Семейная безопасность в Windows 8 RP

[Dmitrig 40]

Я давно привык создавать для работы на компьютере учётные записи с ограниченными правами. И для себя и для всех членов своей семьи. То же самое я сделал, установив Windows 8 RP. Создал три ограниченных учётных записи (учётных записи майкрософт) для повседневной работы и одну учётную запись администратора (локальную) для управления компьютером.

Сегодня решил опробовать функции семейной безопасности. Обнаружил, что из ограниченной учётной записи управлять семейной безопасностью, как это было в предыдущих версиях, невозможно. UAC, как и раньше, сначала запрашивает пароль администратора, но затем требует для него переключиться на учётную запись майкрософт. Это означает, что я вынужден создавать для чисто технической на моём компьютере учётной записи администратора аккаунт Live ID. Либо дать своей учётной записи права администратора. Первый вариант неприемлем однозначно. А как на счёт второго? Я всегда считал, что снижаю уровень безопасности, когда в своей повседневной работе использую учётную запись администратора. В Windows 8 что-то изменилось на этот счёт?

В блоге создания Windows 8 разработчики пишут: " Мы уже давно рекомендуем родителям входить в систему как администратор и проследить за тем, чтобы у детей были отдельные стандартные учетные записи. "

http://blogs.msdn.com/b/b8_ru/archive/2012...ily-safety.aspx

Неужели майкрософт стала рекомендовать для повседневной работы учётную запись с администраторскими правами?

[WindowsNT 100]

Всегда и везде следует работать только от лица стандартного пользователя, и это нормально. Но UAC не является Security Boundary. Для настройки системы входите отдельно настоящим Администратором через команду Switch User.

[SDA 750]

Но UAC не является Security Boundary. Для настройки системы входите отдельно настоящим Администратором через команду Switch User.

"настоящий Администратор" т.е. учетка суперадмина по дефолту и в семерке и восьмерке отключена

Пользовательская настройка User делается локальным админом. После чего можно заходить в любую учетку, как при загрузке, так и в процессе работы-[Ctrl]+[Alt]+[Delete] - «Сменить пользователя» (Switch User). Если открыть учетку супера, то будут три учетки - супер админ, локальный админ и User.

Неужели майкрософт стала рекомендовать для повседневной работы учётную запись с администраторскими правами?

С правами локального админа и только для взрослых.

[WindowsNT 100]

Dear Dmitrig, сообщение от sdg можете не принимать во внимание.

Все административные учётные записи в Windows равноправны. То есть, никакого т.н. "супер-администратора" не существует. Встроенная учётная запись Administrator обладает теми же привилегиями, что и любой другой член локальной группы Administrators.

Более того, его утверждение о том, что Microsoft якобы стала рекомендовать взрослым для повседневной работы использовать учётную запись с привилегиями локального администратора, является ложью. Это не так. Смысл приведённой вами цитаты заключается вот где: "...проследить за тем, чтобы у детей были отдельные стандартные учетные записи", так как до сих пор многие люди совершенно не понимают, что допускать детей (да и не только детей) к компьютеру с административными привилегиями ни в коем случае нельзя.

[Umnik 997]

Бррр. Администраторы по умолчанию в 7-ке являются, в общем-то, юзерами. Для них, через UAC, будет повышение прав до Админстратора, когдна нужно. А встроенный отключенный Administrator, это админ с принудительно отключенным UAC. Ползунок можно хоть до максимума задрать все равно ограничения работать не будут. Чтобы себе так сделать, нужно у своей админской учетки поставить ползунок UAC на минимум.

[SDA 750]

Dear Dmitrig, сообщение от sdg можете не принимать во внимание.

Все административные учётные записи в Windows равноправны. То есть, никакого т.н. "супер-администратора" не существует. Встроенная учётная запись Administrator обладает теми же привилегиями, что и любой другой член локальной группы Administrators.

Более того, его утверждение о том, что Microsoft якобы стала рекомендовать взрослым для повседневной работы использовать учётную запись с привилегиями локального администратора, является ложью. Это не так. Смысл приведённой вами цитаты заключается вот где: "...проследить за тем, чтобы у детей были отдельные стандартные учетные записи", так как до сих пор многие люди совершенно не понимают, что допускать детей (да и не только детей) к компьютеру с административными привилегиями ни в коем случае нельзя.

