Windows: Spustit jako "omezenec" v admin účtu?
Při pročítání http://pc.poradna.net/q/reply/1014241-zakerny-viru s-a-boj-s-nim mě něco napadlo, nesmějte se mé případné naivitě..
Tak jako je v omezených účtech "Spustit jako..", kde se dají nastavit vyšší práva, koukám ve svém Win XP/32 Home na tutéž položku u Firefoxu:
Jiný (než administrátorský) účet nemám a nedovedu si představit tu práci, kdybych teď měl svůj stávající účet se stovkami a stovkami aplikací na omezený nějak změnit, překopírovat (na céčku mám navíc opravdu málo místa).
Co to obejít tak, že bych vytvořil nového uživatele "omezenec", nic v něm nenastavoval, prostě měl ho v rezervě. A ze svého admin účtu bych ve výše uvedeném dialogu pro FF nastavil Spustit jako "omezenec"? Spustil by se s omezenými právy, tudíž bezpečněji? Mělo by to vůbec smysl? Zabránilo by to případné instalaci malwaru? Nebo by bylo třeba upravit runas u dalších a dalších věcí (flashplayer)?
Řada aplikací/her korektně běží jen pod administrátorským účtem, s tím asi moc nenadělám. Pro nový PC s W7/Pro s omezeným účtem počítám od začátku, u těchto aplikací rovnou budu dávat výjimku runas admin.
Admin účet používím i u WinVista, kde mám ale zapnuto mě neobtěžující UAC. Nestačilo by toto i u sedmiček?
Díky za osvětu.
velký bit existuje- přišel jsi na to. počti v letitých článcích vladimíra.
ty se klidně spusti v módu admina a jen ten program v omezeném.
Myslel jsem si to. Ale tak trochu doufal
není na světě silnější spojnice než je uvědomělý admin a systém.
Tak jsem to risknul.
Vytvořil jsem omezence a v něm teď z FF píšu. Naimportoval jsem záložky, nasadil Flashblock. Ještě zjistit, zda mohu nějak do omezence (FF) naimportovat hesla, kterých mám v adminovi snad stovky. A lištu záložek.
K jiným aktivitám než surfování nebudu (na dožívajícím PC) omezence používat.
Win+L na přepínání účtů si snad zapamatuji
Tím tedy končí i mé pokusy používat na FF virtualizovaný linux.
Restartnul jsem PC a se zájmem očekával, co naběhne (u účtů nemám hesla, v control userpasswords2 odškurtnuto, že uživatelé musí zadat login/heslo).
Naběhl původní admin účet (nikde v nastavení jsem nenašel, kde se dá priorita nastavit). Nebo je to "podle abecedy"? Účet "ja" je upřednostněn před "omezenec"?
Neni to podle abecedy, ale podle toho, jaky ucet mas v UserPasswords2 zvoleny pro login bez prihlasovani.
Všechny. Právě proto tomu nerozumím. Ten zcenzurovaný je můj normální administrátorský.
Jen nápad: nepřihlási se to do posledního užívaného účtu před restartem? Já to nepoužívám (směle browsím s jediným admin účtem), takže nevyzkouším.
To nevím. Mám strach restartovat z omezence, aby se něco nepokakalo. Mám dnes/zítra hodně práce a nerad bych laboroval s obnovou OS. To jen teď, než do kanclu dorazí manželka, tak lelkuju…
OT: BOINC_admins? To mi připomíná minulé prázdniny, celé dva měsíce jsem se snažil na Debianu rozjet BOINC server, ale tohle asi bude něco trochu jiného.
Zdravím. Přihlašuje se to do toho účtu, na jakém je zrovna řádek když se zvolí nepožadovat heslo. Ten řádek je vždy na jednom z účtů.
autologon?
nechceš spíš vyzkoušet admina a aplikaci spustit v omezenci?
Kdybys to tady poradne cetl, tak bys vedel, ze nekdo tady ten vir chytil i v "omezenci", takze to co vymyslis, je zbytecnost a kravina. To za prve a za druhe, ten tvuj pozadavek resi velice jednoduse spusteni prohliceze v sandboxu a nemusis vymyslet kraviny s "omezencem". Staci jen mit trosku prehled v programech, co tohle (sandbox) nabizi, a je jich dost.
Já vím, že třeba policejní vir se dá chytit i v omezenci. Ale nadělá menší paseku. Zbytečnost a kravina (obecně) jsou poněkud silná slova, i když připouštím, že se tím také neřídím, když první omezený účet za více jak dvacet let na PC jsem vytvořil až dnes
Mohl bys být s tím spuštěním FF v Sandboxu konkrétnější a trochu to rozepsat, s uvedením linků?
1) v omezeném účtu se vir nešíří dál - asi neplatí 100%, jenže i většina kindermodifikátorů virů jsou lamy
2) šíření se dá dost úspěšně zabránit: aktualizovaná nebo žádná java, aktualizovaný flash player, aktualizovaný nebo příliš starý nebo alternativní pdf reader - a systémová záplata na update práv.
sandbox: teď v dtestu zmiňovali avast, že ho má použitelný. bohužel, jen součástí problematického "internet security".
Myslíš MS12-054?
Na aktualizovaných Windowsech (via winupdate) tohle určitě (snad!) bude.
v souvislosti s jiným fleqovým příspěvkem jen dotaz: co to jsou aktualizace?
ale jo, myslel jsem tento ms12-054.
v tom tvém obrázku "control userpasswords2" mě fascinuje, že tam vidím uživatele guest. používá se pro ulehčení při mapování disků (bez znalosti sdílecího účtu), ale je to bezpečnostní díra do systému - zakázat.
Já vím, jak to s aktualizacemi myslíš, četl jsem to. Jenže mé schopnosti zodpovědně rozhodnout, co potřeba je a co ne, nedosahují patřičné úrovně, proto čas od času (co 2-3 měsíce) zapnu winupdate (automatické aktualizace mám zakázány). Ne onen "aktualizační den" začátkem měsíce, ale obvykle kolem 25. Pokud by se vyskytlo něco neodkladného, na diit, živě a dalších by o tom psali, to bych reagoval hbitěji.
Guest je zakázaný, akorát to tam není v CU2 vidět.
Tohle
je samozřejmě nesmysl a tvoje neznalost, kdyý se opět vyjadřuješ k něčemu, co neznáš. Avast má sandbox už ve free verzi AV 43avast.gif, nicméně jednim z nejlíp vyřešených sandboxů například na spuštění prohlížeče disponuje Comodo Firewall, pak Sandboxie nebo třeba balík Kaspersky.
to utvrzuje v tom, že radku neznáš princip fungování systému. tvůj program smetu (tak jako vir, nebo antivir- je to jen aplikace) jednou tlapou. vysvětli mi to.
Tomu nějak nerozumím.
Když spustím prohlížeč v sandboxu, to není podobně, jako bych ho spustil ve VM (na virtuálním stroji)? Nebo může nějak ten policejní vir sandbox shodit? Může shodit své prostředí, ve kterém běží? Předpokládám, že když si nakazím VM, tak se nákaza (pokud ji-příslušné soubory úmyslně nebudu kopírovat jinam, na hostitelský OS) mimo VM nerozšíří. Že pokud nakažený VM smažu (obnovím z nezavirované zálohy), je po policajtech.
začněmež od vejce: co si představuješ pod pojmem operační systém? sandboxing nechme stranou.
Svými slovy?
Nástroj schopen rozpoznat HW a využít jeho možnosti na spouštění aplikací. Nutné zlo. "Softwarový soustruh".
