věci, jako jaké mají automatické aktualizace možnosti a jak je konfigurovat. A konečně si i řekneme, jak používat málo dokumentovanou záležitost - automatické aktualizace přes server proxy.

Proč aktualizovat?

Základní otázka. Aktualizace operačního systému jsou jedním ze základních skutečných kroků k bezpečnosti. Řada virů se může šířit jen proto, že využívá stávající chybu v operačním systému (Windows) nebo v jeho součásti (Internet Explorer, Windows Media Player).

Proč zrovna automatické aktualizace?

Proč automatické aktualizace, a nikoliv stránka Windows Update? Je to spíš otázka osobních preferencí, ale automatické aktualiace mají několik výhod, a to zejména při práci v neadministrátorském účtu:

1) po patřičné konfiguraci je možné je plně ovládat z neadministrátorského účtu. Použití Windows Update, např. přes RunAS, su nebo sudo v neadministrátorském účtu je komplikované, protože prvek ActiveX vyžaduje, aby shell běžel pod administrátorským účtem.

2) Automatické aktualizace nabízejí, ale nevyžadují aktualizaci Windows Genuine Advantage Notification. Stránka Windows Update ji instaluje povinně.

3) Umožní vám na nové aktualizace automaticky upozornit, a také si v pohodlném rozhraní vybrat, které aktualizace instalovat a na které již neupozorňovat. Webové rozhraní Windows Update je v tomto poněkud nešikovné.

Konfigurujeme automatické aktualizace

Konfigurace automatických aktualizací probíhá přes ovládací panel Automatic Updates (Automatické aktualizace) a musí být provedena pod účtem s právy Administrator. Z neprivilegovaného účtu můžeme konfiguraci vyvolat přes RunAs takto:

runas /user:pocitac\uzivatel "control wuaucpl.cpl"

Ovládací panel funguje tak, že pokud je služba zastavena, po kliknutí na tlačítko Apply /OK v případě, že byla zvolena jiná volba než Vypnout automatické aktualizace (Turn Off Automatick Updates), službu okamžitě spustí a zahájí detekci na serveru Windows Update.

[122-control-panel-png]

Ovládací panel

Jaké máme možnosti?

Nejméně volby, nejvíce pohodlí a největší šanci si nainstalovat update, které vlastně nechceme nabízí volba

[x]Automaticky (doporučeno).

V naplánovaný čas se všechny aktualizace, označené jako kritické a důležité, stáhnou a po stažení nainstalují. Počítač pouze zobrazí, že se má restartovat. Volba

[x]Stahovat aktualizace automaticky, ale čas instalace zvolím ručně

je asi zlatou střední cestou, kterou bych vám doporučil, v případě že se nemůžete rozhodnout. Automatické aktualizace stáhnou vše co najdou, ale před tím, než by cokoliv instalovaly, vám dají na výběr, co chcete instalovat a co nikoliv. Poslední volba je pro pokročilé uživatele -

[x]Oznamovat, ale aktualizace nestahovat ani neinstalovat

kterou bych vám doporučil v případě, že jasně víte, co která aktualizace dělá a/ nebo máte pomalé připojení k internetu a nechcete stahovat velké objemy dat. Notifikační dialog u téhle volby zobrazují automatické aktualizace vždy dvakrát - jednou v okamžiku, když aktualizaci detekují, podruhé v případě, že je aktualizace stažena (na váš popud) a měla by se instalovat.

[121-download-png]

Takto vypadá nabídka ke stažení aktualizací při této volbě.

Konfigurace pro neprivilegovaný účet

Výchozí chování automatických aktualizací je k neprivilegovanému účtu velmi strohé. Uživateli se nezobrazují žádné notifikace a je pouze notifikován k restartu, kde si nemůže ani vybrat, že restart proběhne později. V případě že je stáhování nastaveno na Oznamovat, nebo Stahovat, nezobrazuje se mu nikdy dialog výše. (To v praxi znamená, že dokud se nepřihlásí administrátor, nebude třetí volba dělat v praxi vůbec nic).

Naštěstí pro nás, Automatické aktualizace jsou dělané i jako nástroj pro velké firmy a je možné je řídit centrálně systémovými politikami. A jednou z nich je elevace ne-administrátorského uživatele tak, aby měl nad automatickými aktualizacemi plnou kontrolu. Vtip leží v tom, že aktualizace běží pod systémovým účtem jako služba, a tak mají svoje vlastní práva LOCAL SYSTEM na zápis do adresáře Windows (kam se stahují aktualizace) i práva instalovat cokoliv do systému. Malá ikonka v system trayi je tudíž pouze uživatelská utilitka, jak službě říci, co má dělat, skutečné "techtle mechtle" se odehrávají na pozadí pod právy LOCAL SYSTEM.

