Thursday, November 29, 2007

เพิ่มความปลอดภัยในการใช้งาน Windows โดยการใช้งานคำสั่ง Run as

เพิ่มความปลอดภัยในการใช้งาน Windows โดยการใช้งานคำสั่ง Run as
โดยทั่วไปผู้เชี่ยวชาญด้านความปลอดภัยจะแนะนำให้ใช้ยูสเซอร์ธรรมดา (User หรือ Limited User) ในการทำงานทั่วไปในการใช้งานประจำวัน เช่น การพิมพ์งาน รับส่งอีเมล ใช้อินเทอร์เน็ต เป็นต้น เนื่องจากการใช้งานด้วยยูสเซอร์ธรรมดานั้นจะมีความปลอดภัยมากกว่า เนื่องจากยูสเซอร์ธรรมดาไม่มีสิทธิ์ในการแก้ไขเปลี่ยนแปลงระบบ ซึ่งเป้นเทคนิคหลักที่มัลแวร์ต่างๆ ใช้ในการโจมตีและแพร่ระบาด

แต่อย่างไรก็ตาม ในบางครั้งผู้ใช้ก็มีความจำเป็นต้องทำงานบางอย่างในด้านการจัดการระบบ เช่น การติดตั้งโปรแกรมต่างๆ ซึ่งมีความจำเป็นต้องกระทำโดยยูสเซอร์ที่มีระดับสิทธิ์เป็นผู้ดูแลระบบ (Administrator Users) โดยมีทางเลือกได้ 2 ทาง คือ ทำการล็อกออนด้วยยูสเซอร์ที่มีสิทธิ์ หรือการใช้ Run as

หากใช้วิธีล็อกออนด้วยยูสเซอร์ที่มีสิทธิ์ระดับผู้ดูแลระบบนั้น ทำได้โดยการล็อกออฟจากยูสเซอร์ที่กำลังใช้งานอยู่ จากนั้นทำการล็อกออนด้วยยูสเซอร์ที่มีระดับสิทธิ์เป็นผู้ดูแลระบบ จากนั้นทำการติดตั้งโปรแกรม เสร็จแล้วทำการล็อกออฟ สุดท้ายทำการล็อกออนด้วยยูสเซอร์ธรรมดาเพื่อใช้งานต่อไป ซึ่งจะเห็นว่ามีความซับซ้อนยุ่งยากพอสมควร แต่ถ้าหากใช้ Run as ในการทำงานดังที่กล่าวมาแทนนั้น จะง่ายกว่ากันมาก และไม่ต้องทำการปรับแต่งวินโวส์เพิ่มเติมแต่อย่างใด เนื่องจากฟีเจอร์ Run as นั้น เป็นฟีเจอร์ที่รวมอยู่ในระบบปฏิบัติการวินโดวส์อยู่แล้ว

การใช้งาน Run as นั้น นอกจากจะช่วยอำนวยความสะดวกในการใช้งานโปรแกรมต่างๆ ด้วยแอคเคาท์ที่มีระดับสิทธื์ในการใช้งานโปรแกรมเหล่านั้น โดยไม่ต้องทำการล็อกออฟจากยูสเซอร์ที่กำลังใช้งานอยู่ ซึ่งจะมีประโยชน์อย่างมากในการทำงานที่เกี่ยวกับการจัดการระบบซึ่งต้องใช้สิทธิ์ระดับผู้ดูแลระบบในการทำงาน ยังช่วยเพิ่มความปลอดภัยให้กับระบบได้อีกด้วย โดยเฉพาะอย่างยิ่งในสภพแวดล้อมการใช้งานคอมพิวเตอร์แบบ Domain นั้น หากใช้งานยูสเซอร์ที่มีระดับสิทธิ์แบบโดเมนแอดมิน จะมีทำให้เกิดความเสี่ยงด้านความปลอดภัย ในการถูกดักจับ User และ Password จากโปรแกรมมัลแวร์ประเภทโทรจันหรือคีย์ล็อกเกอร์ได้

การใช้งาน Run as
วิธีการใช้งาน Run as นั้น จะมีอยู่ 2 วิธีด้วยกัน คือ แบบ Graphic User Interface และแบบ Command-line

การใช้งานแบบ Run as แบบ Graphic User Interface
การใช้งาน Run as แบบ Graphic User Interface สามารถใช้งานได้โดยไม่ต้องปรับแต่งระบบวินโดวส์เพิ่มเติมแต่อย่างใด เนื่องจากได้เพิ่มฟีเจอร์นี้เข้าเป็นส่วนหนึ่งของระบบปฏิบัติการอยู่แล้ว โดยการเรียกใช้งานนั้น ทำได้โดยการคลิกขวาที่ โปรแกรม (.exe)* หรือ คอนโทรลพาเนล (.cpl)* หรือ ไมโครซอฟท์แมเนจเมนต์คอนโซล (MMC) (.msc)* แล้วเลือก Run as... ดังรูปที่ 1 ซึ่งจะพร็อมพ์ให้ใส่ user** และ password ดังรูปที่ 2 โดยให้เลือก Following user แล้วใส่ยูสเซอร์และรหัสผ่านที่มีสิทธิ์ในการรันโปรแกรม เสร็จแล้วคลิก OK หากไม่มีอะไรผิดผลาดวินโดวส์ก็จะทำการรันโปรแกรมหรือคำสั่ง ทั้งนี้ Run as นั้นจะไม่สามารถรองรับการทำงานบางอย่าง ตัวอย่างเช่น การอัพเกรดระบบปฏิบัติการหรือการคอนฟิกพารามิเตอร์ของระบบวินโดวส์เป็นต้น

