Ars Technica - Omenjeni napotek je skorajda že stara lajna računalnikarjev, a kaj ko se ga uporabniki ne držijo. Za poganjanje sistema z administratorskimi pravicami ni pametnih razlogov (še zlasti po uvedbi funkcije Run as), saj se tako morebitna nesnaga bolj neovirano razširi po sistemu. Na BeyondTrust so opravili analizo (PDF), ki te nasvete podkrepi s številkami. Ugotovili so, da pri poganjanju sistema brez administratorskih privilegijev izzveni:
90 odstotkov odkritih kritičnih ranljivosti Windows 7
100 odstotkov ranljivosti v Microsoft Office iz leta 2009
94 odstotkov ranljivosti v vseh verzijah IE in 100 odstotkov ranljivosti v Internet Explorerju 8, oboje iz leta 2009
64 odstotkov vseh lani odkritih ranljivosti v Microsoftovih izdelkih.
To pomeni, da si lahko življenje zelo poenostavimo, če ne uporabljamo administratorskih pravic. Z upoštevanjem tega nasveta in rednim krpanjem odkritih lukenj bo naš sistem kolikor je mogoče varen.
Navsezadnje, kdo pri zdravi pameti poganja Linux kot root?
Navsezadnje ne poznam niti enega uporabniškega programa, ki bi ga bilo na Linuxu potrebno poganjati kot root, medtem ko je večina (vsaj slovenskih) namenskih programov pisana s strani nesposobnih wannabejev. (In, ne, Run As ni rešitev. Tajnik Janez je tajnik Janez in ne hkrati še JanezAdmin. Administrator je pa neka druga oseba, ki mu glede na sposobnosti in delovne pogoje pripadajo druge pravice in dolžnosti.)
Ti mogoče res ne, če se en tolk spoznaš na kaj pazit, kaj met, kaj ne, kod brskat in kod ne, je pa za veliko večino manj računalniško pismenih uporabnikov ZELO priporočljivo, da laufajo v neadministratorskem načinu. To priporočajo tudi na Arnesu, predvsem tistim, ki fašejo kakšno zlo kodo, ki potem razpošilja spam z njihovega naslova- v uporabniškem računu se veliko nevarnostim lahko izognemo.
ampak če moram uporabljat administratorski račun, vedno ko dobim po mailu fotografije kakšne gole zvezdnice moram vpisati administratorsko geslo, da jih lahko vidim :D
"Figures don't lie, but liars figure."
Samuel Clemens aka Mark Twain
Korisnici su jedini tamni oblak na svijetlom računalnom nebu. Ali nekaj takega sem, leta nazaj, prebral v nekem ex-Yu časopisu. In prmejduš, to drži tudi danes. Kot pribito. Enostavnost uporabe in dostopnost računalniških virov ima tudi temno plat. Problem tiči predvsem v neizobraženosti uporabnikov. In ker sta neznanje in igroranca v podobnem razmerju kot rit in srajca, mamo to kar mamo. Torej, tale nasvet (ne uporabljaj po nepotrebnem administratorskih pravic) je za tiste, ki vedo za kaj gre banalen (in ga pač upoštevajo tudi brez tega priporočila), za tiste druge pa nekaj, kar se lahko komot preskoči. Argumenta ala "sej to počnem že od win ME" ali "nikoli nisem uporabljal AV in FW programa pa nimam nobenih težav" sta podobna argumentu, da rdečih luči na semaforju ni treba upoštevat, ker že leta prečkam cesto, ko se mi zdi, pa se mi ni nikoli nič zgodilo. In na koncu, sveta resnica je, da je za razred velikosti več uporabnikov, ki so "prešaltali" iz (neizobraženega) Windows uporabnika na Linux, kot pa narobe. Jah, svetova sta (najmanj) dva... Nekateri to delamo na pravi način, nekateri na "native Windows way". Ker poznam kar nekaj skrbnih, odgovornih in strokovnih Windows uporabnikov se vnaprej opravičujem tistim, ki bi to pisanje imeli za onfenzivno.
Presneto, jaz sploh ne vidim smisla te analize . V Vista/Win7 je LUA default, ergo, 90% of vulnerabilities are mitigated by default. To da neka zlonamerna koda "prepriča" uporabnika, da jo požene kot Admin pa spada v kategorijo socialnega inženiringa.
Presneto, jaz sploh ne vidim smisla te analize . V Vista/Win7 je LUA default, ergo, 90% of vulnerabilities are mitigated by default. To da neka zlonamerna koda "prepriča" uporabnika, da jo požene kot Admin pa spada v kategorijo socialnega inženiringa.
Če ne bi ta LUA skakala gor vsake 5 sekund bi jo kdo še jemal resno.
