06.10.2022

(1) Ei ole soovitatav töötada admin-õigustes, tuleks luua tavakasutaja konto ning oma tavategemisi toimetada sellel kontol, admin-kontot kasutada ainult eri-vajadusel lisamaks programme või muutmaks arvuti paigaldust ja/või sätteid. Kui mis-iganes-põhjusel peaks pahalane sattuma arvutisse, ei oma ta/see arvutis toimetamiseks admin-õigusi. Muidugi, halvimal juhul võib trehvata mõnda turvaauku, mis ... ka antud juhul halvimast ei pruugi päästa. Olgu nimetet, et Windows'i uuendused on üldjuhul soovitatavad ja ohutud.

Juba ainuüksi see lihtne meede, mis eeltoodult kirjeldet ja jõukohane igale arvutikasutajale, võib päästa suuremate jamade eest silmas pidades "pahalaste" tegutsemist. Ning see on miskit (kaitse), mida me saame ise teha, ilma mingite lisakulutusteta.

NB! Muidugi, peame meeles, et tundmatu käivita(/u)mine arvutis (saabununa siis kirjakasti kaudu või vahetult internetiavarustest) on ohtlik, toimetame siis mis-iganes-õigustes. Kui ransomware'l lasta toimetada, kasvõi tavaõigustes, siis teeb see liginetavate failidega ikkagi oma räpast tööd, mis võib olla suuresti kahjutoov, kuigi ehk arvuti tervikuna pääseb. Seega, tulevallid (eelistatavalt riistvaralised), aadresside transleerimine, aktiivne viirus-pahavara (sh-s lunavara) kaitse (built in Windows Security on üldjuhul good enough), eelnimetet mitte-admin õigustes toimetamine, tarkvarauuendused, regulaarsed backup'id ning eelkõige (eelkõige!) vastutustundlik käitumine klaviatuuri tagant annab turvalise tulemuse. VPN? Jah, kui on vajalik turvaline sidekanal siia-sinna (näiteks ühest arvutist/arvutivõrgust teise) ja/või ei soovi oma neti-tegemistest "jälgi jätta" (ärgem laske end eksitada – "jäljed" jäävad ikka), seda peavad eriti silmas pidama inimesed idapiiri taga (jäetud "jäljed" ei pruugi olla FSB aka ФСБ jms. poolt tabatavad, vähemasti lihtsalt mitte). Samas, VPN v mitte, kui teisel pool tunnelit on tundmatus, siis ... oht(likkuse tase) on sama.

(2) Kui admin-konto kasutamisest ei raatsi (või ei saa) loobuda, siis – kui miinimum – tuleks brauser startida suvatoimetamisteks tavakasutaja õigustes kasutades PsTools utiliiti PsExec (v2.1 ja edasi, kasutamine eeldab lähtekontolt admin-õigusi). Viimatinimetet utiliit võimaldab käsurealt lisada mh-s ka parooli, mis on oluline, tõsi, tekstina, st. kaitsmata. Ärgem siinkohal kasutagem seda oma põhi- ja/või muu olulise (admin-)konto parooli otsetekstina avaldamiseks.

Jah, antud juhul peab arvestama kitsendustega, n-ks millegi allalaadimisel selliselt starditud brauseri kaudu saab seda salvestada vaid selle konto (faili)õiguste raames, mille kaudu on brauser starditud. Seega on soovitatav teha kuskile kataloogi jagatud liginemine, a'la C:\temp vm., kuhu saab ligi nii tavakonto kui põhikonto kaudu.

C:\Utils\PsExec.exe -d -u suva -p p4r00l C:\Progs\PortableApps\GoogleChromePortable\GoogleChromePortable.exe --profile-directory="News"

Eel rea võib vastavate kohandusmuudatustega kirja panna Desktop'il asuvasse batch-faili nimega a'la "Runas Chrome with user Suva profile News.cmd", siis on seda mugav kasutada.

