1read 100read
2012年6月セキュリティ412: WindowsをAdministrator権限で常用してる人 (589) TOP カテ一覧 スレ一覧 2ch元 削除依頼
Malwarebytes' Anti-Malware Part1 (445)
【韓国製】バイドクター【フリーソフト】 (663)
【Free】 ALYac Internet Security 【Pro】Part2 (538)
トレンドマイクロいい加減にしろ (609)
【Free版限定】Agnitum Outpost Firewall part28 (393)
●カフェや漫画喫茶からの書き込みのセキュリティ● (217)

WindowsをAdministrator権限で常用してる人


1 :05/07/26 〜 最終レス :11/12/20
だって切り替えるのめんどくさいんだもん。

2 :
まりすみぜる

3 :
江戸プロフェッショナル必殺商売人
絶賛放送中

4 :
OutlookExpressをショートカットで設定できる別権限で実行したら、プロファイルが壊れた。
それ以来、Windowsのユーザ権限の変更機能を信用しないようになった。
ユーザ権限変更にはMS社製品からして対応していない。それが現実。

5 :
Adminでないとまともに使えないソフト達

6 :
>>1
runas

7 :
ランチャの一つでも管理権限で起動しとけば
制限ユーザーでも全く問題ないのにね

8 :
右クリの「別のユーザー〜」はAdminのプロファイルを読み込んだりするから使えない。
インストーラの「デスクトップにショートカットを作る」とかはAdminのデスクトップに作りやがるし。アホかと。
あとmsconfigなんかもAdminのスタートアップ読み込んぢまうな。使えねー。
runas /noprofile とかうざくてしょうがない。

9 :

Linuxで常時rootとかだったらマジ呆れるけど
Windowsで常時Adminでも”仕方ない”と思える。
それがゲイツクオリティー。

10 :
Homeだと問答無用でAdminだしな〜
てか、ユーザ一人だと別に問題ないっしょ?

11 :
いんや
悪質プログラム入れちゃったときの動作時に制限がかかる
・・・・・まぁ本当に悪質なら どうしようもないけど

12 :
Administratorのみだと危険なんですか?
XP proで市販のPFW+管理者passはなるべく複雑に設定してます。
アタックが多いので、外部からの不正アクセスが心配・

13 :
山田なんかで子供がジャンプかなんか拾ってきて、親の書類やらメールのSSが
晒されるってパターンは、各々別ユーザーでログインしてたら防げるんすか?

14 :
>>11
ウイルスだったら、権限とか無視してなんでもできるんじゃないの?

15 :
そうでもない

16 :
まぁ、ハカーならまず最初にAdminパスをねらうだろうけどな。

17 :
ウイルスもプログラムだから実行するユーザの権限が必要なのな

18 :
悪いことは言わないから通常はUsers権限で使え。
UsersならC:\のファイル変更すらできんから。

19 :
>>18
Users権限で制限されるのってシステムフォルダだけじゃなかったっけ?

20 :
●..●...●●...●●●●...●●.....●.●●.●..●.●●●....●●●...●.●.●●
ウイルス対策ソフトの検出力結果
http://www.geocities.jp/stealrush/security.html
●●..●..●●.●●....●.●●.●.●●●●●..●.●●●...●..●●.●....●●

21 :
まあ、Windowsユーザーの95%は常時adminだろうね
ここの板の住人でも8割はいるかも
そもそもWindowsをアカウント別にログオンして使うって概念が
一般人にはないと思う
俺は\usersフォルダ作って、その下にアカウント別の専用フォルダ置いて、
そのアカウントだけにアクセス権与えてる
個人情報が入ったファイルは専用のアカウントに密閉して、
普段は別のユーザー権限で入ってる

22 :
>>7
Admin権限のプロセスが同じデスクトップにいると簡単に乗っ取れるから
少なくとも砂箱系のソフトを併用しないと意味がないぞ

23 :
>>21
にも同じことが言えるな。SandBox推奨。

24 :
Windowsに管理者アカウントでログオンするのはもうやめよう
http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20050811/166296/

