При задании нового пароля система не просит ввести старый пароль. В такой ситуации возможна подмена пароля при запущенной программе и отсутствии пользователя (админа) на рабочем месте. Предлагаю при задании нового пароля требовать от пользователя ввести старый (текущий) пароль.
Из вкладки Учётные записи правой кнопкой мыши “Задать пароль” по любой учётной записи, либо по кнопке “Задать пароль” из верхнего меню, ввести старый пароль не предлагается.
А как быть когда установленный пароль был забыт/утерян?
Считал что у администратора потому и есть функция изменить пароль любой учетной записи без запроса старого.
1 лайк
Как вариант можно еще раз запрашивать ввод своего пароля (администратора) при смене пароля у другой учетной записи
1 лайк
Компьютер должен блокироваться при отсутствии работника на рабочем месте. Что бы левые люди не лазили.
1 лайк
Согласен с @7in и @Oiy. Это функция администратора, которая должна быть доступна только ответственным пользователям. Помимо смены пароля, администратор может вообще удалить учетную запись, пэтому компьютер с таким доступом не должен оставаться в общем доступе без блокировки.
1 лайк
Человеческий фактор никто не отменял. Должен то он должен, но не всегда может получиться.
А кто помешает удалить или заблокировать учётную запись? А что делать если пароль утерян навсегда? Именно поэтому во всех системах, в том числе и ЛЭРСе, администратор может задать пароль для учётной записи без подтверждения. Это абсолютно никак не улучшит безопасность, только создаст дополнительные сложности.
1 лайк
Для других учётных записей - да, он может задать пароль без подтверждения, но для своей учётки наверное всё-таки необходимо вводить старый пароль, как из формы изменения пароля (что уже реализовано), так и из вкладки учётных записей из контекстного меню. Не вижу здесь никаких сложностей. Ведь для изменения пароля админу всё равно надо залогиниться, или ваша система позволяет изменить пароль без входа в неё?
Я не согласен. Это часть функциональности редактирования пользователей, такой же как создание/удаление, и т.д. Пароль для подверждения таких действий не нужен.
1 лайк
@raven34716 Исключите рутинное использование учётной записи администратора, и используйте её только при необходимости изменения прав доступа/сброса паролей.
1 лайк
Согласен с @anbeluaev : изменение пароля далеко не самое страшное, что можно сделать, имея доступ к ПК с запущенным АРМ оператора с правами администратора системы.
Как минимум это: удаление объектов/точек/оборудования, изменение системных параметров, да что угодно…
На фоне этого попытка защиты от смены пароля не имеет смысла на мой взгляд.
В конце концов пароль администратора(измененный злоумышленником) можно сбросить скриптом
Отходя от рабочего места всегда блокировать ПК через Win+L не такая уж проблема, и обезопасит от многих других проблем, совсем не связанных с ЛЭРС УЧЕТ.
Некоторые продукты ограничивают доступ к административным функциям и просят повторно ввести пароль прежде чем удалить объект, или сделать другое необратимое действие. После ввода пароля в течение нескольких минут подтверждения не требуются. Как вариант, можем продумать такой механизм. Но его стоит вводить не только для установки пароля, а вообще для всех фатальных необратимых действий (удаление объектов, удаление данных, и так далее).
Для фатальных действий можно ввести права суперпользователя, как в линукс.
В этом сообщении я именно об этом и сказал. Такой режим часто называют sudo mode.
В 3.52 в системных параметрах появится флажок “Требовать повторный ввод пароля”. Если он установлен, то повторный ввод потребуется для:
- установки пароля Администратора
- редактирования системных параметров
- удаления точки учёта
- удаления объекта учёта
Пароль запрашивается не чаще чем один раз в три минуты. После правильного ввода, пользователь может выполнять все эти операции без повторного подтверждения.
Обращаю внимание, что этот механизм является дополнительным к существующей системе прав доступа. Пользователь в любом случае не сможет выполнить операцию, которая ему запрещена администратором системы.