Перейти к содержанию

Recommended Posts

Dmitrig

Я давно привык создавать для работы на компьютере учётные записи с ограниченными правами. И для себя и для всех членов своей семьи. То же самое я сделал, установив Windows 8 RP. Создал три ограниченных учётных записи (учётных записи майкрософт) для повседневной работы и одну учётную запись администратора (локальную) для управления компьютером.

Сегодня решил опробовать функции семейной безопасности. Обнаружил, что из ограниченной учётной записи управлять семейной безопасностью, как это было в предыдущих версиях, невозможно. UAC, как и раньше, сначала запрашивает пароль администратора, но затем требует для него переключиться на учётную запись майкрософт. Это означает, что я вынужден создавать для чисто технической на моём компьютере учётной записи администратора аккаунт Live ID. Либо дать своей учётной записи права администратора. Первый вариант неприемлем однозначно. А как на счёт второго? Я всегда считал, что снижаю уровень безопасности, когда в своей повседневной работе использую учётную запись администратора. В Windows 8 что-то изменилось на этот счёт?

В блоге создания Windows 8 разработчики пишут: " Мы уже давно рекомендуем родителям входить в систему как администратор и проследить за тем, чтобы у детей были отдельные стандартные учетные записи. "

http://blogs.msdn.com/b/b8_ru/archive/2012...ily-safety.aspx

Неужели майкрософт стала рекомендовать для повседневной работы учётную запись с администраторскими правами?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WindowsNT

Всегда и везде следует работать только от лица стандартного пользователя, и это нормально. Но UAC не является Security Boundary. Для настройки системы входите отдельно настоящим Администратором через команду Switch User.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Но UAC не является Security Boundary. Для настройки системы входите отдельно настоящим Администратором через команду Switch User.

:facepalm:

"настоящий Администратор" т.е. учетка суперадмина по дефолту и в семерке и восьмерке отключена :lol:

Пользовательская настройка User делается локальным админом. После чего можно заходить в любую учетку, как при загрузке, так и в процессе работы-[Ctrl]+[Alt]+[Delete] - «Сменить пользователя» (Switch User). Если открыть учетку супера, то будут три учетки - супер админ, локальный админ и User.

Неужели майкрософт стала рекомендовать для повседневной работы учётную запись с администраторскими правами?

С правами локального админа и только для взрослых.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WindowsNT

Dear Dmitrig, сообщение от sdg можете не принимать во внимание.

Все административные учётные записи в Windows равноправны. То есть, никакого т.н. "супер-администратора" не существует. Встроенная учётная запись Administrator обладает теми же привилегиями, что и любой другой член локальной группы Administrators.

Более того, его утверждение о том, что Microsoft якобы стала рекомендовать взрослым для повседневной работы использовать учётную запись с привилегиями локального администратора, является ложью. Это не так. Смысл приведённой вами цитаты заключается вот где: "...проследить за тем, чтобы у детей были отдельные стандартные учетные записи", так как до сих пор многие люди совершенно не понимают, что допускать детей (да и не только детей) к компьютеру с административными привилегиями ни в коем случае нельзя.

  • Upvote 5
  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Бррр. Администраторы по умолчанию в 7-ке являются, в общем-то, юзерами. Для них, через UAC, будет повышение прав до Админстратора, когдна нужно. А встроенный отключенный Administrator, это админ с принудительно отключенным UAC. Ползунок можно хоть до максимума задрать все равно ограничения работать не будут. Чтобы себе так сделать, нужно у своей админской учетки поставить ползунок UAC на минимум.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Dear Dmitrig, сообщение от sdg можете не принимать во внимание.

Все административные учётные записи в Windows равноправны. То есть, никакого т.н. "супер-администратора" не существует. Встроенная учётная запись Administrator обладает теми же привилегиями, что и любой другой член локальной группы Administrators.

Более того, его утверждение о том, что Microsoft якобы стала рекомендовать взрослым для повседневной работы использовать учётную запись с привилегиями локального администратора, является ложью. Это не так. Смысл приведённой вами цитаты заключается вот где: "...проследить за тем, чтобы у детей были отдельные стандартные учетные записи", так как до сих пор многие люди совершенно не понимают, что допускать детей (да и не только детей) к компьютеру с административными привилегиями ни в коем случае нельзя.

