Názory k článku
Dvě třetiny zranitelností Windows odstraní odebrání administrátorských práv
-
Co je dobrého na tom, že program nejde nainstalovat bez admin. oprávnění? Spustit kód se dá jakýkoliv. Pokud program nepotřebuje ke svému fungování nic měnit v systému a vystačí si s účtem jednoho uživatele (tj. skoro všechny běžné programy), měl by jít nainstalovat i běžnému uživateli.
Ve Windows opravdu je někdy problém nejen program nainstalovat, ale i jenom používat bez admin. oprávnění. Je to částečně dědictví z doby, kdy nic jako oprávnění neexistovalo (95/98/Me), částečně ignorantství (prostě programátory nenapadne, že se to bude používat bez admin. práv). Menší problém je i s minGW (je potřeba ručně doplnit systémový %PATH%) – a to je přitom překladač původně z unixového světa. Prostě se u Windows na takové věci často kašle.
-
treebeard (neregistrovaný)
nainštalovať program bez administrátorských práv samozrejme aj ide. Akurát musí inštalačný program umožňovať zmeniť cestu (čo sa väčšinou dá) a užívateľ musí túto možnosť chápať – inštalačné programy, ktoré zmenia cestu automaticky ak zistia, že užívateľ nemá potrebné práva, nie sú celkom bežné.
Na druhej strane, ako píše BLEK, aj spustenie kódu s právami užívateľa môže byť rovnako nebezpečné. O „deštrukciu systému“ dnes už nikomu nejde. -
VViki (neregistrovaný)
Naopak, zkušenosti ukazují, že pod Windows se dá zcela normálně pracovat bez admin práv. Pracuju jako user už asi 6 let (začal jsem ještě ve Windows 2000, tam se ovšem user musel ještě podstatně dodatečně omezit) a není to vůbec problém (a to jsem vývojář).
Ano, některé věci to trošku komplikuje (především s ohledem na vývoj aplikací), některé aplikace jsem prostě zahodil, ale jde to poměrně dobře. Všichni členové rodiny tak fungují, privilegovaný účet používáme pouze pro instalace a nutná systémová nastavení.
VViki
-
PF (neregistrovaný)
A to zas kecáš, u problémových programů většinou stačí, když si Power User. A rozhodně takových programů není tolik, a situace se postupně zlepšuje. V roce 2005 jsem měl problémy i s tak široce oblíbeným programem, jako je Winamp, když jsem se snažil pracovat jako User, i když jsem nastavoval práva pro adresáře i klíče v registrech, tak jsem nemohl rozjet Library. Později to opravili. Většina problémových programů se dá upravit nastavením práv složek a klíčů v registrech. Nejhorší je ale ta stupidní politika MS že NT jsou nejsou multiuser systém, já sám jsem doma začínal na Linuxu, až někdy v roce 2002 jsem si koupil Windows XP, a dost jsem se divil, že mi systém dovolí vrtat do všeho, když jsem přeci při instalaci zadával heslo admina. Pak jsem přišel na to, že mě instalátor přidělil do skupiny Administrators, to mě docela zhnusilo, ale až tak o nic nešlo, byl jsem tehdy ofline. Později jsem se zase naučil přidělovat práva pomocí Bash ze Services For Unix, a divil se, že jsem nikde na nastavování práv nenarazil. Až později jsem zjistil, že to souvisí s volbou „Zjednodušení zdílení ..“ No hnus, jsou to hovada, chlapci z MS výchozím nastavením zkurví celkem použitelný OS. Prostě z toho udělali něco jako Windows 98, akorát to bylo stabilní.
-
Akorát slovo „odstraní“ je trochu moc optimistické. V dokumentu se píše „mitigate“ a to neznamená „odstranit“, ale „zmírnit“. A to je docela rozdíl. Pokud se mi může spustit nějaký kód s omezenými právy, tak je nebezpečí řekněme „menší“ (nemůže změnit systém mimo můj uživatelský účet), ale nebezpečí to pořád je.
