Ušetřete

Hlavní navigace

Dvě třetiny zranitelností Windows odstraní odebrání administrátorských práv

Jako uživatelé unixových systému dobře víme, že je nebezpečné spouštět běžné aplikace pod privilegovanými účty. Skutečný dopad takového chování teď ale ukázala společnost BeyondTrust, která vydala rozsáhlou analýzu [PDF], která ukazuje, že 64 % bezpečnostních problémů ve Windows je možné odstranit jednoduše tím, že příslušné služby nespouštíte s právy administrátora. Bohužel první uživatel automaticky zakládaný ve Windows, má nejvyšší práva. Mnoho uživatelů proto provozuje celý systém i aplikace právě pod ním.

Zpráva ukazuje, jak moc je takový postup nebezpečný. V roce 2009 Microsoft zveřejnil informace o 190 bezpečnos­tních chybách ve Windows a Office a podle zprávy BeyondTrust není možné 121 z nich vůbec zneužít, pokud nejsou přidělena administrátorská práva. Další čísla jsou také zajímavá: v Office bylo celkem nahlášeno 55 bezpečnostních chyb a všechny je možné odstranit prostým odebráním práv; 94 % chyb z Internet Exploreru je možné zablokovat stejným postupem a v samotném systému Windows je takto možné „znehodnotit“ 53 % chyb.

Předchozí zprávička Následující zprávička        
e.
e. (neregistrovaný) ---.net.upc.cz
31. 3. 2010 19:48 Nový

bohuzel

celé vlákno

zkusenosti z praxe dokazuji, ze dve tretiny programu pro windows nelze provozovat bez Admin prav…
e.

dan
dan (neregistrovaný) ---.plzenec.net
31. 3. 2010 21:28 Nový

Re: bohuzel

celé vlákno

nemělo být že je nelze instalovat bez admin oprávnění ? ale to je jen a jen zprávně …
Popravdě je docela honička pro laika přidat čistě účet uživatele.

Petr Mejzlík aura:57

Re: bohuzel

celé vlákno

Co je dobrého na tom, že program nejde nainstalovat bez admin. oprávnění? Spustit kód se dá jakýkoliv. Pokud program nepotřebuje ke svému fungování nic měnit v systému a vystačí si s účtem jednoho uživatele (tj. skoro všechny běžné programy), měl by jít nainstalovat i běžnému uživateli.

Ve Windows opravdu je někdy problém nejen program nainstalovat, ale i jenom používat bez admin. oprávnění. Je to částečně dědictví z doby, kdy nic jako oprávnění neexistovalo (95/98/Me), částečně ignorantství (prostě programátory nenapadne, že se to bude používat bez admin. práv). Menší problém je i s minGW (je potřeba ručně doplnit systémový %PATH%) – a to je přitom překladač původně z unixového světa. Prostě se u Windows na takové věci často kašle.

treebeard
treebeard (neregistrovaný) 193.87.86.---
1. 4. 2010 9:38 Nový

Re: bohuzel

celé vlákno

nainštalovať program bez administrátorských práv samozrejme aj ide. Akurát musí inštalačný program umožňovať zmeniť cestu (čo sa väčšinou dá) a užívateľ musí túto možnosť chápať – inštalačné programy, ktoré zmenia cestu automaticky ak zistia, že užívateľ nemá potrebné práva, nie sú celkom bežné.
Na druhej strane, ako píše BLEK, aj spustenie kódu s právami užívateľa môže byť rovnako nebezpečné. O „deštrukciu systému“ dnes už nikomu nejde.

Kit
Kit (neregistrovaný) ---.sspbrno.cz
6. 4. 2010 12:50 Nový

Re: bohuzel

celé vlákno

Nainstalovat třeba Firefox do userspace jde, ale už do něj nejde nainstalovat Flashplayer, bez kterého jsou některé weby nepoužitelné.

Nebo to jde?

VViki
VViki (neregistrovaný) ---.bsc-ideas.com
1. 4. 2010 9:45 Nový

Re: bohuzel

celé vlákno

Naopak, zkušenosti ukazují, že pod Windows se dá zcela normálně pracovat bez admin práv. Pracuju jako user už asi 6 let (začal jsem ještě ve Windows 2000, tam se ovšem user musel ještě podstatně dodatečně omezit) a není to vůbec problém (a to jsem vývojář).

Ano, některé věci to trošku komplikuje (především s ohledem na vývoj aplikací), některé aplikace jsem prostě zahodil, ale jde to poměrně dobře. Všichni členové rodiny tak fungují, privilegovaný účet používáme pouze pro instalace a nutná systémová nastavení.

