Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Sudo w... Windows, czyli surun!

Mechanizm sudo znany jest użytkownikom Linuksa, zwłaszcza w Ubuntu gdzie jest domyślnie włączony. Przypomnę pokrótce: dzięki sudo możliwe jest uzyskanie uprawnień administratora (roota) bez faktycznego logowania się na konto administracyjne. W ramach autoryzacji użytkownik musi wpisać tylko swoje własne hasło.

Konto ograniczone a kwestia Windows

W Windows istnieje podział na konta ograniczone (LUA - limited user account) i administracyjne. Standardowo zaraz po instalacji nasze konto jest właśnie kontem administracyjnym (a dokładniej, należy do grupy użytkowników "Administratorzy").

Z kont ograniczonych korzysta stosunkowo mały procent użytkowników Windows. Z czego to wynika, nie mam bladego pojęcia? Czy wynika to z niewiedzy? A może z chęci zapewnienia sobie wygody? Nie wiem.

O co tak naprawdę chodzi?

Każdy administrator serwera wie dobrze, że im użytkownik ma mniej uprawnień tym lepiej.
Użytkownik Windows korzystający z konta ograniczonego ma nałożone poważne ograniczenia: nie może edytować rejestru czy ustawień systemu, nie da się dodać nowego urządzenia. W praktyce, taki użytkownik może jedynie zmieniać swoje prywatne ustawienia, jak tapetę czy styl. W kwestii bezpieczeństwa, wirus nie będzie mógł utworzyć własnej usługi, załadować sterownika czy dodać swojego pliku do autostartu. Przez to atak wirusa jest praktycznie bezcelowy!

Dlaczego użytkownicy nie chcą korzystać z kont ograniczonych, nie wiem. Kwestia niewiedzy? A może chodzi o zapewnienie sobie dodatkowej wygody? W pewnym sensie winę ponosi za to Microsoft. Gdyby tworzone podczas instalacji konto użytkownika było kontem ograniczonym, sytuacja byłaby diametralnie inna.

Praca na koncie LUA

Każdy, kto pracował na koncie ograniczonym wie, że czasami niewygodne jest korzystanie z takiego konta. "Nie masz odpowiednich do tego uprawnień" to zmora tego rozwiązania. W Windows Vista/7 Microsoft poprawił pracę na koncie ograniczonym. Będąc zalogowanym na koncie ograniczonym można uruchomić aplikację na prawach innego, administracyjnego użytkownika. Lepiej, ale wciąż nie idealnie. Bo jeśli moje dziecko (wyobraźmy sobie tę sytuację ;)) ma konto ograniczone, to muszę podać mu moje hasło (mam konto administratora). Sytuacja patowa...

Surun - sudo w Windows
Powiedzmy sobie szczerze, mechanizm sudo sam w sobie jest najlepszym rozwiązaniem. Będąc zalogowanym na koncie ograniczonym mogę wykonać prace administracyjne bez pytania się o hasło administratora czy nawet nie muszę się logować na to konto. Wystarczy moje hasło i odpowiednia aplikacja. W linuksie mamy sudo, w Windows Surun!

Instalacja Surun w kilku krokach

1. Utwórz swoje nowe konto, niech będzie kontem administracyjnym. Podczas instalacji Surun obniżymy prawa tego konta, tj. będzie to nasze konto ograniczone. Ważne! Konto należy zabezpieczyć hasłem!
2. Pobierz Surun stąd i rozpocznij instalację.
3. Podczas instalacji trzeba dodać nowo utworzone konto do grupy surunners. Wystarczy kliknąć przycisk dodaj i wybrać odpowiednie konto. Jeśli chcemy by trzeba było wpisać hasło użytkownika, zaznaczmy opcję "użytkownicy muszą wpisać swoje hasło". Można także wybrać co ile autoryzacji konieczne będzie odświeżenie autentykacji. Jeśli tego nie zaznaczymy, Surun będzie działał tak jak powinien, nie będzie trzeba jedynie wpisywać hasła w oknie prośby o podwyższenie uprawnień.
4. Zrestartuj system, zaloguj się na nowe konto i rozpocznij pracę na koncie ograniczonym

