Bezpieczna praca na koncie Administratora.
Wielu domowych użytkowników pracuje w systemie Windows XP/2003 z wykorzystaniem konta o uprawnieniach administratora niezdając sobie sprawy z konsekwencji, jakie to może spowodować. Należy uświadomić sobie, że Administrator posiada dostęp do wszystkich plików na dyskach twardych oraz do wszystkich gałęzi rejestru. Może więc w szczególności usuwać czy też zmieniać pliki wykonywalne w katalogu systemowym WINDOWS\System32. Wniosek nasuwa się sam – katastrofy opisanej powyżej da się uniknąć pracując na koncie z uprawnieniami zwykłego użytkownika. Wiele osób stwierdzi, że jest to niewygodne, gdyż użytkownik taki nie może instalować programów, zmieniać większości ustawień systemowych itp. Rozwiązania powyższego problemu są w zasadzie trzy. Pierwsze, najbezpieczniejsze, zakłada codzienną pracę jako zwykły użytkownik bez uprawnień administratora i wykorzystywanie poleceniaUruchom jako… (Run as…). Całość sprowadza się do utworzenia, będąc zalogowanym jako Administrator, konta z ograniczeniami za pomocą apletu Panel sterowania->Konta użytkowników (Control Panel -> User Accounts). Następnie należy zalogować się jako nowy użytkownik, skonfigurować pulpit i pracować normalnie z wykorzystaniem wszystkich zainstalowanych aplikacji. W razie potrzeby należy jeszcze tylko z konta Administratoraprzekopiować pliki z folderu: Funkcja ta pozwoli uruchomić dany program (instalator) z uprawnieniami administratora, co umożliwi mu dostęp do folderu C:\Program filesoraz do gałęzi rejestru HKLM, które to dla zwykłego użytkownika są dostępne w trybie do odczytu. Drugie rozwiązanie zakłada co prawda w dalszym ciągu pracę na koncie z uprawnieniami administratora, ale uruchamianie niektórych programów (np. przeglądarki internetowej) z ograniczeniami. Można to osiągnąć poprzez wybranie z menu kontekstowego skrótu do aplikacji lub pliku wykonywalnego opcji Uruchom jako… (Run as…) i zaznaczeniu pierwszej opcji: Bieżący użytkownik (Current user) oraz zaznaczeniu pola Uruchom ten program z ograniczonym dostępem (Protect my computer and data…). Działanie tej funkcji można sprawdzić za pomocą narzędzia Process Explorer: Jak widać uprawnienia administracyjne zostały odebrane (Deny), a uprawnienia zwykłego użytkownika dodatkowo ograniczone (Restricted). Niestety to ostatnie powoduje czasami, że niektóre programy nie chcą działać w pełni poprawnie. Ciągłe uruchamianie programów z wykorzystaniem menu kontekstowego Uruchom jako... może być dość uciążliwe, jednak istnieje dużo wygodniejsze i praktyczniejsze rozwiązanie. Początkowo należy w rejestrze (regedit.exe) w gałęzi: dodać następujący klucz typu DWORD: Alternatywnie można pobrać plik levels.reg i dokonać jego importu do rejestru. Następnie należy uruchomić edytor obiektów GPO z menu Start->Uruchom: gpedit.msc (Group Policy) i przejść do gałęzi: Konfiguracja komputera->Ustawienia systemu Windows->Ustawienia zabezpieczeń->Zasady ograniczeń oprogramowania (Computer Configuration->Windows Settings->Security Settings->Software Restriction Policies) i kliknąć na niej prawym przyciskiem myszy, a następnie wybrać opcję Nowe zasady ograniczeń oprogramowania (New restriction rules). Następnie należy uruchomić ponownie komputer. Po ponownym uruchomieniu systemu należy wrócić do edytora GPO do gałęzi Zasady ograniczeń oprogramowania, kliknąć na poluWymuszanie (Enforcement) w prawym panelu i upewnić się, że wybrane są następujące opcje: Wszystkie pliki oprogramowania oprócz bibliotek (All software files except libraries) i poniżej Wszyscy użytkownicy (All users). Jeśli nie, zalecane jest właśnie takie ustawienie dostępnych właściwości. Kolejnym krokiem jest przejście do gałęzi Poziomy zabezpieczeń (Security Levels) i sprawdzenie czy dostępnych jest 5 poziomów, jak na poniższym rysunku. Jeśli dostępnych jest mniej poziomów (np. 2), należy jeszcze raz zimportować plik rejestru levels.reg i ponownie uruchomić edytor GPO. Najważniejszą częścią całej operacji jest dodanie wrażliwych na ataki programów do Reguł dodatkowych (Additional Rules) definiujących, które programy uruchamiane są za pomocą konta z ograniczeniami czy konta zwykłego użytkownika. Chodzi tutaj przede wszystkim o programy intensywnie korzystające z zasobów Internetu, a więc przeglądarki, komunikatory i programy pocztowe, które są najczęstszymi celami hackerów. Analogiczne postępowanie zalecane jest dla komunikatorów internetowych (np. Gadu-Gadu – gg.exe) oraz aplikacji do obsługi poczty elektronicznej (np. Outlook XP – Outlook.exe, Outlook Express - Msimn.exe). Wskazówka: Zazwyczaj pliki uruchamiające