Лишение пользователей администраторских прав повышает безопасность компьютера в 10 раз

Мля, вот это открытие!!!! Надо немедленно создать исследовательское бюро этого феномена!

Ага, а десятикратное лишение прав - в сто раз? :)
Кстати, в каких единицах мс измеряет безопасность компьютера? В Разах, чтоль?

У каждой дыры в поделиях мс, которая не сможет работать, есть иногда целый месяц, который она будет исправно работать - между 0-днем и "официальным вторником патчей".

Действительно, новость тысячелетия. "Лишение пользователей доступа к компьютеру позволяет также организациям снизить или полностью исключить возможность атаки."

Нифига подобного, если компьютер с вендой [B]включается[/B] это уже говорит о потенциальной возможности атаки. Так-то.

Ямс, специально для тебя повторяю:
"Лишение пользователей доступа к компьютеру позволяет также организациям [B]снизить[/B] или полностью исключить возможность атаки."

Не надо поясничать. ЭТО РЕАЛЬНО. И ЭТО РАБОТАЕТ. Когда я пришел админом на завод и забрал у всех администраторские права, то у меня за полтора года в сети не было ни одной гадости!!! Правда все было поэтапно, нарищивание усилий так сказать.:)) Запрет флешек, список доверенных приложений разрешенных к запуску,корпоративный файер, и пр пр. Но тем не менее это факт из личной практики.

> ЭТО РЕАЛЬНО. И ЭТО РАБОТАЕТ.
> и забрал у всех администраторские права

Невероятно! Непостижимо! Гениально! Фантастично! Это прорыв в области компьютерной безопасности! Это просто парадоксальная методика, которая противоречит всему, что мы знаем о безопасности вообще и о правах доступа в частности, но она, шок!, успешна! Несомненная теоретическая новизна и логическая стройность созданной теории, блестящие экспериментальные исследования на грани между гениальным и невозможным и превосходящая всякие пределы смелость в практическом применении открывают новую эпоху в области безопасности компъютерных систем!

Этот, несомненно новый метод, на многие годы вперед предотвратит тысячи проблем, с которыми приходилось мириться десятки лет! Злобные хакеры, некомпетентные юзеры с администраторскими правами, опасные вирусы и прочие противники не остановят гениальных исследователей, ученых и администраторов заводов, победоносной поступью спешащих на помощь рядовым пользователям на благо всей страны и целого мира.

Я так понял, вы либо не умеете читать/думать, либо просто тухло жжоте. В статье речь шла не о том что лишение прав решает, а о том, что юзера чаще всего пользуют админский аккаунт и потом ещё жалуются на кучу уязвимостей.

Но у Вас-то с чтением все в порядке, я так понимаю? И с мышлением никаких проблем? Цитаты, вынесенные в начало моего поста ни с каким предыдущим постом не ассоциируються?

> В статье речь шла не о том что лишение прав решает, а о том, что юзера чаще всего пользуют админский аккаунт и потом ещё жалуются на кучу уязвимостей

Да да, у Вас с чтением проблем нет.
"лишение пользователей администраторских полномочий является первоочередной мерой защиты, которая позволит организациям снизить или полностью исключить вероятность атаки"
"Эта вполне обычная предосторожность позволяет ликвидировать большую часть недавно обнаруженных критических уязвимостей в продуктах Microsoft (примерно 92 процента из них)"

Так говорите, что "В статье речь шла не о том что лишение прав решает"? С мышлением, видимо, тоже проблем нет :)

Признаю, я ж тупой виндузятник.

Аха,а ты посиди в Винде без админских привилегий и я посмотрю.Это в Пингвине,надо отдать должное,можно вполне комфортно работать,сидя не под рутом,а в Винде работать под пользователем,это почти то же самое,что есть связанными руками.