หมายเหตุ:
* ใช้ได้เฉพาะ บางโปรแกรม , คอนโทรลพาเนลบางตัว และไมโครซอฟท์แมเนจเมนต์คอนโซลบางตัว
** หากเป็นการใช้งานที่ต้องใช้ระดับสิทธิ์ Domain ก็ต้องใช้แอคเคาท์ของโดเมน แต่หากเป็นการทำงานแบบโลคอลก็ให้ใช้แอคเคาท์ของเครื่องโลคอล


รูปที่ 1 Run AS


รูปที่ 2 Run AS

การใช้งานแบบ Run as แบบ Command-line
การใช้งานแบบ command-line นั้น จะใช้คำสั่ง runas.exe รันคำสั่งจากคอมมานด์พร็อมพ์ ถ้าหากทำการรันคำสั่ง runas โดยไม่ใส่พารามิเตอร์ใดๆ ก็จะแสดงวิธีการใช้งานคำสั่ง สำหรับซินเท็กซ์การใช้งาน มีรายละเอียดดังนี้

Syntax
runas [{/profile/noprofile}] [/env] [/netonly] [/smartcard] [/showtrustlevels] [/trustlevel] /user:UserAccountName program

Parameters

/profile : โหลดโพรไฟล์ของยูสเซอร์ ค่าดีฟอลท์เป็น /profile
/no profile : กำหนดให้ไม่ต้องโหลดโพรไฟล์ของยูสเซอร์ ซึ่งจะทำให้การทำงานของโปรแกรมเร็วขึ้นแต่อาจมีปัยหากับบางแอพพลิเคชันที่จำเป็นต้องอ้างอิงโพรไฟลืขอฝยูสเซอร์ในการทำงาน
/env : กำหนดให้ใช้ network environment ปัจจุบันแทนการใช้งาน user's local environment
/netonly : กำหนดให้เป็นการใช้งานแบบ remote เท่านั้น
/smartcard : ให้ใช้งานจาก smartcard
/showtrustlevels : ให้แสดงรายการอ็อปชัน /trustlevel
/trustlevel : กำหนดระดับของการ authorization ที่แอพพลิเคชันทำการรัน
/user:UserAccountName : กำหนดชื่อของ user account ที่จะใช้ในการัรนโปรแกรม โดยอยู่ในรูปแบบ user@domain หรือ Domain\User
program : ชื่อของโปรแกรมหรือคอมมานด์ที่ต้องการรัน
/? : แสดงความช่วยเหลือในการใช้งาน

ตัวอย่างการใช้ Run as แบบ Command-line:
• ตัวอย่างที่ 1: ทำการเปิดคอมมานด์พร็อมพ์ โดยใช้ยูสเซอร์ "local administrator" ทำได้ดังนี้
1. Start > Run แล้วพิมพ์คำสั่งด้านล่าง เสร็จแล้วกด Enter
runas /user:localmachinename\administrator cmd
2. ใส่ password ของ local administrator เมื่อวินโดวส์ถาม เสร็จแล้วกด Enter

• ตัวอย่างที่ 2: ทำการเปิดคอมพิวเตอร์แมเนจเมนต์คอนโซล โดยใช้ยูสเซอร์ "local administrator" ทำได้ดังนี้
1. Start > Run แล้วพิมพ์คำสั่งด้านล่าง เสร็จแล้วกด Enter
runas /user:localmachinename\administrator "mmc %windir%\system32\compmgmt.msc"
2. ใส่ password ของ local administrator เมื่อวินโดวส์ถาม เสร็จแล้วกด Enter

• ตัวอย่างที่ 3: ทำการเปิดคอมพิวเตอร์แมเนจเมนต์คอนโซล โดยใช้ยูสเซอร์ "domain administrator" ทำได้ดังนี้
1. Start > Run แล้วพิมพ์คำสั่งด้านล่าง เสร็จแล้วกด Enter
runas /user:your_domain\domain_admin "mmc %windir%\system32\compmgmt.msc"
2. ใส่ password ของ domain administrator เมื่อวินโดวส์ถาม เสร็จแล้วกด Enter

• ตัวอย่างที่ 4: ทำการเปิดไฟล์ my_list.txt ด้วยโปรแกรม Notepad โดยใช้ยูสเซอร์ "test" ของโดเมน "exp.com" ทำได้ดังนี้
1. Start > Run แล้วพิมพ์คำสั่งด้านล่าง เสร็จแล้วกด Enter
runas /user:test@exp.com "notepad my_list.txt"
2. ใส่ password ของยูสเซอร์ test ของโดเมน exp.com เมื่อวินโดวส์ถาม เสร็จแล้วกด Enter

การใช้งาน RunAs Run as runas.exe

© 2007 Thai Windows Administrator, All Rights Reserved.

0 Comment: