» »

Poganjanje Windows brez administratorskih pravic varneje

Ars Technica - Omenjeni napotek je skorajda že stara lajna računalnikarjev, a kaj ko se ga uporabniki ne držijo. Za poganjanje sistema z administratorskimi pravicami ni pametnih razlogov (še zlasti po uvedbi funkcije Run as), saj se tako morebitna nesnaga bolj neovirano razširi po sistemu. Na BeyondTrust so opravili analizo (PDF), ki te nasvete podkrepi s številkami. Ugotovili so, da pri poganjanju sistema brez administratorskih privilegijev izzveni:

  • 90 odstotkov odkritih kritičnih ranljivosti Windows 7
  • 100 odstotkov ranljivosti v Microsoft Office iz leta 2009
  • 94 odstotkov ranljivosti v vseh verzijah IE in 100 odstotkov ranljivosti v Internet Explorerju 8, oboje iz leta 2009
  • 64 odstotkov vseh lani odkritih ranljivosti v Microsoftovih izdelkih.

To pomeni, da si lahko življenje zelo poenostavimo, če ne uporabljamo administratorskih pravic. Z upoštevanjem tega nasveta in rednim krpanjem odkritih lukenj bo naš sistem kolikor je mogoče varen.

Navsezadnje, kdo pri zdravi pameti poganja Linux kot root?

58 komentarjev

strani: « 1 2

techfreak :) ::

Windows je včasih privzeto uporabljal administratorski način, zdaj pa je tega na srečo vedno manj.

Matevžk ::

Navsezadnje ne poznam niti enega uporabniškega programa, ki bi ga bilo na Linuxu potrebno poganjati kot root, medtem ko je večina (vsaj slovenskih) namenskih programov pisana s strani nesposobnih wannabejev. (In, ne, Run As ni rešitev. Tajnik Janez je tajnik Janez in ne hkrati še JanezAdmin. Administrator je pa neka druga oseba, ki mu glede na sposobnosti in delovne pogoje pripadajo druge pravice in dolžnosti.)
lp, Matevžk

bluefish ::

Navsezadnje, kdo pri zdravi pameti poganja Linux kot root?
Zanimivo, da kljub vsemu bav-bavu glede admin računa še nisem imel težav vse tja v čas Win ME.

mr1two ::

Ti mogoče res ne, če se en tolk spoznaš na kaj pazit, kaj met, kaj ne, kod brskat in kod ne, je pa za veliko večino manj računalniško pismenih uporabnikov ZELO priporočljivo, da laufajo v neadministratorskem načinu. To priporočajo tudi na Arnesu, predvsem tistim, ki fašejo kakšno zlo kodo, ki potem razpošilja spam z njihovega naslova- v uporabniškem računu se veliko nevarnostim lahko izognemo.

jlpktnst ::

Točno tako, vse preveč neumnih programov je, ki pišejo naključno po disku in pomnilniku - ter zaradi tega zahtevajo admin pravice.

ABX ::

bluefish je izjavil:

Navsezadnje, kdo pri zdravi pameti poganja Linux kot root?
Zanimivo, da kljub vsemu bav-bavu glede admin računa še nisem imel težav vse tja v čas Win ME.


Niti jaz nimam nobenih težav divjati okoli z katrco brez varnostnega pasa.
Vaša inštalacija je uspešno spodletela!

Tear_DR0P ::

ampak če moram uporabljat administratorski račun, vedno ko dobim po mailu fotografije kakšne gole zvezdnice moram vpisati administratorsko geslo, da jih lahko vidim :D
"Figures don't lie, but liars figure."
Samuel Clemens aka Mark Twain

Good Guy ::

pogruntavščina leta...
http://goo.gl/7ItKpU
Naj računalnik dela za vas^^

hanibal ::

