1. Використання гостьових облікових записів для боротьби з шкідливими програмами Фахівці з безпеки давно...
2. мінімальні повноваження
3. Варіанти облікових записів
4. Підготовка облікового запису Guest
5. Робота в якості Guest
6. часткове вирішення
7. Використання гостьових облікових записів для боротьби з шкідливими програмами
8. Чому саме Guest?
9. мінімальні повноваження
10. Варіанти облікових записів
11. Підготовка облікового запису Guest
12. Робота в якості Guest
13. часткове вирішення
14. Використання гостьових облікових записів для боротьби з шкідливими програмами
15. Чому саме Guest?
16. мінімальні повноваження
17. Варіанти облікових записів
18. Підготовка облікового запису Guest
19. Робота в якості Guest
20. часткове вирішення

Використання гостьових облікових записів для боротьби з шкідливими програмами

Фахівці з безпеки давно рекомендують адміністраторам використовувати дві облікові записи - одну повсякденне, іншу для адміністративних завдань. При роботі з адміністративними повноваженнями підвищується вразливість до атак від шкідливих програм. Більш того, користувач з адміністративними повноваженнями отримує широкі можливості, в тому числі призначати паролі, права володіння для файлів, користувачів і груп, і багато інших. Адміністратори повинні обмежувати застосування адміністративних повноважень і одночасно надавати користувачам достатні права для звичайної роботи. Один із способів поєднати два цих вимоги - дозволити деяким користувачам працювати з адміністративними повноваженнями і налаштувати найбільш вразливі додатки - електронної пошти, IM, і браузер - на роботу з обліковими записами Guest, що мають малі повноваження. Розглянемо ситуації, в яких вигідно застосовувати обліковий запис Guest, і способи організації такого облікового запису.

Чому саме Guest?

Для виконань повсякденних службових функцій деяким користувачам необхідний привілейований доступ, тому незручно підходити до всіх користувачів з однією міркою - накладати суворі обмеження на всіх користувачів або надавати повні адміністративні права всім співробітникам. Наприклад, заклопотаний безпекою мережевий адміністратор однієї компанії, яку я відвідав кілька років тому, змусив всіх службовців, навіть розробників, виконувати повсякденні завдання на власних робочих станціях з неадміністративними повноваженнями. Така політика здавалася всім надмірної, співробітники скаржилися, а якщо мали відповідні знання, то позбувалися від обмежень на своїх машинах, привласнюючи собі адміністративні права.

Коли цей мережевий адміністратор пішов з компанії, то його наступник фахівець зіткнувся з таким опором користувачів і керівників, що вирішив повністю відмовитися від такої політики. На жаль, після цього всі почали працювати на локальних машинах з адміністративними повноваженнями. У цьому випадку ризик значно вище, ніж якби роль локальних адміністраторів виконували кілька досвідчених користувачів.

Більш вдале рішення - спільно з користувачами знайти кращий баланс між безпекою та продуктивністю, щоб співробітники охочіше брали участь в забезпеченні безпеки. За допомогою облікових записів Guest можна задовольнити потреби кваліфікованих користувачів, які потребують привілейованому доступі, і одночасно надати їм захист, необхідну для певних завдань.

мінімальні повноваження

Облікові записи Guest - приклад використання мінімальних повноважень: кожному користувачеві надаються тільки права, необхідні для виконання посадових обов'язків. Познайомитися з мінімальними повноваженнями і способами їх реалізації можна в статті "Великі можливості малих повноважень" на нашому сайті.

Як уже зазначалося, в ході деяких нападів використовуються прогалини безпеки в конкретних прикладних програмах. Зазвичай ці атаки проводяться через віруси, поширювані по електронній пошті, або вразливі місця браузера, які служать провідником для вірусів і "трояніскіх коней" в системі. Якщо користувач не зареєстрований в якості адміністратора, то у шкідливих програм менше можливостей завдати шкоди системі.