-
Ještě XP se docela blbě používají pod neadminským účtem. Bez práv admina se tam ani nepodívám na datum, nedostanu se žádným normálním způsobem do adminských ovládacích panelů. Musím se teda přehlašovat a spravuje se to docela blbě. Ve Windows 7 už jsou ovládací panely vyřešeny inteligentně, existuje něco jako policykit, co si vyžádá heslo, když je potřeba – dost se to podobá Linuxu. Windows 7 má tohle zabudované i do správce souborů, takže není problém nakopírovat nějaký systémový soubor ap.., v Linuxu tohle v obyčejném GNOME není (a tam, kde to je, se to řeší spuštěním celého programu jako root – není to tak čisté řešení).
-
treebeard (neregistrovaný)
Je to tu samý odborník :-)))
ja používam Windows pod neadminským účtom už od čias W2000 a nemám s tým nijaký zásadnejší problém. Je to otravné pre ľudí, ktorí často inštalujú a odinštalúvajú programy, ale z toho normálny človek vyrastie. Nainštalovať program síce zväčša šlo spustením inštalačky pomocou kontextovej voľby „run as“, boli však prípady, keď sa to takto nedalo. Aktualizácie väčšinou fungujú aj bez administrátorských práv. Odinštalovať sa dalo len z účtu správcu. Čiže áno, pre človeka,ktorý to robil denne, to bolo otravné. Ale kto, s výnimkou profesionálnych testerov, takéto niečo naozaj robí? Normálne „spravujem“ raz za dlhý čas, tu v práci mám XP a do adminského účtu zavítam raz za 2–3 mesiace.
Aplikácie (tie „normálne“ a významné) bežia bez administrátorských práv v pohode, problém Total Commandera s umiestnením ini súboru do adresára Windows sa dal riešiť viacerými spôsobmi. Vista to už vyrieši sama bez toho, aby užívateľ o tom vôbec vedel.PS: na dátum sa určite pozriem aj bez admistrátorských práv, dokonca ho aj zmením. Môžem rovnako napísať, že Linux sa bez administrátorských práv nedá ani vypnúť. Tvrdíte, že dá? :-)
-
Fantomas (neregistrovaný)
Myslis kdo denne instaluje a odinstalovava nejake aplikace? Kazdy, kdo rad stahuje a zkousi ty bezva utilitky o kterych si cte na it serverech zamerenych na win a ze jich bohuzel neni malo. Tem nevysvetlis, ze je dobre mit jeden ucet usersky a druhy adminsky, prepinani je totiz pracne. UAC je pro tyhle uzivatele velice prinosne, bohuzel spousta uzivatelu jej vypne a nastavi si ucet na adminsky. Co se tyce chodu aplikaci, bohuzel i samotny microsoft vyzaduje v urcitych pripadech adminska prava pro spravny chod svych vlastnich aplikaci ve svem vlastnim os ;-) Je to ovsem zpusobeno vychovou vlastnich uzivatelu a dobre microsoftu tak. A basta.
-
treebeard (neregistrovaný)
áno, viem, že ich je dosť. Ale aplikáciu Microsoftu, ktorá by si vyžadovala adminstrátorské práva, tú fakt nepoznám.
Pokiaľ ide o tú výchovu – v Linuxe zas existujú iné nešváry, Typická linuxová LAMA má vždy otvorené aspoň tri terminály s plnými právami, pokiaľ používa SUDO, tak heslo zadá kedykoľvek a bez premýšľania,… A bez problému spúšťa napríklad FF s plnými právami len preto, lebo napísať do terminálu firefox je ďaleko viac cool, ako kliknúť na ikonu a to, že ten terminál má plné práva, už dávno zabudol.
Pred blbosťou človeka tak ľahko neochráni nič. -
treebeard (neregistrovaný)
nepoznám, ale čisto z logiky názvu, server by, čisto teoreticky, mal vyžadovať administrátorské práva. Hoci teda, neviem o čom presne sa bavíme. Ale ak o správe serveru, tak je to podľa mňa OK. V nejakom konkrétnom prípade však kľudne môžete mať pravdu.