25 :
MakeMeAdminって最高だな。これ使うようになってから
常時User運用が可能になった。

26 :
>>25
詳しく

27 :
ぐぐればすぐ出てくるべ
ようするに
ローカル管理者の権限でコマンドプロンプトを1つ起動
→現在のドメインユーザーをローカル管理者グループに追加
→現在のドメインユーザーで新しいログオンセッションを作成してプログラムを起動
→現在のドメインユーザーをローカル管理者グループから削除
を自動的にやるバッチ。

28 :
おー教えてくれてありがとうMakeMeAdmin最高だ
ttp://blogs.msdn.com/aaron_margosis/archive/2005/03/11/394244.aspx
ttp://www.speakeasy.net/~aaronmar/NonAdmin/MakeMeAdmin.zip
MakeMeAdmin.cmd
実行すると一時的にAdministrator権限になる
MakeMeAdminSC.cmd
実行するとスマートカード認証を行いそれにパスすると一時的にAdministrator権限になる
MakeMePU.cmd
実行すると一時的にPowerUser権限になる
使い方は、MakeMeAdmin.cmdを実行するとまず「Administrator」
というユーザーのパスワードの入力を求められる。このAdministratorの
パスワードは、ProfessionalならばXPをインストールする時に自分で設定、
Homeならばデフォルトではパスワードなしに設定されている。
ちなみに普段は「ようこそ画面」に現れないが、セーフモードで起動すると
Administratorも表示される。
パスワードを入力したらEnterを押す。パスワードを入力しても
画面上には何も反映されないので、押し間違えには注意。
入力が正しければ、ログインしているユーザーのパスワードの入力を求められる。
入力してEnterを押し、正しければ色が茶色いコマンドプロンプトが
表示される。
ここに管理者権限で実行させたい実行ファイル(ショートカットも可)を
ドラッグアンドドロップしてEnterを押して実行すればOK。
このコマンドプロンプトからではなく普通に実行すると制限ユーザー
のまま。

29 :
ちなみに管理者権限でMakeMeAdmin.cmdを実行すると
トラブルのでやらないほうがいいらしい。
特に、デフォルトのAdministratorと自分の管理者権限のアカウントしかない
コンピューターで実行するとひどいことになるらしい。
ってなわけで自分でやってみたら、
パスワードなしの管理者権限のアカウントで実行するとGuestアカウント
になってしまい再起動したらアカウントが消失
パスワードありの管理者権限のアカウントで実行すると制限付きアカウント
なってしまいました。
これを修正するには、
if "%1"=="" (
runas /u:%_Admin_% "%~s0 %_User_%"
となっているのを

if "%1"=="" (
if /i %_Admin_%==%_User_% (
echo Already using the admin account
goto :EOF
)
runas /u:%_Admin_% "%~s0 %_User_%"

と変更してやるといいらしいって書いてあるけど効果なかった・・・

30 :
あとMakeMeAdminの作者が注意していることがある。
Windows XPでは、ある管理者権限のユーザーがファイル/フォルダや
レジストリキーの作成などを行うと、そのユーザーはその作成したものの
所有者となりアクセス権はフルコントロール可能と設定される。
MakeMeAdminを利用して制限ユーザーを一時的に管理者権限にして
マルウェアなどを気づかずにインストールしてしまった場合、
そのユーザーが後で制限ユーザーに戻ってそのソフトを実行しても
そのソフトは管理者権限の時の権限を持つことになって、
システムの書き換えなどの活動を防ぐことができない。
これを回避するためには、Windows XPの設定を変更して所有権を
作成した管理者権限のユーザーにではなく、Administratorグループに
与えるように変更すればよい。そうすればそのユーザーが制限ユーザーに
なると所有権を持っていないことになる。
この設定の変更は以下のようにして行う。管理者権限でないと設定できないので注意。

