А вы уверены, что знаете, какие действия выполняют программы на ваших компьютерах и прочих девайсах? К примеру, могут ли игры копаться в ваших документах?
На что способно приложение, которому одобрили запуск с правами администратора, и почему оно не может запускаться без выдачи этих прав?
Попробуем разобраться вместе.
Многие знают, что не стоит скачивать и запускать программы из неофициальных источников, т.к. можно поймать вирус. Но есть и те, кто иногда пренебрегает этим.
В статье я делюсь своим личным мнением и опытом. Цель статьи — разобраться, как обеспечить безопасную работу в Windows
UPD. Я рад за подкованных обитателей Хабра, которые забыли, что есть обычные пользователи ОС, которым не очевидны многие вещи!
Моя вина, что я слишком плавно подвожу к теме того, почему приложениям на компьютере доступны почти любые действия. Представьте, если бы такое было на телефоне.
Я не задумывался о том, что любая программа, может выполнить почти любое действие, даже под присмотром антивирусов, пока сам не воспроизвел это.
Еще более неочевидный момент для типичного пользователя:
"как ограничить допустимые действия программы, если хочется иметь более надежную защиту, чем банальное доверие к разработчику?"
Обо всем по порядку.
# Немного лирики. Без небольшой предыстории не обойтись
Совсем недавно я решил освоить python. Подучив основы, я решил написать приложение для автоматизации своих рутинных задач. Я не программист, но знания PL/pgSQL помогли быстро освоиться.
1. Завязка
Я удивился, когда скомпилированная в .exe и .bin программа без каких-либо вопросов запустилась с флешки на другом компьютере, выполнив все, что в ней прописано:
— удалить файлы из папки «Мои документы»
— прочесть и заменить буфер обмена
— вывести информацию о файлах в других каталогах
— обратиться к интернету
— выключить компьютер и прочие «шалости»
Справедливости ради, попробовал на Linux — результат тот же.
P.S.
На Linux редко кто ставит антивирус и прочие средства защиты, т.к. пользователи Linux обычно не качают что-либо из сомнительных источников. Обычно все устанавливается из доверенных репозиториев. Наверное, поэтому он не усыпан вирусами.
Но в Windows(8/10) я наивно ожидал какого-либо диалога о подтверждении запуска, визга антивируса и прочих прелестей. Я привык думать, что я надежно защищен, т.к. с моим компьютером ничего особо опасного не случалось.
Я пробовал запускать программу на разных компьютерах друзей, используя запись гостя и нового простого пользователя, ставил разные средства защиты — эффект тот же.
Я почему-то наивно полагал, что буфер обмена — это нечто «святое», т.к. в нем часто мелькает важная информация, и мне казалось, что я сам регулирую вставку данных.
Однако, как я понял, для ОС это просто программа, как PuntoSwitcher, Teamviewer и прочие, которые спокойно выполняют разного рода действия.
Мне стало интересно, как можно пресечь нежелательные действия собственной же программы.
2. Немного о программе
Консольная версия программы была бы скучной для запуска, поэтому я решил добавить интерфейс.
Пока баловался с ним — вышла незамысловатая игра. Хотел написать сапера, но
Меню игры при первом запуске
Программа может показаться безобидной игрой, однако через несколько минут после скачивания файла (или другого обозначенного события) активируются новые функции
ограничился следующим списком:
Программа:
Из украшательств: окно находится всегда по центру, не дает свернуть/переместить/закрыть себя, т.к. не имеет заголовка, перекрывает все окна. Не реагирует на ALT+F4 (добавил кнопку для выхода).
Бонус: случайно вышла оптическая иллюзия мерцающих кругов между квадратами.
Программа весит около 7 Мб, хотя код на строк 300 (включая множество пустых), потому что используемый мною компилятор (pyinstaller) даже «Hello world» компилирует в 5-Мб exe.
- собирает некоторые данные о компьютере и показывает их в блокноте
- читает и подменяет буфер обмена
- обращается к интернету (просто получает главную страницу известного поисковика)
- открывает браузер с указанными ссылками
- дружит с антивирусами (пока что, проверил на virustotal.com). При скачивании этой программы из интернета, единственный барьер, который я встретил — это SmartScreen, который не любит приложения от неизвестных производителей
- может выключить компьютер даже быстрее, чем это делает кнопка из меню «Пуск»
- удаляет файлы в конкретной папке
Из украшательств: окно находится всегда по центру, не дает свернуть/переместить/закрыть себя, т.к. не имеет заголовка, перекрывает все окна. Не реагирует на ALT+F4 (добавил кнопку для выхода).
Бонус: случайно вышла оптическая иллюзия мерцающих кругов между квадратами.
Программа весит около 7 Мб, хотя код на строк 300 (включая множество пустых), потому что используемый мною компилятор (pyinstaller) даже «Hello world» компилирует в 5-Мб exe.
Меню игры, которое мы заслужили
Снял видео, для тех, кому интересна работа программы.
P.S.
Если захотите скачать этот файл для эксперимента, то сможете догадаться, где скачать «более безобидную» версию программы (без удаления и выключения).
Но делать этого я не советую, мало ли что там :)
Но делать этого я не советую, мало ли что там :)
Думаю нет смысла кидать исходник, т.к. суть не в этой программе, она лишь в качестве примера.