Každopádne pripomínam: Linux vyžaduje administrátorské práva aj na vypnutie počítača alebo zmenu systémového času – to len jednotlivé desktopy toto „pravidlo“ obchádzajú.
-
Fantomas (neregistrovaný)
Tak to te asi prekvapim, zkus si pustit matematicky editor a vlozit neco do wordu 2003 pod userskym uctem, krach te nemine. Aplikaci, ktere potrebuji zapisovat do program files je taky celkem dost (i kdyz se to posledni roky hodne zlepsilo). A ve win s vypnutim to je docela podobne, v cmd taky jako user nepouzijes shutdown.exe.
-
BLEK. (neregistrovaný)
Jenže když z jednoho neadministrátorského účtu uživatel otevře .doc soubor a pak z toho samého účtu vleze na internetové bankovnictví, tak mu může stejně tvůrce toho .doc souboru způsobit buffer overflow ve wordu, pak se dostat do internet exploreru a ukrást bankovní informace.
Tím, že je ten účet neadministrátorský, si uživatel moc nepomůže — sice se mu útočník nemůže dostat do kernelu, ale stejně může kontrolovat a sledovat všechno, co uživatel dělá.
Pomohl by si, kdyby na každou činnost, kterou dělá, používal zvláštní účet, ale to je příliš nepohodlné.
-
Kaacz (neregistrovaný)
existuje jeste jedno reseni ..
http://thenextweb.com/wp-content/uploads/2009/05/1070jpg.jpeg -
petrph (neregistrovaný)
Neboli, první uživatel automaticky zakládaný ve Windows, má nejvyšší práva. Ono se taky s čistě nainstalovanou konfigurací Windows nedá většinou moc dělat. Není tu nainstalovaná většina SW (leda Wordpad), chybí spousta proprietárních ovladačů čili spousta zařízení nefunguje, obvykle není nastavená siť, čili ten první uživatel má před sebou ještě spoustu práce aby ten systém rozchodil, a na většinu z nich potřebuje práva administrátora. V tom jestli na konci udělá pro další uživatele (i pro sebe) nová, omezená konta,mu nic nebrání…
-
treebeard (neregistrovaný)
Asi tak.
Dokonca XP-čka na záver inštalácie priamo vyzývali si vytvoriť aj neadministrátorský účet, hoci uznávam, že ten dialóg nebol vrcholom zrozumiteľnosti. Problém je najčastejšie u počítačov kúpených s nainštalovanými OEM Windows. Tam v podstate musí predajca nechať užívateľovi plné práva a nemá veľký zmysel mu vytvárať heslá a ďalšie účty. Už len pre pohodlie predajcu,ktorému sa asi nechce riešiť sťažnosti, že na ten počítač sa nedá inštalovať (užívateľ vybral nesprávny účet) alebo, že heslo, ktoré mu predajca dal, nefunguje (užívateľ zadáva heslo k nesprávnemu účtu).
Jediné, čo by pomohlo, by bol nejaký kvalitný dialóg, ktorý by tieto veci riešil pri prvom spustení. nejaký síce existuje, ale chcelo by to niečo naozaj blbovzdorné. -
noAdmin (neregistrovaný)
Pracuji zasadne jako user i na domacim PC, pro pripad nutnosti spoustet neco jako admin pouzivam vyborny tool SuRun (http://translate.google.com/translate?u=http%3A%2F%2Fkay-bruns.de%2Fwp%2Fsoftware%2Fsurun%2F&langpair=de|en&hl=de&safe=active&ie=UTF-8&oe=UTF-8&prev=%2Flanguage_tools), ktery umoznuje trvale nebo docasne spousteni programu jako admin i s pripadnym zapamatovanim si hesla (na rozdil od Run As) a definovanim napr. aby se aplikce spustila vzdy s admin. pravy. Vsem doporucuji!
