Přidat otázku mezi oblíbenéZasílat nové odpovědi e-mailemVyřešeno Windows: Spustit jako "omezenec" v admin účtu?

Při pročítání http://pc.poradna.net/q/reply/1014241-zakerny-viru s-a-boj-s-nim mě něco napadlo, nesmějte se mé případné naivitě..

Tak jako je v omezených účtech "Spustit jako..", kde se dají nastavit vyšší práva, koukám ve svém Win XP/32 Home na tutéž položku u Firefoxu:

[13781-spustit-jako-png]

Jiný (než administrátorský) účet nemám a nedovedu si představit tu práci, kdybych teď měl svůj stávající účet se stovkami a stovkami aplikací na omezený nějak změnit, překopírovat (na céčku mám navíc opravdu málo místa).

Co to obejít tak, že bych vytvořil nového uživatele "omezenec", nic v něm nenastavoval, prostě měl ho v rezervě. A ze svého admin účtu bych ve výše uvedeném dialogu pro FF nastavil Spustit jako "omezenec"? Spustil by se s omezenými právy, tudíž bezpečněji? Mělo by to vůbec smysl? Zabránilo by to případné instalaci malwaru? Nebo by bylo třeba upravit runas u dalších a dalších věcí (flashplayer)?

Řada aplikací/her korektně běží jen pod administrátorským účtem, s tím asi moc nenadělám. Pro nový PC s W7/Pro s omezeným účtem počítám od začátku, u těchto aplikací rovnou budu dávat výjimku runas admin.

Admin účet používím i u WinVista, kde mám ale zapnuto mě neobtěžující UAC. Nestačilo by toto i u sedmiček?

Díky za osvětu.

