Izvor: http://www.dusko-lolic.from.hr/semilimited/
Objavljeno: 13. lipnja, 2011. g.

Also available in English


Početna stranica

Windows XP u poluzaštićenom načinu rada

Usprkos nezaustavljivom proboju Windowsa 7, stari djedica XP nikako da crkne. Koliko god star bio, to je dokazan i provjeren operativni sistem pod kojim i ona starija i slabija računala koja isto tako nikako da crknu rade brzo i pouzdano. No redovito se za takva slabija računala postavlja pitanje kako ih zaštititi od virusa i sličnih napasti. Koji antivirus koristiti a da totalno ne zaguši sistem? Može li se preživjeti potpuno bez antivirusa na onim najjadnijim računalima? Neki kažu da treba napraviti ghost image sistemske particije pa samo vratiti kad zatreba, drugi se kunu u neki lagani antivirus koji troši malo resursa...
Po mom iskustvu, može se bez svega toga. Microsoft je sigurnost svojih serverskih sistema prenio na običnu raju i ponudio nam da kod dodavanja korisnika stvorimo Korisnički račun s ograničenim pravima (Limited user account). Znate ono, korisnik računala je tata, on ima svoju lozinku, i on kreira korisnički račun ivica da bi se mali Ivica mogao koristiti istim računalom bez opasnosti po tatine dokumente i cijeli sistem. Sistem i ostali korisnici su potpuno sigurni od malog Ivice. On ništa ne može u sistemu promijeniti, ništa obrisati, ništa dodavati, pa tako ni ubacivati viruse.

Korisnički račun s ograničenim pravima predstavlja odličnu zaštitu, ali traži od korisnika određenu disciplinu. Više nije tako jednostavno dodavati i uklanjati programe, neke trivijalne radnje prestaju biti trivijalne (npr. sat i datum se ne može promijeniti), a mnogi programi nisu prilagođeni takvom načinu i zahtijevaju dosta petljanja da bi proradili. Zbog svega toga ovaj način rada nije popularan.
U principu, za sve radnje koje bi mogle ugroziti sistem, mali Ivica mora pitati tatu da to uradi umjesto njega ("Tata, promijeni mi datum da mogu još malo igrati onaj trial!"). Tata za neke manje intervencije može uštedjeti trud odjavljivanja i prijavljivanja, te će privremeno povećati svoje ovlasti naredbom RunAs.
Naredba RunAs omogućava jednom korisniku da nešto pokrene pod akreditacijom drugog korisnika. Zamišljena namjena je da korisnik s ograničenim ovlastima sebi privremeno omogući veće privilegije. Recimo tata može pod ivičinim računom promijeniti datum tako da napiše (u Start/Run... ili u naredbenom retku):

runas /user:tata "control date/time"

Ako može tako, zašto ne bi moglo i naopako? Recimo, tata ima pune ovlasti nad računalom, ali bilo bi korisno da neke riskantne stvari (surfanje po pornjavi?) obavlja pod krinkom malog Ivice koji sve i da hoće ne može raditi nikakvu štetu.

Podešavanje

Pretpostavljamo da ste jedini korisnik na računalu, podrazumijeva se da ste administrator jer drugačije ne može ni biti s jednim korisnikom. U Control Panelu kreirajte novog korisnika, nazovimo ga limited. Odmah mu stvorimo i lozinku jer tako traži naredba RunAs. Lozinka neka isto bude limited. Nužno je bar jednom se prijaviti kao novokreirani korisnik da se kreiraju pripadajuće korisničke mape i profil za tog korisnika. Dakle idemo na Start -> Log Off..., klikamo korisnika limited, unosimo njegovu lozinku limited, možemo odmah na Start -> Log Off... i opet se prijaviti pod uobičajenim računom.

Za primjer zaštite konkretnog programa uzet ćemo Firefox web browser jer se surfanjem po internetu pokupi velika većina zlonamjernog softvera (drugi najčešći način je putem USB stickova, to je problem svoje vrste). Princip je uvijek isti. Desni klik na kraticu kojom se program pokreće, pa otvaramo Properties. Dobit ćemo dijalog sa svojstvima gdje pod Target ispred naziva programa dopisujemo runas /user:limited /savecred. Ništa drugo ne diramo. Ovaj /savecred će učiniti da lozinka bude zapamćena za ubuduće. Ovako to treba izgledati...

Zatvaramo dijalog na OK i pokrećemo program modificiranom kraticom. Prvi put će trebati unijeti lozinku, a idućih puta ćete primjetiti da se prije programa na trenutak otvara naredbeni redak (crni tekstualni prozor). Naviknite se očekivati taj prozor jer on znači da je RunAs naredba u funkciji, i ako ga ne vidite odmah istražite šta se poremetilo!
Probajmo radi li zaštita. Otvaramo u izborniku File -> Save Page As...(Datoteka -> Spremi Kao...), pod ime upisujemo %WINDIR%\VIRUS.EXE i klikamo na Save. Trebali bi dobiti nešto ovako:

Dosta liči na UAC dijaog pod Windows 7, zar ne? Pozitivna razlika je da bez obzira šta ovdje kliknuli, ne možete zaraziti sistem. Još bolje, ovakav dijalog ćete vidjeti samo ako namjerno pokušate isprovocirati zaštitu. Ako vas pokuša napasti pravi virus, slomit će zube već na pokušaju ubacivanja u sistem i tu je kraj priče. Nikakva obavijest o tome vam ni ne treba.

Zaključak

Osobno zagovaram isključivu upotrebu računa s ograničenim pravima za sve namjene. To znači da tata ima ograničene ovlasti baš kao i ivica, a da postoji posebni korisnički račun samo za administriranje računala. Tako je kod mene već jedanaest godina, bez antivirusa, i nikad nisam nikakvu napast pokupio. Tako konfigurirana računala opstaju u školskom okruženju, a možete misliti koliko učenici paze na njih. Ako se neka virusolika napast i natakari, šteta će biti ograničena samo na korisnički račun, dok sistem ostaje netaknut. Dovoljno je obrisati krisnički račun te napraviti novi i računalo je u tren vraćeno u stanje anjc-a.

Predloženi poluzaštićeni način samo odabranih programa ostvaruje valjda 95% sigurnosnog nivoa potpuno ograničenog korisničkog računa, a takoreći bez ikakvih negativnih nuspojava. Manja zbunjoza može nastati ako se recimo pod limited računom nešto snimi na Desktop, to se neće pojaviti na našem Desktopu već treba tražiti pod C:\Documents and Settings\limited\Desktop, a isto vrijedi i za My Documents, Downloads...
Probajte, ništa ne košta, a može se kombinirati s antivirusom i ghostanjem sistemske particije.
Ako vam smeta to šta prijava na sistem više nije automatska, a čuvar zaslona vas izbacuje, ovaj mali registry dodatak će riješiti i to.

Comments

No comments yet. Be the first!

Share Page

Add Comment