НЕ ПРОПУСТИТЬ ИНТЕРЕСНОЕ

Свежие обсуждения

Sorry. No data so far.

Как мгновенно повысить безопасность Windows

Продолжаем обсуждение негативного влияния повышенных прав учетной записи пользователя на безопасность Windows.

В прошлый раз были разобраны два случая, вернее сказать, два серьезных инцидента безопасности, имевших место в реальной компьютерной сети предприятия. Произошли они из-за того, что оба раза пользователи работали в Windows XP с правами администратора компьютера, и это позволило беспрепятственно запуститься вредоносному коду, проскочившему сквозь антивирусную защиту.

Очевидный вывод – никогда не включать учетные записи пользователей в группу «Администраторы». Как разумно и безболезненно организовать «отъем» административных прав?

Начнем с офисных десктопов, а затем через офисные же ноутбуки плавно перейдем к компьютерам домашним.

Как повысить безопасность офисных компьютеров

В идеале, сотрудники бизнес-подразделений должны получать в свое распоряжение настроенные компьютеры с полным набором необходимого программного обеспечения. Стало быть, повышенные права для их учетных записей не только противопоказаны, но и попросту не нужны. В этой связи, на первый взгляд, в корпоративной сети с правами учетных записей пользователей не должно возникать никаких затруднений.

Естественно, мы предполагаем, что компьютеры входят в домен Active Directory, благодаря чему системный администратор имеет возможность централизованного управления ими посредством групповых политик. Кроме того к компьютерам разрешен терминальный доступ и, возможно, разрешен и настроен удаленный помощник.

Удаленный помощник Windows – очень полезная вещь, особенно когда надо предоставить удаленный доступ к сеансу пользователя не системному администратору, а некому консультанту из тех.поддержки. Например, программисту 1С, чтобы он, не вставая со своего рабочего места, мог увидеть весть тот ужас, который получился в результате его вчерашней доработки конфигурации программыОзадаченная рожица.

everyuserhasrightВремя от времени небольшие проблемы с правами учетной записи пользователя все же возникают. Происходят они, на пример, когда на предприятие приходит новый “эффективный менеджер” из категории сотрудников не задерживающихся надолго на одном месте. Зачастую главной задачей таких ребят является не столько поработать, сколько повысить свой личный статус. Посему, если не наехать, то сильно напрячь ИТ-отдел на глазах благодарных зрителей, дело для них святое.

И начинается: «Я, такой замечательный, продвинутый, лучший в мире, сто лет работающий на компьютере..! Почему я не могу поменять, поставить, заменить, настроить..?!». Вежливая просьба предоставить список изменений и дополнений, которые он хотел бы видеть в настройках компьютера, скорее всего, ни к чему не приведет. В ответ можно услышать что-нибудь такое: «Я пришел сюда работать, а не писать письма в ИТ. У меня нет на это времени. Я сам все сделаю в сто раз быстрее и лучше».

Самым действенным вариантом разрешения конфликтной ситуации такого рода является перевод ее на высшее руководство. А именно, вежливо попросить недовольного господина написать служебную записку по существу претензий, например, на имя генерального директора. Мотивировать свою просьбу нужно тем, что есть соответствующий приказ по предприятию, который без соответствующего разрешения нарушен быть не может. Кстати, приказ такой или распоряжение сделать надо обязательно. Прописать в нем список стандартного офисного ПО и порядок и алгоритм его изменения. Поверьте моему опыту – на этом все сразу заканчивается. Товарищ переключается на что-то другое и все становится хорошо.

Как повысить безопасность использования корпоративных ноутбуков

Некоторые категории сотрудников для работы на выезде и в командировках снабжаются ноутбуками. Надо сказать, что они как раз представляют собой достаточно серьезную проблему.

Статус у этих устройств бывает сильно размыт. С одной стороны они, естественно, корпоративные, с другой, по характеру использования, плавно переходят в категорию, как бы, личных (очень часто при увольнении сотрудники просили разрешить им выкупить свой ноутбук по остаточной стоимости).

Не предоставить права администратора на такой ноутбук временно-постоянному владельцу  в большинстве случаев просто нельзя. Представьте себе, например, сервисного инженера, которому во время командировки в какой-нибудь сильно удаленный регион срочно потребовалось обновить версию некой профильно-специализированной диагностической программы или поменять драйвер устройства. А он не может этого сделать. Такая ситуация является недопустимой.

Ну а где разрешено, там можно все. Очень часто такие ноутбуки появлялись в офисе после неконтролируемого многомесячного «полета» в таком состоянии, что возродить их к жизни можно было только путем полной переинсталляция “с нуля”. И это при том, что антивирусное ПО на них присутствовало всегда. Беда была в том, что вне офиса оно зачастую подолгу не обновлялось.

А вообще, частенько алгоритм поведения корпоративного пользователя выглядит так: если на экране появилось непонятное, раздражающее и мешающее работе окошко, да еще, не дай бог, в нем написано что-то не по-русски, то будет сделано все возможное с целью от него избавиться. Ничего не читая и не разбираясь в сути происходящего, пользователь нажмет на все предложенные крестики и кнопочки. Если в окошке было предложение о сотрудничестве с иностранной разведкой, то оно будет принятоШирокая улыбка. Добиться впоследствии хоть сколько-нибудь вразумительного рассказа о происходивших событиях бывает практически невозможно. Прикиньте, к чему это может привести, если пользователь работает на компьютере с учетной записью администратора.

