securitate windows

Marius '95

troubleShooter
Cineva care nu se pricepe mi-a cerut sa restrictionez accesul copiilor lui la un calc cu Windows. Se presupune ca este un Windows 7. Din informatiile care mi s-au dat, acel calc este plin cu diverse jocuri, nu mai are spatiu liber pe C:, posibil plin de addware/malware/etc. Sunt 3 copii si un parinte pentru care se doresc conturi separate.
M-am gandit:
1) sa fac parintele admin si copiii useri normali,
2) sa activez quota management,
3) sa instalez cumva o cheie hardware de acces pentru parinte (stick USB?), astfel incat sa nu trebuiasca sa-si tasteze parola (din motive evidente).
Am nevoie de ajutor cu 3), ca nu stiu cum se face.
 
Eu cred ca o parola complexa schimbata frecvent si o indemnare eficienta pentru copii de a-si vedea de intimitatea lor este suficienta. Daca nu poti stapani un copil sa nu-ti vada parola cand o tastezi, imi e teama ca nu vei reusi sa faci nimic cu adevarat nici cu acel stick.
Quota management pentru ce? Exista o singura partitie sau de fapt sunt mai multe disponibile?
 
Nu-mi imaginez ce indemnare ar fi eficienta la varstele alea. Si cum ar putea sa se asigure ca este eficienta? Si daca ii da afara din camera, tot pot afla parola cu un telefon care filmeaza spre tastatura.
In prezent sunt cel putin doua partitii, dar avand in vedere ca: Windows 7 + parinte nu se pricepe + copiii intre 5 si 9 ani, trag concluzia ca o singura partitie cu quota management ar fi o idee mult mai buna.
 
In final poti face cam tot ce vrei si cu o partitie, poti face si cu mai multe, cred ca e mai important cum iti e mai comod. Cat despre indemanarea pustilor cu telefon ascuns undeva pe filmare cand parintele ajunge, deja mi se pare de nivelul unor mici agenti secreti super inteligenti care cu siguranta mai bine sunt lasati sa faca ce vor pe acel computer iar parintii care oricum nu se pricep sa se limiteze la un laptop cel mult doar al lor.
 
Valeu, Marius, credeam ca vorbesti de mine !
Daca parintele nu se pricepe ... cam riscant sa il faci admin. Dar, hai, treaca-mearga, o mai trebui sa instaleze si el vreun joc, ceva, cindva.
Modelul meu e: fiecare cu contul lui, cel al parintelui parolat (evident, dupa aia or sa vrea si plozii parole pe cont). Parola lu tata sa contina litere alternind majuscule cu minuscule, de regula plozii nu s-au prins ca apas discret shift-ul.
SO pe o partitie, restul pe alta. Fiecarui plod dat spre grija cite un folder, sa isi tina balastul in el. Daca va crapa windoza, piciul nu o sa plinga ca si-a pierdut capodoperele facute in Paint.
Eventual umblat nitel si pe la drepturile de citire-scriere ale plozilor.
Bibilit si in CP, la Parental controls, setat pe acolo accesul la programe in functie de obscenitati (desi am constatat ca nu prea merge chestia asta...), puse si limite de timp.
Chiar, poate imi sugerati si mie un programel care sa inchida contul dup x minute de la logare .... ca astia mici sunt mereu dispusi sa sara calul.
 
Daca parintele nu e jucator => calculator separat (ieftin cat sa-si faca treaba).
 
  • Like
Reactions: Neo
Situatia asta imi aduce aminte de momentul in care tatal meu s-a gandit sa imi restrictioneze nr de ore petrecute la PC. Era total non IT si nu folosea PC-ul dar le-a zis alora de la service sa puna o parola pe PC si aia mi-au pus parola de BIOS. Asa ca puteam sa folosesc sistemul doar cand se intorcea de la serviciu si baga parola (stiam sa resetez CMOS dar PC-ul era in garantie si sigilat)

Nu a durat insa mult pana cand mi-am amintit de optiunea din BIOS Password check cu 2 optiuni: BIOS si Always. Asa ca atunci cand a venit de la munca am pornit sistemul si am dat Del si i-am cerut tatalui meu sa bage parola fara sa fiu in aceiasi camera.

Dupa ce s-a prins ca gasisem o solutie la asta (dar el banuia ca ghicisem parola) imi lua cablul de alimentare in periodele cand nu era acasa.

Ce pot sa zic, ma bucur ca un cablu de alimentare pt sursa era ieftin. :biggrin:

A fost cea mai buna investitie pt banii din pusculita.:smile:


Pt copii mici (eu avem 16 in situatia de mai sus) metodele mentionate cred ca merg si acum, insa, pentru partea cu internetul banuiesc ca ar trebui instruiti atat parintele cat si copii sa isi updateze sistemele si sa instaleze protectiii pasive ca EMET si/sau MBAE.

Ca antivirusi decenti si free exista KAV Free si Bitdefender Free. Al doilea e mai eficient contra adware/spyware.
 
Acuma serios despre problemă: în ziua de azi, fiecare persoană care folosește un device ar trebui să aibă contul propriu acolo, iar contul ăla să fie de tip user, nu administrator. Pe un calculator ar trebui să fie 1, maxim 2 conturi de admin (al doilea ca backup), dar folosite exclusiv pentru chestii de administrare, nu day to day use.

Toți userii trebuie să învețe good practices pentru setat, schimbat și tastat parole, fiindcă e un minim de aptitudine tehnică pe care o vor folosi tot restul vieții în toate sistemele ce necesită autentificare - cel puțin cât timp se mai păstrează sistemul de autentificare cu parolă. Parola este personală și utilă atâta timp cât rămâne secretă față de oricine altcineva. Să nu știi chestia asta când folosești un device IT e cea mai bună exemplificare a definiției de „persoană cu handicap IT”.