На жаль, на практиці мінімальні повноваження часто завдають користувачам незручності, і вони починають шукати способи обійти їх. Спроби обходу можуть привести до більшої небезпеки, ніж повна відмова від мінімальних повноважень. Дійсно, багато адміністраторів і фахівці з безпеки, переконані в корисності мінімальногох підходу, зазнають труднощів, і самі відмовляються від політики мінімальних повноважень. За допомогою облікових записів Guest можна застосовувати мінімальні повноваження таким чином, щоб перешкодити користувачам повністю обійти заходи безпеки.

Варіанти облікових записів

Як правило, слід працювати з неадміністративними повноваженнями і використовувати такі інструменти, як утиліта Runas (runas.exe) для виконання конкретних завдань в якості адміністратора. При цьому підході, певні користувачі можуть реєструватися в якості адміністраторів для більшості операцій, але виконувати деякі особливо ризиковані дії як гості. Недолік Runas - необхідність обслуговувати дві облікові записи для користувачів (призначену для користувача і Administrator), для кожної з яких припадає пам'ятати пароль, керувати двома наборами дозволів і профілями. Більш того, можливості звичайних облікових записів користувачів достатні, щоб завдати серйозної шкоди, і як правило, забезпечують доступ до мережі і іншим уразливим ресурсів.

Однак, для багатьох операцій в Internet не потрібні рівень повноважень і навіть звичайна обліковий запис користувача. Ідеальний вибір в такій ситуації - вбудований обліковий запис Guest. Вона вже налаштована на обмежений доступ, і як локальна обліковий запис, не має доступу до домену. Крім того, захист облікового запису з обмеженими повноваженнями - менш трудомістке завдання для адміністратора. Наприклад, можна дозволити користувачам працювати до 6 місяців без зміни пароля.

Підготовка облікового запису Guest

Перш, ніж приступити до роботи з обліковим записом Guest, необхідно провести попередню підготовку. За замовчуванням, обліковий запис блокована і не має пароля. Можуть також існувати обмеження Group Policy, які відключають і перейменовують цей обліковий запис.

По-перше, слід налаштувати або скасувати будь-які політики безпеки, які можуть впливати на обліковий запис Guest. Потім слід налаштувати основні параметри облікового запису, виконавши з командного рядка наступну команду:

net user "Guest" * / active: yes / passwordchg: yes / passwordreq: yes / workstations:% COMPUTERNAME%

Через нестачу місця дана команда надрукована на декількох рядках, але вводити її слід одним рядком. Після натискання на клавішу Enter на екрані з'являється запрошення ввести новий пароль для облікового запису. Слід вказати відповідний пароль, а потім повторно ввести пароль, щоб підтвердити його.

Нарешті, необхідно вийти з системи і знову зареєструватися з використанням облікового запису Guest. Це дозволить налаштувати параметри браузера і безпеки. Корисно також внести зміни в налаштування Windows і браузера, щоб без праці розрізняти облікові записи. Наприклад, можна застосовувати різні інструментальні панелі або «шпалери» в залежності від використовуваного браузера. Можна також використовувати різні фонові зображення для Microsoft Internet Explorer (IE). Відповідні рекомендації опубліковані за адресою http://www.winguides.com/registry/display.php/66 . Після того, як настройка додатків буде завершена, слід вийти з системи і знову зареєструватися з облікового запису Administrator.

Користувачам часто потрібно завантажувати файли з Internet, тому зручно створити спільну папку для облікових записів Administrator і Guest. Цій папці слід призначити обмежені повноваження, дозволивши тільки мінімальний доступ, необхідний для завантаження файлів. Наприклад, можна заборонити Guest запускати будь-які файли з цієї папки.

Робота в якості Guest

Існує кілька способів запуску додатків з облікового запису Guest. Найшвидший спосіб - просто ввести команду Runas або активізувати runas.exe з командного файлу. Щоб скористатися командою Runas, слід натиснути правою кнопкою миші на піктограмі програми та вибрати з меню пункт Run as. У Windows 2000 необхідно натиснути і утримувати клавішу Shift, і натиснути правою кнопкою миші. У діалоговому вікні слід клацнути на перемикачі The following user і ввести ім'я користувача (Guest) і пароль (Екран 1).