Předmět Autor Datum
velký bit existuje- přišel jsi na to. počti v letitých článcích vladimíra. ty se klidně spusti v mó…
kmochna 27.04.2013 07:41
kmochna
Myslel jsem si to. Ale tak trochu doufal :-)
L-Core 27.04.2013 07:46
L-Core
není na světě silnější spojnice než je uvědomělý admin a systém.
kmochna 27.04.2013 07:52
kmochna
Tak jsem to risknul. Vytvořil jsem omezence a v něm teď z FF píšu. Naimportoval jsem záložky, nasad…
L-Core 27.04.2013 08:18
L-Core
Restartnul jsem PC a se zájmem očekával, co naběhne (u účtů nemám hesla, v control userpasswords2 od…
L-Core 27.04.2013 08:45
L-Core
Neni to podle abecedy, ale podle toho, jaky ucet mas v UserPasswords2 zvoleny pro login bez prihlaso…
Jan Fiala 27.04.2013 08:46
Jan Fiala
Všechny. Právě proto tomu nerozumím. Ten zcenzurovaný je můj normální administrátorský. [13782-con-…
L-Core 27.04.2013 09:09
L-Core
Jen nápad: nepřihlási se to do posledního užívaného účtu před restartem? Já to nepoužívám (směle bro…
mif 27.04.2013 09:12
mif
To nevím. Mám strach restartovat z omezence, aby se něco nepokakalo. Mám dnes/zítra hodně práce a ne…
L-Core 27.04.2013 09:16
L-Core
OT: BOINC_admins? To mi připomíná minulé prázdniny, celé dva měsíce jsem se snažil na Debianu rozjet…
albru123 27.04.2013 13:47
albru123
Zdravím. Přihlašuje se to do toho účtu, na jakém je zrovna řádek když se zvolí nepožadovat heslo. Te…
Jan Kolář 29.04.2013 14:01
Jan Kolář
autologon?;-) nechceš spíš vyzkoušet admina a aplikaci spustit v omezenci?
kmochna 29.04.2013 04:01
kmochna
Kdybys to tady poradne cetl, tak bys vedel, ze nekdo tady ten vir chytil i v "omezenci", takze to co…
kurelaa 27.04.2013 09:21
kurelaa
Já vím, že třeba policejní vir se dá chytit i v omezenci. Ale nadělá menší paseku. Zbytečnost a krav…
L-Core 27.04.2013 10:50
L-Core
1) v omezeném účtu se vir nešíří dál - asi neplatí 100%, jenže i většina kindermodifikátorů virů jso…
lední brtník 27.04.2013 13:15
lední brtník
systémová záplata na update práv Myslíš MS12-054? Na aktualizovaných Windowsech (via winupdate) toh…
L-Core 27.04.2013 13:26
L-Core
v souvislosti s jiným fleqovým příspěvkem jen dotaz: co to jsou aktualizace? ale jo, myslel jsem ten…
lední brtník 27.04.2013 13:33
lední brtník
Já vím, jak to s aktualizacemi myslíš, četl jsem to. Jenže mé schopnosti zodpovědně rozhodnout, co p…
L-Core 27.04.2013 15:03
L-Core
Tohle sandbox: teď v dtestu zmiňovali avast, že ho má použitelný. bohužel, jen součástí problematic…
kurelaa 05.06.2013 07:53
kurelaa
to utvrzuje v tom, že radku neznáš princip fungování systému. tvůj program smetu (tak jako vir, nebo…
kmochna 05.06.2013 08:42
kmochna
Tomu nějak nerozumím. Když spustím prohlížeč v sandboxu, to není podobně, jako bych ho spustil ve V…
L-Core 05.06.2013 11:37
L-Core
začněmež od vejce: co si představuješ pod pojmem operační systém? sandboxing nechme stranou.
kmochna 05.06.2013 12:25
kmochna
Svými slovy? Nástroj schopen rozpoznat HW a využít jeho možnosti na spouštění aplikací. Nutné zlo.…
L-Core 05.06.2013 15:54
L-Core
a co když řeknu, že bez os nepojede nic? je to spojovatel mezi tvým hw a tvou aplikací, ale je to tv…
kmochna 05.06.2013 16:26
kmochna
Jasně, že OS věci dělat umí. Napsal jsem, že neumí věci, které bych očekával jako uživatel. Chci-li…
L-Core 05.06.2013 18:33
L-Core
ne, ve skutečnosti vykresluje obrázek i počítá graf systém. jistě, je tam zadavatel (program). je dů…
kmochna 05.06.2013 19:36
kmochna
No jasně, ale bez zadavatele, jen nástroji jádra OS, to vykreslí/spočítá kdo? Donutit obrazovku, aby…
L-Core 05.06.2013 20:00
L-Core
proč by ses měl trápit policekinder? já ti chci vysvětlit spojnici systém/ty. systém disponuje velic…
kmochna 05.06.2013 20:10
kmochna
musíš uznat systém No jo. A jak se s tím má popasovat BFU? Informace, že je systém/OS všemocný, ho…
L-Core 05.06.2013 20:32
L-Core
takže se vrátíte k velkému tlačítku, místo abyste pochopili podstatu?
kmochna 05.06.2013 20:48
kmochna
Mám dojem, že velké většině lidí nic jiného nezbývá. Nemají na to (a nemyslím tím, že jsou hloupí).…
L-Core 05.06.2013 21:25
L-Core
Když už tady tak různě hledáš a zkoušíš atd. Zkus si nainstalovat jen FW od Comoda - je to free a má… poslední
kurelaa 06.06.2013 10:23
kurelaa
Jsem jediný, kdo začíná mít dojem, že ani kmnocha neví o čem tady mluví??? :-)
MaSo 05.06.2013 21:42
MaSo
ale já vím o čem chci mluvit. jenom nevím jak. :-(
kmochna 06.06.2013 06:01
kmochna
Jen technická: zkoušels někdy klonovat účet z admina do "idiota"? Jestli jo (a pokud to vůbec jde),…
mif 27.04.2013 14:00
mif
Ne a nebudu. Založil jsem omezence, co jsem zkoušel, to nefunguje (mazání ikony z plochy, změna nas…
L-Core 27.04.2013 15:08
L-Core
já běžně dělám kopii do default usera, z kterého si pak přebírá nastavení nově přihlášený user bez p…
touchwood 29.04.2013 17:46
touchwood
otevírám starý dred, protože policie čr stále trápí uživatele.
kmochna 05.06.2013 05:05
kmochna

Tak jsem to risknul.