Praca z Surun

Jeśli podczas pracy będziemy chcieli uruchomić jakąś aplikację z prawami administratora, wystarczy kliknąć prawym przyciskiem myszy na plik i wybrać Surun.
W większości przypadków Surun sam wykryje konieczność podwyższenia aplikacji. Konieczne jest jednak wtedy sprawdzenie czy aplikacja faktycznie potrzebuje uprawnień administracyjnych. Może się okazać że wirus wywoła alarm, ale będzie potrzebował potwierdzenia.

Czasami trzeba uruchomić aplikację za pomocą menu uruchom. Jak to zrobić z zainstalowanym surun? To proste, wystarczy przed właściwym poleceniem dodać "surun", np.: surun control userpasswords2.

Możliwe jest także wymuszenie by aplikacja startowała automatycznie z uprawnieniami administracyjnymi. Najczęściej są to aplikacje zabezpieczające, które mogą niepoprawnie działać na koncie administracyjnym. Proszę zajrzeć do ustawień surun, aplikacja jest po polsku i każdy poradzi sobie z konfiguracją.

Dlaczego nie UAC?

Surun jest po prostu wygodniejsze i bezpieczniejsze! Poza tym surun jest bardziej "konfigurowalny".

Uwaga: Konto ograniczone nie zapewnia stuprocentowej ochrony. Pomaga jedynie znacznie poprawić nasze bezpieczeństwo. Gorąco jednak zachęcam do korzystania z kont ograniczonych!

Moja ofensywa blogowa trwa :) i ma się dobrze... 

Komentarze

0 nowych
Winters4TW   6 #1 29.08.2011 18:05

Ciekawe rozwiązanie.

Jak się ma to do usuwania ikonek z pulpitu? Pamiętam, jak założyłem konto z ograniczeniami i nie mogłem usunąć ikonki z pulpitu... takie rzeczy powinny być odgórnie dostępne, a reszta po podaniu hasła (nie koniecznie admina).

adam993   4 #2 29.08.2011 18:18

Jeśli nie da się usunąć ikony (skrótu), to znak że umieszczona jest ona w katalogu C:\Documents and settings\All users i nie da się jej usunąć z konta ograniczonego.
Można jednak wykorzystać surun do uruchomienia eksploratora w trybie administratora. Wystarczy otworzyć okno mojego komputera, kliknąć PPM (prawym przyciskiem myszy) na dysk C:\ i i wybrać surun explorer (lub podobnie brzmiącą). Potem wystarczy przejść do odpowiedniej lokalizacji i skasować ikonę (z owego katalogu).
Ikona na naszym pulpicie zniknie :)
Aha, te ikony tworzą się podczas instalacji programów (opcja zainstaluj dla wszystkich użytkowników).

Triniti888   5 #3 29.08.2011 19:40

Jest jeszcze inna możliwość, która nie wymaga instalacji dodatkowego oprogramowania: http://www.morfiblog.pl/2011/06/20/konto-roota-w-windows-7/

adam993   4 #4 29.08.2011 19:49

To jest dokładnie to samo o czym wspomniałem:
"W Windows Vista/7 Microsoft poprawił pracę na koncie ograniczonym. Będąc zalogowanym na koncie ograniczonym można uruchomić aplikację na prawach innego, administracyjnego użytkownika. Lepiej, ale wciąż nie idealnie. Bo jeśli moje dziecko (wyobraźmy sobie tę sytuację ;)) ma konto ograniczone, to muszę podać mu moje hasło (mam konto administratora). Sytuacja patowa..."