Екран 1. Введення даних облікового запису Guest для команди Runas.

Runas можна запустити з командного рядка, вказавши параметр / savecred, щоб зберегти пароль і не вводити його кожного разу. Як правило, це ризикований прийом, але оскільки в даному випадку Runas використовується для активації облікового запису Guest з облікового запису Administrator, збереження пароля не пов'язане з серйозним ризиком. Навряд чи має сенс запускати програми в якості локального гостя, вже маючи доступом до привілейованої облікового запису.

Якщо користувачеві потрібно більше широка функціональність, чим забезпечується вбудованою командою Runas, то можна застосувати один з численних інструментів сторонніх постачальників. Наприклад, компанія Wingnut Software ( http://www.wingnutsoftware.com ) Надає утиліту Encrypted RunAs, яка дозволяє зберегти дані облікового запису в зашифрованому форматі.

Інший інструмент, безкоштовна утиліта SUperior SU ( http://www.stefankuhr.de/supsu/main.php3 ), Дозволяє не тільки запустити процес від імені іншого користувача, але і активізує особливий "робочий стіл" для цього користувача з метою додаткового захисту.

Кращий спосіб нагадати користувачам про необхідність використовувати обліковий запис Guest для небезпечних операцій, таких як перегляд підозрілих сайтів в Internet - замінити звичайні піктограми "робочого столу" і меню Start новими значками для запуску додатків з облікового запису Guest. При цьому користувачі не забудуть зареєструватися в якості Guest. У властивостях ярлика можна клацнути на кнопці Advanced і встановити прапорець Run with different credentials. В результаті користувач, двічі клацнула на ярлику, щоб запустити додаток, буде завжди отримувати запрошення ввести інші облікові дані (Екран 2). Даний метод вимагає, щоб користувач вводив пароль кожного разу при запуску програми, тому зручніше використовувати одну зі згаданих вище утиліт. З їх допомогою можна зберегти призначені для користувача облікові дані і надати більше варіантів для запуску програми.

Екран 2. Створення ярлика "робочого столу" для роботи з іншим мандатом користувача.

часткове вирішення

Слід пам'ятати, що використання врахований записи Guest - лише одна складова частина стратегії безпеки. З її допомогою можна повністю усунути загрози; вона тільки мінімізує ці небезпеки. Використання облікового запису Guest - одна з реалізацій підходу іспользоанія мінімальних повноважень, яка, як частина ширшої політики безпеки, може значно скоротити площу атаки. З метою підвищення безпеки слід підключати робочі станції користувачів тільки до довірених мереж і використовувати такі засоби, як персональний брандмауер, програми боротьби з вірусами і шпигунством для обмеження мережевого трафіку, фільтрації вхідних поштових повідомлень і блокування завантаження і установки шкідливого програмного забезпечення. Найважливіше - активно просвіщати користувачів про небезпеки і методах самозахисту.

Mark Burnett ( [email protected] ) - незалежний програмний консультант з безпеки і автор, який спеціалізується на безпеці Windows. Він володар сертифіката IIS MVP і автор книги Hacking the Code (видавництво Syngress).

Використання гостьових облікових записів для боротьби з шкідливими програмами

Фахівці з безпеки давно рекомендують адміністраторам використовувати дві облікові записи - одну повсякденне, іншу для адміністративних завдань. При роботі з адміністративними повноваженнями підвищується вразливість до атак від шкідливих програм. Більш того, користувач з адміністративними повноваженнями отримує широкі можливості, в тому числі призначати паролі, права володіння для файлів, користувачів і груп, і багато інших. Адміністратори повинні обмежувати застосування адміністративних повноважень і одночасно надавати користувачам достатні права для звичайної роботи. Один із способів поєднати два цих вимоги - дозволити деяким користувачам працювати з адміністративними повноваженнями і налаштувати найбільш вразливі додатки - електронної пошти, IM, і браузер - на роботу з обліковими записами Guest, що мають малі повноваження. Розглянемо ситуації, в яких вигідно застосовувати обліковий запис Guest, і способи організації такого облікового запису.