Vytvořil jsem omezence a v něm teď z FF píšu. Naimportoval jsem záložky, nasadil Flashblock. Ještě zjistit, zda mohu nějak do omezence (FF) naimportovat hesla, kterých mám v adminovi snad stovky. A lištu záložek.

K jiným aktivitám než surfování nebudu (na dožívajícím PC) omezence používat.

Win+L na přepínání účtů si snad zapamatuji :-)

Tím tedy končí i mé pokusy používat na FF virtualizovaný linux.

Restartnul jsem PC a se zájmem očekával, co naběhne (u účtů nemám hesla, v control userpasswords2 odškurtnuto, že uživatelé musí zadat login/heslo).

Naběhl původní admin účet (nikde v nastavení jsem nenašel, kde se dá priorita nastavit). Nebo je to "podle abecedy"? Účet "ja" je upřednostněn před "omezenec"?

Kdybys to tady poradne cetl, tak bys vedel, ze nekdo tady ten vir chytil i v "omezenci", takze to co vymyslis, je zbytecnost a kravina. To za prve a za druhe, ten tvuj pozadavek resi velice jednoduse spusteni prohliceze v sandboxu a nemusis vymyslet kraviny s "omezencem". Staci jen mit trosku prehled v programech, co tohle (sandbox) nabizi, a je jich dost.

Já vím, že třeba policejní vir se dá chytit i v omezenci. Ale nadělá menší paseku. Zbytečnost a kravina (obecně) jsou poněkud silná slova, i když připouštím, že se tím také neřídím, když první omezený účet za více jak dvacet let na PC jsem vytvořil až dnes :-)

Mohl bys být s tím spuštěním FF v Sandboxu konkrétnější a trochu to rozepsat, s uvedením linků?

1) v omezeném účtu se vir nešíří dál - asi neplatí 100%, jenže i většina kindermodifikátorů virů jsou lamy
2) šíření se dá dost úspěšně zabránit: aktualizovaná nebo žádná java, aktualizovaný flash player, aktualizovaný nebo příliš starý nebo alternativní pdf reader - a systémová záplata na update práv.

sandbox: teď v dtestu zmiňovali avast, že ho má použitelný. bohužel, jen součástí problematického "internet security".

v souvislosti s jiným fleqovým příspěvkem jen dotaz: co to jsou aktualizace?
ale jo, myslel jsem tento ms12-054.

v tom tvém obrázku "control userpasswords2" mě fascinuje, že tam vidím uživatele guest. používá se pro ulehčení při mapování disků (bez znalosti sdílecího účtu), ale je to bezpečnostní díra do systému - zakázat.

Já vím, jak to s aktualizacemi myslíš, četl jsem to. Jenže mé schopnosti zodpovědně rozhodnout, co potřeba je a co ne, nedosahují patřičné úrovně, proto čas od času (co 2-3 měsíce) zapnu winupdate (automatické aktualizace mám zakázány). Ne onen "aktualizační den" začátkem měsíce, ale obvykle kolem 25. Pokud by se vyskytlo něco neodkladného, na diit, živě a dalších by o tom psali, to bych reagoval hbitěji.

Guest je zakázaný, akorát to tam není v CU2 vidět.

[13785-g-png]

Tohle

sandbox: teď v dtestu zmiňovali avast, že ho má použitelný. bohužel, jen součástí problematického "internet security".

je samozřejmě nesmysl a tvoje neznalost, kdyý se opět vyjadřuješ k něčemu, co neznáš. Avast má sandbox už ve free verzi AV 43avast.gif, nicméně jednim z nejlíp vyřešených sandboxů například na spuštění prohlížeče disponuje Comodo Firewall, pak Sandboxie nebo třeba balík Kaspersky.