31 :
Windows XP Professionalでは
管理ツールの「ローカルセキュリティポリシー」を起動する。
「ファイル名を指定して実行」で「secpol.msc」と打ち込んでも起動できる。
「ローカルポリシー」-「セキュリティオプション」の
「システムオブジェクト: Administrators グループのメンバによって作成されたオブジェクトの規定の所有者」
を「Object creator」から「Administrators group」に変更する。
Windows XP Homeでは
ローカルセキュリティポリシーがないので、レジストリを
直接いじって変更する。(Professionalでもこれで変更できる)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsaにある
「nodefaultadminowner」というレジストリキーを探し、
値を0に書き換える。
(0がAdministrators groupで、1がObject creator)

32 :
MakeMeAdminのトラックバックにある
PolicyMakerというものをダウンロード中
どんなものか・・・
ttp://www.desktopstandard.com/DownloadGo.aspx
PolicyMaker Standard Editionと
PolicyMaker Registry Extensionでなにやら
制限ユーザーで管理者権限の必要なものが動かせると。

33 :
うほっ、このスレ勉強になるなぁ!

34 :
フォルダオプションでエクスプローラを別プロセス起動にしておけば、
MakeMeAdmin経由でAdministrator権限のエクスプローラも起動できるよ。
なんか大げさなことやるときは、このウィンドウが一枚あると何かと便利。
もしくはコマンド型のランチャやファイラなんかでもいいけど。
エクスプローラに関しては、PrevBarっていう現在の権限を信号みたいに
User=緑、Admin=赤で表示してくれるアドオンツールバーもある。
最初はちょっとめんどくさいかもしれないけど、一度習慣にしてしまえば無問題。

35 :
一般家庭で使用する場合、中学生以下の子供、初心者、お年寄り、その他PCに不慣れな
方は、ユーザ権限で常用した方が安全。

36 :
しかしそいつらにそんな設定ができるとは思えないし
藻前らが管理者になってそいつらに制限ユーザーのアカウントを使わせるしか
解はないわな
その代わりそいつらがどこかでBOTを拾ってきてPCがおかしくなる心配は
しなくて済むが

37 :
Home Edition 自体が糞だからな。

38 :
自分のノートで自分だけが使う分ならAdminでもいいよね?

39 :
遂にめんどくなってAdminに格上げしちゃった記念カキコ

40 :
Vistaではその辺もっとマシになるのかな?
XPじゃやっぱりAdminじゃないと面倒だよ。
まぁ、面倒=安全なんだろうけどさ。
もうちょっとなんとかならんものか。

41 :
Makemeadmin使うとATOKが二重起動する…。

42 :
IMEはターゲットのプロセス内で動作しているので
ユーザー数分ウィンドウが開きます。

43 :
ATOKも同じですか?

44 :
おまいらファイルのアクセス許可どうしてる?
おれは許可するの自分のアカウントひとつだけにして、最初からあった
Everyoneとか、CreatorOwnerとか、SYSTEMってユーザは消してるけど、
これらって必要なの?

45 :
SYSTEMはないとまずいだろ。

46 :
MakeMeAdminと、"runas /noprofile /user:administrator コマンド" の違いって何ですか?
実験してみて、以下のような点で「なんか違う」とは感じるのですが、具体的に何が違うのかわかりませんでした。
・echo %username% してもログオン名が帰ってこない。%username%だけがそのまま帰ってくる。
・msconfig すると、Administratorの HKLM\〜略\Run が出てくる。
・ソフトをインストールすると、Administratorユーザのものになっている。
どう書いていいのか分からないのですが、エスパー様よろしくお願いします。

47 :
> HKLM\〜略\Run
はユーザー別じゃない。なんかいろいろと勘違いしてないか?

48 :
たぶん HKCU の書き間違いだと思われ。それにしても変だが。

49 :
こんちは。
自宅のPCで自分だけAdministrator権限で家族にはUsers権限で使用してます。
普段は動作クロックを下げて、
CPUの動作クロックを負荷に応じて変化させる機能のあるSpeedFanや、
グラフィックカードの動作クロックを3Dゲームが起動すると高くするATIToolというソフトを
スタートアップに登録させていますが、これはAdministrator権限でないと起動しないように
なっていて、家族がUsers権限でログインしたときにエラーメッセージが表示されます。

