Подробнее о запуске Windows под учетными записями без прав администратора
В предыдущей статье на сайте WindowsNetworking.com под названием «Запуск Windows под учетной записью без прав администратора» мы рассмотрели трудности, связанные с тем, что пользователи настольных компьютеров работают как обычные пользователи, а не как администраторы, и рассмотрели некоторые обходные пути для решения этих проблем. Я попросил читателей оставить отзыв об этой статье и получил много — несколько рассказов о проблемах, не связанных с правами администратора, которые они не смогли решить, и другие советы, основанные на собственном опыте, о том, как решить определенные проблемы. Я подумал, что поделюсь с вами некоторыми из этих отзывов ниже (слегка отредактированными для ясности) и добавлю несколько собственных комментариев, указывая читателям на некоторые дополнительные ресурсы, позволяющие их пользователям успешно работать без прав администратора на своих машинах. Обратите внимание, что, хотя моя исходная статья была опубликована на WindowsNetworking.com, это продолжение публикуется на WindowsSecurity.com, поскольку работа без прав администратора на самом деле заключается в работе с наименьшими возможными привилегиями, что является проблемой безопасности в той же степени, что и это проблема с сетью.
Истории из окопов
Ханс Вааркамп, системный администратор из Утрехта, говорит:
«С большим интересом читаю ваши статьи в Интернете; Мне нравится писать комментарии, хотя мой английский (не говоря уже о том, как я говорю) не так хорош… Проблемы с пользователями, не являющимися локальными администраторами, сегодня для нашего бизнеса являются ежедневной проблемой. Наш бизнес насчитывает 400 сотрудников с XP-client-machines (www.pkn.nl), разбросанных по 10 офисам в Нидерландах, с нашим главным офисом в Утрехте. Мы используем доменные политики, которые мы недавно реорганизовали по вашим рекомендациям в ваших статьях о политиках. Итак, доменные политики мы используем не только для распространения ПО, но в основном для отображения общего рабочего стола и безопасности. По нашему опыту, такие политики эффективны только на локальном компьютере, когда пользователи не являются администраторами, в противном случае они не будут работать там. Наша главная причина безопасности — это сам пользователь: многие люди до сих пор не знакомы со многими возможностями Windows, и очень часто нашей службе поддержки приходилось вставать на место, чтобы вернуть исчезнувшую панель быстрого запуска, найти исчезнувшие (большинство того времени: заменены-) папки, удалены случайно скачанные программы («которые мой сын порекомендовал как лучшие антивирусные программы, так в чем проблема»; «они конфликтуют с антивирусными программами нашей компании, сэр») и т.д., и т.п. Иногда нам приходилось запускать полный образ на машине (RIS), поэтому в основном мы довольны общим рабочим столом и пользователями, не являющимися локальными администраторами. По нашему опыту, только 10% наших сотрудников жалуются на это. Для них мы создали отдельные OU с отдельными объектами групповой политики, а в некоторых случаях нам пришлось сделать их учетные записи локальными администраторами. Но, как вы пишите в своей статье, основная беда создается тем, что многие приложения не будут работать, когда пользователь не является локальным-админом. Сегодня на это ушло много времени на исследования, и действительно, большинство стороннего программного обеспечения не работает должным образом или не работает вообще, если пользователь не является локальным администратором».
Опыт Ханса типичен для администраторов на крупных предприятиях, поскольку, если вы собираетесь использовать групповую политику для блокировки настольных компьютеров, вы не можете предоставить им локальные учетные записи администратора на этих машинах, иначе они смогут переопределить эти политики. Решение Ханса для пользователей, которые жалуются, также является логичным — помещение их в отдельную OU и предоставление им прав администратора — но это может быстро усложнить вашу инфраструктуру групповой политики и вызвать проблемы, если какой-либо из этих «супер» пользователей окажется ненадежным. сотрудники. Однако его комментарий о том, что многие сторонние программы просто не будут работать должным образом (или вообще не будут работать), если у пользователей нет прав администратора на их машинах, является проблемой, на которую нет простого ответа, и большая часть вины должна лежать не на Microsoft, а на сторонних поставщиков, которые не соблюдали рекомендации Microsoft по разработке приложений для запуска без прав администратора. Windows Vista изменит ситуацию в этом отношении (я надеюсь), поскольку она вынудит поставщиков либо сделать свое программное обеспечение несовместимым с административными правами, либо не получить логотип «Сертифицировано для Vista» (или как Microsoft решит назвать это), но, скорее всего, что не все поставщики обновят свое программное обеспечение для этой функции к моменту выпуска Vista, нам просто нужно подождать и посмотреть.
