Семейная безопасность в Windows 8 RP - Общий форум по информационной безопасности - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

Dmitrig

Я давно привык создавать для работы на компьютере учётные записи с ограниченными правами. И для себя и для всех членов своей семьи. То же самое я сделал, установив Windows 8 RP. Создал три ограниченных учётных записи (учётных записи майкрософт) для повседневной работы и одну учётную запись администратора (локальную) для управления компьютером.

Сегодня решил опробовать функции семейной безопасности. Обнаружил, что из ограниченной учётной записи управлять семейной безопасностью, как это было в предыдущих версиях, невозможно. UAC, как и раньше, сначала запрашивает пароль администратора, но затем требует для него переключиться на учётную запись майкрософт. Это означает, что я вынужден создавать для чисто технической на моём компьютере учётной записи администратора аккаунт Live ID. Либо дать своей учётной записи права администратора. Первый вариант неприемлем однозначно. А как на счёт второго? Я всегда считал, что снижаю уровень безопасности, когда в своей повседневной работе использую учётную запись администратора. В Windows 8 что-то изменилось на этот счёт?

В блоге создания Windows 8 разработчики пишут: " Мы уже давно рекомендуем родителям входить в систему как администратор и проследить за тем, чтобы у детей были отдельные стандартные учетные записи. "

http://blogs.msdn.com/b/b8_ru/archive/2012...ily-safety.aspx

Неужели майкрософт стала рекомендовать для повседневной работы учётную запись с администраторскими правами?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WindowsNT

Всегда и везде следует работать только от лица стандартного пользователя, и это нормально. Но UAC не является Security Boundary. Для настройки системы входите отдельно настоящим Администратором через команду Switch User.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Но UAC не является Security Boundary. Для настройки системы входите отдельно настоящим Администратором через команду Switch User.

:facepalm:

"настоящий Администратор" т.е. учетка суперадмина по дефолту и в семерке и восьмерке отключена :lol:

Пользовательская настройка User делается локальным админом. После чего можно заходить в любую учетку, как при загрузке, так и в процессе работы-[Ctrl]+[Alt]+[Delete] - «Сменить пользователя» (Switch User). Если открыть учетку супера, то будут три учетки - супер админ, локальный админ и User.

Неужели майкрософт стала рекомендовать для повседневной работы учётную запись с администраторскими правами?

С правами локального админа и только для взрослых.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WindowsNT

Dear Dmitrig, сообщение от sdg можете не принимать во внимание.

Все административные учётные записи в Windows равноправны. То есть, никакого т.н. "супер-администратора" не существует. Встроенная учётная запись Administrator обладает теми же привилегиями, что и любой другой член локальной группы Administrators.

Более того, его утверждение о том, что Microsoft якобы стала рекомендовать взрослым для повседневной работы использовать учётную запись с привилегиями локального администратора, является ложью. Это не так. Смысл приведённой вами цитаты заключается вот где: "...проследить за тем, чтобы у детей были отдельные стандартные учетные записи", так как до сих пор многие люди совершенно не понимают, что допускать детей (да и не только детей) к компьютеру с административными привилегиями ни в коем случае нельзя.

  • Upvote 5
  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Бррр. Администраторы по умолчанию в 7-ке являются, в общем-то, юзерами. Для них, через UAC, будет повышение прав до Админстратора, когдна нужно. А встроенный отключенный Administrator, это админ с принудительно отключенным UAC. Ползунок можно хоть до максимума задрать все равно ограничения работать не будут. Чтобы себе так сделать, нужно у своей админской учетки поставить ползунок UAC на минимум.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Dear Dmitrig, сообщение от sdg можете не принимать во внимание.

Все административные учётные записи в Windows равноправны. То есть, никакого т.н. "супер-администратора" не существует. Встроенная учётная запись Administrator обладает теми же привилегиями, что и любой другой член локальной группы Administrators.

Более того, его утверждение о том, что Microsoft якобы стала рекомендовать взрослым для повседневной работы использовать учётную запись с привилегиями локального администратора, является ложью. Это не так. Смысл приведённой вами цитаты заключается вот где: "...проследить за тем, чтобы у детей были отдельные стандартные учетные записи", так как до сих пор многие люди совершенно не понимают, что допускать детей (да и не только детей) к компьютеру с административными привилегиями ни в коем случае нельзя.

Учите мат.часть :facepalm:

http://www.securitylab.ru/contest/396377.php

http://wininfo.org.ua/windows-seven/nastro...-windows-7.html

http://www.wseven.info/administrator/

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Бррр. Администраторы по умолчанию в 7-ке являются, в общем-то, юзерами. Для них, через UAC, будет повышение прав до Админстратора, когдна нужно. А встроенный отключенный Administrator, это админ с принудительно отключенным UAC. Ползунок можно хоть до максимума задрать все равно ограничения работать не будут. Чтобы себе так сделать, нужно у своей админской учетки поставить ползунок UAC на минимум.

Даже с UAC на минимум стандартный/локальный админ, не обладает всеми правами. Ради эксперимента, попробуй "поправить" какой нибудь" системный файл :rolleyes:

Как то даже неудобно, незнать такие прописные истины.

В Windows 7 по умолчанию отключена встроенная учетная запись Administrator (Администратор), обладающая наивысшими правами. Это сделано для того, чтобы ограничить воздействие неопытных пользователей и вредоносных программ на системные процессы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

"Какой-нибудь" системный файло трудно поправить хотябы потому что он как раз сейчас используется системой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WindowsNT

Да-да, "..поклонников популярной мифологии о всемогуществе встроенной учетной записи «Администратор», чье единственное отличие от остальных администраторов в том, что на нее по умолчанию не распространяется UAC.", http://www.securitylab.ru/contest/396377.php

Кроме исключения UAC по умолчанию, встроенная учётная запись Administrator не обладает никакими особыми правами по сравнению с другими администраторами. Более того, UAC не является Security Boundary, и SID S-1-5-32-544 добавляется в Access Token любого члена локальной группы Administrators по первому требованию.