50 :
このRUNASAというソフトを使用すると他のアカウントで
ソフトを起動できるので、これをUsers権限のアカウントのスタートアップに入れてます
RUNASAをサービスに登録してRUNASAでショートカットを作成すると
〜\runas.exx <番号>
という形になっているのでそれをbatファイルに書き込んでスタートアップに
置いておくと一気に起動されます
ttp://homepage1.nifty.com/toro/slwin4.html#runasa

51 :
良スレ

52 :
右クリックの「別のユーザとして実行する」は、runas と同等?
デフォルトだとプロファイルも読み込んじゃうよね?
つかえねぇぇぇぇ

53 :
良スレ

54 :
>>34
それよりadmin権限で起動したIEのアドレスバーにc:\とか入れた方がよくない?

55 :
俺も常時 Admin だ〜。
Vista だともっと使いやすくなるのかね。

56 :
それは、無い・・・

57 :
>>55
そんなあなたに Linux

58 :
昔rootになるのが夢だったな

59 :
>>49
こちらも制限ユーザでSpeedfanを使用して同じようなメッセージが出たことがあります。
確か、原因はspeedfanが存在するフォルダーに制限ユーザが書き込めないようになっているからだったと思います。
該当フォルダーにのみ、制限ユーザが書き込めるようにしたらどうでしょうか?

60 :
>>55
UAC(User Acount Control)なる機能が搭載予定だ。
ユーザーはデフォルトでは標準ユーザー権限でのログインになる。
管理者権限でしか動作できないプログラムは明示的に許可しないと実行できなくなる。
しかも一時的に管理者権限で動作しているプログラムでも他のプログラムへの
アクセスは厳しく制限される。
まあ、これまで管理者権限でしか使えないような糞フトを放置してきた責任がMicrosoftにも
あるんだろう。
リッピングツールとかクラスドライバを叩いて直接ドライブにアクセスするようなアプリケーションだと
管理者権限でしか使えないから面倒くさいよな。
ASPIもUSB接続のドライブでは使えないし。

61 :
>>59
そりゃ、おめえ、自分でNTFSのアクセス権を設定するんだよ。
面倒くせえな、あれは。
俺はあれが嫌でいつも管理者権限だ。
プログラムと同じフォルダに設定ファイルを置いているときに特に面倒だ。
Windows XP Home Editionなんて標準では何も言わず管理者権限で使わせて
くれるんだからMicrosoftがとやかく言うことはできないわな。
てめえらのOSの設計が糞なんだし。

62 :
NTFSのアクセス権はUNIXとかよりよさそうだよ?
でも設定するGUIがw

63 :
プログラム作る側も権限なんてマトモに考えてない、
あるいはユーザーがそんなシステム利用しないという前提で作る

64 :
>>62
コマンドラインの方が便利だよな。

65 :
コマンドラインで出来てもあれだけの設定はやりたくないw

66 :
chmod 755 の方が楽だよな。

67 :
No More「Adminでログイン」を呼びかけるMicrosoft
http://www.itmedia.co.jp/enterprise/articles/0602/17/news083.html

68 :
でもAdminじゃなきゃかなり使いにくくなるんだよな…。

69 :
PowerUsersでも良いのかなと思ったけど、システムフォルダにファイルを追加できる辺りが
危険な匂いがするから、やっぱりUsersの方が安全なのかな?

70 :
>>69
システムフォルダのパーミッションを落としてやればおk
って解答にたどり着くのがまた難しいんだなっ。Windowsは♪

71 :
>>69
レジストリのパーミッションも変えた方がいいのかな

72 :
>>69
んー、でも時刻あわせとか Windows Time サービス以外でやろうとすると
Power Users 以上の権限いってくるよ。
そのほかにも Users じゃだめなソフトは結構ある。
関係ないけど、関連づけとかデフォルトブラウザの設定は
ユーザ別にしてくれよ…って思う。

73 :
>>72
ローカル セキュリティ ポリシー → ローカルポリシー →ユーザー権利の割り当て
でシステム時刻の変更の権限を設定したらいいのかもしれない。

74 :
なんと!知らなかったありがとう。

75 :
だめだ。
面倒くさすぎる。
圧縮解凍ソフトでトラブルが多い。
もう我慢できない。
俺は管理者権限で使うぜ・・・。
ゲイシの馬鹿野郎!
VistaでUAC導入とか遅すぎるんだよ馬鹿!!