[125-wupdate-png]

Žlutá ikona štítu, která slouží k přístupu na dialog stahování /instalace aktualizací, nám bude k dispozici i v neprivilegovaném účtu.

Nyní je potřeba říci, že Windows řady Home nemají nástroj, jak nastavit systémové politiky, to ale vůbec nevadí, protože to co chceme udělat lze nastavit i v registru Windows.

Windows 2000/XP Pro

Budeme nyní editovat systémové politiky. Spustíme nástroj Group Policy Configuration Editor příkazem gpedit.msc.

[123-gpedit-png]

Přejdeme na Computer Configuration -> Administrative Templates -> Windows Components -> Windows Update -> Allow non-administrators to receive update notifications a nastavme to na Enabled. Zavřeme GP editor.

Restart počítače není potřeba. Automatické aktualizace se teď k našemu neprivilegovanému účtu budou chovat tak, jako bychom byli ve skupině Administrators, tj. notifikace se budou nejen ukazovat, ale stahování a instalace aktualuzací můžeme plně řídit.

Windows Home

V případě že máme Windows Home, musíme do registrů. Restart počítače opět nebude potřeba. V Editoru registrů přejděme na větev:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows

a vytvoříme nový klíč s názvem "WindowsUpdate". V klíči vytvoříme hodnotu REG_DWORD "ElevateNonAdmins" s hodnotou 1. Výsledek by měl vypadat takto:

[124-regedit-png]

Stahování aktualizací přes proxy server

Používáte-li pro připojení k Internetu proxy server, nemile by vás mohlo překvapit, že po nastavení nedělají automatické aktualizace vůbec nic. Problém je totiž v tom, kde uchovávají automatické aktualizace informace o tom, jaký používají proxy server - nesdílejí totiž nastavení s Internet Explorerem.

K tomu, abychom si prohlédli nastavení proxy pro automatické aktualizace a případě jej změnili je nutné použít řádkový obslužný soubor proxycfg.exe, který je součástí systému.

Pokud zadáme parametr /?, zobrazí se nám kompletní nápověda:

Z:\>proxycfg /?
Microsoft (R) WinHTTP Default Proxy Configuration Tool
Copyright (c) Microsoft Corporation. All rights reserved.

usage:

    proxycfg -?  : to view help information

    proxycfg     : to view current WinHTTP proxy settings

    proxycfg [-d] [-p <server-name> [<bypass-list>]]

        -d : set direct access
        -p : set proxy server(s), and optional bypass list

    proxycfg -u  : import proxy settings from current user's
                   Microsoft Internet Explorer manual settings (in HKCU)

Pokud tedy chceme použít proxy server, máme dvě jednoduché možnosti: zadat proxycfg -p server:port, nebo proxycfg -u, což naimportuje aktuální nastavení uživatele u prohlížeče Internet Explorer.

Na závěr: Windows Update versus Microsoft Update

Microsoft nabízí dvě verze tohoto nástroje. Zatímco verze, která je nejspíše součástí vašeho systému se jmenuje Windows Update, na adrese update.microsoft.com si můžete klienta updatovat na verzi, která vyhledává navíc i aktualizace pro MS Office a jiné programy od MS, co můžete na svém počítači mít, jako je například MS Visual Studio, MS Virtual Server nebo třeba MS SQL 2005.

Související:

http://pc.poradna.net/a/view/308473-bezpecnost-na- internetu-pracujeme-s-neprivilegovanym-uctem-i
http://pc.poradna.net/a/view/308587-bezpecnost-na- internetu-pracujeme-s-neprivilegovanym-uctem-ii
http://pc.poradna.net/a/view/308709-bezpecnost-na- internetu-pracujeme-s-neprivilegovanym-uctem-iii

Předmět Autor Datum
Wunderbar!!Ještě to bude chtít díl o nastavování práv filesystému a je to celé :-)
touchwood 12.01.2009 22:48
touchwood
dík, já si tu před pár dny postesknul, že jako omezený user jsem bez aktualizací. i když mi k xp sp3…
lední brtník 13.01.2009 09:26
lední brtník
Vladimir, opat na jednicku. Po novom formate a prerozdeleni HDD som sa konecne dokopal k vytvoreniu…
2laak 21.01.2009 01:41
2laak
Díl o nastavování práv by mohl být (a určitě nebude poslední, tenhle seriál se dá psát do nekonečna)…
Vladimir 21.01.2009 11:52
Vladimir
Vzal bych to obecně s přihlédnutím k odlišnostem OS, pokud se rozhodneš sepsat článek o oprávněních…
kmochna 21.01.2009 12:16
kmochna
Hezké, nechceš to sepsat? :-DMyslím že by to bylo maximálně užitečné, ale do konceptu seriálu o nepr…
Vladimir 21.01.2009 12:56
Vladimir
Výborná věc - takové poučení mělo být povinné v dokumentaci k Windows!Ale marketingové oddělení Micr… poslední
účty a spol. 30.03.2009 19:41
účty a spol.