Стивен Элдридж обнаружил, что он
«Пришлось отключить права администратора для одной группы в моей компании. В группе было несколько парней помоложе, и они постоянно портили свои машины шпионскими программами и другим мусором из-за установки приложений для обмена файлами. Я лишил всех в этой группе прав администратора и управлял их требованиями с помощью групповых политик. Остальную часть компании я смог оставить в качестве администратора или опытного пользователя, и она работает хорошо».
Комментарии Стивена подчеркивают, что одной из основных причин, по которой пользователи должны работать без прав администратора в настоящее время, является опасность заражения их компьютеров шпионскими программами. Шпионское ПО, которое устанавливается с правами администратора, может делать на вашем компьютере все, что угодно, поэтому работа без прав администратора может ограничить ущерб, который могут нанести такие заражения.
У Саймона Варта было много хороших комментариев и вопросов, и я разберусь с некоторыми из них:
«Короче говоря, мой опыт можно обобщить в нескольких пунктах… Использование программного обеспечения часто требует наличия учетной записи администратора. Это связано с прецедентом: все программное обеспечение находится в Program Files, в которых пользователь без прав администратора не может ничего писать или изменять. Разработчики обычно не утруждают себя использованием папки профиля (документы и данные настроек/приложений) для записи и изменения настроек программы — так что это та же проблема, что и при установке программного обеспечения… папка с программными файлами по умолчанию), но, по сути, проблема концепции при написании приложений. Можно создать программное обеспечение, которое требует прав администратора для установки, но права пользователя для работы. Можно даже создавать приложения, которые не требуют установки».
Саймон попал в самую точку, т.е. сторонние разработчики часто не пишут свои приложения для правильного сохранения настроек в папке профиля пользователя, и это часто может привести к тому, что программное обеспечение не будет работать, кроме как с правами администратора.
«Вы не можете записать компакт-диск, не будучи администратором. Это плохо и не должно быть, и это проблема Windows, связанная с управлением оборудованием».
У меня лично такой проблемы не было – я работаю как обычный пользователь на своей рабочей станции и могу успешно использовать RecordNow! Deluxe для записи как компакт-дисков, так и DVD-дисков без каких-либо проблем, так что, возможно, это проблема конкретного приложения.
«Самая неприятная проблема, которая вызывает настоящие проблемы с безопасностью, заключается в том, что автоматическая установка обновления Windows не работает должным образом без прав администратора. Я позволю вам сделать вывод об этом, но если я использую учетную запись без прав администратора, это из соображений безопасности; но, используя учетную запись без прав администратора, я не могу устанавливать обновления (кстати, центр безопасности не срабатывал), и моя система становится менее безопасной». Позже Саймон добавил : «Кстати, кажется, что критические обновления Windows применяются при использовании учетной записи без прав администратора. Но процесс невидим (нет желтого щита на панели задач)».
Я не знаю ответа на этот вопрос, так как обнаружил, что на моей собственной машине установлены некоторые обновления, и моя машина успешно перезагружается без моего вмешательства, в то время как другие обновления, похоже, не устанавливаются, пока я по какой-то причине не войду в систему как локальный администратор. и вижу всплывающую подсказку, информирующую меня о том, что Windows загрузила обновления, и мне нужно перезагрузить компьютер, чтобы они были применены. Саймон также говорит,
«Я не понимаю, почему.msi не может быть установлен с опцией «запуск от имени» — и я пытался в командной строке, но безуспешно».
Это также было распространенной жалобой от многих, но есть решение! Откройте редактор реестра от имени администратора и создайте следующий ключ в разделе HKCRMsi.Packageshell: HKCRMsi.Packageshell unas. Теперь установите значение по умолчанию для этого ключа следующим образом: Install & as… Теперь создайте следующий подраздел: HKCRMsi.Packageshell unascommand. Установите для этого подраздела значение по умолчанию: msiexec /i «%1». Теперь вы сможете щелкнуть правой кнопкой мыши файл.msi и выбрать «Установить как» в контекстном меню. Наконец, Саймон заключает:
«Я все еще тестирую использование Windows без прав администратора; и я мог бы добавить, что это спасает мой компьютер от инфекции несколько дней назад. Вирус открывается, но не может записать себя в /windows/, поэтому он просто умирает, когда я закрываю компьютер».
Преимущество очевидно: работа без прав администратора может защитить ваш компьютер от вирусных инфекций и других вредоносных программ, поэтому, хотя иногда это может быть проблемой, каждый должен попробовать это сделать.