Sám o sobě(!) neumí nic, co by mě jako uživatele mělo uspokojit. To umí až aplikace v něm běžící.
a co když řeknu, že bez os nepojede nic? je to spojovatel mezi tvým hw a tvou aplikací, ale je to tvé rozhraní. samo o sobě umí velmi mnoho.
jak l-core si představuješ zapojení a zpřístupnění věcí? čím to je?
edit// ano svými slovy
Jasně, že OS věci dělat umí. Napsal jsem, že neumí věci, které bych očekával jako uživatel. Chci-li něco napsat, potřebuju textový editor (jedno zda Word či Notepad či edit.com z MS-DOSu). Chci-li něco namalovat, grafický editor (jedno zda Paint či Photoshop). Chci-li spočítat odmocninu, tak kalkulačku (jedno zda Calc či Mathematica).
OS sám o sobě nezkomprimuje video, nepřevede *bmp do *jpg, nepřehraje *mp3, nevytvoří graf v Excelu. OS je nutné jádro, kernel, obsahuje potřebné nástroje a předpoklady pro běh konkrétních, nad OS vytvořených aplikací. Jako v té mé dBASE; sama o sobě je neužitečná. Ale umožní mi naprogramovat cokoliv (k čemu je určena).
Dobře mě zkoušíš, ale já zas tak moc toho nevím
Možná jsme trochu odbočili; od té (ne)bezpečnosti sandboxu/VM..
Vlezu-li kamkoliv z live linuxu - nebo i z live Windows - a natahám si na ramdisk jakékoliv viry, jejich činnost končí s restartem. HDD nedotčen. Očekával bych podobnou funkci i od sandboxu (nikdy jsem nezkoušel) či VM. Není-li tomu tak vždy, tak padla moje "jistota".
Prostě to nevím.
edit: nejraději bych, kdybychom ty policajty nakonec rozetli, našli způsob, jak je definitivně pokořit. Aby to dokázal i BFU bez Markových znalostí a utilit.
ne, ve skutečnosti vykresluje obrázek i počítá graf systém. jistě, je tam zadavatel (program). je důležité znát svůj systém. nebudeš se trápit blbostma.,
No jasně, ale bez zadavatele, jen nástroji jádra OS, to vykreslí/spočítá kdo? Donutit obrazovku, aby na ní byl excelovský graf bez nainstalování čehokoliv kromě holého OS bude velmi, velmi nesnadné (prakticky nemožné).
Možná moc akademický směr debaty, hierarchii: "hardware - CMOS/BIOS - OS+drivery - aplikace - uživatel a jeho chtíče" zjednodušeně chápu. Co nechápu, je nevyslovená možnost napadení OS ze sandboxu, VM. Proto jsem to tu oživil.
Jako "trochu lépe poučený uživatel PC" mám ale o svých znalostech systému docela pochyby, a proto se trápím
proč by ses měl trápit policekinder? já ti chci vysvětlit spojnici systém/ty. systém disponuje velice mocnou zbraní- deskriptory zabezpečení, v předchozích příspěvcích jsem se ti snažil vysvětlit, že systém je všudypřístupný. dej si to dohromady- vyjde z toho zajímavá věc. musíš uznat systém.
No jo. A jak se s tím má popasovat BFU? Informace, že je systém/OS všemocný, ho neochrání. On potřebuje buď nástroje (ten pasivnější) nebo postupy, návody (ten aktivnější).
Obecně snad tuším, kam směřuješ, ale konkrétně to "udělat" neumím, nemám na to znalosti. A to se v rámci populace považuji za nadstandardně proškoleného; kdybych vzal lidi s počítači z naší uličky, byl bych mezi nimi někde v "top five". Většina userů o tady těchto věcech vůbec netuší - a taky by asi rádi byli v bezpečí.
takže se vrátíte k velkému tlačítku, místo abyste pochopili podstatu?
Mám dojem, že velké většině lidí nic jiného nezbývá. Nemají na to (a nemyslím tím, že jsou hloupí).
