Izvor: http://www.dusko-lolic.from.hr/semilimited/
Objavljeno: 13. lipnja, 2011. g.
Usprkos nezaustavljivom proboju Windowsa 7, stari djedica XP nikako da crkne.
Koliko god star bio, to je dokazan i provjeren operativni sistem pod kojim i ona
starija i slabija računala koja isto tako nikako da crknu rade brzo i pouzdano.
No redovito se za takva slabija računala postavlja pitanje kako ih zaštititi
od virusa i sličnih napasti. Koji antivirus koristiti a da totalno ne zaguši
sistem? Može li se preživjeti potpuno bez antivirusa na onim najjadnijim računalima?
Neki kažu da treba napraviti ghost image sistemske particije pa samo
vratiti kad zatreba, drugi se kunu u neki lagani antivirus koji troši malo
resursa...
Po mom iskustvu, može se bez svega toga. Microsoft je sigurnost svojih
serverskih sistema prenio na običnu raju i ponudio nam da kod dodavanja
korisnika stvorimo Korisnički račun s ograničenim pravima (Limited user
account). Znate ono, korisnik računala je tata, on ima svoju
lozinku, i on kreira korisnički račun ivica da bi se mali Ivica mogao
koristiti istim računalom bez opasnosti po tatine dokumente i cijeli sistem.
Sistem i ostali korisnici su potpuno sigurni od malog Ivice. On ništa ne može
u sistemu promijeniti, ništa obrisati, ništa dodavati, pa tako ni ubacivati
viruse.
Korisnički račun s ograničenim pravima predstavlja odličnu zaštitu, ali
traži od korisnika određenu disciplinu. Više nije tako jednostavno dodavati i
uklanjati programe, neke trivijalne radnje prestaju biti trivijalne (npr. sat i datum
se ne može promijeniti), a mnogi programi nisu prilagođeni takvom načinu i zahtijevaju dosta
petljanja da bi proradili. Zbog svega toga ovaj način rada nije popularan.
U principu, za sve radnje koje bi mogle ugroziti sistem, mali Ivica mora pitati
tatu da to uradi umjesto njega ("Tata, promijeni mi datum da mogu još malo
igrati onaj trial!"). Tata za neke manje intervencije može uštedjeti
trud odjavljivanja i prijavljivanja, te će privremeno povećati svoje ovlasti
naredbom RunAs.
Naredba RunAs omogućava jednom korisniku da nešto pokrene pod
akreditacijom drugog korisnika. Zamišljena namjena je da korisnik s ograničenim
ovlastima sebi privremeno omogući veće privilegije. Recimo tata može pod ivičinim
računom promijeniti datum tako da napiše (u Start/Run... ili u naredbenom
retku):
runas /user:tata "control date/time"
Ako može tako, zašto ne bi moglo i naopako? Recimo, tata ima pune ovlasti nad računalom, ali bilo bi korisno da neke riskantne stvari (surfanje po pornjavi?) obavlja pod krinkom malog Ivice koji sve i da hoće ne može raditi nikakvu štetu.
Pretpostavljamo da ste jedini korisnik na računalu, podrazumijeva se da ste administrator jer drugačije ne može ni biti s jednim korisnikom. U Control Panelu kreirajte novog korisnika, nazovimo ga limited. Odmah mu stvorimo i lozinku jer tako traži naredba RunAs. Lozinka neka isto bude limited. Nužno je bar jednom se prijaviti kao novokreirani korisnik da se kreiraju pripadajuće korisničke mape i profil za tog korisnika. Dakle idemo na Start -> Log Off..., klikamo korisnika limited, unosimo njegovu lozinku limited, možemo odmah na Start -> Log Off... i opet se prijaviti pod uobičajenim računom.
Za primjer zaštite konkretnog programa uzet ćemo Firefox web browser jer se surfanjem po internetu pokupi velika većina zlonamjernog softvera (drugi najčešći način je putem USB stickova, to je problem svoje vrste). Princip je uvijek isti. Desni klik na kraticu kojom se program pokreće, pa otvaramo Properties. Dobit ćemo dijalog sa svojstvima gdje pod Target ispred naziva programa dopisujemo runas /user:limited /savecred. Ništa drugo ne diramo. Ovaj /savecred će učiniti da lozinka bude zapamćena za ubuduće. Ovako to treba izgledati...
Zatvaramo dijalog na OK i pokrećemo program modificiranom kraticom.
Prvi put će trebati unijeti lozinku, a idućih puta ćete primjetiti da se
prije programa na trenutak otvara naredbeni redak (crni tekstualni prozor).
Naviknite se očekivati taj prozor jer on znači da je RunAs naredba u
funkciji, i ako ga ne vidite odmah istražite šta se
poremetilo!
Probajmo radi li zaštita. Otvaramo u izborniku File -> Save Page As...(Datoteka
-> Spremi Kao...), pod ime upisujemo %WINDIR%\VIRUS.EXE i klikamo
na Save. Trebali bi dobiti nešto ovako:
Dosta liči na UAC dijaog pod Windows 7, zar ne? Pozitivna razlika je da bez obzira šta ovdje kliknuli, ne možete zaraziti sistem. Još bolje, ovakav dijalog ćete vidjeti samo ako namjerno pokušate isprovocirati zaštitu. Ako vas pokuša napasti pravi virus, slomit će zube već na pokušaju ubacivanja u sistem i tu je kraj priče. Nikakva obavijest o tome vam ni ne treba.
Osobno zagovaram isključivu upotrebu računa s ograničenim pravima za sve namjene. To znači da tata ima ograničene ovlasti baš kao i ivica, a da postoji posebni korisnički račun samo za administriranje računala. Tako je kod mene već jedanaest godina, bez antivirusa, i nikad nisam nikakvu napast pokupio. Tako konfigurirana računala opstaju u školskom okruženju, a možete misliti koliko učenici paze na njih. Ako se neka virusolika napast i natakari, šteta će biti ograničena samo na korisnički račun, dok sistem ostaje netaknut. Dovoljno je obrisati krisnički račun te napraviti novi i računalo je u tren vraćeno u stanje anjc-a.
Predloženi poluzaštićeni način samo odabranih programa ostvaruje valjda
95% sigurnosnog nivoa potpuno ograničenog korisničkog računa, a takoreći bez
ikakvih negativnih nuspojava. Manja zbunjoza može nastati ako se recimo pod limited
računom nešto snimi na Desktop, to se neće pojaviti na našem Desktopu već
treba tražiti pod C:\Documents and Settings\limited\Desktop, a isto vrijedi
i za My Documents, Downloads...
Probajte, ništa ne košta, a može se kombinirati s antivirusom i ghostanjem
sistemske particije.
Ako vam smeta to šta prijava na sistem više nije automatska, a čuvar zaslona vas
izbacuje, ovaj mali registry dodatak će riješiti i
to.