Чому саме Guest?

Для виконань повсякденних службових функцій деяким користувачам необхідний привілейований доступ, тому незручно підходити до всіх користувачів з однією міркою - накладати суворі обмеження на всіх користувачів або надавати повні адміністративні права всім співробітникам. Наприклад, заклопотаний безпекою мережевий адміністратор однієї компанії, яку я відвідав кілька років тому, змусив всіх службовців, навіть розробників, виконувати повсякденні завдання на власних робочих станціях з неадміністративними повноваженнями. Така політика здавалася всім надмірної, співробітники скаржилися, а якщо мали відповідні знання, то позбувалися від обмежень на своїх машинах, привласнюючи собі адміністративні права.

Коли цей мережевий адміністратор пішов з компанії, то його наступник фахівець зіткнувся з таким опором користувачів і керівників, що вирішив повністю відмовитися від такої політики. На жаль, після цього всі почали працювати на локальних машинах з адміністративними повноваженнями. У цьому випадку ризик значно вище, ніж якби роль локальних адміністраторів виконували кілька досвідчених користувачів.

Більш вдале рішення - спільно з користувачами знайти кращий баланс між безпекою та продуктивністю, щоб співробітники охочіше брали участь в забезпеченні безпеки. За допомогою облікових записів Guest можна задовольнити потреби кваліфікованих користувачів, які потребують привілейованому доступі, і одночасно надати їм захист, необхідну для певних завдань.

мінімальні повноваження

Облікові записи Guest - приклад використання мінімальних повноважень: кожному користувачеві надаються тільки права, необхідні для виконання посадових обов'язків. Познайомитися з мінімальними повноваженнями і способами їх реалізації можна в статті "Великі можливості малих повноважень" на нашому сайті.

Як уже зазначалося, в ході деяких нападів використовуються прогалини безпеки в конкретних прикладних програмах. Зазвичай ці атаки проводяться через віруси, поширювані по електронній пошті, або вразливі місця браузера, які служать провідником для вірусів і "трояніскіх коней" в системі. Якщо користувач не зареєстрований в якості адміністратора, то у шкідливих програм менше можливостей завдати шкоди системі.

На жаль, на практиці мінімальні повноваження часто завдають користувачам незручності, і вони починають шукати способи обійти їх. Спроби обходу можуть привести до більшої небезпеки, ніж повна відмова від мінімальних повноважень. Дійсно, багато адміністраторів і фахівці з безпеки, переконані в корисності мінімальногох підходу, зазнають труднощів, і самі відмовляються від політики мінімальних повноважень. За допомогою облікових записів Guest можна застосовувати мінімальні повноваження таким чином, щоб перешкодити користувачам повністю обійти заходи безпеки.

Варіанти облікових записів

Як правило, слід працювати з неадміністративними повноваженнями і використовувати такі інструменти, як утиліта Runas (runas.exe) для виконання конкретних завдань в якості адміністратора. При цьому підході, певні користувачі можуть реєструватися в якості адміністраторів для більшості операцій, але виконувати деякі особливо ризиковані дії як гості. Недолік Runas - необхідність обслуговувати дві облікові записи для користувачів (призначену для користувача і Administrator), для кожної з яких припадає пам'ятати пароль, керувати двома наборами дозволів і профілями. Більш того, можливості звичайних облікових записів користувачів достатні, щоб завдати серйозної шкоди, і як правило, забезпечують доступ до мережі і іншим уразливим ресурсів.

Однак, для багатьох операцій в Internet не потрібні рівень повноважень і навіть звичайна обліковий запис користувача. Ідеальний вибір в такій ситуації - вбудований обліковий запис Guest. Вона вже налаштована на обмежений доступ, і як локальна обліковий запис, не має доступу до домену. Крім того, захист облікового запису з обмеженими повноваженнями - менш трудомістке завдання для адміністратора. Наприклад, можна дозволити користувачам працювати до 6 місяців без зміни пароля.