Tomu nějak nerozumím.

Když spustím prohlížeč v sandboxu, to není podobně, jako bych ho spustil ve VM (na virtuálním stroji)? Nebo může nějak ten policejní vir sandbox shodit? Může shodit své prostředí, ve kterém běží? Předpokládám, že když si nakazím VM, tak se nákaza (pokud ji-příslušné soubory úmyslně nebudu kopírovat jinam, na hostitelský OS) mimo VM nerozšíří. Že pokud nakažený VM smažu (obnovím z nezavirované zálohy), je po policajtech.

Jasně, že OS věci dělat umí. Napsal jsem, že neumí věci, které bych očekával jako uživatel. Chci-li něco napsat, potřebuju textový editor (jedno zda Word či Notepad či edit.com z MS-DOSu). Chci-li něco namalovat, grafický editor (jedno zda Paint či Photoshop). Chci-li spočítat odmocninu, tak kalkulačku (jedno zda Calc či Mathematica).

OS sám o sobě nezkomprimuje video, nepřevede *bmp do *jpg, nepřehraje *mp3, nevytvoří graf v Excelu. OS je nutné jádro, kernel, obsahuje potřebné nástroje a předpoklady pro běh konkrétních, nad OS vytvořených aplikací. Jako v té mé dBASE; sama o sobě je neužitečná. Ale umožní mi naprogramovat cokoliv (k čemu je určena).

Dobře mě zkoušíš, ale já zas tak moc toho nevím :-)

Možná jsme trochu odbočili; od té (ne)bezpečnosti sandboxu/VM..
Vlezu-li kamkoliv z live linuxu - nebo i z live Windows - a natahám si na ramdisk jakékoliv viry, jejich činnost končí s restartem. HDD nedotčen. Očekával bych podobnou funkci i od sandboxu (nikdy jsem nezkoušel) či VM. Není-li tomu tak vždy, tak padla moje "jistota".

Prostě to nevím.

edit: nejraději bych, kdybychom ty policajty nakonec rozetli, našli způsob, jak je definitivně pokořit. Aby to dokázal i BFU bez Markových znalostí a utilit.

No jasně, ale bez zadavatele, jen nástroji jádra OS, to vykreslí/spočítá kdo? Donutit obrazovku, aby na ní byl excelovský graf bez nainstalování čehokoliv kromě holého OS bude velmi, velmi nesnadné (prakticky nemožné).

Možná moc akademický směr debaty, hierarchii: "hardware - CMOS/BIOS - OS+drivery - aplikace - uživatel a jeho chtíče" zjednodušeně chápu. Co nechápu, je nevyslovená možnost napadení OS ze sandboxu, VM. Proto jsem to tu oživil.

Jako "trochu lépe poučený uživatel PC" mám ale o svých znalostech systému docela pochyby, a proto se trápím :-p

proč by ses měl trápit policekinder? já ti chci vysvětlit spojnici systém/ty. systém disponuje velice mocnou zbraní- deskriptory zabezpečení, v předchozích příspěvcích jsem se ti snažil vysvětlit, že systém je všudypřístupný. dej si to dohromady- vyjde z toho zajímavá věc. musíš uznat systém.

musíš uznat systém

No jo. A jak se s tím má popasovat BFU? Informace, že je systém/OS všemocný, ho neochrání. On potřebuje buď nástroje (ten pasivnější) nebo postupy, návody (ten aktivnější).

Obecně snad tuším, kam směřuješ, ale konkrétně to "udělat" neumím, nemám na to znalosti. A to se v rámci populace považuji za nadstandardně proškoleného; kdybych vzal lidi s počítači z naší uličky, byl bych mezi nimi někde v "top five". Většina userů o tady těchto věcech vůbec netuší - a taky by asi rádi byli v bezpečí.