Учите мат.часть

http://www.securitylab.ru/contest/396377.php

http://wininfo.org.ua/windows-seven/nastro...-windows-7.html

http://www.wseven.info/administrator/

[SDA 750]

Бррр. Администраторы по умолчанию в 7-ке являются, в общем-то, юзерами. Для них, через UAC, будет повышение прав до Админстратора, когдна нужно. А встроенный отключенный Administrator, это админ с принудительно отключенным UAC. Ползунок можно хоть до максимума задрать все равно ограничения работать не будут. Чтобы себе так сделать, нужно у своей админской учетки поставить ползунок UAC на минимум.

Даже с UAC на минимум стандартный/локальный админ, не обладает всеми правами. Ради эксперимента, попробуй "поправить" какой нибудь" системный файл

Как то даже неудобно, незнать такие прописные истины.

В Windows 7 по умолчанию отключена встроенная учетная запись Administrator (Администратор), обладающая наивысшими правами. Это сделано для того, чтобы ограничить воздействие неопытных пользователей и вредоносных программ на системные процессы.

[Umnik 997]

"Какой-нибудь" системный файло трудно поправить хотябы потому что он как раз сейчас используется системой.

[WindowsNT 100]

Учите мат.часть

http://www.securitylab.ru/contest/396377.php

http://wininfo.org.ua/windows-seven/nastro...-windows-7.html

http://www.wseven.info/administrator/

Да-да, "..поклонников популярной мифологии о всемогуществе встроенной учетной записи «Администратор», чье единственное отличие от остальных администраторов в том, что на нее по умолчанию не распространяется UAC.", http://www.securitylab.ru/contest/396377.php

Кроме исключения UAC по умолчанию, встроенная учётная запись Administrator не обладает никакими особыми правами по сравнению с другими администраторами. Более того, UAC не является Security Boundary, и SID S-1-5-32-544 добавляется в Access Token любого члена локальной группы Administrators по первому требованию.

Во всём остальном все члены локальной группы Administrators равноправны. Проверьте DACL нужного системного файла, например. Или DACL любого системного ключа реестра. И не грубите мне в рейтинг, я с вами щи лаптями на брудершафт не хлебал.

-------------------------------

Peter G.

Microsoft Certified Trainer; Cisco Certified Systems Instructor;

MVP: Enterprise Security; MCITP: Enterprise Administrator;

Certified Ethical Hacker; Microsoft Security Trusted Advisor.

[SDA 750]

"Какой-нибудь" системный файло трудно поправить хотябы потому что он как раз сейчас используется системой.

Можно взять даже не системный файл. Пример: правил обычный текстовый файл в популярной стратегии Rome: Total War (читерил, увеличивал количество денег ) из под локального админа система не давала сохранить измененный файл. В открытой супер учетке без проблем. Кстати, UAC в этой учетке вообще нет

[Dmitrig 40]

Учите мат.часть

Вот то, что я искал:

У административной учетной записи есть все необходимые права, но когда UAC включен, абсолютно все задачи запускаются с правами обычного пользователя. И происходит это до тех пор, пока для продолжения работы не потребуются полные права администратора. Именно в этот момент и появляется запрос контроля учетных записей, который служит сигналом о том, что программе необходимы административные полномочия. Когда UAC включен, вся разница между работой администратором и обычным пользователем сводится к тому, что в первом случае для продолжения работы вам достаточно нажать кнопку «Да», а во втором – потребуется ввести пароль любого имеющегося в системе администратора.

Получается, что для пользователя разница между админской учёткой и обычной лишь в способе взаимодействия с УАК. В одном случае нужно вводить пароль, а в другом просто нажать "да". Если это всё действительно так, то нет никаких проблем.

[SDA 750]

Вот то, что я искал:

Получается, что для пользователя разница между админской учёткой и обычной лишь в способе взаимодействия с УАК. В одном случае нужно вводить пароль, а в другом просто нажать "да". Если это всё действительно так, то нет никаких проблем.

Все правильно для локальной админской учетки. В суперадминской учетке все задачи запускаются с административными правами, UAC там просто отсутствует.

[Dmitrig 40]

Все правильно для локальной админской учетки. В суперадминской учетке все задачи запускаются с административными правами, UAC там просто отсутствует.

Ок, всё понятно. Спасибо.

[wiger123 0]

It turns out that the aberration amid the user admins uchetka and usually alone in the way of alternation with the UAC. In one case, you charge access the password, and the added artlessly bang "yes." If this is all true, again there is no problem