Så ska Windows skydda administratörskonton

Det hela var så mycket enklare förr i tiden, men nya hot kräver nya åtgärder.
Man kan vara lokal administratör men ändå ha begränsat behörighet, vissa inställningar finns på GPO.

För mig blir det lite flummigt i GPO vad man vill att en lokaladmin ska få göra utan denna höjda behörighet och vad den ska få göra när den höjs. Men det blir säkert bra.

Nej, det finns kvar, men för att aktivera det dolda admin-kontot så måste man ha admin tillgång.

Vilket görs på 5 sekunder mha chntpw Undrar hur många som är skyddade mot detta?

Borde inte TrustedInstaller kunna göra motsvarande direkt från Windows? Dvs nollställa lösenorden helt på samtliga lokala konton.

Annars är utilman.exe också rollgt att exploita

Edit: Ang Windows Hello, så saknar min Dell XPS 13 all form av biometrisk inloggning, så enbart PIN är ett alternativ.

Microsoft hade ett jättebra access-system i NT från början, men rev ner det i NT 4.0 för att få bättre kompabilitet med gamla illa kodade Win 3.11-program. De har tillbringat tiden sen dess med att försöka bygga upp det igen.

Är det LocalSystem ni talar om? För det går inte att logga in i det direkt vad jag vet, man måste logga in som admin först och sedan byta konto.

Det jag pratar om är denna

Finns under Computer Management -> Local Users and Groups -> Users -> Administrator

Det är väl samma på Linux i så fall. De har ju alltid haft att man behöver ange lösenord för vissa saker

Year of the Linux Desktop lär inträffa först när Microsoft byter ut sin föråldrade kärna i Windows

Fortfarande näst intill omöjligt att köpa en dator fråm elkedjorna med Linux förinstallerat (om man räknar bort ChromeBooks).

Själv har jag en Dell XPS 13 Developer Edition som kom med Ubuntu, men den tillhör tyvärr undantagen.

Jaha! Det kontot är det klassiska admin-kontot, och är mest relevant om man har en dator som sitter i en domän. Det kontot har fulla admin-rättigheter lokalt och absolut inga rättigheter alls på domänen. Det är praktiskt ibland.

Om du är skraj för det kontot så skall du nog inte kolla upp vad LocalSystem är. Det är det verkliga root-kontot.

Det räknas väl inte som dolt (bara för att det är inaktiverat)
Då är local_system mer rimligt för du kan inte specificera namnet via lookupaccountname-funktioner, det bara är via SID och därmed är det "dolt".

//edit - %computername%\localsystem kan användas iof när du ska starta tjänster eller sätta rättigheter/behörigheter.

Känner mig gammal när jag alltid gjort så här:

net user administrator /active:yes

I övrigt verkar det vara just det kontot många kör med som standard i sina fultankade versioner av Windows, såsom exempelvis Tiny10 & Tiny11. Guds gåva till botnätverken!

net user administrator /active:yes

Körde just det kontot väldigt länge. Nu har jag skapat ett eget men med adminrättigheter såklart. Så kanske ingen skillnad...?

net user administrator /active:yes

Jasså? Ja, det är inte det bästa o använda det kontot hela tiden. Aldrig använt det kontot vad jag kan minnas iallafall

Nu har jag aldrig använt det kontot, men ett vanligt adminkonto så får du fråga ja eller nej när appar kräver adminrättigheter. Vet inte om man får frågan med inbyggda adminkonto som är dolt

Den stora skillnaden är att samtliga program körs som admin med det inbyggda kontot. Dvs även Explorer.exe vilket kan vara smått förödande. Kör du som vanlig användare med tillfälliga Admin-rättigheter, så behöver du hela tiden godkänna dina val aktivt genom UAC (även om rutan i sig går att konfigurera bort).

Det inbyggda adminkontot är bra om du verkligen är admin och sätter upp ett system, men i övrigt bör det kontot aldrig användas enligt mig.

Om du verkligen behöver högre rättigheter för något, så föredrar jag PowerRun:
https://www.sordum.org/9416/powerrun-v1-7-run-with-highest-pr...

Då kan man köra som TrustedInstaller fast på ett mer kontrollerat sätt Perfekt när Windows vägrar ge dig tillåtelse att radera filer eller läsa kataloger.

Wndows stora problem med säkerhet är sättet dom presentera de olika tjänsterna med, att tjänster LOGGAR IN med olika behörigheter och att avstängde tjänster fortsätter LOGGA IN för att få bekräftelse att tjänsten är avstängd. blir en jäkla kakofoni av inloggningar som blir omöjliga att överskåda. Trusted Installer skulle få högsta prio för att skydda känsliga delar, men det blev ju mer att skydda Microsofts intressen än Datorn. Interna tjänster skulle presenteras under tjänster och LOGGAS under den tjäst som begärt start Säkerhet Underhåll Uppdatering. Tillgång till Datorn Ska Bara Loggas om någon med oklart syfte söker tillgång eller har konto, Och ingen absolut ingen ska kunna Logga In om inte det kontot finns över en lista som användaren delar Datorn med. En enkel kryssruta Privat Dator, skulle genast skicka en signal om att datorn är Privat, Inloggning Avstängd. En USB Nyckel från MS skulle kosta max 200kr och problemen vara ur vägen. Schemaläggare skulle bli tydligare och visas i Inställningar och användare få mer makt över när och Om. Det är tusen saker som sker i det dolda och det gick bra förr i tiden, men inte idag när hoten är lömskare och har andra intressen.

@Black(1)cat:
Håller med dig till 98%!

Ännu mer skrämmande med din insikt är att jag tror det är på sin höjd en handfull användare här på SweClockers som har koll på dessa saker. Tänker exempelvis på TrustedInstaller, Schemaläggaren och överallt man är inloggad med sitt Windows-konto.

Nedan är en väldigt off-topic video ang. "Microsoft Sucks at Everything" i förhållande till andra drakar som Google, Meta, Amazon och Apple samt Sony och Nintendo på konsolmarknaden. Ganska underhållande och tyvärr träffar den även väldigt rätt.

Jo visst men jag försökte ändå minska ner problembilden för att inte bli långrandigt och gå in på Windows överlägsna brist (Registereditorn) som är sanslös och inte ett spår av insikt verkar finnas hos Microsoft. Registret berättar om allt som sker på din dator vilka rättigheter Program egen installerade och Windows CORE register. 2024 och W 11 och Microsoft har fortfarande inte en tjänst värdig namnet som plockar bort registerposter som inte har en avsändare eller som ett Antivirusprogram varnar för Registerposter som ber om rättigheter som kan ses som farliga eller brister i Personskydd? Att Windows CORE Register finns öppet och tillgängligt för program visar på total avsaknad av riskmedvetande! Vi som användare skulle få ett medelande vid installation om vilka poster som läggs till och rätten att neka!

Jag kör alltid med UAC inställt på max (pga att det är alldeles för enkelt för malware att kringgå UAC om man kör på någon lägre nivå), så för min del skulle det här inte göra någon större skillnad. Det går ju redan att slå på lösenordstvång för UAC också, men där går gränsen för min del.

Att kräva ett komplett lösenord är osmidigt som fan, därav min hatkärlek till sudo & co. Då är en enklare pinkod oändligt smidigare men fortfarande säkert så det räcker, så det här är ett steg åt rätt håll.