Vezmi sekretářku, ona nepotřebuje/nechce chápat podstatu OS, ona má psát dopisy, vybírat/odesílat maily, zjišťovat informace na webu. A taky by zasloužila "ochranu". Ano, možná vyfasuje omezený účet. Ale to (viz policejní vir) není všespasitelné. Nebo vem grafika, projektanta, účetního, hráče her..
Velmi rád se "velkých tlačítek" vyvaruji, když si dovedu poradit jinak - což ale není vždy. Ale píšeš skoro v hádankách a zeširoka, že konkrétně jsem pořád na začátku. Mně šlo přitom teď hlavně o to pískoviště či virtuální stroj a nechtěný přenos něčeho mimo ně.
Rád bych pronikl hlouběji, ale nemám na to potřebné znalosti, zkušenosti - a ani čas se vším poctivě prokousat.
Když už tady tak různě hledáš a zkoušíš atd. Zkus si nainstalovat jen FW od Comoda - je to free a má to plnohodnotný sandbox + to umí spouštět ve virtuálu prohlížeče. Dovolím si tvrdit, že budeš velice mile překvapen. Je to asi milionkrát pohodlnější, než omezenec a hlavně může ovládat i BFU a má s tím míň problémů, než s omezencem. Hlavně tě to minimálně stejně ochrání a bude ti fungovat vše. Jestli máš starý PC nebo virtuál, tak si to zkus. Pak si v něm zapni plnou virtualizaci. Spusť si prohlížeč v sandboxu a klidně si stáhni nějaký škodlivý SW. Zatím jsem se v nové verzi Comoda nesetkal s žádným malware, který by pronikl z virtuálu ven a někdy jich zkouším i 50 denně, podle toho, jak se sejdou vzorky a jak je chuť. Když už něco chytíš, klikneš na VYMAZAT SANDBOX a jedeš dál - otázka 3-5s(nerestartuješ PC). a vše postahované, instalované je pryč. Comodo se naučíš bez problémů ovládat. Trošku doporučuju se v něm povrtat a pozjišťovat co k čemu slouží a pokud se rozhodneš ho používat, doporučuju použít návod k nastavení od Chiron. Doporučuju taky použít jeho DNS a při instalaci povolit cloud. Neznámé soubory to pak může prověřovat (cloud není AV, ten se dá doinstalovat - nehlídá ale poštu a nemá webshield) a je to další malý plus. Můžeš si pak taky zkusmo pustit nějaký malware, abys věděl, jak se s tím vypořádá. Uděláš si svoje vlastní zkušenosti a nebudeš odkázaný na tlachání lidí, kteří nic z toho neznají, ani to nezkoušeli, ale jinak jsou mistři světa. Když budu mít někdy slabou chvilku a nebudu mít co dělat, možná ti udělám video.
Jsem jediný, kdo začíná mít dojem, že ani kmnocha neví o čem tady mluví???
ale já vím o čem chci mluvit. jenom nevím jak.
Jen technická: zkoušels někdy klonovat účet z admina do "idiota"? Jestli jo (a pokud to vůbec jde), jak se to v tom blbově účtu chová?
Ne a nebudu.
Založil jsem omezence, co jsem zkoušel, to nefunguje (mazání ikony z plochy, změna nastavení TC - příčiny vím: instalováno pro all_users, *ini v progfiles). FF funguje, ale ne tak jako jsem zvyklý u admina, musel bych si pohrát s about:config, nastavením cookies atd…
Těch pár týdnů to nějak přečkám, zabezpečení W7/Pro budu řešit hned od začátku.
já běžně dělám kopii do default usera, z kterého si pak přebírá nastavení nově přihlášený user bez profilu.
Je třeba dávat majzla na cesty, typicky v registrech (HKCU před kopírováním), tam je třeba ponahrazovat cesty absolutní vedoucí do profilu pomocí proměnných, např. %USERPROFILE%\plocha\soubor.txt
otevírám starý dred, protože policie čr stále trápí uživatele.