Підготовка облікового запису Guest

Перш, ніж приступити до роботи з обліковим записом Guest, необхідно провести попередню підготовку. За замовчуванням, обліковий запис блокована і не має пароля. Можуть також існувати обмеження Group Policy, які відключають і перейменовують цей обліковий запис.

По-перше, слід налаштувати або скасувати будь-які політики безпеки, які можуть впливати на обліковий запис Guest. Потім слід налаштувати основні параметри облікового запису, виконавши з командного рядка наступну команду:

net user "Guest" * / active: yes / passwordchg: yes / passwordreq: yes / workstations:% COMPUTERNAME%

Через нестачу місця дана команда надрукована на декількох рядках, але вводити її слід одним рядком. Після натискання на клавішу Enter на екрані з'являється запрошення ввести новий пароль для облікового запису. Слід вказати відповідний пароль, а потім повторно ввести пароль, щоб підтвердити його.

Нарешті, необхідно вийти з системи і знову зареєструватися з використанням облікового запису Guest. Це дозволить налаштувати параметри браузера і безпеки. Корисно також внести зміни в налаштування Windows і браузера, щоб без праці розрізняти облікові записи. Наприклад, можна застосовувати різні інструментальні панелі або «шпалери» в залежності від використовуваного браузера. Можна також використовувати різні фонові зображення для Microsoft Internet Explorer (IE). Відповідні рекомендації опубліковані за адресою http://www.winguides.com/registry/display.php/66 . Після того, як настройка додатків буде завершена, слід вийти з системи і знову зареєструватися з облікового запису Administrator.

Користувачам часто потрібно завантажувати файли з Internet, тому зручно створити спільну папку для облікових записів Administrator і Guest. Цій папці слід призначити обмежені повноваження, дозволивши тільки мінімальний доступ, необхідний для завантаження файлів. Наприклад, можна заборонити Guest запускати будь-які файли з цієї папки.

Робота в якості Guest

Існує кілька способів запуску додатків з облікового запису Guest. Найшвидший спосіб - просто ввести команду Runas або активізувати runas.exe з командного файлу. Щоб скористатися командою Runas, слід натиснути правою кнопкою миші на піктограмі програми та вибрати з меню пункт Run as. У Windows 2000 необхідно натиснути і утримувати клавішу Shift, і натиснути правою кнопкою миші. У діалоговому вікні слід клацнути на перемикачі The following user і ввести ім'я користувача (Guest) і пароль (Екран 1).

Екран 1. Введення даних облікового запису Guest для команди Runas.

Runas можна запустити з командного рядка, вказавши параметр / savecred, щоб зберегти пароль і не вводити його кожного разу. Як правило, це ризикований прийом, але оскільки в даному випадку Runas використовується для активації облікового запису Guest з облікового запису Administrator, збереження пароля не пов'язане з серйозним ризиком. Навряд чи має сенс запускати програми в якості локального гостя, вже маючи доступом до привілейованої облікового запису.

Якщо користувачеві потрібно більше широка функціональність, чим забезпечується вбудованою командою Runas, то можна застосувати один з численних інструментів сторонніх постачальників. Наприклад, компанія Wingnut Software ( http://www.wingnutsoftware.com ) Надає утиліту Encrypted RunAs, яка дозволяє зберегти дані облікового запису в зашифрованому форматі.

Інший інструмент, безкоштовна утиліта SUperior SU ( http://www.stefankuhr.de/supsu/main.php3 ), Дозволяє не тільки запустити процес від імені іншого користувача, але і активізує особливий "робочий стіл" для цього користувача з метою додаткового захисту.