Во всём остальном все члены локальной группы Administrators равноправны. Проверьте DACL нужного системного файла, например. Или DACL любого системного ключа реестра. И не грубите мне в рейтинг, я с вами щи лаптями на брудершафт не хлебал.

-------------------------------

Peter G.

Microsoft Certified Trainer; Cisco Certified Systems Instructor;

MVP: Enterprise Security; MCITP: Enterprise Administrator;

Certified Ethical Hacker; Microsoft Security Trusted Advisor.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
"Какой-нибудь" системный файло трудно поправить хотябы потому что он как раз сейчас используется системой.

Можно взять даже не системный файл. :rolleyes: Пример: правил обычный текстовый файл в популярной стратегии Rome: Total War (читерил, увеличивал количество денег :rolleyes: ) из под локального админа система не давала сохранить измененный файл. В открытой супер учетке без проблем. Кстати, UAC в этой учетке вообще нет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitrig
Учите мат.часть :facepalm:

Вот то, что я искал:

У административной учетной записи есть все необходимые права, но когда UAC включен, абсолютно все задачи запускаются с правами обычного пользователя. И происходит это до тех пор, пока для продолжения работы не потребуются полные права администратора. Именно в этот момент и появляется запрос контроля учетных записей, который служит сигналом о том, что программе необходимы административные полномочия. Когда UAC включен, вся разница между работой администратором и обычным пользователем сводится к тому, что в первом случае для продолжения работы вам достаточно нажать кнопку «Да», а во втором – потребуется ввести пароль любого имеющегося в системе администратора.

Получается, что для пользователя разница между админской учёткой и обычной лишь в способе взаимодействия с УАК. В одном случае нужно вводить пароль, а в другом просто нажать "да". Если это всё действительно так, то нет никаких проблем.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Вот то, что я искал:

Получается, что для пользователя разница между админской учёткой и обычной лишь в способе взаимодействия с УАК. В одном случае нужно вводить пароль, а в другом просто нажать "да". Если это всё действительно так, то нет никаких проблем.

Все правильно для локальной админской учетки. В суперадминской учетке все задачи запускаются с административными правами, UAC там просто отсутствует.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitrig
Все правильно для локальной админской учетки. В суперадминской учетке все задачи запускаются с административными правами, UAC там просто отсутствует.

Ок, всё понятно. Спасибо. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
wiger123

It turns out that the aberration amid the user admins uchetka and usually alone in the way of alternation with the UAC. In one case, you charge access the password, and the added artlessly bang "yes." If this is all true, again there is no problem

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      С большой вероятностью эта версия и станет v5.0
      Все что было запланировано реализовано. ---------------------------------------------------------
       5.0.RC1
      ---------------------------------------------------------
       o В окно запуска добавлен пункт меню "Перезагрузить в интерфейс встроенного ПО [UEFI]"
         Доступно начиная с Win10.

       o В окно запуска добавлен выбор основного шрифта.

       o Пополнено окно дополнительных настроек.

       o В функцию удаления временных файлов добавлено 4 каталога с временным файлами Windows.
         o \Windows\Downloaded Program Files
         o \ProgramData\Microsoft\Windows\WER\ReportArchive   
         o \ProgramData\Microsoft\Windows\WER\ReportQueue
         o \ProgramData\Microsoft\Windows\WER\Temp
         Функция больше не выводит в лог пути до отсутствующих каталогов.

       o Исправлена критическая ошибка инициализации режима DDA,
         она могла проявляться на чипсетах AMD при подключении
         физического монитора к компьютеру, который был отключен или физически
         не подключен на этапе загрузки системы, при этом меняются логические
         номера дисплеев и 1-го дисплея обычно не существует, поэтому
         если вы подключились и 1-й дисплей показывает черный квадрат то
         стоит попробовать переключиться на 2-й и т.п.
         (!) В этом случае не работает программный способ вывода дисплея из сна,
         (!) поэтому в текущей версии движения мыши в любом случае передаются на
         (!) удаленный компьютер, что гарантировано пробуждает спящий дисплей
         (!) при переключении на него.

       o Исправлена ошибка создания загрузочного диска под Windows 11 24H2,
         по неизвестной причине в этой редакции Windows dism из пакета ADK
         не способен без ошибок сформировать загрузочный образ диска,
         поэтому все операции с образом диска теперь выполняет штатный dism из системного каталога.

       o Исправлена ошибка для определения пути до драйвера CDD.DLL при анализе
         ключей безопасного режима.

       
    • PR55.RP55
      Критическая уязвимость в ASUS DriverHub https://www.comss.ru/page.php?id=16443
    • PR55.RP55
      Изменения для драйверов Windows 11: новые сертификаты и отказ от метаданных https://www.comss.ru/page.php?id=16408
    • demkd
      Если нет пользовательского реестра для пользователя то будет сообщение в логе, остальное не надо видеть и тем более удалять - это дело пользователя.
    • PR55.RP55
      Увидит ли такое uVS И должно быть удаление ? O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\TEMP
      O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\Михаил Акаминов
      O27 - Account: (Hidden) User 'John' is invisible on logon screen
      O27 - Account: (Missing) HKLM\..\ProfileList\S-1-5-21-1832937462-987109255-1306349959-1002.bak [ProfileImagePath] = C:\Users\Михаил (folder missing)
×