Ta novička bolj sodi na 24kur.com kakor semle. Poleg tega pa ne vem čemu v prvotni novički pisec omenja uporabnike *nix sistemov, saj je to primerjanje jabolk in hrušk (da se lepo izrazim).
Ja, in do Viste se je še enostavno dalo na vsakem računalniku vpisat runas /user:enbebo "explorer /separate", karkoli uredit in zapret, potem so pa to pametno ukinili. Ker verjetno smo bili tisti, ki smo delali tako, največja grožnja varnosti. :(
morda smotano vprasanje... samo ni mi tocno jasno...
IMAM WIN 7
ali to pomeni, da morem potem biti prijavljen pod guest? ali je v redu če naredim novega uporabnika, ki je izbran kot administrator... vendar ni tisti kako se reče (uradno preinstalirani administrator- ki ima prav taksno uporabnisko ime) ???
Korisnici su jedini tamni oblak na svijetlom računalnom nebu. Ali nekaj takega sem, leta nazaj, prebral v nekem ex-Yu časopisu. In prmejduš, to drži tudi danes. Kot pribito.
Si programer?
Si kdaj slišal proizvajalca avtomobilov trditi, da so za nesreče krivi neumni vozniki?
(veliko voznikov je sicer res direkt neumnih, ampak še vedno noben ne reče, da so krivi nesreč in drugih problemov. Le zakaj?)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Ni več, je pa nekaj drugega, tako da ne vem, kako si lahko iz mojega posta izluščil to.
Nesreč so po veliki večini krivi tisti, ki se ne držijo zakonov; to pa lahko zaradi tega, ker so neumni, prepotentni, nevedni, bolani, ... , ampak še vedno je problem v njih samih. To pa "rešiš" tako, da takšne prevzgojiš, izobraziš, kaznuješ, prestrašiš ali jim onemogočiš, da to počnejo še naprej.
morda smotano vprasanje... samo ni mi tocno jasno...
IMAM WIN 7
ali to pomeni, da morem potem biti prijavljen pod guest? ali je v redu če naredim novega uporabnika, ki je izbran kot administrator... vendar ni tisti kako se reče (uradno preinstalirani administrator- ki ima prav taksno uporabnisko ime) ???
ali to pomeni, da morem potem biti prijavljen pod guest?
Ne.
ali je v redu če naredim novega uporabnika, ki je izbran kot administrator... vendar ni tisti kako se reče (uradno preinstalirani administrator- ki ima prav taksno uporabnisko ime) ???
kdor ve zakaj ne uporablja admin accounta za user zadevščine je do njega upravičen , sicer ne. pa je prov useglih za ker os gre. Če program ne dela , kot bi moral se pa da povečini vse zrihtat za dodatnimi nastavitvami dostopa. ako se ne da, pa jebi ga od nevarnega programa ni pričakovati varnosti.
kdor ve zakaj ne uporablja admin accounta za user zadevščine je do njega upravičen , sicer ne. pa je prov useglih za ker os gre. Če program ne dela , kot bi moral se pa da povečini vse zrihtat za dodatnimi nastavitvami dostopa. ako se ne da, pa jebi ga od nevarnega programa ni pričakovati varnosti.
Od kar se ukvarjam z računalništvom (od Win95 naprej) sem vedno vse delal kot admin. Razen 1x nisem nikoli nič "zlobnega" fasal, pa še tisto sem bil povsem sam kriv, ko sem kliknil na neko priponko. Torej kaj je tako nevarnega, če ne klikaš ravno po vsem , kar se ti ponudi?
Večina strahu izvira iz časa sasserja, ko si ga dejansko lahko fasal preden si uspel firewall usposobt in antivirus inštalirat. Torej iz časov ko je net ratal popularen, ljudje in sistemi pa niso sledili. Zdaj pa večinoma samo še čudne priponke strašijo po netu, mogoče tudi kakšna ranljivost v browserjih, ampak tega se komot izogneš z neuporabo IEja in FFja (za katera so napisani exploiti).
kdor ve zakaj ne uporablja admin accounta za user zadevščine je do njega upravičen , sicer ne. pa je prov useglih za ker os gre. Če program ne dela , kot bi moral se pa da povečini vse zrihtat za dodatnimi nastavitvami dostopa. ako se ne da, pa jebi ga od nevarnega programa ni pričakovati varnosti.
Od kar se ukvarjam z računalništvom (od Win95 naprej) sem vedno vse delal kot admin. Razen 1x nisem nikoli nič "zlobnega" fasal, pa še tisto sem bil povsem sam kriv, ko sem kliknil na neko priponko. Torej kaj je tako nevarnega, če ne klikaš ravno po vsem , kar se ti ponudi?
tedaj niti ne rabiš OSa z ustrezno zaščito. in ja tvoj argument je nekje v rangu , nikoli se mi ni crknil disk torej ne rabim varnostnih kopij.