Кращий спосіб нагадати користувачам про необхідність використовувати обліковий запис Guest для небезпечних операцій, таких як перегляд підозрілих сайтів в Internet - замінити звичайні піктограми "робочого столу" і меню Start новими значками для запуску додатків з облікового запису Guest. При цьому користувачі не забудуть зареєструватися в якості Guest. У властивостях ярлика можна клацнути на кнопці Advanced і встановити прапорець Run with different credentials. В результаті користувач, двічі клацнула на ярлику, щоб запустити додаток, буде завжди отримувати запрошення ввести інші облікові дані (Екран 2). Даний метод вимагає, щоб користувач вводив пароль кожного разу при запуску програми, тому зручніше використовувати одну зі згаданих вище утиліт. З їх допомогою можна зберегти призначені для користувача облікові дані і надати більше варіантів для запуску програми.

Екран 2. Створення ярлика "робочого столу" для роботи з іншим мандатом користувача.

часткове вирішення

Слід пам'ятати, що використання врахований записи Guest - лише одна складова частина стратегії безпеки. З її допомогою можна повністю усунути загрози; вона тільки мінімізує ці небезпеки. Використання облікового запису Guest - одна з реалізацій підходу іспользоанія мінімальних повноважень, яка, як частина ширшої політики безпеки, може значно скоротити площу атаки. З метою підвищення безпеки слід підключати робочі станції користувачів тільки до довірених мереж і використовувати такі засоби, як персональний брандмауер, програми боротьби з вірусами і шпигунством для обмеження мережевого трафіку, фільтрації вхідних поштових повідомлень і блокування завантаження і установки шкідливого програмного забезпечення. Найважливіше - активно просвіщати користувачів про небезпеки і методах самозахисту.

Mark Burnett ( [email protected] ) - незалежний програмний консультант з безпеки і автор, який спеціалізується на безпеці Windows. Він володар сертифіката IIS MVP і автор книги Hacking the Code (видавництво Syngress).

Використання гостьових облікових записів для боротьби з шкідливими програмами

Фахівці з безпеки давно рекомендують адміністраторам використовувати дві облікові записи - одну повсякденне, іншу для адміністративних завдань. При роботі з адміністративними повноваженнями підвищується вразливість до атак від шкідливих програм. Більш того, користувач з адміністративними повноваженнями отримує широкі можливості, в тому числі призначати паролі, права володіння для файлів, користувачів і груп, і багато інших. Адміністратори повинні обмежувати застосування адміністративних повноважень і одночасно надавати користувачам достатні права для звичайної роботи. Один із способів поєднати два цих вимоги - дозволити деяким користувачам працювати з адміністративними повноваженнями і налаштувати найбільш вразливі додатки - електронної пошти, IM, і браузер - на роботу з обліковими записами Guest, що мають малі повноваження. Розглянемо ситуації, в яких вигідно застосовувати обліковий запис Guest, і способи організації такого облікового запису.

Чому саме Guest?

Для виконань повсякденних службових функцій деяким користувачам необхідний привілейований доступ, тому незручно підходити до всіх користувачів з однією міркою - накладати суворі обмеження на всіх користувачів або надавати повні адміністративні права всім співробітникам. Наприклад, заклопотаний безпекою мережевий адміністратор однієї компанії, яку я відвідав кілька років тому, змусив всіх службовців, навіть розробників, виконувати повсякденні завдання на власних робочих станціях з неадміністративними повноваженнями. Така політика здавалася всім надмірної, співробітники скаржилися, а якщо мали відповідні знання, то позбувалися від обмежень на своїх машинах, привласнюючи собі адміністративні права.

Коли цей мережевий адміністратор пішов з компанії, то його наступник фахівець зіткнувся з таким опором користувачів і керівників, що вирішив повністю відмовитися від такої політики. На жаль, після цього всі почали працювати на локальних машинах з адміністративними повноваженнями. У цьому випадку ризик значно вище, ніж якби роль локальних адміністраторів виконували кілька досвідчених користувачів.

Більш вдале рішення - спільно з користувачами знайти кращий баланс між безпекою та продуктивністю, щоб співробітники охочіше брали участь в забезпеченні безпеки. За допомогою облікових записів Guest можна задовольнити потреби кваліфікованих користувачів, які потребують привілейованому доступі, і одночасно надати їм захист, необхідну для певних завдань.

