Begrænset bruger WinXP

Skrevet af FBJ Emeritus
Denne artikel fra ZDNet: Imødegå sårbarheder med en begrænset bruger...

...peger på et forhold som jeg har villet skrive om et stykke tid. Muligheden for at undgå Malware ved at køre Windows uden Administrator rettigheder. Jeg har nu kørt i et par måneder fra en konto med begrænsede rettigheder for at se, hvordan det virkede. Som det fremgår har det virket så godt, at jeg har fundet det rigtigt at skrive om det...

Inden du læser resten, og inden du læser artiklen i ovennævnte link (hvis du ikke allerede har gjort det) så lad mig konkludere:

At køre uden Administrator rettigheder i Windows XP er IKKE en 100 % løsning overfor alle de trusler din computer står overfor. MEN det er et antivirusprogram, en firewall, et antispywareprogram heller ikke. At køre uden Administrator rettigheder bør være ét af de "sikkerheds-lag", du sikrer din computer med - sammen med diverse beskyttelsesprogrammer - for at komme så tæt på de 100 % som det nu er muligt.

*****************

Den grundlægggende teori. Hvad betyder det (hvad kan man og hvad kan man ikke)

I Windows XP er der to mulige konti:

Adminstrator konti
Begrænset bruger konti


Hvis du bruger en begrænset bruger konto vil der være ting du, og de programmer du bruger, ikke kan ændre i Windows, men samtidigt vil du heller ikke kunne ødelægge så meget på din computer, da du har begrænsede rettigheder. Dette gælder også de programmer du kører, så skulle du komme til at køre en virus, så vil virussen heller ikke kunne ødelægge så meget. Så pointen er, at en virus eller lignende vil have svært ved at inficere din computer, idet virussen vil have begrænsede rettigheder til at ændre på indstillinger på din computer.

Hvad er så forskellen på en Administrator konto og en Begrænset Bruger konto. Hvis din konto har Administrator rettigheder (hvilket er standarden for konti i Windows XP) så kan du ændre ALT - såvel for dig selv som for andre brugere på computeren. Du kan ændre sikkerhedsindstillinger og alle øvrige indstillinger, og du kan ændre alle filer på computeren (inklusiv andre brugeres filer).

Som Administrator kan du:

* Installere programmer og hardware
* Ændre indstillinger (præferencer) og lave reparationer.
* Skrive til alle områder på computeren

Som Begrænset bruger kan du:

* Bruge de programmer, der er installeret på din bruger konto
* Browse/surfe på internettet og læse e-mails
* Bruge almindelige Office programmer, chatte, spille musik, behandle billeder og så videre.
Note: Der kan være nogle programmer på internettet, der ikke vil kunne køre på Begrænsede bruger konti - jeg er bare ikke stødt ind i dem endnu...

Det væsentlige i denne forbindelse er, at 90 % af al malware vil IKKE kunne køre og ødelægge din computer, idet malware typisk skal bruge Administrator rettigheder for at kunne gennemføre sit angreb. Dette tal er der generel enighed om blandt de fleste mennesker/firmaer, der beskæftiger sig med sikkerhed. Naturligvis er der også de, der vil affærdige denne påstand og mene, at langt mere malware vil kunne komme til. Som nævnt, så er det under alle omstændigheder ikke en 100 % løsning.

Hvorfor bruger alle så ikke en konto med Begrænsede rettigheder? Det er der formentlig to hovedårsager til:

1. Som standard opretter WindowsXP alle brugere med Administrator rettigheder. Så man skal både kende funktionen og man skal aktivt søge den.

2. Med Begrænsede rettigheder er der (naturligvis) begrænsninger i hvad man kan lave med sin computer - og det vil irritere mange. Denne irritation kan man dog arbejde udenom - hvilket jeg vil komme ind på i det efterfølgende.

*********************

Sådan kommer du igang...

Først skal du oprette en ny bruger - det gør du ved:

1. Klik på Start-knappen og vælg Kontrol Panel.
2. Dobbeltklik på Brugerkonti og vælg "Opret en ny konto" (klik for at se billede).
3. Skriv navnet på den ny bruger (det vælger du selv) og klik på "Næste" (klik for at se billede).
4. Vælg kontotype "Begrænset" og klik på "Opret konto" (klik for at se billede).
5. Mens du er i Bruger konti (gentag pkt. 1 og 2) bør du også klikke på "Skift måden, hvorpå brugere logger af og på" (klik for at se billede).
6. ... og sætte prik i "Brug velkomstsiden" samt prik i "Brug hurtigt brugerskift" (klik for at se billede).

*********************

Sådan arbejder du med Begrænset bruger...

Næste gang du logger på computeren vil der være mulighed for at vælge mellem to (eller flere) brugere. Dels den du kender med Administrator rettigheder, dels den ny bruger med Begrænsede rettigheder (vælg den sidste). Med den nye bruger vil du være i stand til at lave det du normalt laver (surfer, skriver breve osv.). Der vil være tidspunkter, hvor du har behov for at arbejde i områder, der ikke kan arbejdes i fra en Begrænset bruger konto.

