Перейти к содержанию
red17

А так ли хороша защита UAC

Recommended Posts

red17

Заметил интересную особенность, когда устанавливаешь программу, само сабой на изменения системных папок UAC задаёт вопрос, но когда уже установленная программа модифицирует себя(обновляется) при этом неизбежно внося изменения в системные папки, UAC молчит и это происходит как при работе от администратора так и под пользователем. Отсюда логичный вывод, что при наличии серьёзной уязвимости в установленной программе можно получить доступ к системным папкам в обход UAC/огр. учётки :unsure:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Заметил интересную особенность, когда устанавливаешь программу, само сабой на изменения системных папок UAC задаёт вопрос, но когда уже установленная программа модифицирует себя(обновляется) при этом неизбежно внося изменения в системные папки, UAC молчит и это происходит как при работе от администратора так и под пользователем. Отсюда логичный вывод, что при наличии серьёзной уязвимости в установленной программе можно получить доступ к системным папкам в обход UAC/огр. учётки :unsure:

:facepalm:

Админский профиль - максимальная настройка

windows7-uac-1.jpg

Всегда уведомлять – уведомление происходит всегда – как при попытках программ установить программное обеспечение или внести изменения, так и при изменении параметров Windows пользователем.

Запрос учетных данных отображается для обычных пользователей в том случае, когда они пытаются выполнить задачу, для которой необходим доступ администратора. Пользователь должен указать имя и пароль учетной записи, которая входит в группу локальных администраторов.

Настраивается при помощи оснастки локальной политики безопасности (Secpol.msc) или групповых политик.

uac3.png

Простой пример, обновление браузера или флеш, требует введения пользователем пароля, локальным админом подтверждения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
red17
Простой пример, обновление браузера или флеш, требует введения пользователем пароля, локальным админом подтверждения.

Когда это браузер при обновлении требовал пароля? На флеш плеер запрос UAC/пароля идеть лишь потому, что при обновлении он качает весь инталятор и ставится заново, а вот Reder от той же фирмы Adobe обновится безовсяких запросов. Не серьёзно, UAC это защита только от действий пользователя что ли получается? От дыр в программах UAC это полный эпик фейл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Celsus

Может вирус выдать себя за пользователя и выполнять настройку системы не как программа, а как пользователь?

Самый высокий параметр полезен, когда все настроено. Но после установки ОС постоянные диалоговые окна мешают. Наверное, потому по умолчанию стоит вторая настройка. Потом можно поднять на максимум (если времяпровождение за компьютером не связана с настройкой системных параметров).

Не серьёзно, UAC это защита только от действий пользователя что ли получается? От дыр в программах UAC это полный эпик фейл.

Нет. Если происходит попытка изменений системных настроек, то выводится сообщение. Как написал sda, самый высокий и и высокий уровни отличаются тем, что при высоком окно выскакивать не будет, если настройки производит Администратор, то есть сам пользователь. А если настройки меняет программа, то выскочит. Самый высокий уровень - окно выскочит в любом случае. Третий сверху уровень, как и второй сверху, только во время окна нет изолированного (виртуального) рабочего стола (затемнения жкрана). Он, как я понял, защищает диалоговое окно UAC.

Поэтому, чтобы защитить компьютер, достаточно работать с обычными правами, тогда неважно какой уровень выбирать - высокий или самый высокий, окно выскочит в любом случае. А под пользователем с администраторскими правами надо ставить самый высокий уровень (если деятельность не связана с настройкой системы - тогда постоянные окна могут сильно мешать).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
red17

Может я слишком много хочу от Microsoft или плохо понимаю их политику безопасности, где во главу угла ставятся задачи защитить ОС от пользователя.

P.S. Немного изучаю Linux :) заметил, что там права root требуются при любых попытках изменить системные файлы и решил, что и в Windows 7 также, а тут защита только от тебя, а не от хакера который будет ломать твой ПК. Грустно :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
red17

Может так понятнее: UAC не контролирует действия уже установленных программ в системе, а лишь новые инсталляции, через уязвимости в уже установленных программах можно обойти UAC модифицировав необходимые файлы и получить контроль над ПК. Отсюда становится понятным за какой надобностью было делать работу IE 8 и особенно IE 9 в песочнице который устанавливается только на ОС с UAC. Именно из-за такой работы UAC хакерам на pon2own не составляло труда сломать Windows Vista, а позднее и Windows 7.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Celsus
Может я слишком много хочу от Microsoft или плохо понимаю их политику безопасности, где во главу угла ставятся задачи защитить ОС от пользователя.