Спорю что не пробовал сидеть даже и месяца, или же твоё "сидение" за ним являяется по сути "администрированием" которое конечно никуда без админа. В винде действительно можно свободно сидеть под пользователем если заниматься тем для чего она и предназначена - запуска пользовательских приглашений а не дрочения на "управление" и "панели управления"

Сижу под юзером
Занимаюсь администрированием кучу компов :)
Первый месяц когда перешел на юзера были косяки - сейчас все нормально

Проблемы бывают только с некоторыми особо кривыми программами
Ну и как обычно - самые большие и основные проблемы - конечно с пользователями :)

Неправда
В винде можно работать без прав админа

это проблемы не самой винды, а культуры программирования под неё. Учетные записи и общий каталог в винде придумали не для того, чтоб всякие КВИПы, или кто-там еще, по старой 98-й памяти сохраняли конфиги и результаты работы в Program files и совали свои библиотеки без надобности в систем32

Да ладно - все ржут как ненормальные. Учетные записи в Windows появились 9 лет назад, а на этом сайте только что появилась новость о гениальном открытии. Ну смешно, а?

Думаете вы один такой умный нашлись?
это не гениальное открытие, а результаты исследования влияния изъятия одминских прав на "недавно обнаруженные критические уязвимосте в продуктах Microsoft".

Невероятно! Непостижимо! Гениально! Фантастично! Это прорыв в области компьютерной безопасности!Красиво ,и очень смешно.Поднял настроение на весь день.

ЖЖете, коллега =)
Мля, с утра настроение поднял, спасибо!

Тож самое, кол-во проблем резко сокращается с использованием только доверенных приложений! Правда далеко не панецея, т.к. от дырявых приложений это не защитит и дело тут не в правах. У нас как-то провайдер порезал тариф до 512 кб/с, ну я и забил обновлять WSUS после этого, т.к. по тому же каналу ходила еще и почта) И как раз совпала с появлением нового червя по MS08-067(068), всего) то 3 месяца не обновлял,О! Так что обновлением Винды и вообще софта тоже ключевой момент безопасности.

Мда... боюсь нас ждет еще много-много инновационных открытий в области безопасности.

Мне даже страшно представить, какие гениальные открытия нас ждут, когда закончатся основы, просто обязательные к соблюдению любым администратором, независимо от платформы (принцип минимально необходимых прав, запрет на работу с правами администратора системы, необходимость регулярных обновлений и, о боже, даже запрет установки софта пользователями. Ну и т.д.) и отечественные "админы заводов" перейдут к комплексным решениям.

Статья интересна исключительно попыткой _количественной_ оценки, цитирую, "ВПОЛНЕ ОБЫЧНОЙ ПРЕДОСТОРОЖНОСТИ". А у вас здесь хороводы вокруг, цитирую, "ЭТО РЕАЛЬНО. И ЭТО РАБОТАЕТ" и "обновлением Винды и вообще софта тоже ключевой момент безопасности". Ппц... Кто бы мог подумать... Ну надо же... Елы-палы, ЭТО работает! эврика!! нобелевка!!! патент!!!!

Господа, я вам просто завидую, у вас так много впереди неизведанного, неожиданного и интересного... И могу только пожалеть работодателя. Если серьезно - я, господа, от вас в шоке.

+100500 грамотно отписАл. Кто-то открыл для себя омерегу - не мешай им, пусть радуются. они ж САМИ догадались! и на практике подтвердили!

ПриDурок

При канале в 512 Kbit/sec WSUS выкачивает все основные обновления за два дня непрерывного качания.
Потом нужно выкачивать только дополнения.

Отмазка - не обновлял WSUS потому что ходила почта вообще смешная.
Например делаем так:
WSUS делает сихронизацию ночью.
Утром приходим - видим что пришли обновления. Вечером перед уходом домой запускаем скачивание обновлений - к утру они гарантированно выкачаются.
Причем делать это нужно всего раз в месяц - так как обновления выходят раз в месяц.

Есть другой вариант - но тут технически сложнее. Используем QOS на роутере под *BSD/Linux или QOS на switch layer3 если такой найдется. Траффику для WSUS делаем самый низкий приоритет, а почте самый высокий.
Нет почты - работает WSUS, есть почта - WSUS практически не качает.