Den første situation er, når et enkelt program kræver Administrator rettigheder for at køre. Det kunne eksempelvis være når du vil køre en ComboFix scanning (altså et program, der er på din computer, men som skal bruge ekstra rettigheder for at køre).

Her kan du højreklikke på programmet og vælge "Kør som" (klik for at se billede). Du bliver nu givet mulighed for at køre programmet som en anden bruger, og du skal vælge en/den bruger, der har Administrator rettigheder på compturen (klik for at se billede).

Den anden situation er vel egentlig til når "første situation" ikke virker. Det vil typisk være ved installation af nye programmer. Her vil det være nødvendigt at skifte bruger. Det gør du ved at vælg Start -> "Log af" --- når du gør det får du mulighed for at skifte bruger (klik for at se billede). Når du vælger denne mulighed, så kan du skifte til den bruger, der har Administrator rettigheder - installere det program du vil installere - og skifte tilbage til brugeren med begrænsede rettigheder på samme måde. Du skal altså IKKE genstarte computeren - blot skifte bruger.

Det lyder måske kompliceret, men man vænner sig hurtigt til det, og for mange brugere - de der blot surfer på nettet, skriver e-mails, chatter og er på facebook og lignende (kigger på familiebillederne, skriver et brev osv.) - vil det være ganske overkommeligt. OG gevinsten er, at du har fået lagt et solidt ekstra lag beskyttelse på din computer - ganske gratis.

*********************

Konklusion
Jeg synes, at det er vigtigt at gentage: "At køre uden Administrator rettigheder i Windows XP er IKKE en 100 % løsning overfor alle de trusler din computer står overfor. MEN det er et antivirusprogram, en firewall, et antispywareprogram heller ikke. At køre uden Administrator rettigheder bør være ét af de filtre, du sikrer din computer med - sammen med diverse beskyttelsesprogrammer - for at komme så tæt på de 100 % som det nu er muligt."

*****************

Artiklen i det link jeg har lagt øverst i denne tråd refererer til et studie, der er lavet for nylig - for de engelsk-talende:

Executive Summary Microsoft and their partners are regularly identifying new security vulnerabilities in Microsoft software. In 2008 Microsoft published nearly 80 security bulletins documenting and providing patches for over 150 vulnerabilities. However, vulnerabilities take time to identify and patches take time to apply. During this period, threats can damage a corporate network. It is important that companies implement general best practices that can reduce the severity or prevent the exploitation of undiscovered or unpatched vulnerabilities. By examining already published Microsoft vulnerabilities, this report quantifies the effectiveness of removing administrator rights at mitigating vulnerabilities.

An examination of all vulnerabilities documented by Microsoft in Security Bulletins issued in 2008, reveals that configuring users to operate without administrator rights enables organizations to mitigate the effects of 92% of Critical Microsoft vulnerabilities. Furthermore, by removing administrator rights companies will harden their endpoint security against the exploitation of 94% of Microsoft Office, 89% of Internet Explorer, and 53% of Microsoft Windows vulnerabilities. Of the total published vulnerabilities, 69% are mitigated by removing administrator rights.

*************************

Kommentarer

Der er endnu ingen kommentarer til denne artikel eller det er ikke muligt at kommentere...

Seneste artikler
Ringet op af Microsoft?

Et par brugere har gjort os opmærksomme på et svindelnummer, som det er en god idé at være opmærksom på - et skoleeksempel på social engineering.

Hjælp til langsom computer

Du kender det sikkert: Du skal lige starte din computer, fordi du skal ordne noget vigtigt, men din computer er en krig om at starte op.

Webshops reklamerer fortsat analogt

Vi skriver 2017, og det er efterhånden mange år siden, at de første danske webshops så dagens lys. Alligevel er mange webshops fortsat dybt afhængige af analoge offline reklame og gode gammeldags skilte, for at overleve på det store, farlige internet.

IT-sikkerhed når du spiller poker

Hvad gør pokersiderne for at beskytte deres spillere mod svindlere og malware - og hvad kan du selv gøre?

Min værktøjskasse: Sysinternals

Værktøjskassen får en opdatering - vi kigger på Sysinternals fra Microsoft, som er en samling af nyttige værktøj.

Seneste nyt
Hjælp til langsom computer

Du kender det sikkert: Du skal lige starte din computer, fordi du skal ordne noget vigtigt, men din computer er en krig om at starte op.

Webshops reklamerer fortsat analogt

Vi skriver 2017, og det er efterhånden mange år siden, at de første danske webshops så dagens lys. Alligevel er mange webshops fortsat dybt afhængige af analoge offline reklame og gode gammeldags skilte, for at overleve på det store, farlige internet.

IT-sikkerhed når du spiller poker

Hvad gør pokersiderne for at beskytte deres spillere mod svindlere og malware - og hvad kan du selv gøre?

Min værktøjskasse: Sysinternals

Værktøjskassen får en opdatering - vi kigger på Sysinternals fra Microsoft, som er en samling af nyttige værktøj.

Min værktøjskasse: PhotoRec

Vi kigger på PhotoRec, der kan bruges til at redde data fra harddisken.