А так ли хороша защита UAC

[red17 65]

Заметил интересную особенность, когда устанавливаешь программу, само сабой на изменения системных папок UAC задаёт вопрос, но когда уже установленная программа модифицирует себя(обновляется) при этом неизбежно внося изменения в системные папки, UAC молчит и это происходит как при работе от администратора так и под пользователем. Отсюда логичный вывод, что при наличии серьёзной уязвимости в установленной программе можно получить доступ к системным папкам в обход UAC/огр. учётки

[SDA 750]

Заметил интересную особенность, когда устанавливаешь программу, само сабой на изменения системных папок UAC задаёт вопрос, но когда уже установленная программа модифицирует себя(обновляется) при этом неизбежно внося изменения в системные папки, UAC молчит и это происходит как при работе от администратора так и под пользователем. Отсюда логичный вывод, что при наличии серьёзной уязвимости в установленной программе можно получить доступ к системным папкам в обход UAC/огр. учётки

Админский профиль - максимальная настройка

Всегда уведомлять – уведомление происходит всегда – как при попытках программ установить программное обеспечение или внести изменения, так и при изменении параметров Windows пользователем.

Запрос учетных данных отображается для обычных пользователей в том случае, когда они пытаются выполнить задачу, для которой необходим доступ администратора. Пользователь должен указать имя и пароль учетной записи, которая входит в группу локальных администраторов.

Настраивается при помощи оснастки локальной политики безопасности (Secpol.msc) или групповых политик.

Простой пример, обновление браузера или флеш, требует введения пользователем пароля, локальным админом подтверждения.

[red17 65]

Простой пример, обновление браузера или флеш, требует введения пользователем пароля, локальным админом подтверждения.

Когда это браузер при обновлении требовал пароля? На флеш плеер запрос UAC/пароля идеть лишь потому, что при обновлении он качает весь инталятор и ставится заново, а вот Reder от той же фирмы Adobe обновится безовсяких запросов. Не серьёзно, UAC это защита только от действий пользователя что ли получается? От дыр в программах UAC это полный эпик фейл.

[Celsus 60]

Может вирус выдать себя за пользователя и выполнять настройку системы не как программа, а как пользователь?

Самый высокий параметр полезен, когда все настроено. Но после установки ОС постоянные диалоговые окна мешают. Наверное, потому по умолчанию стоит вторая настройка. Потом можно поднять на максимум (если времяпровождение за компьютером не связана с настройкой системных параметров).

Не серьёзно, UAC это защита только от действий пользователя что ли получается? От дыр в программах UAC это полный эпик фейл.

Нет. Если происходит попытка изменений системных настроек, то выводится сообщение. Как написал sda, самый высокий и и высокий уровни отличаются тем, что при высоком окно выскакивать не будет, если настройки производит Администратор, то есть сам пользователь. А если настройки меняет программа, то выскочит. Самый высокий уровень - окно выскочит в любом случае. Третий сверху уровень, как и второй сверху, только во время окна нет изолированного (виртуального) рабочего стола (затемнения жкрана). Он, как я понял, защищает диалоговое окно UAC.

Поэтому, чтобы защитить компьютер, достаточно работать с обычными правами, тогда неважно какой уровень выбирать - высокий или самый высокий, окно выскочит в любом случае. А под пользователем с администраторскими правами надо ставить самый высокий уровень (если деятельность не связана с настройкой системы - тогда постоянные окна могут сильно мешать).

[red17 65]

Может я слишком много хочу от Microsoft или плохо понимаю их политику безопасности, где во главу угла ставятся задачи защитить ОС от пользователя.

P.S. Немного изучаю Linux заметил, что там права root требуются при любых попытках изменить системные файлы и решил, что и в Windows 7 также, а тут защита только от тебя, а не от хакера который будет ломать твой ПК. Грустно

[Mr. Justice 771]

Прошу обратить внимание, что для подобных тем есть специальный раздел >>>

[red17 65]

Прошу обратить внимание, что для подобных тем есть специальный раздел >>>

Спасибо, без Вас я его ненашёл.

[SDA 750]

Мат.часть http://technet.microsoft.com/en-us/library...28WS.10%29.aspx

https://blogs.msdn.com/b/e7/archive/2009/01...ick-update.aspx

В переводе http://www.oszone.net/10500/uac_windows7_1

[red17 65]

Может так понятнее: UAC не контролирует действия уже установленных программ в системе, а лишь новые инсталляции, через уязвимости в уже установленных программах можно обойти UAC модифицировав необходимые файлы и получить контроль над ПК. Отсюда становится понятным за какой надобностью было делать работу IE 8 и особенно IE 9 в песочнице который устанавливается только на ОС с UAC. Именно из-за такой работы UAC хакерам на pon2own не составляло труда сломать Windows Vista, а позднее и Windows 7.