Korisnici su jedini tamni oblak na svijetlom računalnom nebu.
Ali nekaj takega sem, leta nazaj, prebral v nekem ex-Yu časopisu.
In prmejduš, to drži tudi danes.
Kot pribito.
Enostavnost uporabe in dostopnost računalniških virov ima tudi temno plat.
Problem tiči predvsem v neizobraženosti uporabnikov. In ker sta neznanje in igroranca v podobnem razmerju kot rit in srajca, mamo to kar mamo.
Torej, tale nasvet (ne uporabljaj po nepotrebnem administratorskih pravic) je za tiste, ki vedo za kaj gre banalen (in ga pač upoštevajo tudi brez tega priporočila), za tiste druge pa nekaj, kar se lahko komot preskoči.
Argumenta ala "sej to počnem že od win ME" ali "nikoli nisem uporabljal AV in FW programa pa nimam nobenih težav" sta podobna argumentu, da rdečih luči na semaforju ni treba upoštevat, ker že leta prečkam cesto, ko se mi zdi, pa se mi ni nikoli nič zgodilo.
In na koncu, sveta resnica je, da je za razred velikosti več uporabnikov, ki so "prešaltali" iz (neizobraženega) Windows uporabnika na Linux, kot pa narobe.
Jah, svetova sta (najmanj) dva...
Nekateri to delamo na pravi način, nekateri na "native Windows way".
Ker poznam kar nekaj skrbnih, odgovornih in strokovnih Windows uporabnikov se vnaprej opravičujem tistim, ki bi to pisanje imeli za onfenzivno.
Axis of Evil - M$, SCO, RIAA, MPAA

denial ::

Presneto, jaz sploh ne vidim smisla te analize :|. V Vista/Win7 je LUA default, ergo, 90% of vulnerabilities are mitigated by default. To da neka zlonamerna koda "prepriča" uporabnika, da jo požene kot Admin pa spada v kategorijo socialnega inženiringa.
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

ABX ::

denial je izjavil:

Presneto, jaz sploh ne vidim smisla te analize :|. V Vista/Win7 je LUA default, ergo, 90% of vulnerabilities are mitigated by default. To da neka zlonamerna koda "prepriča" uporabnika, da jo požene kot Admin pa spada v kategorijo socialnega inženiringa.


Če ne bi ta LUA skakala gor vsake 5 sekund bi jo kdo še jemal resno.
Vaša inštalacija je uspešno spodletela!

darkolord ::

Kaj pa delaš? 8-O
spamtrap@hokej.si
spamtrap@gettymobile.si

Zgodovina sprememb…

denial ::

Če ne bi ta LUA skakala gor vsake 5 sekund bi jo kdo še jemal resno.

To je UAC. In ti jemlješ LUA koncept neresno sam zaradi tega? Svašta...
SELECT finger FROM hand WHERE id=3;

ABX ::

Ne, se dam samo v kožo nekoga ki dobiva te pop-upe non-stop in jih s časom neha jemati resno.
Vaša inštalacija je uspešno spodletela!

denial ::

Ordinary non-privileged user 99% časa ne potrebuje Admin privs.
SELECT finger FROM hand WHERE id=3;

ABX ::

denial je izjavil:

Ordinary non-privileged user 99% časa ne potrebuje Admin privs.


Enkrat ko je sistem urejen se popolnoma strinjam. Problem je v tem da 99% novih računalnikov je ena velika štala.
Vaša inštalacija je uspešno spodletela!

mkoco ::

kot rečeno, vse je v glavah...
Money will say more in one moment than
the most eloquent lover can in years.

Zmajc ::

In other news: ...voda je mokra!

Zgodovina sprememb…

  • spremenil: Zmajc ()

butl4d ::

Ta novička bolj sodi na 24kur.com kakor semle. Poleg tega pa ne vem čemu v prvotni novički pisec omenja uporabnike *nix sistemov, saj je to primerjanje jabolk in hrušk (da se lepo izrazim).

Zgodovina sprememb…

  • spremenil: butl4d ()

Saša ::

Ja, in do Viste se je še enostavno dalo na vsakem računalniku vpisat runas /user:enbebo "explorer /separate", karkoli uredit in zapret, potem so pa to pametno ukinili. Ker verjetno smo bili tisti, ki smo delali tako, največja grožnja varnosti. :(

boula ::

morda smotano vprasanje... samo ni mi tocno jasno...


IMAM WIN 7

ali to pomeni, da morem potem biti prijavljen pod guest?
ali je v redu če naredim novega uporabnika, ki je izbran kot administrator... vendar ni tisti kako se reče (uradno preinstalirani administrator- ki ima prav taksno uporabnisko ime) ???

hvala

MrStein ::

Za poganjanje sistema z administratorskimi pravicami ni pametnih razlogov

Ne, ni razlogov, je le en razlog : 95% programov ne dela ali ne dela prav brez admin pravic.

(sicer z Visto je malo drugače)

hanibal je izjavil:

Korisnici su jedini tamni oblak na svijetlom računalnom nebu.
Ali nekaj takega sem, leta nazaj, prebral v nekem ex-Yu časopisu.
In prmejduš, to drži tudi danes.
Kot pribito.

