Hlavní navigace

Názor ke zprávičce Jabbim Archive postihl velký únik dat VIP uživatelů od Lael Ophir - Souhlas, uživatelé by určitě nikde neměli jet pod...

  • 14. 1. 2017 14:33

    Lael Ophir (neregistrovaný) 185.14.233.---

    Souhlas, uživatelé by určitě nikde neměli jet pod adminem, ve firmě už vůbec ne. Jenže firem je spousta a schopných adminů málo. Navíc malware nepotřebuje nutně admina. Na zašifrování všech dostupných souborů (včetně těch na síti) bohatě stačí práva uživatele, který malware spustil. Navíc pokud běží malware pod běžným uživatelem, může se čas od času aktualizovat, a zneužít nějaký privilege escalation bug, díky kterému toho admina po čase stejně dostane.

    Aby aplikace jako Excel nebo OOo Calc nemohla poškodit systém, je třeba aby uživatel nejel pod adminem. Jenže jak jsem psal, malware může napáchat spoustu škody na datech i bez práv admina, plus si časem admina může opatřit. Nabízelo by se aplikaci sandboxovat. Nápad je to dobrý, ale Excel se často používá pro přístup k DB, dávkové zpracování souborů, nebo klidně třeba hromadné zakládání uživatelů. Pak i sandboxovaná aplikace musí mít spoustu práv, která se dají zneužít.

    Pokud firma používá makra, jediným správným řešením je zakázat všechna makra která nejdou digitálně podepsaná, a interní makra podepsat (dá se nastavit filtr podpisů tak aby se braly jen ty podepsané v dané doméně). Pokud si powerusers píšou vlastní makra, tak nezbývá než jim dát certifikát, kterým si je mohou podepisovat. Všechno se to dá nastavit přes GPO pro všechny počítače v doméně. Jenže spousta adminů si naprosto nesprávně myslí, že MS Office důkladně zná, i když o těchto nastaveních vůbec neví. Dokud nedojde na problém, tak to neřeší. A když na problém dojde, tak řeknou "makra jsou v principu taková, je to chyba uživatele", a management jim to nejspíš uvěří.