Minst privilegium er mer enn et sikkerhetsprinsipp, er det også en livredder så langt som den dag-til-dag jobb med administratorer er bekymret. Årsaken er, brukerne er nysgjerrige vesener og har en tendens til å skyve konvolutten av hva selskapets retningslinjer tillate og forby dem å gjøre. Gi en bruker lokale administratorrettigheter på datamaskinen sin, og de kommer sannsynligvis til å prøve alle slags ting som å installere ekstra programvare, endre konfigurasjonsinnstillingene, og selv poking rundt registeret for å se om de kan "tune" sin maskin slik at det går bedre . Fra en administrator synspunkt kan imidlertid dette være katastrofalt siden feil tweak kan bryte noen søknad eller gjengi deres maskin ubrukelig. Brukeren deretter rop om hjelp, og som administrator du ganske mye har to valg: tørke deres maskin og re-image det fra standard desktop bilde eller tilbringe unyttig timer prøver å feilsøke problemet sitt. Det andre valget er vanligvis bortkastet tid med mindre, i motsetning til selskapets policy, brukeren har vært redde viktige filer på maskinen sin i stedet for på nettverket. Og det første valget er nesten som å spytte i vinden-du re-image brukerens maskin og han bare går og idioter rundt med den på nytt.
Group Policy er en måte å låse ned hva en bruker kan og ikke kan gjøre på sine datamaskiner og bruke sine akkreditiver. Men hva om selskapets politikk (eller kultur eller politikk eller på jobben realitetene) mener at brukerne må ha muligheten til å installere egen programvare og konfigurere innstillinger på sine maskiner? Hvis dette er tilfelle, har du to valg: gi brukerne lokale administratorrettigheter, eller ikke. Siden det første alternativet fører til at problemene jeg har beskrevet ovenfor, la oss utforske gjennomførbarheten av det andre alternativet.
The Pain of Running Som Non-Admin
Hvis du velger å ikke gjøre en brukers domene konto medlem av den lokale administratorgruppen på maskinen sin, er sannsynlig å klage høylytt for en bruker rekke årsaker, inkludert følgende:
Arbeide rundt de siste tre klager er ganske grei (jeg skal vise deg hvordan i et øyeblikk), men problemet med ikke å kunne installere programvare er et komplekst problem av flere grunner. Først, de fleste programvare (inkludert mange av Microsofts egne programmer) krever lokale administratorrettigheter for å installere under noen versjon av Microsoft Windows. På forsiden av det, er dette kravet på grunn av det faktum at søknader må skrive til spesielle områder av filsystemet og registeret. Men det er ikke den virkelige grunnen applikasjoner trenger administratorrettigheter for å installere-den virkelige grunnen er at utviklerne er generelt for lat til å bry skape Setup eller Windows Installer-pakker som vil fungere under ikke-administratorrettigheter. Dette er fordi du gjør det innebærer å gå gjennom en rekke hoops som en utvikler, og det betyr ekstra arbeid (som de fleste utviklerne ønsker å unngå). Men det betyr også å utvikle disse appene mens du kjører under ikke-administratorrettigheter selv, og igjen som involverer masse bry slik at de fleste utviklerne ikke gidder-det er mye lettere å utvikle en søknad hvis du er logget på som administrator, så de fleste apps er de facto designet for å kjøre under administratorrettigheter også.
Installere programvare Som Non-Admin
Så hvordan installerer du programvaren når du ikke har administratorrettigheter på en maskin? Den kjedelige måten er å logge av, logge på som administrator, har installert programvaren, logge av, logge på igjen med din vanlige brukerkonto, og deretter begynne å bruke programvaren som en vanlig bruker. Mer avansert måte selvfølgelig er å bruke den sekundære påloggingsfunksjonen (den kommandoen RunAs.exe) for Windows 2000 og nyere. Med Exe-filer (og .msc filer eller konsoller) kan du høyreklikke på ikonet og velg "Kjør som ..." og deretter angi lokale administratorlegitimasjon for å installere programmet. Dessverre "Kjør som ..." alternativet ikke vises når du høyreklikker på MSI-filer, men den midlertidige løsningen her er å bruke Runas å åpne en ledetekst (cmd.exe) vindu ved hjelp av admin legitimasjon og deretter kjøre MSI fil for å installere programmet.
Dessverre, noen programmer etter at de har blitt installert med administratorrettigheter ved hjelp Runas fortsatt
fungerer ikke riktig når du prøver og kjøre dem som en vanlig bruker. Dette er fordi når du bruker Runas å installere noe, blir eventuelle per bruker innstillingene som installasjonsrutinene skaper skrevet til brukerprofilen for den lokale administratorkontoen i stedet for å brukerprofilen til den påloggede på vanlig brukerkonto. Og selvfølgelig som fører til problemer når du prøver og kjøre det installerte programmet senere som en vanlig bruker. Igjen, utvikleren som skrev programmet kunne ha jobbet rundt dette problemet, men hvorfor bry seg når alle kjører Windows som administrator likevel?