Si programer?

Si kdaj slišal proizvajalca avtomobilov trditi, da so za nesreče krivi neumni vozniki?

(veliko voznikov je sicer res direkt neumnih, ampak še vedno noben ne reče, da so krivi nesreč in drugih problemov. Le zakaj?)
Teštiram če delaž - umlaut dela: ä ?

Zgodovina sprememb…

  • spremenil: MrStein ()

darkolord ::

(veliko voznikov je sicer res direkt neumnih, ampak še vedno noben ne reče, da so krivi nesreč in drugih problemov. Le zakaj?)
Ker je to samoumevno.
spamtrap@hokej.si
spamtrap@gettymobile.si

MrStein ::

Aha, samoumevno je reševati probleme tako, da druge imenujemo neumni.
Šur.
Next problem, please!
Teštiram če delaž - umlaut dela: ä ?

darkolord ::

Aha, samoumevno je reševati probleme tako, da druge imenujemo neumni.
A to si uspel deducirati iz tistega?
spamtrap@hokej.si
spamtrap@gettymobile.si

MrStein ::

Zakaj, je še kaj več?
Teštiram če delaž - umlaut dela: ä ?

darkolord ::

Ni več, je pa nekaj drugega, tako da ne vem, kako si lahko iz mojega posta izluščil to.

Nesreč so po veliki večini krivi tisti, ki se ne držijo zakonov; to pa lahko zaradi tega, ker so neumni, prepotentni, nevedni, bolani, ... , ampak še vedno je problem v njih samih. To pa "rešiš" tako, da takšne prevzgojiš, izobraziš, kaznuješ, prestrašiš ali jim onemogočiš, da to počnejo še naprej.
spamtrap@hokej.si
spamtrap@gettymobile.si

boula ::

morda smotano vprasanje... samo ni mi tocno jasno...


IMAM WIN 7

ali to pomeni, da morem potem biti prijavljen pod guest?
ali je v redu če naredim novega uporabnika, ki je izbran kot administrator... vendar ni tisti kako se reče (uradno preinstalirani administrator- ki ima prav taksno uporabnisko ime) ???

darkolord ::

ali to pomeni, da morem potem biti prijavljen pod guest?
Ne.

ali je v redu če naredim novega uporabnika, ki je izbran kot administrator... vendar ni tisti kako se reče (uradno preinstalirani administrator- ki ima prav taksno uporabnisko ime) ???
Tako je privzeto, ja.
spamtrap@hokej.si
spamtrap@gettymobile.si

noraguta ::

kdor ve zakaj ne uporablja admin accounta za user zadevščine je do njega upravičen , sicer ne.
pa je prov useglih za ker os gre.
Če program ne dela , kot bi moral se pa da povečini vse zrihtat za dodatnimi nastavitvami dostopa. ako se ne da, pa jebi ga od nevarnega programa ni pričakovati varnosti.
Pust' ot pobyedy k pobyedye vyedyot!

Ziga Dolhar ::

MrStein je izjavil:

Za poganjanje sistema z administratorskimi pravicami ni pametnih razlogov

Ne, ni razlogov, je le en razlog : 95% programov ne dela ali ne dela prav brez admin pravic.


O lej, spet tale majstr ...
Legal systems are not supposed to be efficient. They are
designed to ensure that innocent people are not found guilty.
If that requires inefficiencies, so be it.

energetik ::

noraguta je izjavil:

kdor ve zakaj ne uporablja admin accounta za user zadevščine je do njega upravičen , sicer ne.
pa je prov useglih za ker os gre.
Če program ne dela , kot bi moral se pa da povečini vse zrihtat za dodatnimi nastavitvami dostopa. ako se ne da, pa jebi ga od nevarnega programa ni pričakovati varnosti.


Od kar se ukvarjam z računalništvom (od Win95 naprej) sem vedno vse delal kot admin. Razen 1x nisem nikoli nič "zlobnega" fasal, pa še tisto sem bil povsem sam kriv, ko sem kliknil na neko priponko.
Torej kaj je tako nevarnega, če ne klikaš ravno po vsem , kar se ti ponudi?