VViki

maglajs
maglajs (neregistrovaný) ---.vodafone.cz
4. 4. 2010 23:55 Nový

Re: bohuzel

celé vlákno

ale kdeze, vse jde kdyz se chce, ale to chce obcas skripe…
Tohle je jedna z velky bolesti win useru, nepracuji jako „Bezny Franta Uzivatel“ ale jako admini… a pak se divi…

PF
PF (neregistrovaný) ---.net.upc.cz
7. 4. 2010 18:38 Nový

Re: bohuzel

celé vlákno

A to zas kecáš, u problémových programů většinou stačí, když si Power User. A rozhodně takových programů není tolik, a situace se postupně zlepšuje. V roce 2005 jsem měl problémy i s tak široce oblíbeným programem, jako je Winamp, když jsem se snažil pracovat jako User, i když jsem nastavoval práva pro adresáře i klíče v registrech, tak jsem nemohl rozjet Library. Později to opravili. Většina problémových programů se dá upravit nastavením práv složek a klíčů v registrech. Nejhorší je ale ta stupidní politika MS že NT jsou nejsou multiuser systém, já sám jsem doma začínal na Linuxu, až někdy v roce 2002 jsem si koupil Windows XP, a dost jsem se divil, že mi systém dovolí vrtat do všeho, když jsem přeci při instalaci zadával heslo admina. Pak jsem přišel na to, že mě instalátor přidělil do skupiny Administrators, to mě docela zhnusilo, ale až tak o nic nešlo, byl jsem tehdy ofline. Později jsem se zase naučil přidělovat práva pomocí Bash ze Services For Unix, a divil se, že jsem nikde na nastavování práv nenarazil. Až později jsem zjistil, že to souvisí s volbou „Zjednodušení zdílení ..“ No hnus, jsou to hovada, chlapci z MS výchozím nastavením zkurví celkem použitelný OS. Prostě z toho udělali něco jako Windows 98, akorát to bylo stabilní.

M
M (neregistrovaný) ---.karneval.cz
31. 3. 2010 20:04 Nový

Naštěstí ...

celé vlákno

… vám tady na Rootu může být srdečně jedno, co a jak spouštíme. Je zajímavé, že třeba na Živě.cz je jakékoliv Windows téma okamžitě obsazeno a zabito sprostými a útočnými tučňákology.

Sleep_Walker
Sleep_Walker (neregistrovaný) 193.179.96.---
31. 3. 2010 20:15 Nový

Re: Naštěstí ...

celé vlákno

a tos jeste nepotkal ozbrojenou militantni sekci

afk_cz
afk_cz (neregistrovaný) 88.208.99.---
31. 3. 2010 20:17 Nový

Re: Naštěstí ...

celé vlákno

a proto jsi sem prisel nam rict tvuj nezajimavy nazor, vid ;)

Sleep_Walker
Sleep_Walker (neregistrovaný) 193.179.96.---
31. 3. 2010 20:25 Nový

Re: Naštěstí ...

celé vlákno

ne, sdelovani mych nezajimavych nazoru spada do jinych planu ovladnuti sveta.

Petr Mejzlík aura:57

Dvě třetiny zranitelností Windows odstraní odebrání administrátorských práv

celé vlákno

Tak to je dobrá zpráva. Windows 7 už je na provoz pod neadministrátorským účtem zařízený celkem dobře.

Petr Mejzlík aura:57

Re: Dvě třetiny zranitelností Windows odstraní odebrání administrátorských práv

celé vlákno

Akorát slovo „odstraní“ je trochu moc optimistické. V dokumentu se píše „mitigate“ a to neznamená „odstranit“, ale „zmírnit“. A to je docela rozdíl. Pokud se mi může spustit nějaký kód s omezenými právy, tak je nebezpečí řekněme „menší“ (nemůže změnit systém mimo můj uživatelský účet), ale nebezpečí to pořád je.

Sten
Sten (neregistrovaný) ---.219.broadband11.iol.cz
31. 3. 2010 23:29 Nový

Re: Dvě třetiny zranitelností Windows odstraní odebrání administrátorských práv

celé vlákno

Windows jsou pro to zařízené přinejmenším už od NT 4.0. Internet Explorer ve Windows 7 je jedna z prvních aplikací, která tohle opravdu využívá. Kde se mohla stát chyba?

