Uruchamianie jako członek grupy użytkowników
W tym temacie wyjaśniono, jak konfigurowanie kont użytkowników systemu Windows jako członka grupy użytkowników (w przeciwieństwie do grupy administratorów) zwiększa bezpieczeństwo, zmniejszając prawdopodobieństwo zainfekowania złośliwym kodem.
Zagrożenia bezpieczeństwa
Uruchamianie jako administrator sprawia, że system jest podatny na kilka rodzajów ataków bezpieczeństwa, takich jak "koń trojański" i "przepełnienie buforu". Jedynie odwiedzanie witryny internetowej jako administrator może być szkodliwe dla systemu, ponieważ złośliwy kod pobrany z witryny internetowej może zaatakować komputer. Jeśli to się powiedzie, dziedziczy uprawnienia administratora, a następnie może wykonywać akcje, takie jak usunięcie wszystkich plików, ponowne sformatowanie dysku twardego i utworzenie nowych kont użytkowników z dostępem administracyjnym.
Grupy użytkowników niebędących administratorami
Konta użytkowników systemu Windows używane zwykle przez deweloperów powinny być dodawane do grup Użytkownicy lub Użytkownicy power. Deweloperzy powinni również zostać dodani do grupy debugowania. Bycie członkiem grupy Użytkownicy umożliwia wykonywanie rutynowych zadań, w tym uruchamianie programów i odwiedzanie witryn internetowych bez narażania komputera na niepotrzebne ryzyko. Jako członek grupy Power Users można również wykonywać zadania, takie jak instalacja aplikacji, instalacja drukarki i większość operacji Panel sterowania. Jeśli musisz wykonać zadania administracyjne, takie jak uaktualnianie systemu operacyjnego lub konfigurowanie parametrów systemu, zaloguj się do konta administratora, aby wykonać zadanie administracyjne. Alternatywnie można użyć polecenia Runas systemu Windows do uruchamiania określonych aplikacji z dostępem administracyjnym.
Ujawnianie klientom zagrożeń bezpieczeństwa
Nie jest częścią grupy Administratorzy jest szczególnie ważna dla deweloperów, ponieważ oprócz ochrony maszyn programistycznych deweloperzy nieumyślnie piszą kod, który wymaga od klientów dołączenia do grupy administratorów w celu wykonania opracowywanych aplikacji. Jeśli kod, który wymaga dostępu administratora podczas programowania, zakończy się niepowodzeniem w czasie wykonywania, ostrzegając o tym, że aplikacja wymaga teraz od klientów uruchamiania jako administratorzy.
Kod, który wymaga uprawnień administratora
W celu wykonania niektórych kodów wymagany jest dostęp administratora. Jeśli to możliwe, należy kontynuować alternatywy dla tego kodu. Przykłady operacji kodu, które wymagają dostępu administratora:
Zapisywanie w chronionych obszarach systemu plików, takich jak katalogi Windows lub Program Files
Zapisywanie w chronionych obszarach rejestru, takich jak HKEY_LOCAL_MACHINE
Instalowanie zestawów w globalnej pamięci podręcznej zestawów (GAC)
Ogólnie rzecz biorąc, te akcje powinny być ograniczone do programów instalacyjnych aplikacji. Dzięki temu użytkownicy mogą tymczasowo używać stanu administratora.
Debugowanie
Możesz debugować wszystkie aplikacje uruchamiane w programie Visual Studio (natywnym i niezarządzanym) jako administrator, stając się częścią grupy debugowania. Obejmuje to możliwość dołączania do uruchomionej aplikacji przy użyciu polecenia Dołączanie do procesu. Należy jednak być częścią grupy administratorów, aby debugować aplikacje natywne lub zarządzane, które zostały uruchomione przez innego użytkownika.