[ Marko Medojević @ 01.10.2006. 09:41 ] @
U Linuxu je to super rešeno. Korisnici imaju ograničene naloge i zbog toga ne mogu da načine nikakvu štetu sistemu (virus može oštetiti samo fajlove u korisnikovom home folderu, korisnik ne može brisati vitalne sistemske fajlove ...). Kako Windows dolazi (po defaultu) sa neograničenim korisničkim nalozima, da li bi se postigao isti efekat kao u Linuxu njihovim ograničavanjem?
[ Shadowed @ 01.10.2006. 11:40 ] @
Kada kreiras korisnika stavi ga u grupu Users i ni u jednu vise. To ti je osnovno.
Mozes naravno kreirati i neku grupu kojoj ces specificno odrediti prava pa ga staviti u tu grupu i imati custom resenje.
[ Marko Medojević @ 01.10.2006. 12:20 ] @
Hvala!
Imam još dva pitanja:
1.Pošto imam samo jednog korisnika (osim administratora), da li mogu da ga isčlanim iz administrators grupe i da ga učlanim u users?
2.Ako korisnik koji je član grupe users recimo zakači neki virus da li je dejstvo tog virusa ograničeno samo na njegove lične fajlove (ko u Linuxu)?
[ Shadowed @ 01.10.2006. 13:34 ] @
Odgovor je na oba pitanja da, mada ne znam bas tacno kako je na Linux-u.
[ mLAN @ 02.10.2006. 14:17 ] @
Pa ne bih baš rekao da je odgovor pod 2. DA. Virus će pored njegovih ličnih fajlova zakačiti i sve zajednićke fajlove t.j. sve fajlove na kojima user ima pravo pisanja.
[ Shadowed @ 02.10.2006. 15:25 ] @
Neki primer? (osim temp direktorijuma)
[ mLAN @ 03.10.2006. 09:21 ] @
Citat:
svi zajednički fajlovi t.j. svi fajlovi na kojima user ima pravo pisanja


Tih fajlova može biti na desetine, a može ih biti i 0.
N.pr. neki zajednički microsoft office dokumenti, aplikacije koje ne mogu da rade ukoliko user nema write permission i sl.

Ovo važi za 90% populacije koja još uvek radi sa administratorskim nalozima uobičajene poslove (a i za većinu firmi...).
[ Shadowed @ 03.10.2006. 10:29 ] @
Ali, mi pricamo upravo o nalogu koji nije admin, nije u administrators grupi vec samo u users. Proveri effective permissions za takvog user-a na neki program u program files ili na neki fajl u Doc&sett/all users/nekipodfolder.

Slazem se da ce se pre ili kasnije naci neka takva aplikacija ali je to vec poseban slucaj. Uostalom, takva aplikacija nece raditi ni pod linux-om (posto se to pominjalo, da bude kao u Linux-u) ako ima takve zahteve. Ne mozes imati suprotne stvari u isto vreme.
[ mLAN @ 03.10.2006. 11:19 ] @
Jasno, jasno: read and execute.

Ali ja sam govorio o zajedničkim fajlovima u koji obojica (i user i admin) mogu pisati. ;)
Da ne vrtim dalje u krug, u pravu si kad kazes da je windows bezbedan koliko i linux sto se tice naloga za obicne korisnike.
[ Marko Medojević @ 04.10.2006. 15:47 ] @
Ma bitno je da su sistemski fajlovi zaštićeni. Nije mi jasno zašto 90% korisnika Windows koristi sa root nalogom! Kod mene korisnički nalog je u grupi users (kao što je Shadowed rekao) i sve radi ok. Kada nešto hoću da izvršim kao admin koristim "run as" (mora biti uključen Secondary Logon servis).
[ Shadowed @ 04.10.2006. 22:06 ] @
Pa, tako treba, ali mnogi ne znaju a mnoge i mrzi. Ja npr. na svom kompu koristim ne samo nalog sa admin pravima, vec upravo administrator nalog, onako iz zezanja :). Ali kad je nesto poslovno/za drugog, onda je to druga prica, sve po protokolu.
[ Marko Medojević @ 08.10.2006. 19:43 ] @
Odkako sam user na mom kompu instalirao sam sve programe sa run as. Uglavnom sve je radilo, samo što mi ne napravi ikonicu na desktopu usera već moram da je kopiram sa adminovog desktopa na userov. Skoro sam instalirao jedan program (torrent harvester) i on prijavljuje grešku kad ga pokrenem kao user, a kad ga pokrenem sa run as (kao admin) šljaka normalno! Kako mogu da rešim ovakve probelme?
Unapred hvala!
[ minikola @ 06.11.2006. 01:12 ] @
Tako sto pogledas koje tacno datoteke