мінімальні повноваження

Облікові записи Guest - приклад використання мінімальних повноважень: кожному користувачеві надаються тільки права, необхідні для виконання посадових обов'язків. Познайомитися з мінімальними повноваженнями і способами їх реалізації можна в статті "Великі можливості малих повноважень" на нашому сайті.

Як уже зазначалося, в ході деяких нападів використовуються прогалини безпеки в конкретних прикладних програмах. Зазвичай ці атаки проводяться через віруси, поширювані по електронній пошті, або вразливі місця браузера, які служать провідником для вірусів і "трояніскіх коней" в системі. Якщо користувач не зареєстрований в якості адміністратора, то у шкідливих програм менше можливостей завдати шкоди системі.

На жаль, на практиці мінімальні повноваження часто завдають користувачам незручності, і вони починають шукати способи обійти їх. Спроби обходу можуть привести до більшої небезпеки, ніж повна відмова від мінімальних повноважень. Дійсно, багато адміністраторів і фахівці з безпеки, переконані в корисності мінімальногох підходу, зазнають труднощів, і самі відмовляються від політики мінімальних повноважень. За допомогою облікових записів Guest можна застосовувати мінімальні повноваження таким чином, щоб перешкодити користувачам повністю обійти заходи безпеки.

Варіанти облікових записів

Як правило, слід працювати з неадміністративними повноваженнями і використовувати такі інструменти, як утиліта Runas (runas.exe) для виконання конкретних завдань в якості адміністратора. При цьому підході, певні користувачі можуть реєструватися в якості адміністраторів для більшості операцій, але виконувати деякі особливо ризиковані дії як гості. Недолік Runas - необхідність обслуговувати дві облікові записи для користувачів (призначену для користувача і Administrator), для кожної з яких припадає пам'ятати пароль, керувати двома наборами дозволів і профілями. Більш того, можливості звичайних облікових записів користувачів достатні, щоб завдати серйозної шкоди, і як правило, забезпечують доступ до мережі і іншим уразливим ресурсів.

Однак, для багатьох операцій в Internet не потрібні рівень повноважень і навіть звичайна обліковий запис користувача. Ідеальний вибір в такій ситуації - вбудований обліковий запис Guest. Вона вже налаштована на обмежений доступ, і як локальна обліковий запис, не має доступу до домену. Крім того, захист облікового запису з обмеженими повноваженнями - менш трудомістке завдання для адміністратора. Наприклад, можна дозволити користувачам працювати до 6 місяців без зміни пароля.

Підготовка облікового запису Guest

Перш, ніж приступити до роботи з обліковим записом Guest, необхідно провести попередню підготовку. За замовчуванням, обліковий запис блокована і не має пароля. Можуть також існувати обмеження Group Policy, які відключають і перейменовують цей обліковий запис.

По-перше, слід налаштувати або скасувати будь-які політики безпеки, які можуть впливати на обліковий запис Guest. Потім слід налаштувати основні параметри облікового запису, виконавши з командного рядка наступну команду:

net user "Guest" * / active: yes / passwordchg: yes / passwordreq: yes / workstations:% COMPUTERNAME%

Через нестачу місця дана команда надрукована на декількох рядках, але вводити її слід одним рядком. Після натискання на клавішу Enter на екрані з'являється запрошення ввести новий пароль для облікового запису. Слід вказати відповідний пароль, а потім повторно ввести пароль, щоб підтвердити його.

Нарешті, необхідно вийти з системи і знову зареєструватися з використанням облікового запису Guest. Це дозволить налаштувати параметри браузера і безпеки. Корисно також внести зміни в налаштування Windows і браузера, щоб без праці розрізняти облікові записи. Наприклад, можна застосовувати різні інструментальні панелі або «шпалери» в залежності від використовуваного браузера. Можна також використовувати різні фонові зображення для Microsoft Internet Explorer (IE). Відповідні рекомендації опубліковані за адресою http://www.winguides.com/registry/display.php/66 . Після того, як настройка додатків буде завершена, слід вийти з системи і знову зареєструватися з облікового запису Administrator.