3. Что меня смущает?
"Я знаю, что я ничего не знаю".
Я простой пользователь, убежденный в том, что меня защитят антивирусы и сама система от большинства сомнительных (на мой взгляд) действий программ. Вряд ли мое приложение считается вирусом, но навредить оно может.
Никаких претензий к антивирусам не имею, они спасают от популярных угроз, фишинговых сайтов и прочих проблем.
Главная причина проблем — действия самого пользователя.
Наверняка есть пользователи, которые не подозревают насколько может быть опасно скачивать незнакомые/cracked приложения с торрентов, файлообменников, и прочих сайтов.
Особенно те, что требуют прав администратора для запуска. Сериал «Черное зеркало» намекает. Про Root прошивки/приложения телефона — промолчу.
Далеко не все люди хорошо ладят с компьютером, скачивают что предлагают, и доверчиво нажимают «Далее/Продолжить» при всех установках.Поэтому, когда знакомые просят меня посмотреть компьютер, который еле шевелится, я всегда вижу кучу
Типичный режим эксперта
Меня немного раздражает 'вседозволенность' программ, когда они прописывают себя не только в автозагрузке, но и пускают корни в службах, реестре и планировщике задач, замедляя компьютер своими непонятными процессами.
Пока я пробовал разные антивирусы, один из них при удалении испортил драйвер для сетевой карты, и я остался без интернета. Помогла точка восстановления системы.
У меня нет паранойи, но мне не нравится, что при установке программы всплывает лишь 2 варианта:
-Установить (*Установить с правами администратора)
-Отменить
А что, если я хочу (на всякий случай), чтобы приложение видело только свою папку, не имело доступ к интернету, буферу обмена и т.д.? Куда мне нажать?
Благо ограничения камеры/микрофона имеются в настройках конфиденциальности.
4. Что ты хочешь? Всегда же так было
Видимо, я уже привык, что на телефоне приложения назойливо запрашивают доступ к данным и функциям системы («разрешить доступ к Фото/Камере/Микрофону/Геопозиции»).
Однако!
Теперь я задумался, это постоянный доступ в любой момент работы приложения? Или только когда я нажимаю «Записать/Сфотографировать/Отправить файл»?
Надеюсь там все в порядке, но это уже другая тема..
Надеюсь там все в порядке, но это уже другая тема..
Но, мне не совсем очевидно, как можно на личном компьютере удобным способом запустить/установить приложение, выставив ему рамки дозволенного.
5. Поиск решения
Самый важный и очевидный шаг прозвучит наивно, т.к. многие о нем знают, но часто пренебрегают этим.
Большинство бед (вирусы, майнеры, сбои и т.п.) Windows из-за того, что многие пользуются учетной с правами администратора, созданной при установке, тем самым запускают все программы с избыточными правами. Каюсь, я долгое время было одним из них.
UPD. Достаточно посмотреть результат опроса в конце статьи.
Не знаю, почему до сих пор в Windows это не такой очевидный момент,
как в Linux
Краткая инструкция для тех, кто понимает, о чем речь, но не решается на такой шаг:
Создайте отдельного пользователя, дайте ему права администратора, а с себя снимите.
Только с паролями не запутайтесь.
При запуске/установке некоторых программ и прочих изменениях в системе будет запрашиваться пароль администратора (а не просто: Да/Нет), появится повод задуматься, для чего программа требует такие права.
От прижившихся приложений не поможет
Только с паролями не запутайтесь.
При запуске/установке некоторых программ и прочих изменениях в системе будет запрашиваться пароль администратора (а не просто: Да/Нет), появится повод задуматься, для чего программа требует такие права.
От прижившихся приложений не поможет
Заметил, что некоторые программы при запуске хотят получить права администратора, однако при неудачной попытке могут предложить альтернативу:
Теперь системные файлы оказались в большей безопасности, но моя программа продолжала делать коварные делишки.
Я вышел в интернет с подобным вопросом (+ IT чаты в мессенджерах): «Как безопасно/изолированно запустить программу EXE?»
Еще опросил знакомых близких к IT.
Нашел следующие варианты:
1) Использовать виртуальную машину
Отличный вариант, но не для всех случаев.
Думаю, что часть пользователей могут представлять виртуальную машину как-то так
2) Системные настройки
- Настроить политику безопасности, права на важные папки и т.д.
- Понять, почему программа просит дополнительные права, и подавить UAC запрос
Конечно, Windows достаточно гибкий в настройке. Я
P.S. Пока искал информацию, чаще всего находил статьи о том как отключить UAС, чтобы он не мешал своими предупреждениями.
3) Не скачивать подозрительные приложения. Лучший вариант!.
У меня теперь сомнения, откуда мне знать, что любое известное приложение не делает/сделает того, что я не хочу?
Фрагменты типичного лицензионного соглашения
Пользователь уведомлен и соглашается с автоматическим обновлением Программы без каких-либо дополнительных уведомлений.
Лицензионное соглашение может изменяться Правообладателем в одностороннем порядке. Изменения в условия настоящей Лицензии публикуется на странице: страница_на_которую вы_вряд_ли_зайдете. Указанные изменения в условиях лицензионного соглашения вступают в силу с даты их публикации,или тогда когда нам будет удобно..