76 :
runas とか MakeMeAdmin って絶対じゃないよな。
サービス関係とかちょっと深いことやるとこける。
おまけに一見こけたことが分からない原因不明のエラーが起きやすい。
まぁ、作った側も想定外なんだろうが、
結局は Admin でログオンし直さなきゃいけない。
Fast User Switching 最強って事だな。

77 :
ここで言われてる runas って、ほんとのコマンドラインの runas を
いちいち使ってるわけじゃないよな?
exeファイルまたはショートカットを右クリック→別のユーザーとして実行
のことだよな?

78 :
msi とかは右クリックメニューにそれないよ。

79 :
でももはや2K,XPのAdministratorパスワードも数分でクラックできることが判明した今
どのユーザーで使おうが どうでもいい orz
ああマルウェアとかAdmiでつかわんは意味あるか
TrueCryptでも使ってファイルかパーティション自体を暗号化するしかねえな
もはやWindowsには誰でもAdmi権限でログオンできると思った方がいいか...

80 :
>>79
あるあるww あのツールすごいよな。
俺16文字もあったのに5分でやられた。

81 :
でもさ、OphcrackはWindowsが起動していない状態からのパスワード抜きでしょ?
BIOSのパスワードで何とかなる気がするけど。
もちろん、パソコンはノートパソコンを使うか、筐体を厳重にロックしておくw
このスレで扱う話題じゃないね。

82 :
>>81
Ophcrack の機能を装備したワームとか…(((( ;゚Д゚)))ガクガクブルブル

83 :
ユーザ権限の扱いに疎いソフトの場合、「別のユーザ〜」から
インストーラ実行すると、制限ユーザだとレジストリとかをちゃんと
読み込めなくて起動できなかったり、スタートメニューその他に
ショートカットアイコンができなかったりするよね。
だから結局は、一時的に権限引き上げて、終わったら戻すように
しないといけない。
「別のユーザ〜」 は、/noprofile をデフォにして欲しい。

84 :
オンラインソフトに多いけど、Readmeに制限ユーザでの動作状況を書いて欲しいよね。
インストールしてから「これじゃ駄目じゃん!」と気付く事が多くて困る。
標準ユーザで使う時代でもないと思う。
Vistaでも従来の制限ユーザが標準ユーザになるようだし。

85 :
Power Users でもけっこうヤバいことできるから危険だよね。

86 :
>>82
Windowsの起動中はパスワードを抜くために必要な部分はAdminじゃないと
アクセスできない。したがってスレ違いなわけだな

87 :
>>72
> 関係ないけど、関連づけとかデフォルトブラウザの設定は
> ユーザ別にしてくれよ…って思う。
ユーザ別だべ? WIndows XP標準の関連づけのUIすら対応してないのは
確かにどうかと思うが

88 :
User権限で運用し始めていきなりWMP10が正常稼動しなくなった。
Microsoft謹製のソフトがなぜUser権限で動かないのかと大分悩んだ。
悩んだ末に「ユーザープロファイルが逝かれている」という結論に達した。
どうやら運用を始めた直後にタイミングよくどこかが破壊されたらしく、プロファイルを作り直したら
問題が無くなった。
どこが壊れていたんだろうな。

89 :
  ∧_∧
 ( ´∀`)  
 (    )  じゃじゃん これ有益だと思う
 | | |  
 (__)___)
「DropMyRights」
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dncode/html/secure11152004.asp
Admin権限でログオンしたままで 特定のソフトだけ制限ユーザーで起動できるものらしい
Malware感染対抗策になる筈 詳しくはネトラン最新号で 
割と最初の方のページだったと思う

90 :
アンチウイルスソフトのパターンファイル更新は、どんな権限が必要なのかな?
NAV2006 だと、Power Users は OK で、Users ではできなかった。
どのファイルの権限下げればいいのだろう?
常時 Users 運用はなかなか難しいね。