P.S. Немного изучаю Linux :) заметил, что там права root требуются при любых попытках изменить системные файлы и решил, что и в Windows 7 также, а тут защита только от тебя, а не от хакера который будет ломать твой ПК. Грустно :(

Как обычному пользователю, мне кажется, что при наименьших интеллектуальных и финансовых затратах Microsoft пытается найти золотую середину между безопасностью и удобством. В этом смысле Linux для обычного пользователя, не обладающего часто даже базовыми знаниями ПК, не удобен.

Думаю, в майкрософте проводили тесты и все взвешивали, прежде чем решить, какую "коробочную" настройку оставить. Их настройка Internet Explorer 9 на мой взгляд неплоха - нравится переключение уровней защиты и блокировки на сайтах.

В UAC, на мой взляд, оптимально выставлять максимальную настройку. При этом за день появляется очень мало окошек, при обычной работе за ПК - игры, редакторы текста, программы, которые правильно установлены, настроены и не лезут в системные настройки. Лично мне удалось настроить программы и среду так, чтобы UAC не надоедал. Но для этого надо уметь это делать. Большинство не умеет, потому ради того, чтобы у неподготовленного, незнаюющего пользователя не возникало резкой негативной реакции (а самообучаться многие не любят!), настройки по умолчанию не оптимальные в плане безопасности (ну вот обычным людям нужны ли удаленные подключения, сервера и рабочие станции?). Они базовые, для всех, их надо доводить до ума, в сооттвествии со своими нуждами.

Еще плюс - это выбор рекомендуемых настроек, которые более безопасны (но и их потом надо донастраивать).

Если создать учетную запись с ограниченным доступом, то изменить системные папки не удастся, что с UAC, что без него. Если есть подозрения, что компьютер под прицелом хакера, то наверное надо пользоваться услугами специалиста безопасности и не заморачиваться по поводу непонятных средств защиты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
red17

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Вы случайно не в Microsoft работаете :facepalm:

Нет не работаю, но прежде чем писать, тестирую и читаю ту же мат.часть, чтобы не писать ......ю

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
red17
Нет не работаю, но прежде чем писать, тестирую и читаю ту же мат.часть, чтобы не писать ......ю

Я за Вас рад :)

Работа без прав root на Linux и работа на Windows с UAC две большие разницы, и если в первом случае это действительно часть безопасности, то во втором случае это лишь ”защита от дурака” поэтому лучше не обольщаться и поставить антивирус класса Internet Security, а UAC отключить чтобы не раздражал лишний раз. Хотя истинным ценителям и любетелям чтобы их переспрашивали UAC лучше оставить и выставить настройки на максимум, в особых случаях ещё и в локальных политиках поставить запрос учётных данных на безопасном рабочем столе ;) .

в особых случаях ещё и в локальных политиках поставить запрос учётных данных на безопасном рабочем столе.

P.S. Тут важно при этом ещё пароль позаковырестее поставить иначе дожного эффЭкта может невозыметь уровень защиты будет нетот.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Celsus
поэтому лучше не обольщаться и поставить антивирус класса Internet Security, а UAC отключить чтобы не раздражал лишний раз.

Стоит COMODO IS, его HIPS также выдает алерты, которые иногда дублирует UAC. При обычной работе обычного человека алертов CIS и UAC мало.

Если требуется защитить важные файлы от "дурака" и при этом сделать так, чтобы не было никаких оповещений, то в чем преимущество IS? Чем хуже выставление прав доступа на файлы, папки и ветки реестра (в данном случаче HKCU)? Оповещения все равно будут, как и с использованием IS. В данном случае имеется ввиду его HIPS. Но если будет запрет без оповещения, то пользователь будет думать, что удалил или изменил папку или параметр реестра, а этого не произойдет. Что в этом полезного?

Если сделать защиту файлов и настроек от программ и при этом убрать оповещения, то программы молча не будут работать или работать с ошибками - зачем это нужно?

Разве KIS не предупреждает о том, что какая-то программа пытается выполнить опасное дествие? Если выключить эти предупреждения, то рано или поздно программы, которые просят прав, перестанут работать.

Ни UAC, ни ISы не знаю намерений программ, они всего лишь детектируют действия, которые могут быть использованы как в пользу, так и вовред.

По поводу защиты компьютера от взлома хакера с помощью одного IS тоже не следует обольщаться. :D Речь идет о защите системных папок и папок, которым выставлены права администратора, или у которых нет полных прав обычного пользователя. Для защиты от кражи данных надо использовать firewall, тогда левая программа не сможет передать информацию в Интернет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
red17
По поводу защиты компьютера от взлома хакера

ИМХО

Обновления ОС и всего установленного софта- защита от известных уязвимостей.