Bor H ::

Večina strahu izvira iz časa sasserja, ko si ga dejansko lahko fasal preden si uspel firewall usposobt in antivirus inštalirat. Torej iz časov ko je net ratal popularen, ljudje in sistemi pa niso sledili. Zdaj pa večinoma samo še čudne priponke strašijo po netu, mogoče tudi kakšna ranljivost v browserjih, ampak tega se komot izogneš z neuporabo IEja in FFja (za katera so napisani exploiti).

noraguta ::

energetik je izjavil:

noraguta je izjavil:

kdor ve zakaj ne uporablja admin accounta za user zadevščine je do njega upravičen , sicer ne.
pa je prov useglih za ker os gre.
Če program ne dela , kot bi moral se pa da povečini vse zrihtat za dodatnimi nastavitvami dostopa. ako se ne da, pa jebi ga od nevarnega programa ni pričakovati varnosti.


Od kar se ukvarjam z računalništvom (od Win95 naprej) sem vedno vse delal kot admin. Razen 1x nisem nikoli nič "zlobnega" fasal, pa še tisto sem bil povsem sam kriv, ko sem kliknil na neko priponko.
Torej kaj je tako nevarnega, če ne klikaš ravno po vsem , kar se ti ponudi?
tedaj niti ne rabiš OSa z ustrezno zaščito. in ja tvoj argument je nekje v rangu , nikoli se mi ni crknil disk torej ne rabim varnostnih kopij.
Pust' ot pobyedy k pobyedye vyedyot!

MrStein ::

Ziga Dolhar je izjavil:

MrStein je izjavil:

Za poganjanje sistema z administratorskimi pravicami ni pametnih razlogov

Ne, ni razlogov, je le en razlog : 95% programov ne dela ali ne dela prav brez admin pravic.


O lej, spet tale majstr ...

O lej, spet trolanje namesto argumentov.

Pa da se ne boš v decimalke obešal: "95%" sem uporabil v smislu "veliko".
Je že en program od 100 dovolj, da te prisili v admin login.

Dodatek: Programe pa imam na PC-ju, ker jih potrebujem, ne pa ker sem nekakšen zbiratelj.
Teštiram če delaž - umlaut dela: ä ?

Zgodovina sprememb…

  • spremenil: MrStein ()

fosil ::

Varneje je seksati s kondomom.
Varneje je voziti po prometnih predpisih.
Varneje je jesti nemastno hrano.
...

In zakaj bi ravno na računalniku moral upoštevati tisto kar je varneje?
Tako je!

darkolord ::

boula: prosim, če nehaš smetit. Hvala.
spamtrap@hokej.si
spamtrap@gettymobile.si

boula ::

se opravičujem...ampak na zadnje ko sm dal komentar...sem mislil da ni poslalo dobro.


ampak se vedno mi ni točno jasna razlika med uporabnikom administrator in recimo administrator z upor.imenom BOULA. oba imata admin. pravice..

kje je razlika? da bi bilo varneje?

Ziga Dolhar ::

Kdo pa pravi, da bi bilo?
Legal systems are not supposed to be efficient. They are
designed to ensure that innocent people are not found guilty.
If that requires inefficiencies, so be it.

Bor H ::

varneje je v tolk, da če ne ve napadalec kakšno je uporabniško ime administratorja bo probal admin, administrator, root...

boula ::

ufa.... se vedno ne vem... kaj zdaj se svetuje... kaj da naredim z userjem da bo bol varno vseskp... se prijavim kot kaj?

Peshkeer ::

Najbolj varno je, da si ustvariš particijo samo za Windowse. Ostalo si pa nalagaš drugam. Predvsem je pa najvarneje uporabljanje možganov, pri raznih "čudnih" downloadih.

Bor H ::

boula: za vsakodnevno opravilo uporabljal account, ki nima admin privilegijev, admin userju pa ne dat ime "admin" ali "administrator", torej magar "boula", če ker program zahteva višje privilegije daš run as...

če pa se ti s tem ne da ubadat (kar verjamem da se ti ne da) pa preprosto uporabljaj admin account + možgane in firewall, če maš legalne winse ti je pa najlažje še microsoft security essentials, pa seveda, administratorskemu accountu ne dat ime administrator

imagodei ::

Dobra poanta je, da morajo biti VSI uporabniški programi pisani tako, da uporabniku ni treba vedeti za Run As. Dokler temu ni tako, se administratorji vsaj občasno znajdemo v nepotrebnem zosu. Primer: v podjetju imamo nekaj uporabnikov Autodesk Inventorja - program ne deluje, če uporabnik nima Admin pravic. Dalje: imamo kar nekaj programerjev in njihovi IDE-ji ne delujejo, če niso prijavljeni kod admini.