Și smartphone-urile trebuie protejate cu parolă, iar Android-urile curente permit mai mulți useri și eventual cont de guest. Dacă folosești un Google Authenticator sau alt app pe telefon drept cheie, iar accesul la respectiva aplicație nu e protejat de nici o modalitate de blocare a telefonului, e ca și când ai pleca de acasă, ai încuia ușa, apoi ai lăsa cheia atârnată cu sfoară de clanță.

Ideal ar fi ca userii să se educe un pic despre ce înseamnă complexitate ridicată a parolelor, și care ar fi variantele care asigură o securitate mai bună în detrimentul comodității (two factor authentication, fie cu un generator de parole, fie cu tabele de coduri, fie cu coduri unice transmise prin SMS, fie cu chei hardware - USB, Bluetooth, RFID etc.). Apoi, în cunoștință de cauză, să poată să aleagă. Da, e mai comod să tastezi o parolă, cu riscul că parola poate fi furată; mai sigur e să ai și un device fizic care să fie necesar pentru autentificare (cheie USB sau generator de coduri pe smartphone), da' atunci acel device să-l ai la tine, nu să-l lași pe aiurea prin casă unde poate fi folosit de oricine.

De exemplu, în Windows 10 este încorporată autentificarea 2-factor, dacă nu folosești cont local ci cont Live (unde poți seta detaliile de 2-factor). Dar sunt și alte variante și pentru alte Windows-uri și cu funcții mai multe, de exemplu SAASPASS, sau Rohos Logon Key care poate fi integrat inclusiv cu YubiKey-uri.

Povestea asta cu filmatul tastelor când bagă parola e o fantasmagorie din categoria pică nu drobul, ci muntele de sare și omoară copilul. Nota 10 pentru creativitate, da' poate ar fi bine s-o canalizezi spre scris nuvele de ficțiune absurdă.
 
Din pacate treaba cu fiecare utilizator sa foloseasca un cont simplu si nu cel de admin inca nu merge prea bine. Am incercat, am revenit asupra deciziei: am ajuns sa rulez prea des "Run as admin" diverse chestii si sa bag parole excesiv de des. Acum cu Office 365 trebuie sa bag si mai multe, si are si 2 way authentication (amprenta, dar cauta telefonul si pune amprenta cand vrei sa deschizi Outlook pe desktop, o bucurie), iar niste idioti au pus o politica pe serverele de la birou de lock la 5 minute de inactivitate, iar cum eu stau cu cateva permanent deschise in RDP bag parole de cateva ori pe ora. Desi nimeni nu acceseaza serverele alea decat prin RDP, ca sunt virtuale, au pus politica aia imbecila care scade productivitatea si cheful de munca. Pana la urma, de cate ori pe minut esti dispus sa bagi parole? De-aia utilizarea unui computer cu Windows nu e o placere daca esti pe cont de simplu utilizator.
 
Last edited:
AdrianB1 tu nu esti utilizatorul obisnuit, sa fim seriosi. Si la nivelul tau stii foarte bine cu ce se mananca securitatea in orice sistem de operare.
 
Cam singura dată când a trebuit să rulez ceva ca administrator a fost pentru un command prompt din care să execut adp și fastboot pentru a hăcui androidul prin usb debugging. În rest, absolut nimic din aplicațiile de home user/power user nu necesită privilegii elevate. Doar instalarea și actualizarea de aplicații îmi cere parola de admin.

Dar e de repetat că securitatea și comoditatea trag în direcții opuse. Din cauza asta, maaaaaarea majoritate a breșelor de securitate sunt din cauza lenii userilor, nu a softului prost. Ia mâna sus câți știți cel puțin o persoană care are unlock pattern la Android o linie dreaptă orizontală urmată de una verticală? Sau iPhone users cu PIN 1111?
 
Dar un log viewer pentru W(7) mai prietenos nu exista? Sau tre sa supravietuiesc cu ce mi-a pus la indemina MS?
Mai arunc un ochi, la rastimpuri, sa vad cind si cit au abuzat de calculator...
 
Seriously, Update Your Old Windows 7 PCs and Windows Servers Right Now https://lifehacker.com/seriously-update-your-old-windows-7-pcs-and-windows-se-1839723097

Recent data suggests that there are over 700,000 vulnerable PCs that still have not installed the necessary updates despite repeated urging from Microsoft, major security companies, the US government, and just about every tech publication out there. But what was initially a preventative measure against hypothetical BlueKeep exploits is now the only way to defend against very real attacks.
 
Mda vad ca un update separat pentru problema nu s-au obosit sa scoata, doar pachete d-alea pline si cu alte jeguri, gen telemetrie si/sau zeci de chestii inutile care sa transforme Win7 Intr-un fel de Win10 dar mai retardat, adica cu punctele negative dar fara cele pozitive. Sau poate exista update standalone si nu gasesc eu?

La mine update-urile or sa ramana dezactivate, cu toate riscurile. In schimb am dezactivat si toate serviciile legate de remote desktop, 5 in numar (aparent). Nu stiu daca asta "rezolva" vulnerabilitatea aia sau nu. Oricum nici unul nu rula, erau puse pe "Manual" si nu erau pornite.
 
Extrage fisierele si instaleaza-le manual.
Dar, sincer, nu stiu de ce iti bati capul. Win7 a fost din totdeauna plin de spyware/telemetrie.
 
Back
Top