Пять причин, по которым я работаю с ограниченными привилегиями
Четверг, 10 - Ноябрь - 2011 20 комментариев
1. Стандартные привилегии — фундамент защиты от вирусов.
Принципиальное отличие ограниченной учётной записи заключается в том, что у таких пользователей нет прав на инсталляцию программ. Вирус — это не чёрная магия, а тоже просто компьютерная программа, нацеленная автором на деструктивные действия.
Не стоит надеяться на «белую магию» антивирусной программы1 — если бы антивирусные программы были способны обеспечить эффективную защиту, вирусов уже не существовало бы! Однако, если у меня нет прав на инсталляцию программ, вирус в свой компьютер я проинсталлировать тоже не смогу. Причём, совершенно не имеет значения, насколько вирус новый или сложный — если он, будучи запущенным, захочет скопироваться в папку Windows или прописаться в системном реестре, его ждёт железобетонная стена отсутствия прав на запись.
2. «На компьютере поигрались дети, теперь ничего не работает».
Звучит знакомо? Для меня этой проблемы не существует. Для детей создана своя, отдельная учётная запись с ограниченными привилегиями. Впрочем, даже если бы они и воспользовались моей учётной записью, что-то напортачить в системе или проинсталлировать screen saver с встроенным трояном всё равно не получилось бы, на это у пользователя просто нет прав. Законсервированная ограниченными привилегиями система остаётся стабильной и надёжной на протяжении неограниченно долгого времени.
3. Предотвращение взлома через уязвимые приложения.
Уязвимости в приложениях (браузерах, сторонних компонентах, играх, производственных программах) обнаруживают десятками практически каждый день. Если так случится, что очередная «дыра» в Adobe Flash Player будет использована злоумышленником и на моём компьютере, максимум, что он сможет получить — привилегии рядового пользователя. Скрытно установить в систему трояна у него уже не получится, не хватит прав. Согласно результатам исследований компании BeyondTrust, до 92% критических уязвимостей, обнаруживаемых в программном обеспечении Microsoft, не могут быть использованы, если пользователь работает с ограниченными привилегиями (http://www.nist.org/news.php?extend.266).
4. Минимизация ущерба при компрометации.
Даже осторожным людям свойственно ошибаться. Большинство заражений происходит невольно. Может так случиться, что я всё же запущу заражённую программу, которая пропишет автозапуск самой себя в рамках моей учётной записи. Однако, работая с правами ограниченной учётной записи, эта программа не сможет ни вторгнуться в пространство другого пользователя, ни повысить свои привилегии до
уровня системы. Очистить такое заражение намного проще, чем безуспешно бороться с интегрировавшимся в ядро системы rootkit-ом.
5. Изоляция пользователей друг от друга.
Даже если мне нечего скрывать, я не очень хотел бы, чтобы мои Favorites, History браузера или история переписки в Skype путались под ногами у других членов семьи, которые пользуются или могут воспользоваться моим компьютером. И также не хочу, чтобы их History или файлы мешали мне. Вполне очевидно, что каждый из нас работает со своей отдельной учётной записью. Неадминистративной, чтобы не удалось запросто влезть в пространство профиля другого пользователя, даже если захочется.
1 Антивирусная программа вносит свой существенный вклад в безопасность, но полагаться на неё в
качестве основного и единственного средства защиты — не более, чем «русская рулетка». Подробнее смотрите статью «Популярные заблуждения в вопросах защиты
от компьютерных вирусов».
2 Справедливости ради следует заметить, что существует масса зловредных программ, успешно работающих с привилегиями рядового пользователя, поселившись в его профиле. Да, полноценная защита не может быть основана на одиночной настройке либо кнопке «Сделайте мне зашибись». На мой взгляд, наилучшая защита от таких программ — Software Restriction Policies.
Peter Gubarevich 
Согласно требованиям безопасности 1,5 года работы без каких-либо проблем. Хотя для многих работать с ограниченными привилегиями — «заоблачная сложность», а по сути — лень один раз настроить. =))
Слава Протоколу!
Добрый день!
Я пытаюсь делать все как Вы советуете, но постоянно возникают проблемы, мешающие нормально работать.
Например, portable версии программ очень сложно заставить работать.
Я уже скопировал их в папку Program Files, но все равно приходится запускать их от имени администратора и все равно они не работают нормально.
Не видят сетевые диски, не работает перетаскивание мышью…
Такое ощущение, что они «не совсем в системе», живут своей «искалеченной» жизнью.
Помогите, пожалуйста…
Dear Roman,
Попробовали ли вы настроить разрешения для этих программ согласно статье «Настройка Windows для работы приложений с привилегиями рядового пользователя»?
https://blog.windowsnt.lv/2011/07/11/configuring-windows-standard-privileges-russian/
Все-таки вставлю свои 5 копеек, как человек, который сподвиг Петра на этот пост во время Tech·Ed :)
Хочу подчеркнуть два момента.