FF+NS- защита от всех уязвимостей drive by использующих межсайтовый скриптинг XSS некоторые спецы говорят этого более чем достаточно от drive by.

IS комплексная защита, хороший HIPS способен защитить от всех угроз см. Comodo Фаервол входит в состав IS при правильной настройке способен защитить от всех нежелательных вторжений из сети

Для защиты от кражи данных надо использовать firewall, тогда левая программа не сможет передать информацию в Интернет.

Если зловред пропишется в ring0 фаервол его неувидит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Я за Вас рад :)

Работа без прав root на Linux и работа на Windows с UAC две большие разницы, и если в первом случае это действительно часть безопасности, то во втором случае это лишь ”защита от дурака” поэтому лучше не обольщаться и поставить антивирус класса Internet Security, а UAC отключить чтобы не раздражал лишний раз. Хотя истинным ценителям и любетелям чтобы их переспрашивали UAC лучше оставить и выставить настройки на максимум, в особых случаях ещё и в локальных политиках поставить запрос учётных данных на безопасном рабочем столе ;) .

P.S. Тут важно при этом ещё пароль позаковырестее поставить иначе дожного эффЭкта может невозыметь уровень защиты будет нетот.

Гениально, в мемор - "UAC защита от дурака", "UAC отключить чтобы не раздражал лишний раз" :facepalm:

Для информации: права root в Linux по дефолту не даются, а Windows 7 права root (суперадмин) по дефолту отключены. <_<

Ждем очередных откровений, особенно интересен опыт работы на осях Linux :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
red17
Если создать учетную запись с ограниченным доступом, то изменить системные папки не удастся, что с UAC, что без него.

Контроль UAC будет и под учетной записью с ограниченным доступом, просто в Виндовс администратор уже поумолчанию выключен, точнее ограничен UAC в одной учётнои записи тоже можно поставить UAC запрос с паролем, но начиная с про. версии.

Если есть подозрения, что компьютер под прицелом хакера, то наверное надо пользоваться услугами специалиста безопасности и не заморачиваться по поводу непонятных средств защиты.

Любой ПК потенциальная жертва хакера, но мы сейчас тут не об этом...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Celsus
ИМХО

Обновления ОС и всего установленного софта- защита от известных уязвимостей.

FF+NS- защита от всех уязвимостей drive by использующих межсайтовый скриптинг XSS некоторые спецы говорят этого более чем достаточно от drive by.

IS комплексная защита, хороший HIPS способен защитить от всех угроз см. Comodo Фаервол входит в состав IS при правильной настройке способен защитить от всех нежелательных вторжений из сети

Если зловред пропишется в ring0 фаервол его неувидит.

Согласен, что при HIPS UAC лишний, ведь 1 у него ограниченная задача защиты и (надо проверить) обычно настроенный HIPS дублирует UAC. Но остается задача виртуализации - кому-то может пригодиться. UAC - обязательная базовая защита для обычного пользователя, который до сайта скачивания IS или торрента с IS идет через vkontakte, prono, еще кучу сайтов. Это в случаяе, когда у человека защита не на 1 месте в списке приоритетов. Сужу по недавнему себе и некоторым знакомым. В идеале сначала надо обновляться, затем думать о настройке фаервола, IS, при этом при отключенной сети UAC наверно на самый высокий уровень ставить бессмысленно, он будет ужасно мешать, но и отключать не стоит до тех пор, пока не заработает IS. Это то, что я понял, читая форумы, возможно, слишком просто или даже неверно.

Хорошо бы разобраться в тонкостях темы у специалистов - например, в ситуации, когда у неопытного человека на установленной только что ОС работает по умолчанию брандмауэр, что там с защитником Windows - непонятно, ведь его надо обновить, прежде чем он заработает, как и саму ОС. И что там человек, в три часа ночи установив ОС и думая уже о том, как побыстрее выключить компютер, выбрал - "рекомендуемые параметры" или "отложить вопрос до утра", какие настройки безопасности система выставила во втором случае (настройка IE8, через который будет первый выход в Интернет, настройка Сети и т.д.).

У профессионалов другие последовательсности действий - не знаю, например, выключить сеть (сеть работает сразу - в зависисомсти от провайдера и типа соединения). Чтобы отключить UAC под Администратором, надо точно знать, что программы надежные, а не вчера скаченные. Слишком много неизвестных условий.

По поводу Drive-by оффтоп, но ужасно интересно, как от них защититься. Прочитал статью Райан Нарейн. Drive-by загрузки. Интернет в осаде - многое узнал. Удивило отсутствие рекомендаций по настройке браузера, отключении того функционала, через который Drive-by работает (JS, iframe, flash, плагины realplayer, QT и др.). О лизензионных ОС и установке ISов автор сказать не поленился :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
red17
Для информации: права root в Linux по дефолту не даются, а Windows 7 права root (суперадмин) по дефолту отключены. <_<

Я очень рад, что хоть это Вы поняли, правда есть и исключения такие, как Android. Осталось понять разницу между ограничением прав root в Linux и неудачной копией в Windows.

Согласен, что при HIPS UAC лишний,

UAC лишний для любого нормального пользователя с головой, а возможно ещё и вредный так как создаёт иллюзию защиты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Celsus
Согласен, что при HIPS UAC лишний

Но все равно не выключаю, так как сообщения UAC редки, то смысла в отключении лично для себя не вижу.)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Celsus
UAC лишний для любого нормального пользователя с головой, а возможно ещё и вредный так как создаёт иллюзию защиты.

О какой именно защите идет речь?

UAC защищает системные папки и настройки от изменений программ и пользователей, у которых нет прав? Да. Примечание: если только поставлен самый высокий уровень (для случайного изменения настроек пользователем) и если уже работающая программа не запущена с правами Администратора. Чтобы запустить программу от имени Администратора, нужно опять-таки пройти через защиту UAC. Запустить с правами может Планировщик, но чтобы в него войти обычно требуется согласие UAC/ Где в этом случае иллюзия? Вопрос: как из-под Администратора или даже обычного пользователя обойти UAC - другой. Интересно бы найти ответ на него. Будь обход защиты UAC или прав таким доступным, все вирусописатели, кому не лень, им бы пользовались. Тогда, наверное, появилась бы масса тем с названием "UAC не помог!". Хотя, честно, не искал, может, такие темы есть в большом количестве.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Я очень рад, что хоть это Вы поняли, правда есть и исключения такие, как Android. Осталось понять разницу между ограничением прав root в Linux и неудачной копией в Windows.

UAC лишний для любого нормального пользователя с головой, а возможно ещё и вредный так как создаёт иллюзию защиты.

Еще один фейк :facepalm:

Android — операционная система основанная на ядре Linux, т.е. Root права на androidе тоже нужно получать ;)

Если не хотите читать матчасть хоть для начала погуглили что ли :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
red17
О какой именно защите идет речь?

Будь обход защиты UAC или прав таким доступным, все вирусописатели, кому не лень, им бы пользовались. Тогда, наверное, появилась бы масса тем с названием "UAC не помог!". Хотя, честно, не искал, может, такие темы есть в большом количестве.

Заражённых ПК С Windows 7 и Vista хватает и не все их пользователи "жмут ДА" и я нигде не сказал, что UAC очень легко обойти, но от уязвимостей число которых растет с установкой нового софта Windows не защищает в отличии от Linux.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
О какой именно защите идет речь?

UAC защищает системные папки и настройки от изменений программ и пользователей, у которых нет прав? Да. Примечание: если только поставлен самый высокий уровень (для случайного изменения настроек пользователем) и если уже работающая программа не запущена с правами Администратора. Чтобы запустить программу от имени Администратора, нужно опять-таки пройти через защиту UAC. Запустить с правами может Планировщик, но чтобы в него войти обычно требуется согласие UAC/ Где в этом случае иллюзия? Вопрос: как из-под Администратора или даже обычного пользователя обойти UAC - другой. Интересно бы найти ответ на него. Будь обход защиты UAC или прав таким доступным, все вирусописатели, кому не лень, им бы пользовались. Тогда, наверное, появилась бы масса тем с названием "UAC не помог!". Хотя, честно, не искал, может, такие темы есть в большом количестве.

Контроль учетных прав можно обойти, об этом писали и сами представители Мелкософта. Нет 100% защиты. Но пока ни в Винде, ни в Линуксе, ни в Макоси ничего лучше не придумано и позволяет в 99% опытных пользователей обходиться без дополнительной защиты.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
red17
Еще один фейк :facepalm:

Android — операционная система основанная на ядре Linux, т.е. Root права на androidе тоже нужно получать ;)

Вот дела держу в руках смар на Android и ненужно там никаких прав root

Может стоит к прочтению мат. части добавить немного практики ;)

Но пока ни в Винде, ни в Линуксе

Вот только ненадо обобщать.

и позволяет в 99% опытных пользователей обходиться без дополнительной защиты.

Опытные пользователи прекрасно обходятся и без UAC.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×