Несколько недавно Beyondtrust.com опубликовал отчет, в котором, среди других весьма убедительных вещей, утверждалось, что «90% критических уязвимостей Microsoft Windows 7 устраняются за счет лишения прав администратора».
Другие интересные «факты», которые они предоставляют, говорят о том, что они также смягчаются, если НЕ работать в качестве локального администратора:
НО, читая первую страницу отчета или около того, я увидел эту строку:
Уязвимость считается уменьшенной путем удаления прав администратора, если следующее предложение находится в разделе «Факторы, снижающие опасность» Бюллетеня по безопасности: ―Пользователи, чьи учетные записи настроены на меньшее количество прав в системе, могут быть меньше затронуты, чем пользователи, которые работают с правами администратора.
может быть для меня это звучит довольно слабо, и я подумал, насколько все это действительно так. Я НЕ пытаюсь сказать, что работать без прав администратора небезопасно, я думаю, это хорошо известно. Мне просто интересно, можно ли использовать эту статистику в качестве боеприпасов в споре или использовать для продажи такого изменения (удаление пользователей в качестве местных администраторов) бизнес-стороне? Мысли?
[должно ли это быть вики сообщества?]
Да, конечно, это защитит вашу систему (окна, офис и т. Д.). Потому что обычные пользователи не имеют прав на редактирование окон и папок с программными файлами (в которых хранятся целевые файлы для вирусов и эксплойтов). Все, что в этом случае могут делать вирусы и эксплойты - заразить профиль пользователя, который можно просто исправить под учетной записью администратора, просто удалив профиль пользователя или с помощью простого антивирусного сканера.
Да и нет, если вы столкнулись с целенаправленной атакой. Даже по собственному признанию Microsoft, локально используемые недостатки повышения привилегий до смешного легко найти и они публикуются на полурегулярной основе. Более того. BEP (пакеты эксплуатации браузера, такие как mPack, Silence, Eleonore) включают в свои пакеты такие вещи, как эксплойт обработчика #GPtrap, поскольку администраторы становятся более сообразительными.
Отказ в доступе администратора к пользователю - это хорошо, но далеко, далеко от полного решения.
Без прав администратора у вас нет доступа к:
Таким образом, очень сложно скомпрометировать Windows без доступа к вышеуказанному.
Как говорит @Dimitry, будучи ограниченными пользователями, все, что вы можете испортить, - это ваш собственный профиль ... Теоретически ...
Я предлагаю вам взглянуть на Нормально ли предоставлять администраторам доступ к ПК их компании? для аналогичного обсуждения.