Запуск от имени участника группы "Пользователи"
В данном разделе описано, как настройка учетных записей пользователей Windows как участников группы "Пользователи" (в отличие от группы "Администраторы") повышает уровень безопасности за счет уменьшения шанса заражения вирусом из вредоносного кода.
Угрозы безопасности
Выполнение от имени администратора делает систему уязвимой для нескольких видов атак безопасности, таких как "Троянская лошадь" и "переполнение буфера". Простое посещение интернет-сайта в качестве администратора может быть вредит системе, так как вредоносный код, скачанный с сайта Интернета, может атаковать компьютер. В случае успеха, он наследует права администратора и затем может выполнять такие действия, как удаление всех файлов, форматирование жесткого диска и создание новых учетных записей пользователя с правами администратора.
Группы пользователей, не обладающих правами администраторов
Учетные записи пользователей Windows, которые обычно используют разработчики, нужно добавить в группы "Пользователи" или "Опытные пользователи". Разработчиков также следует внести в группу отладки. Участник группы "Пользователи" может выполнять типовые задачи, включающие выполнение программ и посещение веб-сайтов. Компьютер, на котором будут выполняться эти задачи, не будет подвергаться излишнему риску. Участник группы "Опытные пользователи" может выполнять такие задачи, как установка приложений, установка принтера и запускать большинство операций из панели управления. Если требуется выполнить такие административные задачи, как обновление операционной системы или настройка параметров системы, то войти следует с использованием учетной записи администратора на время, необходимое для выполнения административной задачи. Кроме того, для запуска определенных приложений с Администратор istrative access можно использовать команду runas Windows.
Подвержение клиентов угрозам безопасности
Особенно важно не включать разработчиков в группу "Администраторы", поскольку помимо защиты компьютеров разработчиков, предотвращается случайная запись разработчиками кода, который требует включения клиентов в группу "Администраторы" для выполнения разработанного приложения. Если код, требующий доступа с правами администратора, внедрен во время разработки, то во время его выполнения возникнет сбой, предупреждающий о том, что для запуска приложения клиенты должны обладать правами администраторов.
Код, для которого требуются привилегии администратора
Для выполнения некоторых операций требуется доступ с правами администратора. По возможности следует рассмотреть альтернативные варианты кодирования. Ниже приведены примеры кодов операций, для которых требуется доступ с правами администратора:
Запись в защищенные области файловой системы, например, в каталоги Windows или Program Files
Запись в защищенные области реестра, например, HKEY_LOCAL_MACHINE
Установка сборок в глобальный кэш сборок (GAC)
В основном эти действия должны выполняться только программами установки приложений. Это дает возможность пользователям только временно воспользоваться статусом администратора.
Отладка
Пользователь может провести отладку любых приложений (машинных или неуправляемых), которые были запущены из Visual Studio участником, не обладающим правами администратора, если он станет участником группы отладки. В том числе, поддерживается возможность присоединения выполняющегося приложения с использованием команды "Присоединение к процессу". Однако для отладки машинного или управляемого приложения, которое было запущенно другим пользователем, необходимо быть участником группы "Администраторы".
См. также
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по