Kjøre programmer med begrensede bruker Rights

Mange brukere vet fortsatt bruke brukerkontoer med administrative rettigheter i Windows XP og nyere versjoner av Windows i stedet for begrensede kontoer.

Det er behagelig å jobbe som administrator hele tiden som du kan utføre operasjoner som begrensede brukere ikke kan (lett). Ulempen er imidlertid at et vellykket angrep gir angriperen de samme rettighetene som du har som kan være ødeleggende.

I stedet for å jobbe med en begrenset konto mesteparten av tiden og en administratorkonto bare når det er nødvendig, kan brukerne også øke systemsikkerheten ved å starte enkelte programmer som en mindre privilegert bruker.

runas kommandoen kan brukes til å kjøre noen program med lavere privilegier, men det har den ulempen at det er ingen passord switch betyr at brukeren må taste inn passordet for "andre" betraktning når programmet må startes. Det fungerer ikke med tomme passord og krever Secondary Logon-tjenesten for å kjøre også.

Et bedre alternativ er PsExec verktøyet ved Sysinternals. Det lille verktøyet kan brukes til å starte noe program som en annen bruker. I motsetning runas, kommer den med et passord bryter for enkel bruk.

PsExec er en del av PsTools pakke med Sysinternals. Du trenger bare psexec.exe som du kan flytte til en systemmappe for enkel tilgang.


Det neste trinnet er å opprette en ny brukerkonto i Windows hvis du ikke allerede har. For å gjøre det gå til Kontrollpanel > Brukerkontoer og klikk på Create A konto lenke nytt i det. Nå skriver du et navn for den nye kontoen og sette den til å være begrenset i neste vindu.

Angi et passord for kontoen ved å klikke på Opprett passord koblingen i Brukerkontokontroll. Når den begrensede kontoen er opprettet er det på tide å teste om psexec fungerer.

Start Windows kommandolinje ved å trykke [vinduer R], skrive cmd og trykke enter. Nå skriver du inn følgende kommando for å teste funksjonaliteten psexec:

psexec -d -u "lave privilegier" -p test notepad

Dette vil starte notepad bruk av brukerkontoen lave privilegier med passordet test. Hvis alt har fungert godt notepad skal vises. Det er nå på tide å sjekke om notepad er utført med lavere privilegier.


Oppgavebehandling kan startes med Ctrl-Shift-Esc. Klikk på View > Velg kolonner i toppmenyen og sjekke Brukernavn-boksen slik at brukernavnet som startet et program vises i Task Manager.

Du skal nå kunne finne brukernavnet med lavere privilegier og se at notepad ble startet fra den kontoen.

Det ville være tidkrevende å kjøre prosesser fra kommandolinjen hele tiden. Du kan lage en enkel batch-fil med kommandoen for å starte programmer som du ønsker å kjøre med lavere privilegier. For å gjøre det for Firefox du vil legge til linjen

< codepsexec -d -u "lave privilegier" -p test "D: \\ Program Files \\ Mozilla Firefox \\ firefox.exe"

i bat-filen. Filen kan da bli flyttet inn i startmenyen.

Vær oppmerksom på at du kanskje ikke være i stand til å kjøre alle programmer med begrensede privilegier som de kan slutte å fungere helt når du prøver å gjøre det. Det er ingen endelig liste over når dette fungerer, og når den gjør noe som betyr at du sitter igjen med prøving og feiling på dette.
SummaryArticle NameRun Søknader med lavere bruker RightsAuthorMartin BrinkmannDescriptionThe guiden tar deg gjennom trinnene for å kjøre programmer på Windows med lavere rettigheter ved å kjøre dem som en begrenset bruker.



Previous:
Next Page: