IT Säkerhet, Automatiskt inlogg av admin användare?

Det är ett lite konstigt upplägg tycker jag, antingen är man (lokal) admin eller inte. På mitt jobb är vi utvecklare det men inte andra, men då har vi ju de behörigheterna på vårt vanliga konto liksom så man behöver inte skriva in lösenord utan bara trycka på ok.

Annars tror jag det blir svårt att automatisera detta. Hela poängen med UAC-promptarna är ju att de kräver höjda privilegier liksom så det går inte att få ett program att interagera med dem om inte det har förhöjda privilegier redan. Jag hade något script i AHK som inte fungerade i program som kördes som admin, om jag inte körde AHK som admin också, exempelvis.

En lösning är ju att ha ett tangentbord med inbyggda makron, för de ligger ju utanför operativsystemet liksom. Så kan du göra ett som skriver användarnamn, tab, lösenord eller så, så blir det bara en knapptryckning.

Det låter som fullt naturliga regler som din arbetsplats har satt upp tycker jag. Skulle även säga att fylla i per är riktigt surt, om din dator väl skulle bli övertagen så finns det ett script som hackare kan se någonstans, eller om dom tom lyckas fjärrstyra så är det ju öppet mål.
För jag misstänker väl att dom inaktiverat lokala användare när dom satt upp det?
Som tidigare påpekat, prata med it-avdelningen/leverantören. Försöka kringgå policys har hos en del företag påföljder.

UAC är bra grejer och ska inte pillas på (finns ju dock massa l33t-användare som aldrig någonsin skulle få skit i sin dator för att dom är Såå grymma, helst i kombination med att skippa antivirus för att det är onödigt och saktar ned )
Alla andra system har det, även om vissa är lite dumma och kör med full access i linux på sin användare för att gå runt det.. På Mac så måste man iaf fylla i sitt eget lösenord om man har behörighet för vissa saker.

Det är nog något ditt företag ställt in.

Jag tror det blir svårt. UAC är ju ganska isolerad.

Problemet är att sådana program då måste köras som admin och även då är jag inte säker på att det fungerar, har du ett tangentbord med makron inbyggt så blir det ju samma som om du faktiskt tryckt på knapparna ur datorns synvinkel liksom.

Du skulle också kunna kolla om du kan ändra något i gruppolicyn, om du kör gpedit.msc (du kommer att behöva admin för det dock) och söker efter UAC så kan det vara där ditt företag har bestämt att det alltid kräver lösenord, och då kan du stänga av det och sätta det så du bara behöver trycka ok. Men enligt min erfarenhet så använder företag inte gruppolicys för sånt så mycket längre utan kontrollerar på högre nivå i domänen eller så, och då hjälper inte det förstås.

Jag är inte positiv till att kräva lösenord där, så länge användaren förstår vad det faktiskt innebär att godkänna höjda privilegier och inte bara trycker ok, men en sådan användare borde förstås inte ha admin alls.

Övrigt som du tar upp är katastrof också, men likväl standard på en massa ställen. Att tvinga användarna att byta lösenord med jämna mellanrum och inte tillåta upprepning gör inget positivt utan bara negativt exempelvis. Samma med att kräva specialtecken.

Säg att du har krav på tolv tecken varav ett special och ingen upprepning på tolv gånger (ganska standard). Då kommer de flesta att inleda med ett utropstecken, för det är lättillgängligt och stör inte ordet man behöver komma ihåg, eller möjligtvis byta ett a till ett @, ett e till 3 eller liknande, och avsluta med två siffror som de räknar upp. Alltså kommer själva lösenordet bara bestå av nio-tio bokstäver och resten följer detta förutsägbara mönster som enkelt går att lägga in i någon mjukvara för att testa en massa lösenord.

Det bästa vore om de hade krav på ganska lång längd och förstås att man matchar mot en blacklist med säg de tusen eller hundratusen vanligaste lösenorden och inte tillåter dem, inget mer, och never expire om inte man får indikationer på några konstigheter.

Jag jobbar med IT och skulle starkt avråda dig från att ens försöka. Skulle du försöka och din IT-avdelning kommer på dig så kommer du inte vara deras bästa polare öht. Prata istället med dom och se om du kan få fram en lösning som uppfyller dina behov och deras krav på säkerhet. Det är bättre än att försöka ghettomodda något själv och sen få skit för det när du enkelt hade kunnat ta en dialog och fått svar direkt.

Jo, jag förstår inte varför det hela tiden måste vara en kamp mellan IT och de som behöver använda IT, antagligen för att de som bestämmer inte har någon koll på IT eller arbetet som behöver göras. IT-killen på mitt jobb håller exempelvis helt med om att lösenordspolicyn är kontraproduktiv för säkerheten och användarvänligheten, men han styr inte över den tyvärr, och inte heller hans chef utan det styrs mer centralt än så. Och det finns så mycket dumheter i dessa policys, när jag började exempelvis tog det över två månader att få lokal admin, och då kan jag ändå bara få den ett år i taget. Jag fick ett antal arga mail häromdagen för att jag gjorde lite pentesting lokalt på min maskin, verktygen höjde tydligen en hel del röda flaggor hos dem, men hur är det mitt problem? Jag behöver kunna göra mitt jobb, och det är inte att jaga chefer på alla nivåer för att få ett godkännande att jag får göra vad de bestämt att jag ska göra liksom.