Едно кратко “предупреждение”: за повечето хора четящи моя блог подобна дълга статия ще се види ненужна поради факта, че те не използват Windows. Тази статия всъщност не е предназначена за тях, а за домашните Windows потребители, или са тези в малкия офис. Да не кажете, че не съм ви предупредил 🙂 !

Днес открих интересен материал в MSDN, който искам да споделя с вас. Материалът е озаглавен “Разглеждане на Web и четене на е-поща сигурно, но като Администратор” и касае един проблем, от който много хора с Windows инсталации страдат: фактът, че в повечето случаи потребителската сметка (акаунт) с която се работи през цялото време на компютъра, е с административни права. Сега ще последва малко теория, след това малко практика и накрая този, който е имал търпение да прочете всичко ще може да реши какво да прави – да последва ли примера или да остане както си е! За нетърпеливите и за тези, които нямат време: статията се намира тук – прочетете я, мисля че няма да съжалявате.

Ще започна с малко досадна теория.

Реално погледнато, на повечето потребители на Windows не им се налага да работят с административни права. Но донякъде от незнание, донякъде от мързел този, който е инсталирал операционната система и е направил потребителските сметки (по-популярно известни като “акаунти”) не се е погрижил да редуцира правата на стандартните потребители, който ще използват компютъра. Най-лесното (и за жалост това, което Windows XP прави по подразбиране след като инсталацията му приключи) е да се дадат административни права на всички потребители, и така да се отмени необходимостта от специална сметка за администратор и защитени сметки за обикновените потребители. Също така обикновено Windows-а е инсталиран от познат или приятел, който няма време да виси пред компютъра ви всяка седмица и да донастройва системата спрямо последните ви изисквания (а и вие вероятно не желаете да го ангажирате с такава задача). И заради това приятелят предпочита да остави вас да бъдете Администратор(и), освобождавайки себе си от отговорност и прехвърляйки тази отговорност на вас и на всеки друг потребител на този компютър. Да не говорим, че по подразбиране инсталацията приключва само с тази единствена потребителска сметка, която е с административни права.

Повярвайте ми – повечето от системите, с които работите (особено вкъщи) са конфигурирани точно така – една потребителска сметка с административни права. На прост език това означава, че ако софтуера, който използвате, има някакъв пробив в сигурността (а няма софтуер, който е безгрешен – особено популярния собственически софтуер), даден web сайт (най-често сайтове, които предлагат пиратски софтуер или безплатно порно, или връзка съм сайт която сте получили по пощата, ICQ или друго съобщение) или заразена е-поща могат лесно да се възползват, зловреден код може да проникне и да модифицира важни части от операционната система. След което да изпълни пъкления план, с който е бил създаден. Популярния термин за всичко това е “компютъра да се зарази с вирус”. Какво ще стане оттук-насетне зависи само от този, който е писал зловредния код. Последствията може да от никакви, т.е. – системата да остане заразена, но и нищо по-страшно да не се случи, до фатални: системата да изпрати на “някой” по света важни данни за потребителите, или да предостави контрол върху заразения компютър, или да унищожи вашите данни.

За още по-незнаещите: дадените административни права на някой потребител позволяват на всички програми, които той е стартирал да извършват следните действия:

* да модифицират който и да е файл на операционната система, без оглед на това къде се намира и от какво значение е той. Това може да е всеки файл, който в момента не се използва от компютъра, а повечето цели на вирусите са точно такива файлове.
* да инсталират каквото тя пожелае на компютъра, обикновено на местото, на което тя пожелае;
* да променят конфигурация ма компютъра, включително и списъкът на програмите, които се стартират автоматично след зареждане на операционната система

Пак за по-незнаещите: това не е дефект на някоя конкретна операционна система, а стандатни възможности които се дават на администриращите специалисти. Без тези възможности никоя система няма да може да бъде инсталирана, настроена и пригодена за работата, която тя трябва да върши. Проблемът при Windows е, че този който го инсталира не се грижи да подсигури правилните права на потребителите, които ще го използват непрекъснато. А правилните права в никакъв случай не са административните такива! Всяка операционна система има достатъчно гъвкава йерархия на потребителските права и привилегии, които едновременно да защитят потребителя, и паралелно с това да му позволят да си върши работата.

И тук опираме до факта: какво можем да направим? Ето къде идва дадената статия. Статията не предлага универсално решение на проблема, но предлага решение което може да се стори привлекателно на хората, които правят инсталациите и поради споменатите по-горе причини трябва да оставят основния потребител да бъде и администратор. В материала се обясняват проблемите, които аз се опитах да обясня по-горе и се предлага едно лесно решение: всички програми, които ще работят с Мрежата, да се пускат с редуцирани привилегии. Това най-честно са:

* програмите за разглеждане на Интернет страниците – web браузърите;
* програмите за обмен на електронна поща;
* програмите за обмен на кратки съобщения.

Това са потенциалните “входни” точки на една нормална домашна компютърна система, която е забучена в кабела на местния интернет-доставчик.

Статията предлага да се свали и инсталира една малка програма, която да се използва за стартиране на гореизброения софтуер. Това, което тази програмка ще направи е да редуцира (само за стартираната програма) повечето известни опасни привилегии, от които даден зловреден код може да се възползва. Най-просто това означава, че даже да посетите опасен сайт или да отворите писмо, съдържащо вирус – в повечето случаи този вирус ще бъде сериозно затруднен в модифицирането на жизнено-важните файлове на операционната система и в промяната на конфигурацията и така, че да успее да да я зарази. Вероятно програмата, от която вирусът е влязал, ще се срине, завличайки и вируса с нея.

Разберете, това не е панацея и не може да ви защити от вирусна атака от друг компютър, която ще проникне през незащитена сървърна част на вашата операционна система. Windows 2000 Prof и XP, макар и клиентски ОС, притежават сървърни части в себе си, които ако не са закърпени с последните кръпки могат да са опасна задна врата. Тази статия и цитираната програма няма да ви защити от пробив на вирус през тези дупки. Но тази програма ще ви защити, ако малко разбиращ потребител (тъщата, например) браузва с домашния ви компютър или си отвори поредното писмо в Outlook, което съдържа интересен червей. Държа да уточня също, че повечето от червеите разпращащи поща не се нуждаят от допълнителни права и привилегии за да вършат черната си работа – така че тази програмка няма да ви спаси и от тях. Но тя определено ще помогне за превенцията на заразяване с вирус.

Аз няма да се занимавам с превода на тази статия (засега). Тя е написана на достатъчно easy-to-read English, така че всеки който може сам да си инсталира операционната система би следвало да може да изпълни действията в нея. Но ако има повече интерес – мога да нахвърлям тук кратко българско описание на посочените действия. Но сега ме мързи.

Ако имате желание и време – пробвайте. Аз лично не съм пробвал този механизъм, понеже твърдо смятам че зная какво правя с компютъра си. Домашната ми машина е с отделен акаунт за администрация и отделни потребителски такива. Не мога да кажа същото за служебната, но аз си нося риска там :), а и нямам право аз да променям положението. Но ако някой изпробва посоченото и види проблем – моля да го сподели тук, за да може да предпазим останалите потребители. Предварително ви благодаря, и успешно пробване!

Аз си запазвам правото да променям тази статия след коментарите, както и ако има развитие по темата.