Искажение классика - "С таким счастьем и при окладе....?" "Крышу" на месяцок не одолжите мужчина? Я дык махом вылетел бы... При том что самый вредный "администратор" это пользователь уровня с нач.отдела до ген директора. Гы гы!

Измеряют в рейтингах...

Вот уж воистину новость в стиле: "Ахтунг! Опасность! Пользователь получивший полный доступ к системе может получить полный доступ к системе!".

И это все голосом того чувака из ящика "интриги скандалы расследования"
или как-то тааааааак (это уже с другого нах канала)

Там сто пудов работают британские ученые

http://magegame.ru/?rf=caedffe7fcd1e5...ffededfbe9
ЗДЕСЬ ЭТА ПРОГА

Вах какое сильное конфу..... но не достаточно быстрое.... не попить тебе пива модер в тишине и покое

от пива у мужыков сиськи растут

Хм... И, говорят, это правда. А женщины, наоборот, "мужают".

http://vselprav.org/library/couleman.htm
http://pravdu.ru
http://agaroza.ru

Лишение пользователя жизни повышает безопасность в 100 раз.
Лишение пользователя Windows повышает безопасность в 1000 раз.

...
Лишение пользователя жизни безконечно повышает безопасность

а уж как повышает безопасность лишение пользователя девственности...

анальной девственности)

необязательно
иногда можно заюзать и переднее отверстие пищеварительного тракта

Пользователи виндоуз лишаются анальной девственности при нажатии кнопочки "Я принимаю условия данного лицензионного соглашения"

А пользователи линупс соглашаясь с ГПЛ лицензией :))))

Да, "лижит" - это опечатка. Возможно, вызванная зарядом иронии, вызванным этим сайтом.

пофиксил - "лижет"

теперь они это запатентуют

Гуй-морда была нарисована под это дело еще в 95 году, посмотри внимательней в панели управления. А пиар-компания по этому поводу проводится во всех крупных кампаниях с доменной архитектурой. Только юзеры постоянно орут, что им прав не хватает в косынку гаматься и в инете сидеть. Видите ли активиксы не ставятся с порносайтов.

А панель управления в меню "Пуск" находится, кнопочка такая, на неё мышкой надо нажать.

Это что же за компании такие, где юзерам дано право голоса?

Странный ваще, да?) А кому ж право голоса, как не им?

Право голоса у админов, особенно тех, кто своим рабочим местом отвечают за политику безопасности. А юзеры - это почти бессознательное стадо, оно умеет приспосабливаться.

Админ думал, что он бог сети, пока не пришел электрик.

[b]Не, они просто епанутые прыщавые задроты с комплексом неполноценности и "одменестрирование" как и консольный онанизм - способ хоть как то избавиться от проблем.
Ну а почему так завыли линупсюшники таки ето просто - все их доказательства дырявости системы станут рассыпацо в пыль если широко публиковать результаты иследований. Ведь билли жутко матерясь и кляня всё вокруг из за них и клепает костыли юак, вместо того чтобы самы юзэры пользовались предназначенными для того ограниченными учетками. Так что короля (винду) делает свита (юзера) - ведь по их мнению играющий, пишущий музыкальный ящик не должен говорить им "я не хочу этоделать потому что у вас на ето правов нету".
[/b]

[B]А лишение пользователей сразу обеих рук повышает безопасность системы в десятки или даже сотни раз![/B]

А потом со сторонним ПО, отличным от Microsoft куча проблем... Палка о двух концах

Причем, ладно бы с каким ни будь малоизвестным софтом. Поставил недавно юзеру фотошоп, все работает и под ограничеными правами, и под гостем. Через неделю - только под админом. Как мог юзер сделать это из под неадминской учетки - решительно неясно. Мало того - полный снос фотошопа и всех его файлов и директорий, и повторная установка не помогли, а на другой, абсолютно идентичной системе все в порядке. И такие косяки регулярно. Вот спрашивается, нафига такое разграничение прав нужно?