Petr Mejzlík aura:57

Re: Dvě třetiny zranitelností Windows odstraní odebrání administrátorských práv

celé vlákno

Ještě XP se docela blbě používají pod neadminským účtem. Bez práv admina se tam ani nepodívám na datum, nedostanu se žádným normálním způsobem do adminských ovládacích panelů. Musím se teda přehlašovat a spravuje se to docela blbě. Ve Windows 7 už jsou ovládací panely vyřešeny inteligentně, existuje něco jako policykit, co si vyžádá heslo, když je potřeba – dost se to podobá Linuxu. Windows 7 má tohle zabudované i do správce souborů, takže není problém nakopírovat nějaký systémový soubor ap.., v Linuxu tohle v obyčejném GNOME není (a tam, kde to je, se to řeší spuštěním celého programu jako root – není to tak čisté řešení).

anonym
anonym (neregistrovaný) 94.199.40.---
1. 4. 2010 8:15 Nový

Re: Dvě třetiny zranitelností Windows odstraní odebrání administrátorských práv

celé vlákno

Winxp se dá s běžnými kancelářskými programy používat naprosto bezsproblémově pod uživatelským účtem. Pro správu počítače stačí spustit stačí na požadovanou položku v ovládacích panelech klinout s shift a dát Run as…

prudic
prudic (neregistrovaný) ---.csdata.cz
1. 4. 2010 14:39 Nový

Re: Dvě třetiny zranitelností Windows odstraní odebrání administrátorských práv

celé vlákno

zkousel jsem to na polozce „sitova pripojeni“ a otevrelo se mi okno exploreru, ale porad mne to vyfakovalo ze nemam patricna opravneni… Kde je chyba?

lord_kuko
lord_kuko (neregistrovaný) ---.antik.sk
5. 4. 2010 12:18 Nový

Re: Dvě třetiny zranitelností Windows odstraní odebrání administrátorských práv

celé vlákno

co tak runas /user:administrator mmc ?

treebeard
treebeard (neregistrovaný) 193.87.86.---
1. 4. 2010 8:34 Nový

Re: Dvě třetiny zranitelností Windows odstraní odebrání administrátorských práv

celé vlákno

Je to tu samý odborník :-)))

ja používam Windows pod neadminským účtom už od čias W2000 a nemám s tým nijaký zásadnejší problém. Je to otravné pre ľudí, ktorí často inštalujú a odinštalúvajú programy, ale z toho normálny človek vyrastie. Nainštalovať program síce zväčša šlo spustením inštalačky pomocou kontextovej voľby „run as“, boli však prípady, keď sa to takto nedalo. Aktualizácie väčšinou fungujú aj bez administrátorských práv. Odinštalovať sa dalo len z účtu správcu. Čiže áno, pre človeka,ktorý to robil denne, to bolo otravné. Ale kto, s výnimkou profesionálnych testerov, takéto niečo naozaj robí? Normálne „spravujem“ raz za dlhý čas, tu v práci mám XP a do adminského účtu zavítam raz za 2–3 mesiace.
Aplikácie (tie „normálne“ a významné) bežia bez administrátorských práv v pohode, problém Total Commandera s umiestnením ini súboru do adresára Windows sa dal riešiť viacerými spôsobmi. Vista to už vyrieši sama bez toho, aby užívateľ o tom vôbec vedel.

PS: na dátum sa určite pozriem aj bez admistrátorských práv, dokonca ho aj zmením. Môžem rovnako napísať, že Linux sa bez administrátorských práv nedá ani vypnúť. Tvrdíte, že dá? :-)

Fantomas
Fantomas (neregistrovaný) 213.155.225.---
1. 4. 2010 9:37 Nový

Re: Dvě třetiny zranitelností Windows odstraní odebrání administrátorských práv

celé vlákno

Myslis kdo denne instaluje a odinstalovava nejake aplikace? Kazdy, kdo rad stahuje a zkousi ty bezva utilitky o kterych si cte na it serverech zamerenych na win a ze jich b­ohuzel neni ma­lo. Tem nevysvetlis, ze je dobre mit jeden ucet usersky a druhy adminsky, prepinani je totiz pracne. UAC je pro tyhle uzivatele velice prinosne, bohuzel spousta uzivatelu jej vypne a nastavi si ucet na adminsky. Co se tyce chodu aplikaci, bohuzel i samotny microsoft vyzaduje v urcitych pripadech adminska prava pro spravny chod svych vlastnich a­plikaci ve svem v­lastnim os ;-) Je to ovsem zpu­sobeno vychovou­ vlastnich uzi­vatelu a dobre mi­crosoftu tak. A bas­ta.

treebeard
treebeard (neregistrovaný) 193.87.86.---
1. 4. 2010 9:50 Nový

Re: Dvě třetiny zranitelností Windows odstraní odebrání administrátorských práv

celé vlákno

áno, viem, že ich je dosť. Ale aplikáciu Microsoftu, ktorá by si vyžadovala adminstrátorské práva, tú fakt nepoznám.