Пабло Гарроне говорит:
«Я являюсь администратором некоторых лабораторий в университете, и я могу рассказать вам о боли, связанной с необходимостью администрирования большого количества плохо сделанного программного обеспечения, которое не работает должным образом, если вы не принадлежите к локальной группе администраторов. Более 500 студентов в каждый день используют лаборатории, так что представьте, что я не могу дать им права администратора на ПК, как если бы я это сделал, поэтому мне пришлось бы ежедневно клонировать машины. Я не могу запустить «проблемное программное обеспечение» с помощью RunAs, потому что это приведет к тысячам звонков от пользователей с просьбой «ввести пароль локального администратора» в диалоговом окне RunAs. К счастью, мы нашли программное обеспечение под названием «tqcrunas», которое делает команду RunAs доступной для сценариев. Таким образом, пользователи дважды щелкают значок Photoshop7 (одного из многих проблемных программ), но этот значок указывает не на photoshop.exe, а на xxx.tqc (например, photoshop.tqc), и этот файл содержит (в безопасном способ) желаемое имя пользователя и пароль, чтобы программа могла работать без проблем. Файл выполняется tqcrunas.exe и… волшебство!! Программное обеспечение, для запуска которого требуются права администратора, работает отлично, поскольку пользователь, вошедший в систему Windows, не является администратором этого ПК». Спасибо Пабло за указание на утилиту tqcrunas, которую читатели могут получить здесь от Quimeras Software. Пабло продолжает: «Это основная вещь, затем вам нужно точно настроить файлы.tqc, чтобы избежать некоторых мелких проблемных деталей. Например, если вы неправильно настроите файл.tqc, пользователь без прав администратора запускает Photoshop (например) через этот tqcmagic, и когда пользователь сохраняет файл в «моих документах», tqc сохраняет файл в «моих документах», которые принадлежат к профилю пользователя, запустившего программу, и в этом случае это не то же самое, что «мои документы». Но если быть осторожным с этими вещами, это работает. Это лучшее решение, которое мы нашли для этой надоедливой проблемы. Да, у него есть некоторые недостатки, но риск того стоит. Например, запуск Photoshop таким образом означает, что если умный пользователь Photoshop выберет «файл…открыть…. etc» внутри этих диалогов Windows имеет права администратора и может в конечном итоге перейти к c:winnt…»
Очевидно, что читатели могут захотеть изучить использование tqcrunas, но вам следует внимательно прочитать документацию, чтобы убедиться, что вы реализуете его безопасно.
Нареш Махарадж из Южной Африки говорит:
«Митч, вы правы в деньгах, у меня те же чувства, проблемы и т. д. Может быть, пришло время вернуться на несколько шагов назад, я обнаружил, что многие компании сейчас переходят к среде интеллектуальных / тонких клиентов, используя виртуализацию на их серверная среда, таким образом, имея одну центральную точку администрирования».
Тоже отличное решение, хотя явно не для всех. Использование служб терминалов или Citrix для централизации ваших приложений на ваших серверах и использования тонких клиентов вместо настольных ПК может уменьшить множество проблем с безопасностью и управляемостью, и предприятия могут захотеть изучить соотношение затрат и выгод, см. тематические исследования здесь. для некоторых полезных указаний в этой области.
Кари Фаррелл говорит:
«Спасибо за статью «Запуск Windows под учетной записью без прав администратора». Мне тоже бросили вызов. Текущая проблема заключается в попытке запустить программное обеспечение беспроводного адаптера (без использования программы Windows Wireless Zero) от имени пользователя. Программа запускается, получает IP-адрес и подключается к сети, только когда я вхожу в систему как Admin. Как только я выйду из системы и снова войду в нее как пользователь, программа не будет инициализирована. Мне сказали использовать команду runas, но я не хочу, чтобы пользователь знал пароль администратора! Я администратор в школе, и я действительно не хотел бы назначать права администратора ученикам. Все остальное программное обеспечение для группы пользователей работает, кроме программы беспроводной связи. Я использую Win XP Pro со всеми последними пакетами обновлений и критическими обновлениями. Беспроводной адаптер от Phoebe 802.11g и b, 54 мегабита в секунду, и у меня есть шифрование WEP. Программное обеспечение не имеет цифровой подписи. Я должен сказать, что у меня есть программа под названием FilterGate, работающая на каждой машине, и когда новый пользователь входит в систему, она спрашивает, следует ли запускать программу для этого нового пользователя. Какая замечательная функция! Меня беспокоит, что некоторые поставщики не сделают все возможное, чтобы сделать свое программное обеспечение более дружественным! Спасибо за любой ваш вклад».