daną aplikację znajdują się w folderze: Opisane powyżej czynności pozwalają już na w miarę bezpieczne surfowanie po sieci z konta o uprawnieniach administratora. Weryfikację poprawności wykonanych wyżej operacji można przeprowadzić za pomocą darmowego programu Process Explorer. Po jego uruchomieniu, na liście procesów należy dwukrotnie kliknąć na sprawdzanym procesie (np. avant.exe), a następnie przejść do zakładkiSecurity. Jeśli konto BUILTIN\Administrators ma ustawiony znacznik Deny, to operacja zmiany poziomu zabezpieczeń dla danej aplikacji zakończyła się sukcesem. Łatwo też sprawdzić działanie wprowadzonych zabezpieczeń poprzez próbę zapisania dowolnego pliku z wybranej strony internetowej w katalogu C:\WINDOWS\System32 lub C:\Program files. Dla konta administratora (bez wprowadzonych ograniczeń) próba zapisu powiedzie się. Natomiast po zmianie ustawień w edytorze Group Policy operacja taka zakończy się niepowodzeniem. Przedstawione powyżej rozwiązania pozwalają na uniknięcie większości przykrych niespodzianek czyhających na niedoświadczonego użytkownika w zakamarkach Internetu. Na pewno któreś z podanych rozwiązań będzie dla Ciebie odpowiednie. Dodatkowym zabezpieczeniem będzie świadome korzystanie z zasobów sieci i nieignorowanie komunikatów przeglądarki (w szczególności nie należy bezmyślnie klikać OK/Yes w oknach, które pojawiają się przy przeglądaniu niektórych stron internetowych!). Zalecane jest również bezwzględne korzystanie ze skanera antywirusowego działającego ciągle w tle (np. Norton Antivirus, NOD32, AntiVir Personal) oraz aplikacji "antyszpiegowskiej" MS AntiSpyware, która będzie przedmiotem jednego z moich kolejnych artykułów.
Teraz wystarczy wyobrazić sobie prostą sytuację, kiedy podczas surfowania po Internecie z wykorzystaniem konta administratora do systemu przedostaje się wirus i uaktywnia się niespostrzeżenie w tle. Złośliwy proces wirusa uruchamiając się jako proces potomny przeglądarki, a więc z uprawnieniami administratora, kasuje z systemu część istotnych plików systemowych (administrator posiada takie uprawnienia) i dodatkowo instaluje i uruchamia usługę, która w tle śledzi nasze wizyty na stronach internetowych i zbiera informacje podane w rozmaitych formularzach. Oprócz tego zmienia istotne wpisy w rejestrze w gałęzi HKLM. Skutki tych operacji nietrudno przewidzieć…
Teraz warto zastanowić się, co byłoby, gdyby użytkownik surfujący po Internecie pracował na koncie z uprawnieniami ograniczonymi. Otóż użytkownik taki nie posiada praw do kasowania ważnych plików systemowych oraz praw pozwalających na instalację usług w systemie czy też zmian wpisów w gałęzi HKLM.
C:\Documents and Settings\Administrator\Moje dokumenty do folderu:
C:\Documents and Settings\
Jeśli natomiast przyjdzie potrzeba instalacji nowej aplikacji (co w większości przypadków wymaga uprawnień administracyjnych), można skorzystać z menu kontekstowego (wywoływanego prawym przycisk myszy na pliku wykonywalnym lub skrócie) i wybrać opcję Uruchom jako… (Run as…).
Następnie należy wybrać opcję drugą: Następujący użytkownik (The following user) i wpisać jako nazwę użytkownika Administrator oraz podać odpowiednie hasło.
Rys. Funkcja "Uruchom jako Administrator"
Pozwala to na uruchomienie programu, tak jakby odbywało się to z konta użytkownika z ograniczeniami (bez uprawnień administracyjnych).
Rys. Funkcja: "Uruchom z ograniczonym dostępem"
Rys. Process Explorer: Uprawnienia procesu iexplore.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers]
"Levels"=dword:00031000
Rys. Edycja właściwości Wymuszania
Rys. Poziomy zabezpieczeń
W tym celu klikamy prawym przyciskiem myszy na Reguły dodatkowe i wybieramy opcję Nowa reguła ścieżki… (New path rule…).
W nowym oknie klikamy przycisk Przeglądaj… (Browse…) i lokalizujemy plik wykonywalny (*.exe) uruchamiający naszą przeglądarkę (np.C:\Program files\Internet Explorer\iexplore.exe lub C:\Program files\Avant Browser\avant.exe), a następnie z listy poziomów zabezpieczeń wybieramy: Użytkownik podstawowy. Poziom ten gwarantuje już dość wysoki poziom bezpieczeństwa podczas surfowania po Internecie w porównaniu z działaniem na najwyższych uprawnieniach administratora, a jednocześnie sprawia przy tym najmniej problemów (w przeciwieństwie np. do poziomu z ograniczeniami – część aplikacji ma problemy nawet z uruchomieniem na tym poziomie).
Rys. Dodawanie nowej aplikacji do Reguł dodatkowych
Rys. Lista dodanego oprogramowania z ograniczeniami
C:\Program files\
Rys. Process Explorer: Uprawnienia procesu avant.exe
Rys. Nieudana próba pobrania pliku do katalogu C:\WINODWS\System32