Лицензионное соглашение может изменяться Правообладателем в одностороннем порядке. Изменения в условия настоящей Лицензии публикуется на странице: страница_на_которую вы_вряд_ли_зайдете. Указанные изменения в условиях лицензионного соглашения вступают в силу с даты их публикации,
Не нравится — не используй, все честно.
Не буду писать, что за обновление мне прилетело таким образом, т.к. я никого не хочу задеть в данной публикации.
4) Использовать программы "песочницы"
Наиболее удобный вариант, на мой взгляд. Я смог подавить некоторые опасные операции своей программы, что весьма не плохо. Однако, это сторонний и не всегда бесплатный софт, который требует настройки.
Хочется чего-нибудь похожего встроенного в ОС, с понятным интерфейсом.
Итог
Я никого не обвиняю, не призываю к панике: просто захотелось поделиться с вами своими мыслями на счет безопасности наших ОС.
Меня удивляет, что любое приложение может быть «ящиком Пандоры», от которого мало кто знает как защититься (по моему наблюдению).
Мне кажется это очень странным, во времена, когда все стараются защитить свою информацию, используют двухфакторную авторизацию/SMS, шифрование в мессенджерах и прочие вещи.
Если есть простая штатная возможность организовать более безопасную среду, буду рад, если подскажете как это сделать!
Спасибо за внимание!
Как организована безопасность Вашей операционной системы Windows? Что можете посоветовать?
keydon2
И как же организована "безопасность" (к счастью не моей) операционной системы Windows?
Статья капитанская. Если вас не разморозили, то где вы были последние 10+ лет?
postgres Автор
Возможно, много очевидных вещей, которые люди не соблюдают.
Буду рад, если кого-нибудь данная публикация сможет «разморозить».
Кажется я нашел, что искал, но не известно когда это выйдет
Новая функция — InPrivate Desktop — находится на самом начальном этапе разработки и проходит внутреннее тестирование в Microsoft. Исходя из этого, она вряд ли станет частью очередного крупного релиза Windows 10, намеченного на осень.
Fedcomp
sandboxie уже давно существует. Можно даже посмотреть что оно там насоздавало.
Mari_Look
Приобрести Windows, чтобы потом пробрести Sandboxie, чтобы в нем запускать весь софт? Гениально!
Fedcomp
Вы сейчас весь microsoft office оскорбили.
AndeyZ
А мне понравилось повествование автора
Вижу тут минусов много но не понимаю почему
Столько умных людей но никто так и не ответил, автору на вопрос что делать то?
Как то я смотрел смотрел компьютер родителей, это просто нечто
Они даже новый хотели взять, ибо подумали что он за год просто устарел
tartarelin
" — Настроить политику безопасности, права на важные папки и т.д."
MrRust
Капитанская говорите? Для кого?
Я работаю сисадмином в крупной фирме.
Я как никто другой могу описать портрет типичного пользователя.
Работы всегда много из-за таких.
Готовы?
Даже люди которым лет по 30, не понимают как открыть файл с помощью другой программы.
Я вообще не понимаю за что деньги получают, видя как они в экселе нумеруют строки вручную.
Не помнят куда сохранили свои документы.
Не помнят свой пароль, и все пароли у нас в стиле ОСЕНЬ2018, т.к. менять надо каждый квартал.
Но даже их умудряются забывать и просят сбросить.
Просят установить пиратский софт.
И все в таком духе.
Приносят личные компьютеры посмотреть, которые запускать страшно.
Даже через лет 5-10 все так и останется.
saboteur_kiev
То, что программа может выполнять все действия от админской учетки как бы само собой разумеется, поэтому открытие вы тут не совершили.
Начиная с 7-й версии, некоторые административные действия даже от аккаунта администратора запрашивают подтверждения.
В домашних условиях и не стоит запускать скачанное неизвестно откуда. Для Windows уже существует свой маркет, для любителей поиграть существует Steam — там есть хотя бы некой вариант модерирования приложений.
Удаление моих документов — совершенно пользовательская задача, административных прав для этого не требуется, удалить вы можете любой программой, и это нормально. Для этого и существуют бэкапы. Другие ваши действия — также никак не показывают, что программа делает что-то, что не имеет права делать пользователь.
Вопрос по поводу антивирусов — у вас эвристика точно включена?
Alex023
Некоторые ключи реестра имеют аттрибут безопасности Trusted Installer. И фиг вы его измените из под оси вообще. Только оффлайн редактированием реестра. Windows уже очень сильно стал отличаться от WinXP SP 0.
Добро пожаловать в 2018 год товарищ автор!
Дыры есть. Но использовать их весьма не лёгкое занятие теперь. А некоторые, приписываемые, недостатки, вообще таковыми не являются. Странно если пользователь с любыми, под плинтусными, правами не сможет распоряжаться своими документами.
Возможно конечно назрела необходимость в внедрении Time Machine в работе компьютера. Это было бы приятно. Но backup в винде предлагается уже очень давно, и кроме загаживания накопителей другая польза не очевидна.
Jabberwocky
Time Machine реализуется аппаратно. Ставите два диска зеркалом и обновляете вручную, когда все работает и ничего не качали давно (или перед тем, как скачать). Оптимально — SSD в постоянной работе и страховочный диск обычный.
fredtec
для того чтобы получить доступ к этим ключам реестра достаточно сменить владельца параметра/куста с трастинсталлер, на любого другого пользователя (свойства параметрах куста, безопасность, дополнительно...). делается это из под админа.