Jeg har opplevd denne type ting meg selv flere ganger med både tredjeparts Win32 programmer og også .NET Framework-programmer, og det er frustrerende. For eksempel nylig ønsket jeg å ta et e-læringskurs i ASP.NET applikasjonsutvikling fra Microsoft. Dessverre for noen grunn jeg ikke kunne laste ned kurset (en .NET app selv) når du er logget på med mitt domene brukerkonto, så jeg åpnet en forekomst av Internet Explorer ved hjelp av lokale admin creds og lastet ned kurset. Men da jeg prøvde å kjøre kurset lokalt på min maskin, ville det ikke kjøre når jeg var logget på som vanlig bruker. Så jeg prøvde å bruke Runas å kjøre kurset under administratorrettigheter, og det fortsatt ikke ville kjøre. Til slutt måtte jeg logge av, logge på som administrator, laste kurset, og kjøre
det mens du er logget på som administrator for å få det til å fungere. Frustrerende! Kanskje hvis jeg undersøkte problemet ytterligere jeg kanskje har oppdaget hvorfor det ikke fungerte første gang, men som bare illustrerer i første omgang til at folk flest kjører Windows i henhold administratorrettigheter hele tiden-hvis du ikke kjører som admin, du kan kaste bort en hel masse tid på å prøve å gjøre ting fungerer.
The Least Privilege Red Herring
Videre-og dette er noe som bare nylig begynte å bli vurdert av sikkerhetseksperter-det kan være at dette hel minst privilegiet problemet er noe av en rød sild i første omgang. Jada, hvis du er logget på som administrator og du surfer på nettet og kommer over noen ekle nettsted og laste ned et virus, som virus får kontroll over systemet ved hjelp av dine egne legitimasjons dvs. administrator. Og hvis du var en vanlig bruker og bladde det samme området, ville viruset bare ha begrenset tilgang (nivået av rettighetene til en domenebruker) på systemet så den potensielle skaden ville bli dempet. Men egentlig er det mer komplisert enn dette. Tross alt, hvis malware du laster ned er en orm som utnytter en svakhet i en Windows-tjeneste, så spiller det egentlig ingen rolle hva kontoen du er logget på som.
Videre de smarteste black hat hackere der ute er allerede opptatt med å finne ut nye måter å lage ondsinnet kode som kan eie systemet selv om din påloggingsrettigheter er minimal. På grunn av dette, den kommende og svært spioneringen Least-privilegium User Account (LUA)
funksjon i Longhorn (nå Windows Vista) som vil gjøre unna med det nedgraderte gruppen Priviligerte brukere og aktivere LUA-kompatible programmer for å være installert og kjøre med vanlige brukerlegitimasjon er egentlig ikke noe universalmiddel for sikkerhetsspørsmål rundt bruk av minst privilegier. Du kan satse på bunnen dollar som de slemme gutta der ute vil finne en måte å omgå LUA eller utnytte det til sin fordel, og åpner opp en helt ny kjele med ormer.
Så mens minst privilegiet er fortsatt en god idé, det er absolutt ikke det være alle eller end-all nettverkssikkerhet. Med andre ord, du har fortsatt å tenke forsvars grundig og vurdere minst privilegiet (eller LUA) som rett og slett enda en hindring i veien for hackere å eie systemet.
Noen Non-Admin Midlertidige løsninger
Går tilbake til vår liste over ting vanlige brukere klager over, la oss se på noen løsninger. Si at du er logget på som en vanlig bruker og ønsker å dele en mappe på systemet ditt. Hvis du åpner Windows Explorer (explorer.exe) og høyreklikk på mappen, er det ingen deling fanen slik at du ikke kan gjøre det. Og Runas ikke fungerer med explorer.exe fordi Explorer allerede kjører som skall, slik at du er ute av lykken der også. Heldigvis finnes det en løsning: Bruk Runas å starte Internet Explorer (iexplore.exe) i stedet for Windows Explorer (explorer.exe). Så når IE er åpen, type C: \\ inn i adressefeltet, og klikk på Mapper knappen på verktøylinjen, og plutselig ser det ut som du er i Windows Utforsker. Nå navigere til mappen du vil dele, og høyreklikk den og velg Deling og sikkerhet, og du er på vei.
Og mens vi er i gang, merk at mappetreet i IE viser en Kontrollpanel node. Velg denne noden og i den høyre ruten du se alle de Kontrollpanel applets. Prøv å bruke Dato og klokkeslett for å endre systemet tid-det fungerer! Siden IE kjører under admin creds, alle apps du tilgang i det inkludert Kontrollpanel applets også kjøre med admin legitimasjon. Samme gjelder for Strømalternativer, nettverkstilkoblinger, System og andre applets som har redusert funksjonalitet når det kjøres som ikke-admin.
Det finnes en enda enklere måte men (IE metoden fungerer, men er litt rotete siden iexplore.exe er ikke i systembanen), og det er å gjøre følgende:
Nå når du logger på igjen som en vanlig bruker, kan du høyreklikke på explorer.exe (eller snarveien), velg "Kjør som ...", angi den lokale administratorkontoen legitimasjon, og Windows Utforsker åpner nå kjører med administratorrettigheter.
Konklusjon
Kjører Windows som ikke-admin er utfordrende, og mens det er noen sikkerhets fordeler ved å gjøre det, bøylene du må hoppe gjennom å gjøre ting arbeidet kan være skremmende. Videre disse trygden er ikke så stor som mange sikkerhets mennesker tout de skal være, og det vil ikke være lenge før de slemme gutta finne ut måter å installere alvorlig malware på Windows selv når brukerne kjører som ikke-administratorer.
Hva har vært dine erfaringer med dette problemet? Du trenger trenger brukerne til å kjøre sine stasjonære som ikke-admins? Hva slags problemer har du møtt gjøre dette? Og hvordan har du prøvd å omgå disse vanskelighetene? Gjerne send meg en linje på [email protected] og jeg vil samle svarene dine for en fremtidig artikkel om WindowsNetworking.com hvor jeg skal se problemet med å kjøre Windows som ikke-admin.