koristi program (na koje korisnici nemaju pristupa za izmenu)


Takvo ponasanje programa je pokazatelj da je program lose pisan

(Na primer, Vista ce da uvede da takvi programi i nece moci

da funkcionisu ako ne rade pokrenuti kao korisnik).


Alati za nadgledanje rada programa su Filemon i Regmon

(Prave zapis aktivnosti, sa sve belezenjem zabranjenog pristupa)


Takodje, pored otvaranja tih pojedinacnih datoteka za

pisanje od strane korisnika, treba pogledati da li program zavisi od

podesavanja u bazi registra.

Cesto se desava da program sva potrebna podesavanja upise u registar

korisnika koji ima administratorska prava i pod cijim nalogom je

postavljen (Hkey_current_user) Pa drugi korisnik nem ate zapise i

program ne radi.


Tu je tako dje problem u tome stoje program lose pisan a resenje je da

se podesavanja u registru sa regedit.exe izvezu u *.reg datoteku kao

korisnik koji je program postavio a onda se uvezu za konkretnog

korisnika koji je samo sa korisnickim nalogom na masini i koji ce

program onda moci da koristi jer ce *.reg datoteka upisati podesavanja

programa u njegov registar.

To se moze automatizovati i polisama tako da se samo jednom izvrsi *.reg

za korisnika kad se prvi naredni put prijavi.


Sve u svemu, treba izbegavati lose pisane programe koji u 2006 godini i

dalje pretpostavljaju da imaju celu masinu na raspolaganju, kao da je

ovo 1986.


Tu ce Vista uvesti reda jer onda ti programi najverovatnije NECE moci da

rade uopste (Svima je dosta korisnika koji rade kao administratori na

masini , pa i samom mikrosoftu da objasnjava cemu tolike rupe u

bezbednosti kojih nema nego ih korisnici sami otvaraju ne postujuci

preporuke o koriscenju sa korisnickih naloga)
[ ironman @ 06.11.2006. 07:51 ] @
Imam samo jednog korisnika , sa Administratorskim nalogom ( mene :) )
Da li bi bilo u redu da predjem na ogranicenog usera
i da li je kasnije moguc prelazak sa ogranicenog na admin nalog , radi instalacije nekog programa
[ Ser_Boyler @ 06.11.2006. 09:28 ] @
>


Naravno da bi bilo u redu, cak i preporucljivo.
Programe mozes da instaliras sa "run as" komandom.
[ ironman @ 07.11.2006. 11:15 ] @
Nije moglo odmah iz Admin -> Limited
morao sam prvo da kreiram jos jednog usera sa administratorskim nalogom
mada i sada mogu da instaliram programe ( nisam to ocekivao)
ranije sam u par navrata pokusavao da kreiram jednog limited usera za svakodnevi rad , ali je apsolutno sve trebalo ponovo podesavati ( od desktopa , win teme , shortcutova...) , a najgore je bilo ( zbog toga sam i odustajao) to sto u FireFoxu nisam mogao da upisem proxy
Ovo je izgleda pravi put