Analitic1983
Не согласен с вами. Пасьянс косынка, не должен иметь доступа к документам. Подобное разделение уже есть в Android. Каждая программа запускается в своем окружении, и получить доступ к общему диску можно только явно. Если программа сохраняет данные только в своем окружении, другая программа вообще не может получить доступа к ним.
TonyLorencio
Добро пожаловать в UWP, там разделение есть
zeronice
это разделение не остановить пользователя при запросе программы на доступ к документам. Если функциональность программы хоть сколько-то интересна пользователю, он не читая предоставит программе все права.
DrZlodberg
Угу. С одной стороны хорошо, а с другой — как мне в 10-ке запустить программу с прописанными правами админа без того, чтобы у меня каждый раз не спрашивали? И желательно не из ProgFiles…
Ogra
Во-первых, это не нормально, как выше уже сказали.
Во-вторых, административные права это что-то вообще запредельное: «То, что сделал предъявитель сего, сделано для блага государства и по моему приказу. Ришелье».
Belov_O
тут все пишут, что программы делают что угодно и это не для кого не секрет
Однажды при включении компьютера я заметил у себя рядом с пуск строку голосового помощника (Алису). Но я ее точно не ставил. Спросил у супругу, но она этого вроде как не делала.
Могло ли это произойти само собой, если да то это нормально?
DMGarikk
вот так всегда, ктото просит «починить компьютер»… приходишь, а там спутник, ябраузер, ещё пара тройка подобной чертовщины… но да НИКТО ничего не устанавливал
==
зато я однажды посмотрел как такой человек (коих процентов 90) «ничего не устанавливает»… помню подходим к ноуту, чел такой «давай тебе музыку скачаю»… отточенным движением открывает ВК… скачать музыку нельзя… заходит в яндекс пишет чето типа vkdownloader… с первого попавшегося сайта качает нечто (я всегда так делаю, тут норм)… запускает инсталлер… тыкает быстро быстро далее-далее-далее...(на рабочем столе вырастает штук 5 ярлыков в т.ч. от ябраузера и т.п… скачивает из вконтакта музыку… и да он НИЧЕГО ЛИШНЕГО не устанавливал!!! это все ваши вирусы в винде!
postgres Автор
Вот она, целевая аудитория данной статьи!
Думаете таких людей 90%?
Судя по тому как меня минусуют и критикуют, можно сделать вывод, что таких не осталось
Diversant616
Конечно остались. Просто целевая аудитория явно не здесь. Хотя вот лично я не без интереса почитал. Но здесь скорее конкретно мой интерес к тематике.
postgres Автор
Я и не собирался делать открытие. Даже мой опрос показывает, что многие обитатели данного портала использую эту учетку для обычной работы, не говоря о тех, кто далек от IT.
Логично, а многие ли отказывают себе в таком соблазне?
А официальные программы ставить под «честное слово»? Откуда мне знать, что популярный браузер/антивирус/пасьянс не грохнет мои файлы из-за бага/умысла разработчика?
Я это не опровергаю, а максимально подробным способом подчеркиваю для тех, кому это невдомек.
На какое действие она должна была отработать?
DMGarikk
эмм… раздражает вседозволенность говорите…
я помню когда вышла Vista в которой появился UAC… и какой поднялся страшный вой и визг на форумах в поисках разных решений «как эту гадость ненужную выключить»
Ogra
В линуксе по умолчанию все то же самое — программа может делать все, что угодно с папкой пользователя, ходить в сеть, и т.д., а будучи запущенной от админа, может делать вообще все.
Но можно поставить AppArmor, и назначать приложениям отдельные профили, в которых прописано, что можно, а что нельзя.
Приложения под Android запрашивают полный набор разрешений не то при установке, не то при первом запуске, и вполне могут не запуститься, если им их не дать. Например, приложение, показывающее погоду, просит дать ей доступ к фотографиям, и не запускается, если отказать.
На iOS программы запрашивают доступ к функциям по необходимости, но если им разрешить, то повторного запроса уже не будет. Можно отключить потом.
Analitic1983
Жаль что Андройд в случае отказа в правах не предоставляет фейковый профиль. Программа не должна понимать что ей отказали в правах, иначе ситуация как сейчаc, шантаж — хочешь запустить — разреши.
Пример: Мой МТС — практически полный доступ ко всему! И ведь количество установок: 10 000 000+
vesper-bot
Хотя бы пустой профиль — не столько фейковый, сколько не равный текущему. Пусть там себе флудит, метрики собирает и прочее, данные свои складывает и ведет остальную активность, но не имеет доступа куда не надо. Вот только запилив такое в андроиде, гугл себе в ногу выстрелит — его же первым так будут окорачивать.
Teomit
Вообще-то кое-что можно:
XPrivacyLua
Позволяет убирать права у приложений так, что они сами не понимают об этом. Или подменять некоторые данные (например, контакты и Geo координаты).