Наконец мы подошли к главной теме нашего повествования, озвученной в заголовке статьи. Мгновенно повысить безопасность Windows очень просто – нужно создать новую учетную запись пользователя, добавить ее в группу «Администраторы», а затем, текущую рабочую учетную запись пользователя из этой группы удалить. Дополнительно проверяем, не включена ли она в группу «Опытные пользователи» и если да, то убираем ее и оттуда. Хуже точно не будет.

После этого все действия, связанные с администрированием компьютера, пользователь делает в своем же сеансе, но в варианте «Запуск от имени…». Естественно, нашим владельцам ноутбуков пришлось объяснить “что, зачем и как”, но оно того стоило.

Домашний компьютер

Рекомендация не работать с правами администратора, безусловно, банальна. В той или иной форме она всегда присутствовала. Беда в том, что редко когда выполнялась, особенно на домашних компьютерах. Покупает человек компьютер, создает первого пользователя, под которым потом и будет работать, а он, как известно, как раз с правами администратора компьютера. Вот и весь сказ. Потом начинаются проблемы и мольбы: “Ах спасите, помогите. СМС-вирус заблокировал компьютер”.

Для тех, кто никогда пользователями и группами не занимался, все же расскажу вкратце как их администрировать.

Администрирование учетных записей пользователей Windows

Задачу поставим такую:

  • создать нового пользователя, назовем его “Adm0”;
  • добавить нового пользователя в группу “Администраторы”;
  • удалить текущего пользователя из группы “Администраторы”.

Запускаем оснастку “Управление компьютером”. Сделать это можно выбрав “Управление” из контекстного меню (по правой кнопке) “Мой компьютер”, или “Пуск” –> “Панель управления” –> “Администрирование” –> “Управление компьютером”.

wxpcp

В меню “Действие” нажимает “Новый пользователь”.

adm0

В открывшемся окне заполняем поля “Пользователь”, “Полное имя”, придумываем и два раза вводим пароль.

Не помешает этот пароль сохранить в надежном месте. Как это можно сделать читаем здесь. А вообще, непосредственно в момент “придумывания” пароля кажется, что его никогда не забудешь. Потом, через неделю, после сотой неудачной попытки вспомнить или подобрать этот самый пароль начинаешь проклинать себя последними словами за то, что нигде его сразу не записал.

Ставим галочки перед “Запретить смену пароля пользователем” и “Срок действия пароля не ограничен” и нажимаем “Создать”. Все, новый пользователь появился.

Теперь дадим ему нужные нам права. Открываем “Свойства” только что созданного пользователя “Adm0“ и на вкладке “Членство в группах” нажимаем “Добавить”. В появившемся окне “Выбор: Группы” нажимаем “Дополнительно” –> “Поиск”.

admgrp

В появившемся списке локальных групп компьютера выбираем нужную нам “Администраторы”. Два раза “ОК” и наш пользователь “Adm0” стал администратором.

Теперь проделываем последнюю часть настроек для текущего пользователя, только с противоположной целью – убираем его из группы “Администраторы” и добавляем в группу “Пользователи”.

usergrp

Перезагружаем компьютер.

Безопасность использования компьютера мы повысили. Ну если и не мгновенно, то быстро точно. Разумеется, следование рекомендации не использовать для выполнения повседневных задач на компьютере учетную запись с правами администратора не является панацеей от всех бед в Windows. Ни в коем случае нельзя пренебрегать такими известными вещами, как брандмауэр, регулярно обновляемая антивирусная защита и незамедлительная установка всех исправлений безопасности.

И последнее, что хотелось бы сказать, будьте бдительны и аккуратны. Не лазайте по “нехорошим” сайтам и не скачивайте программы из непонятных источников. Не устанавливайте их непосредственно на рабочий компьютер. Если очень хочется что-то посмотреть, сделайте виртуальную машину, например, в VirtualBox, и запускайте их предварительно и безболезненно в ней.

Желаю всем приятной и безопасной работы на компьютере.

Комментарии: 2. Присоединяйтесь к обсуждению!

  1. павел:

    вот написали бы такую статью, где все по полочкам разбирается по поводу прав в системе, удаления какой-либо системной папки…
    да вот даже пример-я как-то даже делал-переносил загрузчик с одного логического диска -на другой, создать -то я его легко создал, но вот чтобы в старом месте все затереть- много пришлось повозиться с открытием прав на папки загрузчика +предоставление полных прав на модификацию…
    p.s. скорее всего данная цель может быть решена через командную строку+ diskpart (или что-то подобное), но суть не в этом )))

    • Павел! Для начала можно посмотреть одну из самых популярных по количеству просмотров статью, посвященную манипуляциям с файлами в системной папке WinSxS. В ней приведены консольные команды изменения ntfs разрешений.

Написать комментарий

Subscribe without commenting