Ладно фотошоп! ВИНАМП и тот через ж... работает.

Винамп юзает свою директорию только! По крайней мере 2.78
Не надо песен...
А во многих конторах 777 на все стоит, так шо...

вот именно, что юзать надо не свою директорию, типа c:\Programm Files\Winamp, а %HOME% юзера.

WinAMP уже давно работает правильно - пишет в домашний каталог юзера. Это позволяет ему работить из-под пользователя без проблем.

он про конкретную версию сказал, и еще преподносит это как "не через жопу". Видишь, он даже не знает, что такое "хорошо" и что такое "плохо". Школьник хуле...

А стандартную учетку Администратор паролили?=))))

А сам то как думаешь?

От явных, находимых поиском, конечно чистилось.
Однако, заморочки винды бывают иногда настолько трудоемко-исправляемыми, что проще и быстрее перезалить образ системного диска или восстановить систему на предыдущее состояние. Юзерам работать надо, а не ждать, пока глюки будут забороты. Воспроизвести глюк на тестовой системе не удалось, так и не выяснил причину.

ЫЫЫЫЫЫЫЫЫЫЫ
несмешите меня нах
Если юзер может грузиться с внешних носителей то никакие пароли на админисратора не помогут.
Снимаются ВЛЕТ!

Смех у тебя тупой. Кто ж им даст грузиццо с чего попало? В бивисе запрет на всё, кроме Самого Главного Диска (или с сети), на биос - пароль, на корпус компа - пломба (есть умники, умеющие сбрасывать бивис батарейкой или джампером). и всё

И даже чистка реестра от ключей фотожопы не помогает? Если так - то я под стулом.

А вот то, что многие клиент-банки просят админских прав, это давняя история. А ведь бухгалтерские машины наоборот должны быть с максимально уразнными правами во избежание всяких утечек финансовых данных и тому подобных вещей.

Клиент-банки - беда просто. Оторвать бы ручонки тем писунам, что пишут подобное, да засунуть им же в жoпу.

Им уже давно надо было оторвать руки за в корне неверный выбор платформы для своего ПО. Для ПО, требующего повышенной степени безопасности, - безопасные платформы, т.е. *nix, в частности хорошо подходит GNU/Linux с SELinux. А винда для таких задач - это оксюморон.

какой оксюморон?
ПИСЗДEЦ!

гпук/линупс архитектурно ничуть не более безопасен. Единственная безопасноть в его неактуальности из-за 0.83%

В винде появился chroot? Или Mandatory Access Control системы? Или патчи в случае багов стали выпускаться через 12 часов после обнаружения уязвимости?

Да ладно там MAC и оперативность заплаток. Реестр бы для начала убрали, что ли.

C возможностью записи в /bin/ рэзультатов работы, хранения там логов, отчетов баз данных и прочего. Ну, конечно, под [b]учеткой[/b] рута, как же без этого.

Документацию читать надо иногда к клиент банкам а не тыкать нашару...

Или вы врёте или ищите косяки у себя: больше 150 машин работа[b]ют[/b] без прав админа больше 3 лет со специфическим софтом и никаких таких проблем и не видывали. Причем около сотни из них работают еще и в агрессивных условиях компьютерных классов, где каждый жить не может без того чтобы не впаять какую нибудь лишнюю хрень "от себя". Раньше такие классы держались не более полугода.

Замечательно, как мне в виндос назначить/снять любому файлу атрибут "исполняемый"? А то, говорят, сейчас 2009 год, а не 1980-й, вроде.

Запретить на него рид. Через каклс

Посмотри повнимательнее вкладочку безопасность. Разрешение/запрещение исполнения, записи и чтения там есть. Фс - нтфс.

Чтобы выставить одну галочку, мне надо открыть три окна и среди кучи пунктов найти нужный. Очень удобно, да.

лень - не открывай, юзай cacls

ну что стоит добавить chmod в cmd;-)

Мелкософт красноглазикам ничем не обязан..

Chmod к красноглазию никак не относится, не утрируй.