Kaj zdaj narest? Sicer, glede na to, da gre za programerje, ki vedo, kaj delajo, ni pretiranega strahu, da bi si "formatirali" PC. Ampak, zgodi se tudi najboljšim, varnostna politika in common-sense pa zahtevata uporabo plain-user pravic. Gre tudi za probleme nameščanja programske opreme, pa jasno Malware, ki na PC pride tudi nepovabljen. Ampak, če programerju ukinem admin rights, me pride ali zadavit, ali pa vstane in gre domov ter direktorju pove, naj ga pokliče, ko mu bo računalnik deloval. ;)
- Hoc est qui sumus -

noraguta ::

v podjetju imamo nekaj uporabnikov Autodesk Inventorja - program ne deluje, če uporabnik nima Admin pravic.


kar je seveda navadna laž
Pust' ot pobyedy k pobyedye vyedyot!

imagodei ::

> "kar je seveda navadna laž "

Pravi noraguta, Autodeskovo trobilo. ;) Ali pa boš copy-pastal postopek instalacije, ki ne zahteva admin pravic za delovanje?
- Hoc est qui sumus -

gokky ::

Win na začetku ni imel uveljavljene neke delitve na smrtnike in bogove. Predpostavljalo se je, da so avtomatsko vsi bogovi. Posledično se tudi razvijalci niso ozirali na to in še vedno se najde kak program, ki o delu v smrtniškem modu pač nima pojma.

Včasih si da pomagati z nečim vmes. Na Pro/Business različicah je še t.i. Power User. Za nekatere programe tudi zadošča navadni uporabnik, pod pogojem, da se v določenih mapah dovoli pravica branja in (po potrebi) pisanja. Še vedno bolje kot admin pravice.

RunAs se izogibam, ker je precej programov, ki vsebine prikazujejo s pomočjo renderiranja HTML preko (vgrajenega) engina iz IE.

noraguta ::

http://usa.autodesk.com/adsk/servlet/ps...

sem imel sam podobne probleme z autodeskovimi zadevami , pa sem celo cgs plateio spravil do delovanja pod user accountom. je pa res , da stvar še zdaleč ni trivialna.
Pust' ot pobyedy k pobyedye vyedyot!

imagodei ::

No, lepo, da so v novejših verzijah približno popravili to. Mi imamo eno starejšo verzijo; poleg tega pa je omenjen link še vedno polrešitev, ne pa celostna rešitev. Kot piše linku, Inventor še vedno "petlja" po HKEY_LOCALE_MACHINE in HKEY_CLASSES_ROOT, zaradi česar običajni uporabnik ne more nastavljati nekaterih startup nastavitev, ipd... Navodila še vedno predvidevajo, da v takem primeru zaženemo Inventor z RunAs opcijo.

Ravno to pa je tudi tisti problem: navadni uporabnik nima kaj poznati Admin passworda na računalniku. In v kolikor gre za eno User aplikacijo, katere namen je izključno prinašat podjetju denar, potem ne vidim nobene pameti v tem, da neke začetne konfiguracije navadnemu userju onemogočiš. Moram reči, da se na Autodesk aplikacije spoznam toliko kot na delo vizažistke ali kozmetičarke, medtem ko uporabnik točno ve, kakšne plugine in nastavitve rabi vsakokrat sproti, ko Inventor odpre. To, da za takšne strokovne nastavitve rabi admin pravice, je fail da glava peče.

Približno tako, kot da bi računovodkinja rabila Admin pravice, ko hoče plačati vhodni davek. Fak - če je računovodkinja, pa če ji direktor zaupa finance, kaj potem jaz rabim tja hodit vtipkavat admin password, da lahko ona opravlja svoje delo?
- Hoc est qui sumus -
strani: « 1 2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Najbolj luknjičav Apple

Oddelek: Novice / Apple iPhone/iPad/iPod
355129 (2843) MrStein
»

Poganjanje Windows brez administratorskih pravic varneje (strani: 1 2 )

Oddelek: Novice / Operacijski sistemi
586734 (4598) noraguta
»

Nova (stara) ranljivost v Linux in OpenBSD

Oddelek: Novice / Varnost
222665 (1197) LightBit
»

Še ena ranljivost v Linux jedru

Oddelek: Novice / Varnost
282500 (1441) fiction
»

Kritična napaka v Ubuntu 5.10 Breezy (strani: 1 2 3 )

Oddelek: Novice / Varnost
1177607 (4897) 64202

Več podobnih tem