Pokiaľ ide o tú výchovu – v Linuxe zas existujú iné nešváry, Typická linuxová LAMA má vždy otvorené aspoň tri terminály s plnými právami, pokiaľ používa SUDO, tak heslo zadá kedykoľvek a bez premýšľania,… A bez problému spúšťa napríklad FF s plnými právami len preto, lebo napísať do terminálu firefox je ďaleko viac cool, ako kliknúť na ikonu a to, že ten terminál má plné práva, už dávno zabudol.
Pred blbosťou človeka tak ľahko neochráni nič.

Flasi
Flasi (neregistrovaný) ---.hq.iol.cz
1. 4. 2010 11:27 Nový

Re: Dvě třetiny zranitelností Windows odstraní odebrání administrátorských práv

celé vlákno

Ale aplikáciu Microsoftu, ktorá by si vyžadovala adminstrátorské práva, tú fakt nepoznám.

Neznáte MSSQL server?

treebeard
treebeard (neregistrovaný) 193.87.86.---
1. 4. 2010 13:32 Nový

Re: Dvě třetiny zranitelností Windows odstraní odebrání administrátorských práv

celé vlákno

nepoznám, ale čisto z logiky názvu, server by, čisto teoreticky, mal vyžadovať administrátorské práva. Hoci teda, neviem o čom presne sa bavíme. Ale ak o správe serveru, tak je to podľa mňa OK. V nejakom konkrétnom prípade však kľudne môžete mať pravdu.

Každopádne pripomínam: Linux vyžaduje administrátorské práva aj na vypnutie počítača alebo zmenu systémového času – to len jednotlivé desktopy toto „pravidlo“ obchádzajú.

Fantomas
Fantomas (neregistrovaný) ---.92.broadband14.iol.cz
1. 4. 2010 17:57 Nový

Re: Dvě třetiny zranitelností Windows odstraní odebrání administrátorských práv

celé vlákno

Tak to te asi prekvapim, zkus si pustit matematicky editor a vlozit neco do wordu 2003 pod userskym uctem, krach te nemine. Aplikaci, ktere potrebuji zapisovat do program files je taky celkem dost (i kdyz se to posledni roky hodne zlepsilo). A ve win s vypnutim to je docela podobne, v cmd taky jako user nepouzijes shutdown.exe.

e.
e. (neregistrovaný) ---.net.upc.cz
1. 4. 2010 21:33 Nový

Re: Dvě třetiny zranitelností Windows odstraní odebrání administrátorských práv

celé vlákno

tak to asi proto, ze napsat do konzoly gimp& je rychlejsi nez vzit mys a klikat „start-progamy(zde dalsi klik roztahnout menu)-prislusenstvi-malovani“

Radovan
Radovan (neregistrovaný) 88.146.198.---
1. 4. 2010 22:20 Nový

Re: Dvě třetiny zranitelností Windows odstraní odebrání administrátorských práv

celé vlákno

Já teda těch dvacet programů co používám častěji, včetně Gimpu, mám na panelu, ale v Ubuntu je to v Menu na dvě kliknutí. Zato proklikat se k něčemu ve windowsí nabídce Start je fakt pro silné nervy :-D

treebeard
treebeard (neregistrovaný) ---.chello.sk
11. 4. 2010 18:12 Nový

Re: Dvě třetiny zranitelností Windows odstraní odebrání administrátorských práv

celé vlákno

veru, napíšeš pár písmen a máš, čo si hľadal… To je fakt ťažké :-)

xhombre
xhombre (neregistrovaný) ---.163.broadband9.iol.cz
13. 4. 2010 9:42 Nový

Re: Dvě třetiny zranitelností Windows odstraní odebrání administrátorských práv

celé vlákno

Alt-F2 panove a na nejakou nabidku se u casto pouzivanych programu muzete… a mys taky :-) (teda nevim jak v KDE ale v Gnome zcela urcite)

BLEK.
BLEK. (neregistrovaný) ---.strcechy.adsl-llu.static.bluetone.cz
1. 4. 2010 0:59 Nový

Neadministrátorský účet

celé vlákno

Jenže když z jednoho neadministrátor­ského účtu uživatel otevře .doc soubor a pak z toho samého účtu vleze na internetové bankovnictví, tak mu může stejně tvůrce toho .doc souboru způsobit buffer overflow ve wordu, pak se dostat do internet exploreru a ukrást bankovní informace.