Najbolj varno je, da si ustvariš particijo samo za Windowse. Ostalo si pa nalagaš drugam. Predvsem je pa najvarneje uporabljanje možganov, pri raznih "čudnih" downloadih.
boula: za vsakodnevno opravilo uporabljal account, ki nima admin privilegijev, admin userju pa ne dat ime "admin" ali "administrator", torej magar "boula", če ker program zahteva višje privilegije daš run as...
če pa se ti s tem ne da ubadat (kar verjamem da se ti ne da) pa preprosto uporabljaj admin account + možgane in firewall, če maš legalne winse ti je pa najlažje še microsoft security essentials, pa seveda, administratorskemu accountu ne dat ime administrator
Dobra poanta je, da morajo biti VSI uporabniški programi pisani tako, da uporabniku ni treba vedeti za Run As. Dokler temu ni tako, se administratorji vsaj občasno znajdemo v nepotrebnem zosu. Primer: v podjetju imamo nekaj uporabnikov Autodesk Inventorja - program ne deluje, če uporabnik nima Admin pravic. Dalje: imamo kar nekaj programerjev in njihovi IDE-ji ne delujejo, če niso prijavljeni kod admini.
Kaj zdaj narest? Sicer, glede na to, da gre za programerje, ki vedo, kaj delajo, ni pretiranega strahu, da bi si "formatirali" PC. Ampak, zgodi se tudi najboljšim, varnostna politika in common-sense pa zahtevata uporabo plain-user pravic. Gre tudi za probleme nameščanja programske opreme, pa jasno Malware, ki na PC pride tudi nepovabljen. Ampak, če programerju ukinem admin rights, me pride ali zadavit, ali pa vstane in gre domov ter direktorju pove, naj ga pokliče, ko mu bo računalnik deloval.
Win na začetku ni imel uveljavljene neke delitve na smrtnike in bogove. Predpostavljalo se je, da so avtomatsko vsi bogovi. Posledično se tudi razvijalci niso ozirali na to in še vedno se najde kak program, ki o delu v smrtniškem modu pač nima pojma.
Včasih si da pomagati z nečim vmes. Na Pro/Business različicah je še t.i. Power User. Za nekatere programe tudi zadošča navadni uporabnik, pod pogojem, da se v določenih mapah dovoli pravica branja in (po potrebi) pisanja. Še vedno bolje kot admin pravice.
RunAs se izogibam, ker je precej programov, ki vsebine prikazujejo s pomočjo renderiranja HTML preko (vgrajenega) engina iz IE.
sem imel sam podobne probleme z autodeskovimi zadevami , pa sem celo cgs plateio spravil do delovanja pod user accountom. je pa res , da stvar še zdaleč ni trivialna.
No, lepo, da so v novejših verzijah približno popravili to. Mi imamo eno starejšo verzijo; poleg tega pa je omenjen link še vedno polrešitev, ne pa celostna rešitev. Kot piše linku, Inventor še vedno "petlja" po HKEY_LOCALE_MACHINE in HKEY_CLASSES_ROOT, zaradi česar običajni uporabnik ne more nastavljati nekaterih startup nastavitev, ipd... Navodila še vedno predvidevajo, da v takem primeru zaženemo Inventor z RunAs opcijo.
Ravno to pa je tudi tisti problem: navadni uporabnik nima kaj poznati Admin passworda na računalniku. In v kolikor gre za eno User aplikacijo, katere namen je izključno prinašat podjetju denar, potem ne vidim nobene pameti v tem, da neke začetne konfiguracije navadnemu userju onemogočiš. Moram reči, da se na Autodesk aplikacije spoznam toliko kot na delo vizažistke ali kozmetičarke, medtem ko uporabnik točno ve, kakšne plugine in nastavitve rabi vsakokrat sproti, ko Inventor odpre. To, da za takšne strokovne nastavitve rabi admin pravice, je fail da glava peče.
Približno tako, kot da bi računovodkinja rabila Admin pravice, ko hoče plačati vhodni davek. Fak - če je računovodkinja, pa če ji direktor zaupa finance, kaj potem jaz rabim tja hodit vtipkavat admin password, da lahko ona opravlja svoje delo?
. V Vista/Win7 je LUA default, ergo, 90% of vulnerabilities are mitigated by default. To da neka zlonamerna koda "prepriča" uporabnika, da jo požene kot Admin pa spada v kategorijo socialnega inženiringa. 