Користувачам часто потрібно завантажувати файли з Internet, тому зручно створити спільну папку для облікових записів Administrator і Guest. Цій папці слід призначити обмежені повноваження, дозволивши тільки мінімальний доступ, необхідний для завантаження файлів. Наприклад, можна заборонити Guest запускати будь-які файли з цієї папки.

Робота в якості Guest

Існує кілька способів запуску додатків з облікового запису Guest. Найшвидший спосіб - просто ввести команду Runas або активізувати runas.exe з командного файлу. Щоб скористатися командою Runas, слід натиснути правою кнопкою миші на піктограмі програми та вибрати з меню пункт Run as. У Windows 2000 необхідно натиснути і утримувати клавішу Shift, і натиснути правою кнопкою миші. У діалоговому вікні слід клацнути на перемикачі The following user і ввести ім'я користувача (Guest) і пароль (Екран 1).

Екран 1. Введення даних облікового запису Guest для команди Runas.

Runas можна запустити з командного рядка, вказавши параметр / savecred, щоб зберегти пароль і не вводити його кожного разу. Як правило, це ризикований прийом, але оскільки в даному випадку Runas використовується для активації облікового запису Guest з облікового запису Administrator, збереження пароля не пов'язане з серйозним ризиком. Навряд чи має сенс запускати програми в якості локального гостя, вже маючи доступом до привілейованої облікового запису.

Якщо користувачеві потрібно більше широка функціональність, чим забезпечується вбудованою командою Runas, то можна застосувати один з численних інструментів сторонніх постачальників. Наприклад, компанія Wingnut Software ( http://www.wingnutsoftware.com ) Надає утиліту Encrypted RunAs, яка дозволяє зберегти дані облікового запису в зашифрованому форматі.

Інший інструмент, безкоштовна утиліта SUperior SU ( http://www.stefankuhr.de/supsu/main.php3 ), Дозволяє не тільки запустити процес від імені іншого користувача, але і активізує особливий "робочий стіл" для цього користувача з метою додаткового захисту.

Кращий спосіб нагадати користувачам про необхідність використовувати обліковий запис Guest для небезпечних операцій, таких як перегляд підозрілих сайтів в Internet - замінити звичайні піктограми "робочого столу" і меню Start новими значками для запуску додатків з облікового запису Guest. При цьому користувачі не забудуть зареєструватися в якості Guest. У властивостях ярлика можна клацнути на кнопці Advanced і встановити прапорець Run with different credentials. В результаті користувач, двічі клацнула на ярлику, щоб запустити додаток, буде завжди отримувати запрошення ввести інші облікові дані (Екран 2). Даний метод вимагає, щоб користувач вводив пароль кожного разу при запуску програми, тому зручніше використовувати одну зі згаданих вище утиліт. З їх допомогою можна зберегти призначені для користувача облікові дані і надати більше варіантів для запуску програми.

Екран 2. Створення ярлика "робочого столу" для роботи з іншим мандатом користувача.

часткове вирішення

Слід пам'ятати, що використання врахований записи Guest - лише одна складова частина стратегії безпеки. З її допомогою можна повністю усунути загрози; вона тільки мінімізує ці небезпеки. Використання облікового запису Guest - одна з реалізацій підходу іспользоанія мінімальних повноважень, яка, як частина ширшої політики безпеки, може значно скоротити площу атаки. З метою підвищення безпеки слід підключати робочі станції користувачів тільки до довірених мереж і використовувати такі засоби, як персональний брандмауер, програми боротьби з вірусами і шпигунством для обмеження мережевого трафіку, фільтрації вхідних поштових повідомлень і блокування завантаження і установки шкідливого програмного забезпечення. Найважливіше - активно просвіщати користувачів про небезпеки і методах самозахисту.

Mark Burnett ( [email protected] ) - незалежний програмний консультант з безпеки і автор, який спеціалізується на безпеці Windows. Він володар сертифіката IIS MVP і автор книги Hacking the Code (видавництво Syngress).