TestamenT   11 #5 29.08.2011 20:22

Ja nie wyobrażam sobie pracy na Windowsie bez uprawnień administratora. Bo to jest niesamowicie wygodne. W GNU\Linux to co innego bo tam sudo jest wygodne i nie trzeba w większości przypadków logować się jako root.
Ale że Windows rozleniwia to nawet nie będzie mi się chciało używać surun. A zwalam to wszystko na M$ bo żem pępek świata i siebie za to obwiniać nie będę.

adam993   4 #6 29.08.2011 20:34

Tak, zaraz po instalacji Windows praktycznie nie nadaje się do pracy na LUA. Po zainstalowaniu surun poziom wygody jest znacznie lepszy.

Ryan   15 #7 30.08.2011 09:50

Na czym opierasz przekonanie, że surun jest bezpieczniejsze od UAC? :)

4lpha   9 #8 30.08.2011 10:07

Jeśli wtedy faktycznie bez naszej wiedzy się nie zainstaluje, to znaczy to, że można pracować bez antywirusa?

4lpha   9 #9 30.08.2011 10:07

*nic się nie zainstaluje

adam993   4 #10 30.08.2011 10:42

@Ryan
Surun posiada własny "bezpieczny pulpit", w UAC trzeba wpisać hasło administratora (co samo w sobie jest trochę... niebezpieczne?), a w Windows XP jest opcja "uruchom jako", która też jest niebezpieczna, ponieważ hasło może być przechwycone. Ale to musiałby robić prawdziwy wirusowy natręt...
@sunbeam96
Korzystając z LUA można zrezygnować z antywirusa. Trzeba jednak pamiętać że niektóre programy zabezpieczające mogą nie działać poprawnie na koncie ograniczonym. Na szczęście w surun można dodać procesy antywirusa by startowały w kontekście użytkownika z uprawnieniami administracyjnymi.

Ryan   15 #11 30.08.2011 11:17

No i co z tego, że ma bezpieczny pulpit? UAC też się pojawia na osobnym pulpicie. :) Wpisywane w nim hasło jest nie do "podebrania" z innego pulpitu, a więc bezpieczeństwo obu rozwiązań opiera się na tym samym. Tyle że UAC, w przeciwieństwie do surun, nie uruchamia niczego z podwyższonymi uprawnieniami za Ciebie. To jest niebezpieczne, a nie wpisywanie hasła.

Vifon   5 #12 30.08.2011 11:34

"Z kont ograniczonych korzysta stosunkowo mały procent użytkowników Windows. Z czego to wynika, nie mam bladego pojęcia? Czy wynika to z niewiedzy? A może z chęci zapewnienia sobie wygody? Nie wiem."

Przyczyna jest prosta. Źle napisane aplikacje. Wiele chociażby gier wymaga do działania (a nie tylko instalacji!) uprawnień admina. Pamiętam z dzieciństwa jak próbowałem uruchomić siostrze The Sims 1 na koncie ograniczonym. Po prostu nie dało się.

