Ha nem lenne mindenki admin...

2009. február 06. 11:58 - Csizmazia Darab István [Rambo]

Egy friss tanulmány szerint a 2008-as esztendőben történt Microsoftos sebezhetőségek döntő hányada megelőzhető, vagy hatása csökkenthető lett volna, ha a felhasználók többsége nem állandóan adminisztrátori jososultságokkal használná a Windowsos számítógépét.

A BeyondTrust elemzése arra hívja fel a figyelmet, hogy a kritikus sebezhetőségek kihasználása miatti biztonsági incidensek körülbelül 92 százaléka lenne megelőzhető, ha a felhasználók nem root joggal használnák állandóan a gépüket. A böngészés közben begyűjtött kártékony kódok az ilyen gépeken admin joggal tudnak garázdálkodni, és ezzel jelentős biztonsági kockázatot okoznak. Egy Linux vagy OS X rendszeren nincs ilyen jellegű "véletlen" kódfuttatás, kéretlen telepítés, hiszen ott üzemszerűen sosem rootként használjuk a gépet, hanem csak bizonyos, kulcsfontosságú műveletek alkalmával - például telepítés - hajtunk végre parancsokat adminisztrátorként.

Sajnos az XP alatt csak kevesen élnek ezzel a lehetőséggel, vagy használják az olyan ötletes megoldásokat, mint például a DropMyRigths, amely egy adott alkalmazás elindítása után eldobja a különleges admin jogot, és a továbbiakban jóval veszélytelenebbül, felhasználói szinten futtathatjuk a programot. A támadások jelentős része alapoz arra, hogy a hozzáférnek a megtámadott géphez, a Windows rendszerfájljaihoz. Emiatt tehát minden, internet eléréssel rendelkező alkalmazásunknál (levelező, böngésző, chat, Voip, stb.) érdemes lenne használni valamilyen jellegű jogosultságbeli korlátozást. Nyilvánvalóan ennek elemzésnek az is az egyik célja, hogy jobban felhívja a figyelmet a tanulmányt készítő cég saját, jogosultságkezelést végző, Privilage Manager szoftverére.

Persze elviekben mindez szép és jó, de a dolognak két oldala van. A probléma megfelelő megoldásához az is szükséges lenne, hogy a Windows programozók ne olyan programokat írjanak, ami csak és kizárólag adminisztrátori jogosultságokkal futtatható.

21 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr68925964

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Droli · https://soundcloud.com/drolimusic 2009.02.06. 13:46:01

Az utolsó mondatot nagyon aláhúznám. A szolgáltatóm által adott betárcsázós programot pl. nem lehet userként használni, így kénytelen vagyok admin módban netezni, s reménykedni, hogy semmit nem szedek össze. Eddig szerencsére nem volt gond.

Kreta 2009.02.06. 13:54:19

Az én HP!!! scanerem sem hajlandó halandóként scanelni.

Rob67 2009.02.06. 14:02:46

Én sem vagyok hajlandó Userként dolgozni :)

Yeto 2009.02.06. 14:06:09

És akkor nem is említettük, hogy az America's Army se feltelepülni, se futni nem hajlandó ha nem adminisztrátorként futtatja az embör...

Hurrá Torpedó · http://www.youtube.com/watch?v=br-D7UneS0E 2009.02.06. 14:44:39

admin módban használom a wint otthon. utálnám ha ezért azért át kellene lépnem óránként admin userre. sosem fosok hogy bekapok vírust, vagy spyt. van egy jó routerem, megfelelően van konfigurálva, emellett a gépeim is rendelkeznek tűzfallal, és vírusírtóval is. no para.

a melóhelyen szigorúan userként futok. itt az adatok miatt sokkal nagyobb a fegyelem ilyen tekintetben. utálom is a sok szaros programot hogy úgy kell szarozni hogy fussanak userként. millió egy ilyen van a könyvelő, banki progi, de még a szaros szkenner is kiakad ha nem admin vagy alapból. ilyen szempontból csillagos 5-ös a nero burn rights. nyilván a többi programnál is megoldottuk a futást userként, csak nem mindegyiknél egyszerű.

Hurrá Torpedó · http://www.youtube.com/watch?v=br-D7UneS0E 2009.02.06. 14:48:53

mivel látom HP szkenner nem hajlandó működni leírom a teljesség kedvéért, hogy itt nálonk a CANON nem ment alapból. legalábbis a gyors funkciógombok a szkenneren de megoldottuk, és a legnagyobb analfabéták is 1 perc alatt tudnak szkennelni.

debilgyik (törölt) 2009.02.06. 14:56:35

a franc, tiszta linux ez a windows :-) ha "normálisan" akarod használni, akkor ügyeskedni kell :-)

nálam vista sp1 van, canon multifunkciós simán megy - igaz, vista telepítés után mindig első dolgom az UAC kikapcsolása :-p

WonderCsabo 2009.02.06. 14:59:51

Azért a cikkben hozzátehetted volna, hogy a Vistában és a 7-ben sem adminisztrátori joggal garázdálkodik az ember...

