Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit onderwerp wordt uitgelegd hoe het configureren van Windows-gebruikersaccounts als lid van de gebruikersgroep (in tegenstelling tot de groep Administrators) de beveiliging verhoogt door de kans op geïnfecteerde code te verminderen.
Beveiligingsrisico's
Als beheerder wordt uw systeem kwetsbaar voor verschillende soorten beveiligingsaanvallen, zoals 'Trojaans paard' en 'bufferoverschrijding'. Het bezoeken van een internetsite als beheerder kan schadelijk zijn voor het systeem, omdat schadelijke code die wordt gedownload van een internetsite uw computer kan aanvallen. Als dit lukt, neemt deze uw beheerdersmachtigingen over en kan deze vervolgens acties uitvoeren, zoals het verwijderen van al uw bestanden, het opnieuw opmaken van uw harde schijf en het maken van een nieuwe gebruikersaccount met beheerderstoegang.
Niet-beheerdersgebruikersgroepen
De Windows-gebruikersaccounts die ontwikkelaars normaal gebruiken, moeten worden toegevoegd aan de groepen Gebruikers of Power Users. Ontwikkelaars moeten ook worden toegevoegd aan de foutopsporingsgroep. Als lid van de groep Gebruikers kunt u routinetaken uitvoeren, waaronder het uitvoeren van programma's en het bezoeken van internetsites zonder dat uw computer onnodig risico loopt. Als lid van de groep Power Users kunt u ook taken uitvoeren zoals toepassingsinstallatie, printerinstallatie en de meeste bewerkingen in het Configuratiescherm. Als u beheertaken moet uitvoeren, zoals het upgraden van het besturingssysteem of het configureren van systeemparameters, moet u zich zo lang aanmelden bij een beheerdersaccount om de beheertaak uit te voeren. U kunt ook de Opdracht Windows Runas gebruiken om specifieke toepassingen met beheerderstoegang te starten.
Klanten blootstellen aan beveiligingsrisico's
Het is met name belangrijk dat ontwikkelaars geen deel uitmaken van de groep Administrators, omdat ontwikkelaars naast het beveiligen van ontwikkelmachines onbedoeld code kunnen schrijven waarvoor klanten lid moeten worden van de groep Administrators om de toepassingen die u ontwikkelt, uit te voeren. Als code waarvoor administratorrechten vereist zijn tijdens de ontwikkeling wordt geïntroduceerd, zal het tijdens de uitvoering mislukken, waardoor u wordt gewaarschuwd dat uw applicatie nu vereist dat klanten zich als beheerders aanmelden.
Code waarvoor beheerdersbevoegdheden zijn vereist
Voor sommige code is beheerderstoegang vereist om uit te voeren. Indien mogelijk moeten alternatieven voor deze code worden gevolgd. Voorbeelden van codebewerkingen waarvoor beheerderstoegang is vereist, zijn:
Schrijven naar beveiligde gebieden van het bestandssysteem, zoals de mappen Windows of Program Files
Schrijven naar beveiligde gebieden van het register, zoals HKEY_LOCAL_MACHINE
Assemblies installeren in de Global Assembly Cache (GAC)
Over het algemeen moeten deze acties worden beperkt tot toepassingsinstallatieprogramma's. Hierdoor kunnen gebruikers alleen tijdelijk de beheerdersstatus gebruiken.
Fouten opsporen
U kunt fouten opsporen in toepassingen die u start in Visual Studio (systeemeigen en niet-beheerd) als niet-beheerder door deel te maken van de foutopsporingsgroep. Dit omvat de mogelijkheid om te koppelen aan een actieve toepassing met behulp van de opdracht Koppelen aan proces. Het is echter noodzakelijk om deel uit te maken van de beheerdersgroep om fouten op te sporen in systeemeigen of beheerde toepassingen die door een andere gebruiker zijn gestart.