command-dos   17 #13 30.08.2011 11:36

Nie lepiej używać linucha, zamiast go naśladować? ;) Tak na poważnie, to jest to może i dobre do domu, bo wygodne, ale czy bezpieczne? Dodatkowy program, dodatkowe linie kodu, zapewne dodatkowe słabe strony, jak: nieprzewidziane sytuacje, luki, itp. Czy aby na pewno jest to bardziej bezpieczne?
"W Windows Vista/7 Microsoft poprawił pracę na koncie ograniczonym. Będąc zalogowanym na koncie ograniczonym można uruchomić aplikację na prawach innego, administracyjnego użytkownika. Lepiej, ale wciąż nie idealnie. Bo jeśli moje dziecko (wyobraźmy sobie tę sytuację ;)) ma konto ograniczone, to muszę podać mu moje hasło (mam konto administratora). Sytuacja patowa..." - zawsze można założyć dodatkowe konto administracyjne i w gpedit.msc ustawić "odmowa logowania lokalnego" i używać go do "uruchom jako"... Można przecież zdefiniować, co może uruchamiać user, a czego nie, przez co jeszcze bardziej można "obciąć" uprawnienia tego "super usera", jeśli obawiasz się, że dziecko Ci coś namiesza. Jest wiele narzędzi wbudowanych pozwalających poprawić bezpieczeństwo użytkowania Windows, o których pewnie sam jeszcze nie wiem. System Windows, wraz z UAC, stał się naprawdę mocny, jeśli chodzi o bezpieczeństwo i wcale nie trzeba instalować dodatkowego (wątpliwego) softu w tych celach.
Najbardziej śmieszy mnie, jak userzy wyłączając UAC, robią z zaawansowanego systemu XP'ka ;) Poza tym, jak sam wspomniałeś, microsoft rozleniwił użytkowników - i nie tylko ich. Programistów też, choć coraz rzadziej zdarza im się tworzyć aplikacje, wymagające pracy "na adminie". Microsoft cały czas balansuje na granicy bezpieczeństwo/łatwość użytkowania. Pamiętacie jak ich zwłóczyli za UAC w Viście? Tam było on lub off. W win7 jest już kilka poziomów UAC...

preter_m   3 #14 30.08.2011 12:13

"zawsze można założyć dodatkowe konto administracyjne i w gpedit.msc ustawić "odmowa logowania lokalnego" i używać go do "uruchom jako"... Można przecież zdefiniować, co może uruchamiać user, a czego nie, przez co jeszcze bardziej można "obciąć" uprawnienia tego "super usera", jeśli obawiasz się, że dziecko Ci coś namiesza. Jest wiele narzędzi wbudowanych pozwalających poprawić bezpieczeństwo użytkowania Windows, o których pewnie sam jeszcze nie wiem."

@command-dos

Tylko, że to jest zbyt skomplikowane dla zwyczajnych użytkowników. UAC zostało wprowadzone do 'okienek" i bardzo dobrze, tylko że powinno ono być maksymalnie proste w obsłudze i nie wymagające jakiejś dodatkowej wiedzy na temat jego działania.

command-dos   17 #15 30.08.2011 12:47

@preter_m - jeśli jest to zbyt skomplikowane, zanieś kompa do kogoś, kto się na tym zna. Tak jak oddajemy samochód do warsztatu - sami go zazwyczaj nie naprawiamy, chyba, że jesteśmy mechanikami, albo znamy się na mechanice i się nią interesujemy. Cały czas jest podejście, że wszystko, każdy ma umieć sam. Od tego są specjaliści, albo przynajmniej ludzie, którzy się znają na rzeczy. Ja bym się musiał jeszcze długo szkolić - brak mi certyfikatów, papierów. Ale nie powiem też, że się nie znam w ogóle - są osoby, które mi zaufały...
Druga sprawa, widziałeś kogoś, kto montuje air-bag'i w aucie standardowo w nie NIEwyposażonym? Czy prędzej spotkasz kogoś, kto podrasował "wózek" planując głowicę, wymieniając filtry na stożkowe i montując strumienicę na wydechu? Tak naprawdę, to każdy ma gdzieś bezpieczeństwo...

Maxi_S   4 #16 30.08.2011 12:48

W zasadzie nigdy nie odczuwałem negatywnych skutków pracy na koncie z ograniczonymi uprawnieniami, za to UAC w Viście od zawsze przyprawiało mnie o pianę na ustach: anulowanie wyskakującego okienka powodowało zatrzymanie programu w ogóle a nie tylko odmówienie uprawnień administratora. W ten sposób sporo programów nie dało się (bez wyłączenia UAC) zainstalować na lokalnym koncie użytkownika.

Jeśli chodzi o antywirusa, to odradzałbym jego nieużywanie. Część robactwa doskonale radzi sobie jako np. skrypty dla przeglądarek, potrafią wbić swój proces na lokalnym koncie i czekać na ofiarę. Podobnie zresztą jak pluskwy rozpełzające się za pomocą pendrajwów, które nasz komputer potraktują jako stację przesiadkową. Problemem malware będzie możliwość zaczepienia się na dłużej, ale to nie znaczy że nie przeżyją do momentu restartu.

xomo_pl   20 #17 30.08.2011 13:06

jeśli jakiegoś programu nie dało się zainstalować bez wyłączenia UAC to znaczy, że był on źle napisany i tyle.

Moim zdaniem uac jest dobre ale trochę w 7 zatraciło sens na standardowych ustawieniach.
W viscie moim zdaniem było domyślnie lpiej (bezpieczniej) gdyż UAC standardowo pytał często a więc użytkownik wiedział, że coś próbuje zmienić ustawienia i mógł to zablokować.

W tej chwili mało kto zmienia na wyższe ustawienia uac w 7 przez to komputery są bardziej zagrożone.

Sam mam UAC w 7 ustawiony na maxymalny poziom i nie potrzeba mi w tle antywirusa (wystarcza sam skaner).

Maxi_S   4 #18 30.08.2011 14:33

[cytat zomo_prl]
jeśli jakiegoś programu nie dało się zainstalować bez wyłączenia UAC to znaczy, że był on źle napisany i tyle.
[/cytat]

Nie drogi panie. Program jest dobrze napisany, tyle że Vista przy próbie instalacji w jakiś automagiczny sposób wykrywa konieczność podniesienia uprawnień. Nie byłoby to złe, gdyby nie fakt, że "Anuluj" przerywa uruchomiony program, zamiast po prostu kontynuować z niższymi uprawnieniami - i to jest do bani, a nie program. Programów tego typu jest sporo, na XP instalują się bez problemu w obrębie profilu użytkownika, czyli tam gdzie chcę.

adam993   4 #19 30.08.2011 16:30

Pamiętajcie że surun to tylko windowsowe sudo :)

xomo_pl   20 #20 01.09.2011 17:26

". Nie byłoby to złe, gdyby nie fakt, że "Anuluj" przerywa uruchomiony program, zamiast po prostu kontynuować z niższymi uprawnieniami - i to jest do bani, a nie program. Programów tego typu jest sporo, na XP instalują się bez problemu w obrębie profilu użytkownika, czyli tam gdzie chcę."

na tym polega UAC- program chce działać na wysokich uprawnieniach (na zwykłym nie działa i od razu startuje na administratorskie) i UAC po kliknięciu anuluj (które odnosi się do tego czy chcesz dać temu programowi wysokie uprawnienia czy nie) nie daje programowi uprawnień więc nie pozwala mu ruszyć.
Jest to bardzo dobre zabezpieczenie, i wina jest tu ewidentnie danego programu, którego nie napisano do końca pod viste (z uwzględnieniem reguł tego systemu, w tym UACu)

Draqun   9 #21 02.09.2011 00:59

Szkoda, że tak dobre pomysły nie są implementowane pod Windą.
Szkoda, że twórcy gier nie piszą ich w c++ z wykorzystaniem OpenGL.
Szkoda, że OpenGL nie jest tak potężny jak DX.
Szkoda...

Windows 7 to dobry i bezpieczny system. Od kiedy posiadam zapomniałem co to wirus na Windows. Szkoda tylko, że brakuje mu tego co w Linuxie najbardziej mnie cieszy.

  #22 13.07.2016 10:07

Tak, super Windows, a link? Link, link, link? To dobra strona?
> http://oryginalna.strona.bezwirusow.com/?pobierz=surun.exe

@Draqun:
1. True
2. Za to piszą w mono :P
3. OpenGL ">" DX jeżeli chodzi o możliwości graficzne i wydajność, "<" o obliczenia geometryczne i współbieżność (praktycznie nie ma ich wcale, potrzebuje dodatkowej biblioteki jak SDL czy steamowej lub autorskiej producenta gry).