Många användare gör fortfarande använda konton för användare med administratörsbehörighet i Windows XP och senare versioner av Windows i stället för begränsade konton.
Det är bekvämt att arbeta som administratör hela tiden som du kan utföra operationer som begränsad användare kan inte (lätt). Nackdelen är dock att en framgångsrik attack ger angriparen samma rättigheter som du har som kan vara förödande.
Istället för att arbeta med ett begränsat konto för det mesta och ett administratörskonto endast när det behövs, användare kan också öka säkerheten i systemet genom att starta väljer du program eller som en mindre privilegierade användare.
Den runas kommando kan användas för att köra ett program med lägre privilegier men det har nackdelen att det inte finns något lösenord switch vilket innebär att användaren måste skriva in ett lösenord på “andra” när programmet behöver vara igång. Det fungerar inte med tomma lösenord och kräver tjänsten Secondary Logon för att vara igång.
Ett bättre alternativ är PsExec verktyg från Sysinternals. Det lilla verktyget kan användas för att starta ett program som en annan användare. Till skillnad från runas, om det inte kommer med ett lösenord switch för enkel användning.
PsExec är en del av PsTools svit av Sysinternals. Du behöver bara psexec.exe som du kan flytta till ett system mapp för enkel åtkomst.
Nästa steg är att skapa en ny Windows-användarkonto om du inte redan har gjort det. För att göra detta går du till Kontrollpanelen > användarkonton och klicka på Skapa Ett Nytt Konto länk i det. Nu skriver du ett namn för det nya kontot och ange att det ska vara begränsat i nästa fönster.
Ange ett lösenord för det konto genom att klicka på Skapa Lösenord länk i kontroll av användarkonto. När det begränsade konto har skapats är det dags att testa om psexec fungerar på rätt sätt.
Starta kommandoraden i Windows genom att trycka [windows R], skriva cmd och trycka enter. Skriv nu följande kommando för att testa funktionaliteten i psexec:
psexec -d -u “låg privilegier” -p testet anteckningar
Detta kommer att starta anteckningar med hjälp av användarkontot låg privilegier med lösenord test. Om allt fungerat väl anteckningar ska visas. Nu är det dags att kolla om anteckningar har genomförts med lägre befogenheter.
Aktivitetshanteraren kan startas med Ctrl-Shift-tangenten Esc. Klicka på Visa > Välj Kolumner i den översta menyn och markera rutan Användarnamn så att det användarnamn som har startat ett program visas i aktivitetshanteraren.
Du bör nu kunna hitta de användarnamn med lägre befogenheter och se till att anteckningar var igång från det kontot.
Det skulle vara tidskrävande att driva processer från kommandoraden hela tiden. Du kan skapa ett enkelt batch-fil med kommandot för att starta det program som du vill köra med lägre befogenheter. Att göra det för Firefox ska du lägga till raden
<codepsexec -d -u “låg privilegier” -p testet “D:Program FilerMozilla Firefoxfirefox.exe”
i bat-filen. Filen kan sedan flyttas in i start-menyn.
Observera att du kanske inte kan köra alla program med begränsad behörighet som de kan sluta arbeta helt när du försöker att göra det. Det finns ingen definitiv lista på när det fungerar och när den gör det vilket innebär att du är kvar med trial-and-error på den här.