Analitic1983
Да, народ пытается. Подобные вещи уже давно в какой-то мере реализуют. Еще когда на официальном андройде не было запроса отдельных прав доступа. Я пытался ими пользоваться, но к сожалению работало достаточно не стабильно, в итоге отказался. Плюс еще нужен рут, либо перепрошивка, что не всем подходит.
Hanabishi
Вы каким андроидом последний раз пользовались? Начиная с 6 андроида приложения запрашивают каждое конкретное разрешение только по необходимости. То есть только в момент использования соответствующей функции, для которой это конкретное разрешение нужно.
Ogra
В этом месяце зашел в магазин, пощупал на тестовом стенде какой-то телефон на Андроиде. Было именно так, как я описал — приложение «Погода» попросила кучу разрешений и не запустилось после отказа.
aapazhe
Ещё один всё понял.
leR12
антивирусники это для параноиков! вирусов нет! А вот поотключать многие службы ( и некоторые «драйвера» ) можно и должно )))) я этим лет так пять назад озадачился… реестр облазил и теперь на шести машинах никаких антивирусников нет и не будет. особо радует то что снизились температуры в ноутах без всяких там подставок (впрочем они придуманы для лохов ) Итого — знай реестр. ищи и обрящешь. А при удалении некоторых пустых системных папок вообще чудеса начинаются с производительностью машин… летает всё.
dollar
Там столько служб, что сразу и не сообразишь, что нужно. Есть универсальный гайд?
vesper-bot
Под семерку попадались, под ХР тоже, по десятку пока что не видел — а вот там я бы очень хотел поотключать всякой чуши, которая мне даром не нужна, начиная от DiagTrack и всех задач, связанных с ней. А с апдейтерами я обычно делаю так — открываю консоль mmc со списком служб, что-нибудь устанавливаю, обновляю список и смотрю, что появилось после установки. Чаще всего хватает потом отключить службу из неё, чтобы обновляльщик обломался насовсем.
DrZlodberg
Ага, а некоторые 10-ка отключить просто не позволяет.
Например кортана отключена, поиск отключён, но сервис поиска висит. Антивирь\фаерфол отключён, но всё равно запускается. Ещё какую-то хрень вообще не смог отключить, просто не позволяет.
Как отключить всякое кэширование — тоже вопрос. Нахрена у меня в запущенных процессах постоянно висит мс-фото и ещё какая-то хрень (которой я никогда не пользовался и не буду), при том, что у меня кастомный рабочий стол и половина этих программ под ним работать просто не может (собственно все модерновые масдайные программы).
profesor08
Запусти secpol.msc и приведи к следующему виду:
Тогда перестанут запускаться все UWP приложения, и много чего еще будет работать с двойного клика.
DrZlodberg
Это был любопытный опыт, который позволил узнать 2 вещи:
1. У меня в системе он почему-то отсутствует (заблокирован админом домена? я — локальный админ)
2. Если в батнике запускать через start команду, которой нет (на сколько я понял, повторять не стал) он начинает очень быстро плодить консольные окна и остановить это невозможно. :( Перезагрузился когда счёт их пошел на сотни…
profesor08
Это локальная политика безопасности. Доступная и на win 8, и на 8.1, и на win 10.
DrZlodberg
Так это не отменяет возможности отключить её настройку. По крайней мере у меня такой файл отсутствует по указанному в мс-хелпе пути. С чем-то подобным я уже сталкивался на этой системе. Тогда поиском я нужный файл таки нашел где-то в недрах WinSxS, но толку от этого было ноль.
profesor08
Моя винда установлена с официального образа скачанного с сайта microsoft.
C:\Windows\System32\mmc.exe
C:\Windows\System32\secpol.exe
DrZlodberg
О, а через ммс запустился, благодарю.
Правда не все пункты нашел. У меня англ. версия (так привычнее), сложно угадать по первым словам. Но не важно, запрос я отключил.
Ещё разобраться бы ещё, как нормально подменить десктоп. У меня пока работает через… стандартный интерфейс. Старые настройки они сломали, а в новых всё несколько сложнее.
perlestius
Совет из серии "вырвите коту зубы, удалите когти, купируйте хвост — и он не будет доставлять вам неудобств"
vesper-bot
TL;DR все подозрительные ехешники нужно запускать из-под пользователя «Гость».
Вообще, любая программа, запущенная из-под пользователя, может делать всё, что может делать пользователь. И если вы хотите, чтобы программа чего-то не могла, запретите пользователю.
PS: да здравствует VSS shadow copy для немедленной защиты данных и оффлайн-бэкап для всей остальной!
vilgeforce
Подозрительные экзешники нужно удалять, а не запускать. Shadow Copies удаляются в три строчки при наличии прав.
vesper-bot
Ну дык, разве у гостя есть права на vssadmin delete shadows? А запросит админа, когда не должна — слать лесом. Ну или в виртуалке запускать при наличии снапшотов в гипервизоре, если уж очень хочется.
vilgeforce
Вам ограничения прав не помогут, потому что о повышении прав вы явно не знаете
Ocelot
Leljka
Я такое видела. Код я не пишу, читаю немного… И тем не менее.
