تشغيل كعضو مجموعة المستخدمين

يشرح هذا المقال كيف أن تكوين حسابات مستخدم Windows كعضو من مجموعة المستخدمين (بخلاف مجموعة المسؤولون (Administrators)) يزيد الأمان عن طريق تقليل فرص الإصابة بتعليمات برمجية ضارة.

المخاطر الأمنية

التشغيل كمسؤول يجعل النظام عرضة لأنواع عديدة من الهجوم مثل "حصان طروادة" و "تجاوز سعة المخزن المؤقت". زيارة موقع إنترنت كمسؤول يمكن أن يتلف النظام، لأن التعليمات البرمجية الضارة التي يتم تنزيلها من موقع إنترنت يمكنها مهاجمة الكمبيوتر الخاص بك. في حالة نجاح ذلك، فإنها ترث أذونات المسؤول الخاصة بك و يمكنها بعد ذلك تنفيذ إجراءات مثل حذف كافة الملفات و إعادة تهيئة محرك الأقراص الثابتة و إنشاء حسابات مستخدم جديد بإمكانية وصول المسؤول.

مجموعات مستخدمين غير المسؤول

يجب أن تتم إضافة حسابات مستخدمي Windows التى يستخدمها المطورون عادةً أما إلى المستخدمين أو مجموعات المستخدمين الأقوياء(Power Users). يجب إضافة المطورين أيضاً إلى مجموعة تصحيح الأخطاء. تسجيل دخولك كعضو في مجموعة المستخدمين، يمكّنكمن أداء المهام الروتينية، بما فى ذلك تشغيل برامج وزيارة مواقع على الإنترنت، وذلك بدون تعريض جهاز الكمبيوتر إلى مخاطر غير ضرورية. كعضو مجموعة Power Users, يمكنك أيضاً تنفيذ مهام مثل تثبيت التطبيقات و تثبيت الطابعة و معظم عمليات لوحة التحكم. إذا كنت تحتاج لتنفيذ المهام الإدارية مثل ترقية نظام التشغيل أو تكوين معلمات النظام يجب عليك تسجيل الدخول إلى حساب مسؤول لفترة كافية لتنفيذ المهمة الإدارية. بدلاً من ذلك، أمر Windows runas يمكن استخدامه لتشغيل التطبيقات بواسطة الوصول الإدارى.

تعريض العملاء إلى مخاطر الأمان

كونك لست جزءاً من مجموعة المسؤولين مهم للمطورين لأنه بالإضافة إلى حماية أجهزة التطوير، يمنع المطورين من أن يقوموا بدون قصد بكتابة تعليمات برمجية تطلب من العملاء الانضمام إلى مجموعة المسؤولين لكي تتمكن تشغيل التطبيقات التي تقوم بتطويرها. إذا كانت التعليمات البرمجية تتطلب أن يتم تقديم الوصول الإدارى أثناء التطوير، سوف يفشل ذلك في وقت التشغيل , و سيتم تنبيهك إلى حقيقة أن التطبيق الآن يتطلب من العملاء التشغيل كمسؤولين.

التعليمات البرمجية التي تتطلب امتيازات المسؤول

تتطلب بعض التعليمات البرمجية الوصول الإداري للتنفيذ. إذا أمكن، يجب أن نسعى إلى بدائل لهذه التعليمات البرمجية. أمثلة على عمليات التعليمات البرمجية التي تتطلب الوصول الإداري:

  • الكتابة إلى مناطق محمية من ملفات النظام، مثل دلائل Windows أو ملفات البرامج

  • الكتابة إلى مناطق محمية خاصة بالسجل مثل HKEY_LOCAL_MACHINE

  • تثبيت التجميعات في ذاكرة التخزين المؤقتة للتجميع العمومي (GAC)

بشكل عام، يجب أن تكون هذه الإجراءات محدودة لبرامج تثبيت التطبيق. يسمح هذا للمستخدمين باستخدام حالة المسؤول فقط بشكل مؤقت.

تصحيح الأخطاء

يمكنك تصحيح أية تطبيقات تشغيل داخل Visual Studio (الأصلية و الغير المدارة) كغير مسؤول بأن تصبح جزءاً من مجموعة التصحيح. يتضمن هذا إمكانية الإرفاق إلى تطبيق قيد تشغيل باستخدام الأمر إرفاق إلى عملية(Attach to Process). ومع ذلك، فمن الضروري أن تكون جزءاً من مجموعة مسؤول لتصحيح التطبيقات المدارة أو الأصلية التي تم تشغيلها بواسطة مستخدم آخر.

راجع أيضًا:

المبادئ

أفضل ممارسات الأمان ل ++C