Назад | Перейти на главную страницу

Действительно ли удаление прав администратора снижает до 90% критических уязвимостей Windows 7, обнаруженных на сегодняшний день? как сообщаетyondtrust.com

Несколько недавно Beyondtrust.com опубликовал отчет, в котором, среди других весьма убедительных вещей, утверждалось, что «90% критических уязвимостей Microsoft Windows 7 устраняются за счет лишения прав администратора».

Другие интересные «факты», которые они предоставляют, говорят о том, что они также смягчаются, если НЕ работать в качестве локального администратора:

НО, читая первую страницу отчета или около того, я увидел эту строку:

Уязвимость считается уменьшенной путем удаления прав администратора, если следующее предложение находится в разделе «Факторы, снижающие опасность» Бюллетеня по безопасности: ―Пользователи, чьи учетные записи настроены на меньшее количество прав в системе, могут быть меньше затронуты, чем пользователи, которые работают с правами администратора.

может быть для меня это звучит довольно слабо, и я подумал, насколько все это действительно так. Я НЕ пытаюсь сказать, что работать без прав администратора небезопасно, я думаю, это хорошо известно. Мне просто интересно, можно ли использовать эту статистику в качестве боеприпасов в споре или использовать для продажи такого изменения (удаление пользователей в качестве местных администраторов) бизнес-стороне? Мысли?

Ссылка на отчет (pdf)

[должно ли это быть вики сообщества?]

Да, конечно, это защитит вашу систему (окна, офис и т. Д.). Потому что обычные пользователи не имеют прав на редактирование окон и папок с программными файлами (в которых хранятся целевые файлы для вирусов и эксплойтов). Все, что в этом случае могут делать вирусы и эксплойты - заразить профиль пользователя, который можно просто исправить под учетной записью администратора, просто удалив профиль пользователя или с помощью простого антивирусного сканера.

Да и нет, если вы столкнулись с целенаправленной атакой. Даже по собственному признанию Microsoft, локально используемые недостатки повышения привилегий до смешного легко найти и они публикуются на полурегулярной основе. Более того. BEP (пакеты эксплуатации браузера, такие как mPack, Silence, Eleonore) включают в свои пакеты такие вещи, как эксплойт обработчика #GPtrap, поскольку администраторы становятся более сообразительными.

Отказ в доступе администратора к пользователю - это хорошо, но далеко, далеко от полного решения.

Без прав администратора у вас нет доступа к:

  • Программные файлы
  • Каталог Windows
  • Основной реестр
  • Профили других пользователей
  • Автозапуск (только ваш собственный вход)
  • Создать сервисы

Таким образом, очень сложно скомпрометировать Windows без доступа к вышеуказанному.

Как говорит @Dimitry, будучи ограниченными пользователями, все, что вы можете испортить, - это ваш собственный профиль ... Теоретически ...

Я предлагаю вам взглянуть на Нормально ли предоставлять администраторам доступ к ПК их компании? для аналогичного обсуждения.