Ваша статья, да нашим бы сисадминам! Вот кто лентяй! Даже я ограничивают тонкой настройкой вин средствами вин! Локальные политики, администрирование в помощь. Но, как правило, в провинции в небольших компаниях сисадмину лениво. Он хочет получать денежку, максимально облегчит себе труд. Что он делает? Вместо того, чтоб настроить виндовс, он использует… Сторонние костыли! Левое ПО. Не всегда безопасное. Я видела считку и отправку логов, смешно сказать, без никакого вируса! Удалив просто маааахонькую программулинку, от которых я избавилась. Начальство ли организовало «слежку» или это дыра для всей корпоративной сети (что скорее всего) — я не знаю. Я привыкла к безопасности. Ну и повезло. Учётка админа закрыта паролем не была! (тоже смешно, просто отключена по умолчанию).
dmr0
Малварь давно уже работает не требуя от пользователя админ-прав. Существует вагон и маленькая тележка методов обхода UAC на всех версиях винды.
DMGarikk
И как вы обойдете UAC например на компьютере входящем в AD с отключенным локальным администратором?.. это когда UAC не «да»/«нет» спрашивает, а пароль админа
saipr
Безопасность Windows — абсолютный нонсенс!!!
Второе.
А чему удивились-то?
Удивляться надо тому, что вы запустили программу, заранее зная что она выполнит выше перечисленные действия. Разве вам не говорили, что не надо запускать неизвестные программы, либо будьте готовы к любым неожиданностям. А Linux не Линукс здесь ни прри чем.
Ogra
Мне вот удивительно, что товарищ пошел на Хабр жаловаться, не попытавшись покопать дальше. Ни про SELinux/AppArmor в Линуксе, ни про групповые политики/домен в Винде, ни про разрешения на мобильниках — ничего не раскопано.
postgres Автор
Зачем мне в этом копаться? Представь себя на месте пользователя далекого от IT
DMGarikk
Нонсенс, а вы вообще вникали в настройку винды для безопасности? или впечатления остались от Win9x где «нажал отмену в окне запроса пароля, он меня в систему пустил… гыыы»
А я вот настраивал, гайки можно закрутить так что даже, извините, пернуть нельзя будет без разрешения администратора и отметок в логировании
или вам надо именно изкоробки чтобы «никто не прошел»? даже сам пользователь… пока не прочитает RTFM на 10 томов?
OnelaW
Не, я конечно понимаю, что читатели хабра достаточно подкованные пользователи и хорошо разбираются в политиках безопасности, но на автора зря бочки катите. Да статья от КО, буквально от пользователя который только вчера узнал что вообще творится. Но к сожалению картина еще хуже чем представляется. Большинство, слава богу это не 80-90 процентов пользователей о разграничению прав доступа ничего не знают и знать не хотят.
Пользователи не знают какой файл ассоциируется с той или иной программой.
Для чего нужно переносить данные пользователя на другой раздел диска.
Почему нельзя плодить копии папок и файлов на рабочем столе. Хотя логика пользования подсказывает удобно хранить документы на рабочем столе.
И многие простые и казалось бы очевидные вещи.
zeronice
А для чего?
Почему нельзя?
OnelaW
1 В случае отказа работоспособности ОС, если потребуется чистая перестановка, то в винде это приводит к тотальному удалению пользовательских данных. По умолчанию пользовательский профиль и все данные располагаются на системном разделе. Диск Ц.
2 В случае организации хранения документов на рабочем столе это приводит к раздуванию размеров пользовательского профиля, что чревато огромными тормозами при запуске ОС. При запуске данные с пользовательским профилем загружаются в оперативную память))
Это всё относится к работе в Windows.
zeronice
2) O`RLY?
OnelaW
1. Где вы на каждое домохозяйство в стране найдете подкованного пользователя? Пользователи на одних компаниях где есть офицеры по безопасности и прочие эникеи не заканчиваются. Мир огромный и многоцветный.
2.50 папок на рабочем столе с картинками и табличками, и попробуйте с месяц так поработать на Windows.
zeronice
OnelaW
разбейте 2 бд образа на куски по 1.4 мб, и всё это добро разместите на рабочем столе. Посмотрите что получится.
DMGarikk
У меня куча папок на рабочем столе, всегда было так… ещё со времен 95 винды… никогда не замечал чегото особенного (а вот про тормоза макоса я слышал с таким подходом кстати)
технически рабочий стол винды это же тупо окно эксплорера без заголовков и меню… ему побарабану что отображать, тормозить может всякая генерация эскизов и предпросмотров… но оно один раз потупит и потом уже все закэшировано и работает быстро
а размер профиля пользователя вообще не влияет… я видел профили весом и под 800гигабайт… и ниче
OnelaW
увы не во всех случаях тормознутость воспроизводима со 100% повторением.
quwy
Конечно, потому что тормозит это только в случае перемещаемого профиля в домене. На типичном юзерском писюке такая ситуация имеет место примерно никогда.
zartarn
Бэкапы надо еще и проверять, что из них всё восстанавливается должным образом.
OnelaW
Какие проверки, какие бекапы, вы чего, часть пользователей вообще не в курсе про резервное копирование, про встроенный механизм восстановления в windows и прочих полезных действиях. Это на хабре пользователи умеют обращаться, но всех пользователей хабра не приставишь к каждому пользователю.
zartarn
Да я вкурсе что многие даже не знают про Ctrl+C, просто замечание к словам про бэкапы. А то так же многие считают что само наличие бэкапа уже панацея).