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2009.02.06. 15:15:40

@WonderCSabo:
Igen, ez igaz és a Windows Server 2008-ban is így van.

artifex · http://www.amywinehouse.co.uk/ 2009.02.06. 15:40:35

Kedves Microsoft, a DropMyRights helyett talán inkább telepítéskor nem egy Admin jogosultságú embert kellene létrehoznia a rendszernek, hanem egy Admin-t és egy Felhasználót, utána a Felhasználóval használni. Mert az emberek 99.9%-a nem fog létrehozni magának egy Felhasználót, hogy a szar programok miatt (cikkben utolsó mondat ugye) folyamatosan váltogasson usert. Lehet a Vista már máshogy működik, nem használom, de az emberek döntő része még XP-t használ.

viks 2009.02.06. 15:41:52

Érdekes, hogy a hőn utált Vista sohasem került a pozitiv példák közé - ez kicsit olyan mint a számitástechnika HirTVje,D

Az ördög oprendszere az a Vista(UAC) - az ördögé uraim - és monnyon le!

PTibor (törölt) 2009.02.06. 15:43:43

Nem, nem kellene minden alkalommal kilépni, belépni, erre van a "run as administrator". Mondjuk a Vista már megpróbálta behozni ezt, csak ők átestek a ló túloldalára, mert kb a monitor felbontását sem tudtad megváltoztatni. otthon osx-en teljesen jó, hogy komolyabb rendszerbuzergálás előtt elkéri a jelszavamat. szóval nem is root (vagy hogy hívják osx alatt) userrel kell belépni, hanem a saját neveddel sudo-zol

zsoci 2009.02.06. 16:00:47

@artifex: Az lehet hogy az emberek töbsége xp-t használ, de meg is érdemlik. Lassú ,insatbil, elavult. Nekem a Vista hibátlanul fut már kb1,5-2 éve. Csak csinálják a cirkuszt mindenfele egy csomó ember meg fosik a Vistától, ok nélkül.

Bambano 2009.02.06. 16:14:00

@Droli: mi akadályoz meg téged abban, hogy a betárcsázás után másik userként futtasd az explorert?

Egyébként az én felméréseim szerint az ms hibák 100%-a megelőzhető lenne, ha nem használna senki ms szoftvert...

mnmnbkhj 2009.02.06. 16:17:39

Ugye, a suliban nincs ilyen baj, mert ott semmit nem lehet futattani :D

sid2008 2009.02.06. 16:26:10

@zsoci: Akkor biztos a microsoftnál is hülyék dolgoznak mert ők sincsenek elájulva töle,nem beszélve azoktról a független szakértökröl akik lehúzzák az értékeléseken és a baráti társaásgombrol akik szintén szidják.Nem baj te értesz hozzá az a lényeg

Füstkarikagyáros 2009.02.06. 16:58:32

@zsoci: az én xp-m nem lassú, nem instabil, nem csicsás, egyik gépen sem. Akkor én is megérdemlem?

zsoci 2009.02.06. 21:44:22

@Füstkarikagyáros: Meg. Nekm se volt insatbil, csak épp minden sp után lasult egy kicsit és furcsa dolgokat csinálni. Az sp2 után már borzalom lett.
@sid2008: Az hogy ez is mondja az is mondja én is olvasom, csak azt nem írja senki sehol, hogy pontosan mi is a gond vele.

r@ek (törölt) 2009.02.08. 09:58:49

@zsoci: Van egy mondas:

"A szamitogep nem kivansagaink, hanem parancsaink szerint mukodik"

Optimalizalni kell es nem fog se fagyni, se furcsa dolgokat csinalni.

4 eve fut csont nelkul az xp-m, pedig ezen aztan minden szar volt mar :-D

artifex · http://www.amywinehouse.co.uk/ 2009.02.13. 13:10:07

@zsoci: 2004-ben telepítettem az XP-met, előtte 98SE volt a gépem, azóta már nem egy program fordult meg rajta, változott is pár hardver alatta és stabil, semmi baja. Ennyit az instabilitásról.

Ha feltenném a Vistát, akkor tehetnék bele több memóriát, jobb videókártyát, hogy elérjem ugyanazt a sebességet, amit most tud. Ez tényleg nagy előnye. Már ha hardver kereskedésed van persze. Ezt átnéztem és nem láttam semmi olyan kiugró különbséget, amitől egyből Vistára váltanék:

www.tomshardware.com/reviews/xp-vs-vista,1531.html

Ennyit a sebességről.

Miért elavult? Mert a programok 99.9% megy rajta? DX10-re szarok, azt nálam ne hozd fel mellette, nem csak játékra használjál az emberek a gépet. Ennyit az elavultságról.

Leírásod alapján gondolom te vagy az a felhasználó, aki az átlátszó (lehetőleg állíthatóan!) ablakokra élvez és az összes programján valami csicsás skin van, mert attól döglik a paraszt. Ha így van, valóban a rendszered csak Vista lehet.

Nem hiszem, hogy az emberek fosnak a Vistától, egyszerűen semmi olyan mértékű előnyt nem ad, amiért érdemes átállni rá. Számomra jelenleg biztos nem. Ha majd minden jó cucc Vista alatt fut kizárólag, akkor biztos átállok rá. De ez még messze van, úgy érzem.