Mám dojem, že velké většině lidí nic jiného nezbývá. Nemají na to (a nemyslím tím, že jsou hloupí).

Vezmi sekretářku, ona nepotřebuje/nechce chápat podstatu OS, ona má psát dopisy, vybírat/odesílat maily, zjišťovat informace na webu. A taky by zasloužila "ochranu". Ano, možná vyfasuje omezený účet. Ale to (viz policejní vir) není všespasitelné. Nebo vem grafika, projektanta, účetního, hráče her..

Velmi rád se "velkých tlačítek" vyvaruji, když si dovedu poradit jinak - což ale není vždy. Ale píšeš skoro v hádankách a zeširoka, že konkrétně jsem pořád na začátku. Mně šlo přitom teď hlavně o to pískoviště či virtuální stroj a nechtěný přenos něčeho mimo ně.

Rád bych pronikl hlouběji, ale nemám na to potřebné znalosti, zkušenosti - a ani čas se vším poctivě prokousat.

Když už tady tak různě hledáš a zkoušíš atd. Zkus si nainstalovat jen FW od Comoda - je to free a má to plnohodnotný sandbox + to umí spouštět ve virtuálu prohlížeče. Dovolím si tvrdit, že budeš velice mile překvapen. Je to asi milionkrát pohodlnější, než omezenec a hlavně může ovládat i BFU a má s tím míň problémů, než s omezencem. Hlavně tě to minimálně stejně ochrání a bude ti fungovat vše. Jestli máš starý PC nebo virtuál, tak si to zkus. Pak si v něm zapni plnou virtualizaci. Spusť si prohlížeč v sandboxu a klidně si stáhni nějaký škodlivý SW. Zatím jsem se v nové verzi Comoda nesetkal s žádným malware, který by pronikl z virtuálu ven a někdy jich zkouším i 50 denně, podle toho, jak se sejdou vzorky a jak je chuť. Když už něco chytíš, klikneš na VYMAZAT SANDBOX a jedeš dál - otázka 3-5s(nerestartuješ PC). a vše postahované, instalované je pryč. Comodo se naučíš bez problémů ovládat. Trošku doporučuju se v něm povrtat a pozjišťovat co k čemu slouží a pokud se rozhodneš ho používat, doporučuju použít návod k nastavení od Chiron. Doporučuju taky použít jeho DNS a při instalaci povolit cloud. Neznámé soubory to pak může prověřovat (cloud není AV, ten se dá doinstalovat - nehlídá ale poštu a nemá webshield) a je to další malý plus. Můžeš si pak taky zkusmo pustit nějaký malware, abys věděl, jak se s tím vypořádá. Uděláš si svoje vlastní zkušenosti a nebudeš odkázaný na tlachání lidí, kteří nic z toho neznají, ani to nezkoušeli, ale jinak jsou mistři světa. Když budu mít někdy slabou chvilku a nebudu mít co dělat, možná ti udělám video.

Ne a nebudu.

Založil jsem omezence, co jsem zkoušel, to nefunguje (mazání ikony z plochy, změna nastavení TC - příčiny vím: instalováno pro all_users, *ini v progfiles). FF funguje, ale ne tak jako jsem zvyklý u admina, musel bych si pohrát s about:config, nastavením cookies atd…

Těch pár týdnů to nějak přečkám, zabezpečení W7/Pro budu řešit hned od začátku.

já běžně dělám kopii do default usera, z kterého si pak přebírá nastavení nově přihlášený user bez profilu.

Je třeba dávat majzla na cesty, typicky v registrech (HKCU před kopírováním), tam je třeba ponahrazovat cesty absolutní vedoucí do profilu pomocí proměnných, např. %USERPROFILE%\plocha\soubor.txt

Zpět do poradny Odpovědět na původní otázku Nahoru