Сам на С ничего не храню в т.ч. и в документах. Еще со времен ХР все всегда на другом разделе. А важное — в нескольких носителях/устройствах.
А так больше проблем от того, что у большинства учетки на виндовс с админскими правами.
Gritsuk
Внезапно, одна pdf'ка на 10 мб на рабочем столе заставляла ноут кушать 100 процентов процессора. i7 предпоследнего поколения, вин 10. Ноут так крутил кулером, что чуть на взлет не шел. Пришел админ, спрятал файл в папочку на том же рабочем столе, и все стало нормально — процессор в покое на 1 процент, кулер молчит.
Через пару месяцев простой джипег на 150кб вызвал ту же ситуацию. Не понимаю, что за хрень
springimport
Проблема явно локальная. i7 так просто не загрузить на 100% если ноут не перегрет.
OnelaW
такое бывает, воспроизвести глюк скорее всего мало у кого получится, от типа и размера файла это не зависит. Может и экселька в несколько кило загрузить проц, а бывали случаи когда битый доковский документ убивал эксплорер на корню.
DMGarikk
а какой именно процесс грузит процессор на 100%?
aulandsdalen
О, а вы из породы тех самых бородатых админов, которым простые пользователи мешают работать?
Если у вас вдруг система замучена так, что уже не грузится (а так вообще бывает? ни разу не видел), то пользовательские данные все равно можно извлечь перед переустановкой системы, если вы этого не знали.
А где хранить свои тысячи фотографий внуков, котиков и бухгалтерские документы за 2008 год, решать не вам и не виндоусу, а пользователю того компьютера, ваша задача состоит в том, чтобы обеспечить их сохранность.
OnelaW
Увы я тот самый пользователь у которого 50+ папочек и ярлычков к программам раскиданы на рабочем столе. 100+ копий и версионность одной и той же екселевской таблички. И это все на ноуте с 8 гигами. Все 8 гигов при таком подходе убиваются за месяц.
Fedcomp
windows можно переустановить без потери данных на диске C:
NoOne
1. Не приводит. Винда аккуратно всё переместит в windows.old.
А теперь еще и в OneDrive документы по умолчанию хранятся, если сильно не сопротивляться.
Ogra
Это если на диске места хватает. Если же кто-то засрал своими документами все место — ничего не поставить ;)
jrthwk
Ну, начнем с того что недавно микрософт выпустил (а после отозвал) очень интересное обновление…
OnelaW
Microsoft, Oracle, IBM, Cisco и прочие ежегодно выпускают обновления к своим решениям с теми или иными ошибками. Можно их ругать, можно с ними судиться, можно отказываться использовать их решения, но пока не перестроится подход в целом в отрасли по производству и поддержке решений.
fmj
Белый список ПО — в pro есть SRP, в enterprise — AppLocker, во всех версиях есть ACL.
Недоверенное ПО можно запускать с низким уровнем целостности(хомяк с документами останется невредимым).
Еще стандартный firewall — тоже белый список на входящие и исходящие.
Еще свои пользователи для некоторых программ(еще конечно надо запускать на отдельных рабочих столах(как это делает uac), но с этим еще не разбирался).
Но все это настраивать устанешь.
kuftachev
В принципе, уже давно есть отличное решение — называется браузер. Единственное место, где совсем критично его использовать — это тяжёлые компьютерные игры, и то, ходят легенды, что WebAssembly может это исправить.
Тем более, что с современными фреймворками для SPA, можно реализовать почти любую задачу для повседневного использования.
Конечно могут понадобиться некоторые служебные программы, включая сами браузеры, но доверять хоть каким-то продуктами от основных поставщиков всё-таки придется, начиная от самих ОС.
P.S. Представляю обратную ситуацию, мы пишем утилиту, чтобы она выполнила какую-то работу, а она имеет доступ только к своему файлу. Так что-ли?
nuclight
Да, так. И переклдывать на браузеры — это костыль.
springimport
Добро пожаловать, автор! В этом мире ОС написаны так что после переустановки системы нужно бегать по сайтам и скачивать десяток программ. А потом в этих программах скачивать еще пару десятков других (Стим, например). Каждая программа ставится по-разному и хранит данные тоже по-своему. При этом данные пользователя сохраняются только локально и нельзя просто начать работу на одном устройстве и продолжить на другом.
Но неплохо продвинулись мобильные ОС и со сменой телефона можно даже перенести часть данных. Успех.
dartraiden
springimport
Это круто. Но многие концепты красиво выглядят, а работает каждый день старая добрая windows/linux/m os.
Мне видится повальная контейнерезация всего но не как отдельные ОС. Причем с выносом данных отдельно и возможностью запускать разные версии одновременно.
dartraiden
Это всё совершенно легальные и обычные действия. Вы предлагаете запретить пользователю удалять свои документы? Читать буфер обмена? Завершать работу? Это действия, которые пользователь делает ежедневно, программа, запущенная из-под учётки пользователя обладает теми же правами.
Что касается доступа в Интернет, то брандмауэр Windows по умолчанию никогда и не запрашивал разрешения на установку исходящего подключения. Только на входящие.
Вспоминается:
Впрочем, в Windows 10 есть контролируемый доступ к папкам, который предназначен как раз для защиты выбранных пользователем папок от массового изменения файлов в них.
mrakgi
В целом автор поднял интересную тему. Ответа что делать нет, ибо никому это не надо. Я имею ввиду делать.
