Spuštění jako člen skupiny Users
Toto téma popisuje způsob konfigurace uživatelských účtů systému Windows jako člena skupiny Users (na rozdíl od skupiny Administrators) zvyšuje zabezpečení tím, že snižuje pravděpodobnost napadení pomocí škodlivého kódu.
Rizika zabezpečení
Spustit jako správce vytváří Váš systém zranitelným vůči několika druhům útokům na zabezpečení, jako například "Trojský kůň" a "přetečení vyrovnávací paměti." Pouze navštívení internetové stránky jako správce může poškodit systém tak, jako může škodlivý kód, který je stažen z internetové stránky napadnout Váš počítač.Pokud je to úspěšné, dědí Vaše oprávnění správce a může poté provádět akce, jako například odstranění všech souborů, přeformátování pevného disku a vytváření nových uživatelských účtů s přístupem správce.
Neadministrátorské skupiny uživatelů
Uživatelské účty systému Windows, které obvykle používají vývojáři, by měly být doplněny do skupiny Users a skupiny Power Users.Vývojáři by měli být rovněž přidáni do skupiny Debugging.Být členem skupiny Users Vám umožňuje provádět rutinní úkoly, včetně spouštění programů a navštěvování internetových stránek bez vystavení Vašeho počítače zbytečnému riziku.Jako člen skupiny Power Users můžete provádět úkoly jako jsou instalace aplikace, instalace tiskárny a většina operací Ovládacích panelů.Pokud potřebujete provádět úkoly správce, jako je aktualizace operačního systému nebo konfigurace systémových parametrů, měli byste se přihlásit do účtu správce na tak dlouho, jak je potřeba provádět úkoly správce.Případně Windows příkaz runas lze použít ke spuštění určitých aplikací s přístupem pro správu.
Vystavení zákazníků rizikům zabezpečení
Nebýt součástí skupiny Administrators je zvláště důležité pro vývojáře, protože vedle ochrany vývojářskýchch strojů, zabrání vývojářům před neúmyslným psaním kódu, který vyžadují zákazníci ke spojení skupiny Administrators v pořadí provedení aplikací, které vyvinete.Pokud kód, který vyžaduje přístup správce, bude zaveden během vývoje, selže za běhu, oznámením Vám fakt, že Vaše aplikace nyní vyžaduje zákazníky pro spuštění jako Administrators.
Kód, který vyžaduje oprávnění správce
Některé kódy vyžaduje přístup správce ke svému provedení.Pokud je to možné, mají být sledované náhradní řešení pro tento kód.Příklady operací kódu, které vyžadují přístup správce, jsou:
Zápis do chráněných oblastí systému souborů, jako je například adresář Windows nebo adresář Program Files
Zápis do chráněných oblastí registru, jako je například HKEY_LOCAL_MACHINE
Instalace sestavení do globální mezipaměti sestavení (GAC)
Obecně by měly být tyto akce omezeny na instalační programy aplikace.To umožňuje uživatelům použít stav správce pouze dočasně.
Ladění
Můžete ladit aplikace, které spustíte v rámci sady Visual Studio (nativní a nespravované) jako bez oprávnění správce, staniž se součástí skupiny Debugging.To zahrnuje možnost připojení ke spuštěné aplikaci pomocí příkazu Připojit k procesu.Je však nutné být součástí skupiny Administrator v pořadí k ladění nativních nebo spravovaných aplikací, které byly spuštěny jiným uživatelem.