[Celsus 60]

Может я слишком много хочу от Microsoft или плохо понимаю их политику безопасности, где во главу угла ставятся задачи защитить ОС от пользователя.

P.S. Немного изучаю Linux заметил, что там права root требуются при любых попытках изменить системные файлы и решил, что и в Windows 7 также, а тут защита только от тебя, а не от хакера который будет ломать твой ПК. Грустно

Как обычному пользователю, мне кажется, что при наименьших интеллектуальных и финансовых затратах Microsoft пытается найти золотую середину между безопасностью и удобством. В этом смысле Linux для обычного пользователя, не обладающего часто даже базовыми знаниями ПК, не удобен.

Думаю, в майкрософте проводили тесты и все взвешивали, прежде чем решить, какую "коробочную" настройку оставить. Их настройка Internet Explorer 9 на мой взгляд неплоха - нравится переключение уровней защиты и блокировки на сайтах.

В UAC, на мой взляд, оптимально выставлять максимальную настройку. При этом за день появляется очень мало окошек, при обычной работе за ПК - игры, редакторы текста, программы, которые правильно установлены, настроены и не лезут в системные настройки. Лично мне удалось настроить программы и среду так, чтобы UAC не надоедал. Но для этого надо уметь это делать. Большинство не умеет, потому ради того, чтобы у неподготовленного, незнаюющего пользователя не возникало резкой негативной реакции (а самообучаться многие не любят!), настройки по умолчанию не оптимальные в плане безопасности (ну вот обычным людям нужны ли удаленные подключения, сервера и рабочие станции?). Они базовые, для всех, их надо доводить до ума, в сооттвествии со своими нуждами.

Еще плюс - это выбор рекомендуемых настроек, которые более безопасны (но и их потом надо донастраивать).

Если создать учетную запись с ограниченным доступом, то изменить системные папки не удастся, что с UAC, что без него. Если есть подозрения, что компьютер под прицелом хакера, то наверное надо пользоваться услугами специалиста безопасности и не заморачиваться по поводу непонятных средств защиты.

[red17 65]

Мат.часть http://technet.microsoft.com/en-us/library...28WS.10%29.aspx

https://blogs.msdn.com/b/e7/archive/2009/01...ick-update.aspx

В переводе http://www.oszone.net/10500/uac_windows7_1

Вы случайно не в Microsoft работаете

[SDA 750]

Вы случайно не в Microsoft работаете

Нет не работаю, но прежде чем писать, тестирую и читаю ту же мат.часть, чтобы не писать ......ю

[red17 65]

Нет не работаю, но прежде чем писать, тестирую и читаю ту же мат.часть, чтобы не писать ......ю

Я за Вас рад

Работа без прав root на Linux и работа на Windows с UAC две большие разницы, и если в первом случае это действительно часть безопасности, то во втором случае это лишь ”защита от дурака” поэтому лучше не обольщаться и поставить антивирус класса Internet Security, а UAC отключить чтобы не раздражал лишний раз. Хотя истинным ценителям и любетелям чтобы их переспрашивали UAC лучше оставить и выставить настройки на максимум, в особых случаях ещё и в локальных политиках поставить запрос учётных данных на безопасном рабочем столе .

в особых случаях ещё и в локальных политиках поставить запрос учётных данных на безопасном рабочем столе.

P.S. Тут важно при этом ещё пароль позаковырестее поставить иначе дожного эффЭкта может невозыметь уровень защиты будет нетот.

[Celsus 60]

поэтому лучше не обольщаться и поставить антивирус класса Internet Security, а UAC отключить чтобы не раздражал лишний раз.

Стоит COMODO IS, его HIPS также выдает алерты, которые иногда дублирует UAC. При обычной работе обычного человека алертов CIS и UAC мало.

Если требуется защитить важные файлы от "дурака" и при этом сделать так, чтобы не было никаких оповещений, то в чем преимущество IS? Чем хуже выставление прав доступа на файлы, папки и ветки реестра (в данном случаче HKCU)? Оповещения все равно будут, как и с использованием IS. В данном случае имеется ввиду его HIPS. Но если будет запрет без оповещения, то пользователь будет думать, что удалил или изменил папку или параметр реестра, а этого не произойдет. Что в этом полезного?

Если сделать защиту файлов и настроек от программ и при этом убрать оповещения, то программы молча не будут работать или работать с ошибками - зачем это нужно?

Разве KIS не предупреждает о том, что какая-то программа пытается выполнить опасное дествие? Если выключить эти предупреждения, то рано или поздно программы, которые просят прав, перестанут работать.

Ни UAC, ни ISы не знаю намерений программ, они всего лишь детектируют действия, которые могут быть использованы как в пользу, так и вовред.

По поводу защиты компьютера от взлома хакера с помощью одного IS тоже не следует обольщаться. Речь идет о защите системных папок и папок, которым выставлены права администратора, или у которых нет полных прав обычного пользователя. Для защиты от кражи данных надо использовать firewall, тогда левая программа не сможет передать информацию в Интернет.

[red17 65]

По поводу защиты компьютера от взлома хакера

ИМХО

Обновления ОС и всего установленного софта- защита от известных уязвимостей.

FF+NS- защита от всех уязвимостей drive by использующих межсайтовый скриптинг XSS некоторые спецы говорят этого более чем достаточно от drive by.

IS комплексная защита, хороший HIPS способен защитить от всех угроз см. Comodo Фаервол входит в состав IS при правильной настройке способен защитить от всех нежелательных вторжений из сети

Для защиты от кражи данных надо использовать firewall, тогда левая программа не сможет передать информацию в Интернет.

Если зловред пропишется в ring0 фаервол его неувидит.

[SDA 750]

Я за Вас рад

Работа без прав root на Linux и работа на Windows с UAC две большие разницы, и если в первом случае это действительно часть безопасности, то во втором случае это лишь ”защита от дурака” поэтому лучше не обольщаться и поставить антивирус класса Internet Security, а UAC отключить чтобы не раздражал лишний раз. Хотя истинным ценителям и любетелям чтобы их переспрашивали UAC лучше оставить и выставить настройки на максимум, в особых случаях ещё и в локальных политиках поставить запрос учётных данных на безопасном рабочем столе .

P.S. Тут важно при этом ещё пароль позаковырестее поставить иначе дожного эффЭкта может невозыметь уровень защиты будет нетот.

Гениально, в мемор - "UAC защита от дурака", "UAC отключить чтобы не раздражал лишний раз"

Для информации: права root в Linux по дефолту не даются, а Windows 7 права root (суперадмин) по дефолту отключены.

Ждем очередных откровений, особенно интересен опыт работы на осях Linux

[red17 65]

Если создать учетную запись с ограниченным доступом, то изменить системные папки не удастся, что с UAC, что без него.

Контроль UAC будет и под учетной записью с ограниченным доступом, просто в Виндовс администратор уже поумолчанию выключен, точнее ограничен UAC в одной учётнои записи тоже можно поставить UAC запрос с паролем, но начиная с про. версии.

Если есть подозрения, что компьютер под прицелом хакера, то наверное надо пользоваться услугами специалиста безопасности и не заморачиваться по поводу непонятных средств защиты.

Любой ПК потенциальная жертва хакера, но мы сейчас тут не об этом...

[Celsus 60]

ИМХО

Обновления ОС и всего установленного софта- защита от известных уязвимостей.

FF+NS- защита от всех уязвимостей drive by использующих межсайтовый скриптинг XSS некоторые спецы говорят этого более чем достаточно от drive by.

IS комплексная защита, хороший HIPS способен защитить от всех угроз см. Comodo Фаервол входит в состав IS при правильной настройке способен защитить от всех нежелательных вторжений из сети

Если зловред пропишется в ring0 фаервол его неувидит.

Согласен, что при HIPS UAC лишний, ведь 1 у него ограниченная задача защиты и (надо проверить) обычно настроенный HIPS дублирует UAC. Но остается задача виртуализации - кому-то может пригодиться. UAC - обязательная базовая защита для обычного пользователя, который до сайта скачивания IS или торрента с IS идет через vkontakte, prono, еще кучу сайтов. Это в случаяе, когда у человека защита не на 1 месте в списке приоритетов. Сужу по недавнему себе и некоторым знакомым. В идеале сначала надо обновляться, затем думать о настройке фаервола, IS, при этом при отключенной сети UAC наверно на самый высокий уровень ставить бессмысленно, он будет ужасно мешать, но и отключать не стоит до тех пор, пока не заработает IS. Это то, что я понял, читая форумы, возможно, слишком просто или даже неверно.

Хорошо бы разобраться в тонкостях темы у специалистов - например, в ситуации, когда у неопытного человека на установленной только что ОС работает по умолчанию брандмауэр, что там с защитником Windows - непонятно, ведь его надо обновить, прежде чем он заработает, как и саму ОС. И что там человек, в три часа ночи установив ОС и думая уже о том, как побыстрее выключить компютер, выбрал - "рекомендуемые параметры" или "отложить вопрос до утра", какие настройки безопасности система выставила во втором случае (настройка IE8, через который будет первый выход в Интернет, настройка Сети и т.д.).

У профессионалов другие последовательсности действий - не знаю, например, выключить сеть (сеть работает сразу - в зависисомсти от провайдера и типа соединения). Чтобы отключить UAC под Администратором, надо точно знать, что программы надежные, а не вчера скаченные. Слишком много неизвестных условий.