Все мы очень часто говорим о личных данных, личном пространстве и прочем. Однако 99% людей носят с собой желязяку с двумя камерами, парой микрофонов, двумя дачиками местоположения. Хранят свои отпечатки пальцев, карточки банковские и все пароли на ней. При этом вообше никак не контралируют данные на этой самой железяке. Например «вы точно уверены что в вашем телефоне нет чипа китайцев которые с помошю него все могут стянуть :?»
oteuqpegop
Так сложилось исторически. Под Windows написано огромное количество софта во времена, когда о таких аспектах безопасности попросту не думали и писали кто как захочет. Этот софт никогда не будет переписан по современным канонам, так что остается всего два варианта: либо поломать совместимость в угоду безопасности, либо худо-бедно поддерживать все написанное. В Windows выбран путь, близкий ко второму варианту (поддерживать все, кроме совсем вопиющих и древних вещей, очень медленно закручивая гайки по мере отказа пользователей от старых приложений). Понятно, что граница нечеткая, можно было бы закрутить гайки сразу и посильнее, но тогда получится что-то типа www.sandboxie.com/KnownConflicts (и тут только относительно популярные приложения), а вы же сами упомянули, что, как простой юзер, хотите не регулярно ковыряться в настройках, заставляя работать старую программу, а чтобы просто все работало с минимальными телодвижениями. Для большинства конечных пользователей Windows безопасность — это если не пустой звук, то что-то явно менее важное, чем возможность запуска конкретного софта, с которым они привыкли работать. И они такие изменения посчитают не благом, а посягательством (как в упомянутом выше случае с UAC).
А на телефонах софт в любом случае почти целиком писался гораздо позже и заново, даже если по существу портировался, и можно было просто изначально ввести более жесткие правила, встроенные песочницы, что угодно, и новый софт после этого писался в новых рамках или не писался вообще.
Если у вас достаточно современное железо, то наименее проблемным способом будут виртуальные машины (Hyper-V есть в последних версиях Windows, так что возможность практически штатная, а если использовать на хосте, например, QubesOS, то это будет по удобству работы почти как песочницы). Если нет, и у вас немного Windows-only софта, то проще всего, наверное, найти аналоги и перейти на другую ОС, ибо в Windows с песочницами время от времени в любом случае придется ковыряться. Если Windows-only софта много, то можно отделить доверенный софт (браузер с важными аккаунтами, офис и всякое такое) на отдельный физический компьютер, на котором не запускать ничего кроме них, а на другом компьютере с маловажными данными просто расслабиться и получать удовольствие.
third112
могу посоветовать:
1) разделить конфигурацию ПК для он-лайн и офф-лайн:
в он-лайн использовать линукс на read only флешке;
2) Ваш ответ: ИМХО ВМ -лучшее, что сейчас есть: клонировали ВМ, запустили сомнительный EXE, посмотрели и удалили клон ВМ.
3) EXE, в которых нет сомнений (нпр., фотошоп от производителя) запускаем офф-лайн на отдельном сменном «винте».
4) ИМХО новые ОС не всегда бывают стабильны, поэтому лично я предпочитаю «винды ХР», но когда нужно: под ВМ запускаю новую «десятку».
Данный совет не дает 100% гарантии (такого быть не может), но мне помогает.
third112
PPS Позвольте еще один совет для «обычных пользователей». И дома и на работе мы на ПК работаем (или играем) в свободное от обеда время. А во время обеда советую копировать всю инфу с ПК. Я сам предпочитаю болванки.
leR12
у меня правило называется ТРИ! имею возможность на трёх разных внешних дисках иметь копии и резервы.
MrRust
А почему не правило 10?
Простите, что вы там такое храните?
third112
PS Лично я на антивирусы не надеюсь, т.к. простое соображение: сначала появляется и распространяется вирус, а только некоторое время спустя антивирус.
leR12
прекрасное наблюдение!!!
third112
Спасибо. Я прочитал Ваши недавние комментарии про антивирусы к другим темам и в целом разделяю Вашу позицию. ИМХО могут быть разные политики безопасности. В некотрых применение антивирусов м.б. оправдано. Но ламер, поставивший антивирус, и считающий, что полностью обезопасился, вызывает сожаление.
dollar
Знаю, что некоторые до сих пор пользуются Windows XP. И не жалуются!
Лично я использую Windows 7. Насколько знаю, новые фичи для неё не выпускаются с 2015 года, меня это вполне устраивает, а обновления безопасности будут выпускаться лишь до 2020. Но уверен, что жить она будет гораздо дольше! Именно потому, что большинство работает из под админа, и вся безопасность по сути сводится к тому, чтобы не ставить ничего лишнего. А «хорошие» программы соблюдают джентльменское соглашение о неразрушении системы.
На Windows 10 тоже есть жизнь (хотя это лишь 35% против 40% на Win7). Но всё же приятнее пользоваться системой, в которой всё устаканилось и изменений не предвидится. Никаких. Как говорится, не надо мне, как лучше, оставьте, как хорошо.
MrRust
А на нетбуки в стиле 2 ядра / 2 гига хочется старую добрую ХП поставить для комфортного использования