Tím, že je ten účet neadministrátorský, si uživatel moc nepomůže — sice se mu útočník nemůže dostat do kernelu, ale stejně může kontrolovat a sledovat všechno, co uživatel dělá.

Pomohl by si, kdyby na každou činnost, kterou dělá, používal zvláštní účet, ale to je příliš nepohodlné.

Kaacz
Kaacz (neregistrovaný) ---.20.broadband10.iol.cz
1. 4. 2010 2:22 Nový

Re: Neadministrátorský účet

celé vlákno
ommg
ommg (neregistrovaný) ---.net.upc.cz
2. 4. 2010 18:36 Nový

Re: Neadministrátorský účet

celé vlákno

LOL !! :-))

Harvie .cz aura:55
1. 4. 2010 8:53 Nový

Záhada jménem root

Já to nechápu… většina distribucí (nepočítám Ubuntu a spol.) má po instalaci taky jenom roota (stejně jako windows mají administratora) a skoro nikdo pod ním nepracuje. Myslím, že problém musí být v něčem jiném ;-)

petrph
petrph (neregistrovaný) ---.pvt.cz
1. 4. 2010 9:05 Nový

Pochopitelně

celé vlákno

Neboli, první uživatel automaticky zakládaný ve Windows, má nejvyšší práva. Ono se taky s čistě nainstalovanou konfigurací Windows nedá většinou moc dělat. Není tu nainstalovaná většina SW (leda Wordpad), chybí spousta proprietárních ovladačů čili spousta zařízení nefunguje, obvykle není nastavená siť, čili ten první uživatel má před sebou ještě spoustu práce aby ten systém rozchodil, a na většinu z nich potřebuje práva administrátora. V tom jestli na konci udělá pro další uživatele (i pro sebe) nová, omezená konta,mu nic nebrání…

treebeard
treebeard (neregistrovaný) 193.87.86.---
1. 4. 2010 9:31 Nový

Re: Pochopitelně

celé vlákno

Asi tak.
Dokonca XP-čka na záver inštalácie priamo vyzývali si vytvoriť aj neadministrátorský účet, hoci uznávam, že ten dialóg nebol vrcholom zrozumiteľnosti. Problém je najčastejšie u počítačov kúpených s nainštalovanými OEM Windows. Tam v podstate musí predajca nechať užívateľovi plné práva a nemá veľký zmysel mu vytvárať heslá a ďalšie účty. Už len pre pohodlie predajcu,ktorému sa asi nechce riešiť sťažnosti, že na ten počítač sa nedá inštalovať (užívateľ vybral nesprávny účet) alebo, že heslo, ktoré mu predajca dal, nefunguje (užívateľ zadáva heslo k nesprávnemu účtu).
Jediné, čo by pomohlo, by bol nejaký kvalitný dialóg, ktorý by tieto veci riešil pri prvom spustení. nejaký síce existuje, ale chcelo by to niečo naozaj blbovzdorné.

Philip Fry aka 'vain' aura:51
1. 4. 2010 9:36 Nový

Re: Pochopitelně

celé vlákno

Pravda, nebrání, ale ani tak to nedělají, tak je asi někde něco špatně.

.
. (neregistrovaný) ---.cust.selfnet.cz
1. 4. 2010 13:11 Nový

Re: Dvě třetiny zranitelností Windows odstraní odebrání administrátorských práv

Já se picnu. Proč to nečtete? Nebo proč se tolik rozepisujete, když to nechápete? Nebo … musel bych být sprostý.

Kde jste přišel na to „odstranit“ ? Nejen, že je to pitomost, ale ono se to tam ani nepíše.

noAdmin
noAdmin (neregistrovaný) ---.cmcem.cz
22. 7. 2010 13:09 Nový

Re: Dvě třetiny zranitelností Windows odstraní odebrání administrátorských práv

Pracuji zasadne jako user i na domacim PC, pro pripad nutnosti spoustet neco jako admin pouzivam vyborny tool SuRun (http://translate.google.com/translate?u=http%3A%2F%2Fkay-bruns.de%2Fwp%2Fsoftware%2Fsurun%2F&langpair=de|en&hl=de&safe=ac­tive&ie=UTF-8&oe=UTF-8&prev=%2Flan­guage_tools), ktery umoznuje trvale nebo docasne spousteni programu jako admin i s pripadnym zapamatovanim si hesla (na rozdil od Run As) a definovanim napr. aby se aplikce spustila vzdy s admin. pravy. Vsem doporucuji!

Zasílat nově přidané příspěvky e-mailem