(PortableApps-vormingus brauserid, ja mitte ainult, on minu eelistus.)

Nagu eeltoodult näha võib (ja olekski soovitatav), eri süsteemseteks toimetamisteks oleks hea kasutada brauseri eri profiile – 1. suva-tavatoimetamised (profiil nimega a'la 'News'), 2. pangatoimetamised jms. (Elering, Eesti Energia jm., a'la 'Pank'), Google, muud (a'la 'Varia').

Tasub kombineerida brauseri profiilide ja eri tavakasutajate vahel. N-ks panga- jms. üldjuhul turvalisi toimetusi võiks teha vahetult kasutataval (ehk nn. desktop-kasutaja) kontol ja muid tegemisi siis varieerida eri kontode ja/või brauseriprofiilide vahel.

(2') Kui mitte soovida paroolide 'lehvitamist' (batch-failis), siis on antud juhul variant kasutamaks PowerShell'i (PS). Tõsi, see eeldab PS'i käivituspoliitika (PowerShell execution policies, viide siinkohal PS versioonile 5.1) muutmist lubamaks skriptide käivitamist, sellest edaspidi.

(a) Esmalt tuleks salvestada sihtkonto parool, selleks (kas PowerShell ISE või käsurea kaudu) ...

Read-Host "Enter Password" -AsSecureString | ConvertFrom-SecureString | Out-File "C:\Users\$env:USERNAME\Desktop\AccSuvaSecPwd.txt"

Antud juhul salvestatakse käesoleva konto Desktop'ile sihtkonto parool, krüpteeritult, kasutamiseks vaid sel arvutil.

(b) Ning "Runas Firefox with user Suva profile Pank.ps1" faili (n-ks taas Desktop'ile) tuleks salvestada järgmine rida ...

Start-Process -FilePath C:\Progs\PortableApps\FirefoxPortable\App\Firefox64\firefox.exe -WorkingDirectory C:\Progs\PortableApps\FirefoxPortable -ArgumentList '-no-remote -P pank' -Credential $(New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList 'suva', Get-Content $("C:\Users\$env:USERNAME\Desktop\AccSuvaSecPwd.txt" | ConvertTo-SecureString))

Siinkohal tuleb meeles pidada, et kui kohandamised (-FilePath, -WorkingDirectory ja -ArgumentList jm.) sisaldavad tühikuid, siis tuleb kasutada jutumärke või ülakomasid. Samuti, antud näide on vahelduseks Firefox'iga, brauserite puhul võib erineda situatsioon, mil viidatud profiili ei eksisteeri, st. eel ps1 faili esmasel käivitamisel, võimalik, et profiil tuleb luua enne, kui see skript korrektselt käivitub.

Tagasi execution policies juurde. Kui ps1 kasutamisel (hiire paremklikil failil ning valides PowerShell'i avajaks/käivitajaks) seda uuritakse, siis kinnitagem 'y', sest antud juhul me teame, mis meid ootamas on. Igal muul juhul olgem skriptide/programmide 'iseeneslikul' käivitumisel ettevaatlikud!

Või, ehk lihtsamgi, salvestagem batch-faili nimega (näiteks) "Runas Firefox with user Suva profile Pank via PS.cmd" ...

PowerShell.exe -ExecutionPolicy Bypass -File "%USERPROFILE%\Desktop\Runas Firefox with user Suva profile Pank.ps1"

Jah, juba kaks faili, aga ehk teeb edasise lihtsamakski, st. tava-kasutamise.

(3) Kui on tegemist eriti 'arvutiohtlike' eksperimentide, testimise ja/või brauseri jm. kasutusega, siis on soovitatav kiigata virtuaalmasinate suunal. See eeldab suht võimekat host-arvutit, tõsi. Näiteks tegemistel, mis kirjeldet Detailid on kasutusel VMware nii Windows 10 kui Windows 11 VM'id. Ikka selleks, et olla turvaliselt. Samas, host-arvuti teab-mis võimekas ei ole, paraku.