Учите мат.часть :facepalm:

http://www.securitylab.ru/contest/396377.php

http://wininfo.org.ua/windows-seven/nastro...-windows-7.html

http://www.wseven.info/administrator/

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Бррр. Администраторы по умолчанию в 7-ке являются, в общем-то, юзерами. Для них, через UAC, будет повышение прав до Админстратора, когдна нужно. А встроенный отключенный Administrator, это админ с принудительно отключенным UAC. Ползунок можно хоть до максимума задрать все равно ограничения работать не будут. Чтобы себе так сделать, нужно у своей админской учетки поставить ползунок UAC на минимум.

Даже с UAC на минимум стандартный/локальный админ, не обладает всеми правами. Ради эксперимента, попробуй "поправить" какой нибудь" системный файл :rolleyes:

Как то даже неудобно, незнать такие прописные истины.

В Windows 7 по умолчанию отключена встроенная учетная запись Administrator (Администратор), обладающая наивысшими правами. Это сделано для того, чтобы ограничить воздействие неопытных пользователей и вредоносных программ на системные процессы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

"Какой-нибудь" системный файло трудно поправить хотябы потому что он как раз сейчас используется системой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WindowsNT

Да-да, "..поклонников популярной мифологии о всемогуществе встроенной учетной записи «Администратор», чье единственное отличие от остальных администраторов в том, что на нее по умолчанию не распространяется UAC.", http://www.securitylab.ru/contest/396377.php

Кроме исключения UAC по умолчанию, встроенная учётная запись Administrator не обладает никакими особыми правами по сравнению с другими администраторами. Более того, UAC не является Security Boundary, и SID S-1-5-32-544 добавляется в Access Token любого члена локальной группы Administrators по первому требованию.

Во всём остальном все члены локальной группы Administrators равноправны. Проверьте DACL нужного системного файла, например. Или DACL любого системного ключа реестра. И не грубите мне в рейтинг, я с вами щи лаптями на брудершафт не хлебал.

-------------------------------

Peter G.

Microsoft Certified Trainer; Cisco Certified Systems Instructor;

MVP: Enterprise Security; MCITP: Enterprise Administrator;

Certified Ethical Hacker; Microsoft Security Trusted Advisor.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
"Какой-нибудь" системный файло трудно поправить хотябы потому что он как раз сейчас используется системой.

Можно взять даже не системный файл. :rolleyes: Пример: правил обычный текстовый файл в популярной стратегии Rome: Total War (читерил, увеличивал количество денег :rolleyes: ) из под локального админа система не давала сохранить измененный файл. В открытой супер учетке без проблем. Кстати, UAC в этой учетке вообще нет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitrig
Учите мат.часть :facepalm:

Вот то, что я искал:

У административной учетной записи есть все необходимые права, но когда UAC включен, абсолютно все задачи запускаются с правами обычного пользователя. И происходит это до тех пор, пока для продолжения работы не потребуются полные права администратора. Именно в этот момент и появляется запрос контроля учетных записей, который служит сигналом о том, что программе необходимы административные полномочия. Когда UAC включен, вся разница между работой администратором и обычным пользователем сводится к тому, что в первом случае для продолжения работы вам достаточно нажать кнопку «Да», а во втором – потребуется ввести пароль любого имеющегося в системе администратора.

Получается, что для пользователя разница между админской учёткой и обычной лишь в способе взаимодействия с УАК. В одном случае нужно вводить пароль, а в другом просто нажать "да". Если это всё действительно так, то нет никаких проблем.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Вот то, что я искал:

Получается, что для пользователя разница между админской учёткой и обычной лишь в способе взаимодействия с УАК. В одном случае нужно вводить пароль, а в другом просто нажать "да". Если это всё действительно так, то нет никаких проблем.

Все правильно для локальной админской учетки. В суперадминской учетке все задачи запускаются с административными правами, UAC там просто отсутствует.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitrig
Все правильно для локальной админской учетки. В суперадминской учетке все задачи запускаются с административными правами, UAC там просто отсутствует.

Ок, всё понятно. Спасибо. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
wiger123

It turns out that the aberration amid the user admins uchetka and usually alone in the way of alternation with the UAC. In one case, you charge access the password, and the added artlessly bang "yes." If this is all true, again there is no problem

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      ---------------------------------------------------------
       4.15.6
      ---------------------------------------------------------
       o Исправлена ошибка из-за которой автоматически не замораживались потоки внедренные в uVS,
         если их код НЕ принадлежал одной из загруженных DLL.

       o Добавлена поддержка английского интерфейса при запуске под Win2k.