нужен chmod - юзай powershell (кстати, если уж ты такой крутой ленуксоид, там увидишь много знакомых команд)

А пример синтаксиса можно как chmod через powershell использовать. Я насколько знаю такого там нет!

Сначала думай, потом отвечай. Задача - запретить [b]исполнение[/b] а не чтение вообще. Т.е. нужно, чтобы прочитать было можно, а выполнить нельзя.

Читай внимательнее, там всё есть, всё можно сделать. К тому же признак выполняемого файла в линупсе (как всегда идея украдена из юникс) это не способ разграничить права а способ указать тип файла. Как в винде .exe Но конечно топором можно не только дрова рубить но и гвозди забивать. Однако молотком он от этого не станет.

Родной, сочетание RWX о чем-нибудь говорит?

о чем нибудь говорит.

Молодец :)


А как там access permissions переводится?

Мда... Виндус ассоциирует файлы по их расширению. Если вы хотите сделать файл исполняемым, (и если он таким является), назначьте ему соответствующее расширение (и, если необходимо, ассоциируйте с соответствующим приложением). Если НЕ хотите, чтобы он был исполняемым, удалите расширение файла вообще. Я не знаю, правда, для чего вам этот мазохизм нужен.

Вообще, при помощи стороннего ПО можно полностью запретить доступ к любым файлам и директориям. Но это уже другая песня.

вообще при помощи стороннего ПО, можно поставить другую ОС, но это уже другая песня

Беги, ставь скорей, будешь крутым пацаном.

Вообще-то все делается средствами системы. Дурацкая привычка для каждого чиха ставить корявую поделку какого-нить студента вместо того, чтобы наконец-то разобраться с настройками системы, ни к чему хорошему не может привести по определению.

Скажите, вы же не используете Windows-firewall? Я не очень доверяю стандартным средствам системы.

угу, особенно Windows-firewall полезен в локальной сети без пограничного девайса.
насмешили.

Речь идет исключительно о стандартных средствах виндоус для этих целей, которые должны быть в любой системе, претендующей на звание современной и технологичной.

"Если вы хотите сделать файл исполняемым, (и если он таким является), назначьте ему соответствующее расширение" - ты глупость сморозил, дружище. Вот товарищ выше правильное направление вам указал - бегом на вкладочку Безопасность - Дополнительно - Разрешения. Обещаю, удивитесь количеству доступных атрибутов ;)

Я бы с радостью, но у меня такой вкладки нет. :(

Простой общий доступ сними в свойствах. Знаток блин

Блин, как радует, что умные люди есть! А если я скажу, "Простого общего доступа" у меня там тоже нет? :)

Кнопочку F1 нажми и почитай хелп, а то элементарного незнаем, а туда же рассуждать.
До прочтения хотя бы встроеного хелпа с тобой разговаривать неочем.

Феерично. Вообще-то речь идет о назначении/снятии конкретному пользователю/ права на выполнение файла. И штатными средствами это делается, только очень неудобно. И по умолчанию права и в самой винде-то глупо расставлены, а уж сторонний софт вообще не утруждает себя этим.

А ещё лучше сам файл. Замечательно, только как его тогда запустят те, кому его запуск разрешен?

Этот мазохизм нужен для разграничения доступа в целях повышения безопасности. У пользователя на машине не должны запускаться какие попало приложения.

Лучше палка о двух концах, чем конец о двух палках.

И сколько домашних пользователей и офисного планктона знает о существовании этой фишки и умеет ею грамотно пользоваться? - Вот и не свисти.

Ещё бы FAT32 самоконвертировался в NTFS и было бы щастье.

самоконвертировался не сможет, а вот сконвертировать вручную можно легко, convert тебе в руки

<:)> Открытие века!!!Небось во всех газетах,по телевизору,радио и даже в школах учителя информатики и ЭВМ будут трезвонить об этом до следующего нового года.....кошмар наверно сегодня не засну... </:)>
http://4erv.blogspot.com - безопасность превыше всего...