У меня лично не было проблем с запуском беспроводных сетевых продуктов от лица, не являющегося администратором, но я могу сочувствовать проблемам Кари каждый раз, когда я хочу использовать свой планшетный ПК с поддержкой беспроводной связи вдали от моей доменной сети, поскольку мне приходится использовать RunAs для открытия конфигурацию беспроводной сети, чтобы изменить настройки TCP/IP в качестве локального администратора. FilterGate от Internet Filtering Solutions может быть частью проблемы, но я не уверен в этом, но похоже, что это отличный продукт. Что только показывает, чем больше безопасности вы добавляете в сеть, тем сложнее ею управлять.
Наконец, Холли Льюис, сетевой администратор системы государственных школ в Джорджии, поделилась своим мнением о том, как она решает эту проблему в своей рабочей среде:
«Мы даем учителям и лабораториям права администратора на их компьютерах. Из-за «открытой» творческой среды, необходимой в образовании, мы считаем это необходимым и не можем найти хороший способ обойти это. Учителя хотят экспериментировать с образовательным программным обеспечением и иметь возможность свободно его устанавливать. Они также хотят иметь возможность настраивать свои компьютеры. Поскольку технологиям в образовании придается такое большое значение, нам необходимо максимально упростить их использование учителями, иначе они не будут этого делать. Кроме того, многие студенческие приложения, используемые в округе, требуют прав администратора для запуска, например программа Accelerated Reader от Renaissance Learning, которая является одним из самых приоритетных приложений, которые мы используем. Однако у нас есть огромная проблема со шпионским/рекламным ПО, являющимся результатом этой «открытой» среды. У нас нет особых проблем с пользователями (во всяком случае, учителями), которые возятся с системными файлами. Мы запускаем несколько приложений для защиты от шпионского ПО, включая бета-версию Microsoft AntiSpyware, но они не получают всего. Для входа в лабораторию я использую групповую политику для ограничения Internet Explorer. Весь просмотр имеет высокий уровень ограничения безопасности, одобренные сайты находятся в зоне надежных сайтов. Это может быть головной болью, потому что каждый сайт, использующий Active X, Java и т. д., должен быть вручную помещен в зону надежных сайтов. Если URL-адрес изменяется во время использования сайта, этот URL-адрес также необходимо добавить. Но это предотвращает много проблем с компьютером. Если мы просто не можем заставить сайт работать должным образом с помощью зоны надежных сайтов, у преподавателя лаборатории есть возможность войти в компьютеры с альтернативным входом в систему, который не имеет ограничений и имеет пароль, который студенты не знают (надеюсь). Я также использую групповую политику в лабораторных условиях, чтобы заблокировать настройки рабочего стола, запретить доступ к корневому каталогу, выполнить команду и т. д. Это очень помогло удержать студентов от выполнения «вещей» на компьютерах. Одна средняя школа экспериментирует с индивидуальным входом в систему для каждого ученика. В основном это делается для того, чтобы у них были домашние папки для безопасного хранения своих проектов. Конечно, мы не можем сделать каждого ученика администратором на каждом компьютере в школе, так что это ставит перед нами новые задачи. В медиацентре (есть лаборатория) они всегда могут вернуться к входу в медиацентр с правами администратора, если это необходимо. Что касается учителей и других сотрудников, мы полагаемся на их собственный здравый смысл, чтобы попытаться уменьшить проблему шпионского и рекламного ПО. Мы рассылаем технические заметки с советами о том, как избежать этой проблемы, и инструкциями по использованию наших антишпионских приложений. Надеюсь, они смогут помочь себе в решении своих проблем время от времени».
Вау, какая сложная ситуация, чтобы справиться со всеми различными потребностями пользователей, но мне кажется, что у Холли есть работающее решение, и я думаю, что читатели могут извлечь пользу, внимательно изучив некоторые шаги, которые она предпринимает для поддержания баланса между безопасностью и безопасностью. удобство использования/управляемость в ее сетевой среде. И в любом случае, вы просто не можете обойти этот компромисс между безопасностью и удобством использования/управляемостью — это просто факт жизни, с которым мы как сетевые администраторы должны иметь дело как можно лучше.
Есть еще предложения или разочарования относительно пользователей, работающих без прав администратора? Не стесняйтесь, пишите мне по электронной почте, и, возможно, мы дополним эту статью другой статьей с большим количеством комментариев читателей по этому вопросу!