       
    • demkd
      Иногда спрашивают, как загрузиться в командную строку без диска, я постоянно забывают дополнить Общий FAQ.
      И вот наконец-то я про это вспомнил:
      Q: Как запустить uVS с командной строки Windows без использования загрузочного диска/флешки для работы с НЕактивной системой.
         (!) Для текущей версии uVS работа с командной строки доступна только для 32-х битных систем. (что бы работало в x64 системах, нужно делать uVS x64 и это запланировано).
         1. Если у вас Windows 8 и старше, то запустите start.exe и нажмите кнопку "Перезагрузить систему в меню дополнительных параметров загрузки".
         2. Далее в меню "Поиск и устранение неисправностей->Дополнительные параметры->Командная строка"
         3. Выберите админскую учетную запись и введите для нее пароль.
         4. Запустите start.exe из каталога uVS с командной строки.
            (!) Обычно система расположена на диске D.
                Например: uVS лежит в каталоге С:\uvs (в командной строке это будет D:\uvs)
                Для запуска uVS необходимо последовательно набрать 3 команды, завершая каждую нажатием клавиши Enter.
                1. d:
                2. cd d:\uvs
                3. start.exe
         5. Выбрать каталог Windows (обычно D:\Windows).
         Если у вас Windows 7 и младше, то в меню вы можете попасть только нажав F8 при перезагрузке системы
         (!) Использовать msconfig для этого не рекомендуется, система может не загрузиться после его использования.
         Для младших систем доступен только безопасный режим с поддержкой командной строки, т.е. система будет активна.
       
    • demkd
      ---------------------------------------------------------
       4.15.5
      ---------------------------------------------------------
       o Обновлена функция трансляции переменных окружения USERPROFILE, HOMEPATH, LOCALAPPDATA, APPDATA.
         Значения этих переменных теперь зависят от того где физически находится lnk файл.
         Теперь с разбором lnk файлов будет меньше проблем, но я все же рекомендую удалять ссылки
         на отсутствующие объекты только под текущем пользователем.

       o Исправлена функция разбора путей не содержащих букву диска.

       o Исправлена функция разбора аргументов rundll32.

       o Обновлен start.exe.
         o Обновлен интерфейс.
         o Изменена кнопка по умолчанию, теперь это "запуск под текущим пользователем".
         o Исправлена ошибка: при определенных параметрах повторный запуск uVS в режиме "до запуска эксплорера" был невозможен.
         
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 17.1.13.
    • demkd
      ---------------------------------------------------------
       4.15.4
      ---------------------------------------------------------
       o Обновлен интерфейс.

       o Из Ф портировано окно "История запуска процессов" для комфортного распутывания цепочек запуска и взаимодействия
         процессов с задачами.
         Доступ к окну можно получить через меню "Дополнительно->История процессов и задач".
         В первом списке отображается история запуска процессов с момента старта системы (по данным журнала Windows).
         В списке доступен фильтрующий поиск по имени, PID и фильтрация по родительскому процессу (см. контекстное меню).
         В нижнем списке отображается история воздействия процессов на задачи с момента запуска системы, а если установлен
         фильтр родительского процесса то отображаются лишь те задачи с которым взаимодействовал родительский процесс.
         (!) История доступна лишь при активном отслеживании процессов и задач (Твик #39).
         (!) История не доступна для неактивных систем.

       o Обновлен формат образа автозапуска, образы созданные v4.15.4 не будут читаться старыми версиями uVS.
         Добавлено:
          o Мгновенный срез активности процессов на момент завершения создания образа (Запустить->Просмотр активности процессов [Alt+D])
          o История процессов и задач (Дополнительно->История процессов и задач)
            (!) История доступна лишь при активном отслеживании процессов и задач (Твик #39).
          o Защита образа от повреждений.

       o Утилита cmpimg обновлена до версии 1.04 для поддержки нового формата образов автозапуска.

       o Утилита uvs_snd обновлена до версии 1.05 для поддержки нового формата образов автозапуска.

       o Теперь при подключении к удаленной системе всегда запускается "v" версия uVS, если клиентская система не младше Vista.
         На удаленной системе всегда запускается обычная версия uVS для совместимости с системами младше Vista.

       o Исправлена ошибка отображения имени процесса при работе под Win2k в окне "Активность процессов".
         (!) Английская версия uVS НЕ_совместима с Win2k, с Win2k работает только русская версия.

       o Исправлена ошибка разбора состояния TCPIPv6 соединений.
       
×