Vladimir, opat na jednicku. Po novom formate a prerozdeleni HDD som sa konecne dokopal k vytvoreniu user uctu na beznu pracu, ked uz o tom tolko meleme ostatnym uzivatelom tu na poradni. Vse ide temer bez porodnych bolesti, niekolko malo nastaveni ohladom notebook-utilit ako PowerManager a AccessConnection (google to isti), vyuzitie davnejsich poznatkov s prikazom runas (na ImgBurn) a vsetko facha, ako ma. Teraz uz v user ucte, bez antivirusu.Cakam (posledny?) V. diel, v ktorom by som urcite uvital upravu prav zapisov do urcitych casti registrov + touchwoodom zmienovanych filesystemov pre nepoucitelne programy (este som sa nestretol s takym nenahraditelnym, ale lepsie je vediet).Takze opatovna vdaka za hodnotny clanok!ps: chybicka sa vloudila v casti:

...automatické aktualizace (Turn Off Automatick Updates), službu...

Díl o nastavování práv by mohl být (a určitě nebude poslední, tenhle seriál se dá psát do nekonečna). Nejsem si ale ještě jistý, jak to koncipovat, vzhledem k tomu že by to mělo pokrýt jak Pro verze (žádný problém), tak i XP Home a XP Vista, kde se možnosti jak obcházet omezení liší.Další věc je, jak má uživatel poznat, kde má co nastavovat - Process Monitor je dost složitý nástroj.Díl který bude následovat po tomto o auutomatických aktulizacích bude díl o Vista UAC.

Vzal bych to obecně s přihlédnutím k odlišnostem OS, pokud se rozhodneš sepsat článek o oprávněních na FS:
Vysvětlit co to je dědičnost oprávnění - třeba na tzv. NTFS hacku (jak o tom psali tenkrát "odborný časáky"), kde se nastaví oprávnění aby admin měl přístup do složky i souborů a uživatelé pouze na každý svůj soubor v té složce.
----
Základní typy uživatelů a skupin - no co který je.
----
Udělat demostrační příklad odebrání sobě práva na přístup k souboru.
Udělat demostrační příklad odebrání sobě práva na přístup ke klíči v registry.
----
Vysvětlit převzetí vlastnictví.
----
Vysvětlit základní akce u oprávnění (číst, zapisovat...)+ naznačit i rozšířené volby.
-----
Přidání Tabu security v Home bych řekl, že je košér. (jenom jemně seznámit s cacls)
Process Monitor bych do toho vůbec nedával. To chce daleko větší znalost.
----

Hezké, nechceš to sepsat? :-DMyslím že by to bylo maximálně užitečné, ale do konceptu seriálu o neprivilegovaných účtech mi to nezapadá - neřeší to žádný konkrétní problém s neprivilegovanými účty. Tam by zapadal díl "jak odhalit která aplikace zlobí" s process monitorem a následně použít obecné znalosti o administraci OS (tj. : tohle).Dosavadní díly byly koncipované takto:1) nevím co je uživatelský účet ani práva
2) nevím jak si účet založit a jak zkopírovat profil
3) nevím, že existuje nějaké RunAS
4) chci aktualizovat, ale v user účtu jsou s tím velké problémy

Výborná věc - takové poučení mělo být povinné v dokumentaci k Windows!Ale marketingové oddělení Microsoftu musí šířit krasožvásty a tom, jak snadná a zábavná je práce pod Windows...Ad "Automatické aktualizace" - zde je podraz, který Microsoft nějak zvlášť nezdůrazňuje:
Na webu MS jsou ke stažení záplaty. Některé bez ověření pravosti, jiné s ověřením. Ale pozor!
Některé z nich se musí ihned po stažení instalovat - jinak "zmizí" z disku. Jednoduše je nelze ukládat do zásoby pro pozdější instalaci, případně pro jejich integraci na instalační médium. Už se mi stalo (Vista), že instalovaná záplata z automatické aktualizace nebyla k nalezení na webu ke stažení.Takže po případné čisté instalaci nelze záplaty jednoduše natáhnout z disku ale, musí se znovu stahovat desítky MB dat.
Kdo nemá trvalé připojení k internetu má smůlu. Opravdu služba k pohledání.
Navíc jejich číslování je značně nepřehledné a v případě, že je vydána opakovaně záplata záplaty (běžný jev) je těžká orientace, co je co.

Zpět na články Přidat komentář k článku Nahoru