По поводу Drive-by оффтоп, но ужасно интересно, как от них защититься. Прочитал статью Райан Нарейн. Drive-by загрузки. Интернет в осаде - многое узнал. Удивило отсутствие рекомендаций по настройке браузера, отключении того функционала, через который Drive-by работает (JS, iframe, flash, плагины realplayer, QT и др.). О лизензионных ОС и установке ISов автор сказать не поленился

[red17 65]

Для информации: права root в Linux по дефолту не даются, а Windows 7 права root (суперадмин) по дефолту отключены.

Я очень рад, что хоть это Вы поняли, правда есть и исключения такие, как Android. Осталось понять разницу между ограничением прав root в Linux и неудачной копией в Windows.

Согласен, что при HIPS UAC лишний,

UAC лишний для любого нормального пользователя с головой, а возможно ещё и вредный так как создаёт иллюзию защиты.

[Celsus 60]

Согласен, что при HIPS UAC лишний

Но все равно не выключаю, так как сообщения UAC редки, то смысла в отключении лично для себя не вижу.)

[Celsus 60]

UAC лишний для любого нормального пользователя с головой, а возможно ещё и вредный так как создаёт иллюзию защиты.

О какой именно защите идет речь?

UAC защищает системные папки и настройки от изменений программ и пользователей, у которых нет прав? Да. Примечание: если только поставлен самый высокий уровень (для случайного изменения настроек пользователем) и если уже работающая программа не запущена с правами Администратора. Чтобы запустить программу от имени Администратора, нужно опять-таки пройти через защиту UAC. Запустить с правами может Планировщик, но чтобы в него войти обычно требуется согласие UAC/ Где в этом случае иллюзия? Вопрос: как из-под Администратора или даже обычного пользователя обойти UAC - другой. Интересно бы найти ответ на него. Будь обход защиты UAC или прав таким доступным, все вирусописатели, кому не лень, им бы пользовались. Тогда, наверное, появилась бы масса тем с названием "UAC не помог!". Хотя, честно, не искал, может, такие темы есть в большом количестве.

[SDA 750]

Я очень рад, что хоть это Вы поняли, правда есть и исключения такие, как Android. Осталось понять разницу между ограничением прав root в Linux и неудачной копией в Windows.

UAC лишний для любого нормального пользователя с головой, а возможно ещё и вредный так как создаёт иллюзию защиты.

Еще один фейк

Android — операционная система основанная на ядре Linux, т.е. Root права на androidе тоже нужно получать

Если не хотите читать матчасть хоть для начала погуглили что ли

[red17 65]

О какой именно защите идет речь?

Будь обход защиты UAC или прав таким доступным, все вирусописатели, кому не лень, им бы пользовались. Тогда, наверное, появилась бы масса тем с названием "UAC не помог!". Хотя, честно, не искал, может, такие темы есть в большом количестве.

Заражённых ПК С Windows 7 и Vista хватает и не все их пользователи "жмут ДА" и я нигде не сказал, что UAC очень легко обойти, но от уязвимостей число которых растет с установкой нового софта Windows не защищает в отличии от Linux.

[SDA 750]

О какой именно защите идет речь?

UAC защищает системные папки и настройки от изменений программ и пользователей, у которых нет прав? Да. Примечание: если только поставлен самый высокий уровень (для случайного изменения настроек пользователем) и если уже работающая программа не запущена с правами Администратора. Чтобы запустить программу от имени Администратора, нужно опять-таки пройти через защиту UAC. Запустить с правами может Планировщик, но чтобы в него войти обычно требуется согласие UAC/ Где в этом случае иллюзия? Вопрос: как из-под Администратора или даже обычного пользователя обойти UAC - другой. Интересно бы найти ответ на него. Будь обход защиты UAC или прав таким доступным, все вирусописатели, кому не лень, им бы пользовались. Тогда, наверное, появилась бы масса тем с названием "UAC не помог!". Хотя, честно, не искал, может, такие темы есть в большом количестве.

Контроль учетных прав можно обойти, об этом писали и сами представители Мелкософта. Нет 100% защиты. Но пока ни в Винде, ни в Линуксе, ни в Макоси ничего лучше не придумано и позволяет в 99% опытных пользователей обходиться без дополнительной защиты.

[red17 65]

Еще один фейк

Android — операционная система основанная на ядре Linux, т.е. Root права на androidе тоже нужно получать

Вот дела держу в руках смар на Android и ненужно там никаких прав root

Может стоит к прочтению мат. части добавить немного практики

Но пока ни в Винде, ни в Линуксе

Вот только ненадо обобщать.

и позволяет в 99% опытных пользователей обходиться без дополнительной защиты.

Опытные пользователи прекрасно обходятся и без UAC.