91 :
>>90
ウイルスバスターは制限ユーザでもできる。
その理由は簡単で、ウイルスバスターがインストールされたフォルダが
全てのユーザに対してフルアクセスが認められているから。
ウイルスバスターがフォルダを作成するときにアクセス権を書き換えるようだ。
簡単だけど、お粗末な方法だ。
NOD32はSYSTEM権限で動いているnod32krnが全てやるので制限ユーザでも問題無く
更新できる。
McAfeeその他は試していないからわからない。
#Nortonはわりと候補に挙がる製品だけに制限ユーザでアップデートができないのは
ショックですねぇ。

92 :
>>91
そうですか…。パターンファイル更新は特に権限が必要な作業ではないと思いますけどねぇ。

93 :
>>92
パターンファイルを(ウィルス含む)あらゆる権限のユーザーから
簡単に書き換えられたら役に立たんだろ。
参考までにWindowsの自動更新はグループポリシーの設定で非管理者でも通知を
受けられるようにできるが、実際の更新作業はちゃんとサービスが行ってる

94 :
>>93
>実際の更新作業はちゃんとサービスが行ってる
AVSもそういう風にしてるんじゃないの?まさか直接一般ユーザで
書き換えてるとはいくらなんでも思わないでしょ。

95 :
そうすると、Nortonやウイルスバスターは大手製の癖にお粗末な作りである
と言えるのかな。

96 :
システムの奥深くまで入り込んで
自分の動作守ってるんでしょ あーいうのは

97 :
なるほど。ひとたび乗っ取られると被害は甚大そうですな。

98 :
Norton2002だと、自動LiveUpdateは制限ユーザーでログオンしてても
System権限で動作するから、勝手にアップデートされる。
新しいバージョンでも同じじゃないだろうか?
緊急にアップデートしたいときは、シマンテックのサイトで実行ファイル形式の
定義ファイルをダウンして、runasで実行してる。
ちなみに、俺はまだNAV2002使ってる。

99 :
ユーザー権限で LiveUpdate を実行出来ない
http://service1.symantec.com/support/INTER/navjapanesekb.nsf/45d24f3809a3963288256db3005f48d1/bcb357f301f6448188256b5f0071e3e5
自動LiveUpdateは問題が無い?
手動LiveUpdateは駄目だということかな。
よくわからんね。

100read 1read
1read 100read
TOP カテ一覧 スレ一覧 2ch元 削除依頼
'code red'wormに続きw32/sircam (212)
AVG、avast、Spybot、AdAwareがあればそこそこ安全 (464)
RSA暗号 解読 助けてください!! (222)
FortiClient (273)
NOD32 ESS 【28xx ok complete】 (684)
'code red'wormに続きw32/sircam (212)
--log9.info------------------
『ウィンドウズ7』で出来るようになる事 (253)
いかにも少女マンガ的な展開 (396)
やったこと無いのにポケモンを語るスレ (582)
民主党政権に素晴らしい政策を提案しよう (343)
昔話のオープニングだけでボケまくれ (252)
Superflyの越智志帆って魚みたいな顔してるよね (308)
バラバラ死体 (475)
最低裁判所 (488)
こんな市川海老蔵は勘弁してください (381)
美少女型アンドロイドにありがちなこと (231)
しっくりこないニュース (224)
売れないバンド・バババーズの2ndアルバムの名前 (295)
あの世に2ちゃんねるがあったらありそうなスレタイ (438)
山下清になりきって一言 (241)
(496)
織田信長が平成生まれだったらやっていそうな事 (244)
--log55.com------------------
【フリマアプリ】メルカリ Part188【手数料10%】
千葉鑑定団
【フリマアプリ】メルカリ Part182【手数料10%】
中古パソコンの選び方・売り方・店情報・雑談など
【悲報】ブックオフが連続赤字 その四
【悲報】ブックオフが赤字 その三
【フリマアプリ】メルカリ Part177【手数料10%】
【ゲオ】 DVD/CDレンタル、ゲームスマホ中古販売GEO