а) Я изначально рассматривал ситуацию с домашней средой, где компьютер с Windows используют несколько членов семьи. Один из них администратор (не в смысле основной учетной записи, а в смысле «должности»). О его работе я буду говорить ниже.
б) Я разделяю ряд тезисов в этом посте, и даже вижу совпадения с моим материалом Семь причин использовать отдельные учетные записи для каждого члена семьи. Конкретно, я поддерживаю модель «один админ, остальные обычные пользователи».
Если взять твой первый пункт, то администратору все равно придется выполнять вход в учетку с полными правами, чтобы обновлять и устанавливать ПО. Для этого надо иметь внутреннюю дисциплину, которой домашние пользователи обладают редко. И автоматическое обновление ПО здесь не поможет, ибо прав на установку нет.
С другой стороны, вход админом в недостаточно защищенную систему тоже опасен. Допустим, он зашел обновить Java, а пока она обновлялась , пошарился в Интернете. И привет!
Как ты правильно заметил, на такой случай есть AppLocker/SRP. И все бы хорошо, но эти вещи не для домашних пользователей, потому их и нет в домашних изданиях ОС. Но если исключить пиратские ОС и мега-дорогие ОЕМ системы, мы остаемся именно с HP, HB и даже Starter. Именно в них работают люди, которые чаще всего становятся жертвами заражений и мошенничества.
Проблема, вот в чем, Петр. Ты, как и любой серьезный специалист по безопасности, смотришь с точки зрения максимального закручивания гаек, что сводит на нет риск заражений или потери информации.
Однако зачастую это сопряжено со снижением комфорта в работе. Для домашнего пользователя комфорт играет огромную роль, ибо ему нет смысла работать в ОС, которая доставляет неудобства. Поэтому пользователи не будут следовать рекомендациям, которые снижают их комфорт.
Мой подход заключается в том, чтобы не давать рекомендации, к которым люди не прислушаются, даже если они правильные. Лучшее сочетание безопасность/комфорт обеспечивает работа администратором со включенным UAC (развернуто на это тему). Даже работа со включенным UAC как минимум для половины пользователей доставляет неудобства. Так что перевести их на такой режим работы я уже считаю плюсом.
Dear Vadim,
благодарю за комментарий.
Насчёт закручивания гаек и дискомфорта у меня есть только один ответ: «Пастернака не читал, но осуждаю». Иными словами, большинство тех, кто жалуется на дискомфорт, реально никогда работать со ограниченными привилегиями не пробовали.
Я же не просто пробовал, а делаю так всегда и везде. В том числе на всех домашних компьютерах. Уже 15 лет как. Все прелести и мифические «неудобства» безопасной работы познал сам лично. Оказывается (о, чудо!), никакого дискомфорта нет.
До некоторых необходимость пристёгиваться доходит только после аварии. Все мы на ошибках учимся, но дураки — на собственных. Вообще, сегодня в компьютерном мире ситуация безобразно перекошена. Во-первых, каждый первый пользователь считает себя достаточно компетентным в управлении компьютером, в том числе в безопасности. Всё просто: купил фотоаппарат — стал фотографом. Купил скрипку — значит, скрипач. Купил компьютер — вот и вырос специалист! Осталось распространить это отношение на все сферы деятельности человека. Например, взял в руки скальпель — значит, хирург.
Во-вторых, никто не собирается учиться на ошибках. Поставил антивирусную программу, затем заразился вирусом, кто виноват? Ну конечно же, Microsoft и плохой антивирус. Сменил антивирус. Снова заразился. Снова сменил. И так по бесконечному кругу. Привыкли и считают это нормальным. А это ненормально. Но задуматься, что что-то в датском королевстве не так, почему-то не хотят. Оказывается, решение проблемыесть, но начинается оно с «неудобного» ограничения привилегий.
Мой посыл таков: если никто не будет говорить о НЕОБХОДИМОСТИ, ОБЯЗАННОСТИ ВСЕХ БЕЗ ИСКЛЮЧЕНИЯ людей работать только с ограниченными привилегиями, ситуация с места не сдвинется. И UAC не поможет. На мой взгляд, он проблему только маскирует, замыливает.
К сожалению, с системами семейства Home приходится бороться. На мой взгляд, это опасные недосистемы. Отсутствие в них одного из самых важных компонентов современной информационной среды — безопасности — вынуждает меня говорить друзьям и знакомым: «держитесь от Home подальше».
зачетно….Шел к этому 10 лет!!..И уже 2 года работаю в мульти пользователе. Если грамотно настроить и юзать Винду…( точки…ограничения…и тд)…-лучше ОСи нет!!!
Учетная запись администратора покрылась пылью, давно в нее не заходил. Редко запускаю приложения от имени администратора, либо когда устанавливаю новую программу, но запускаю установку из-под обычной учетной записи с вводом пароля.
В пункте «Предотвращение взлома через уязвимые приложения.» далеко не все потенциально опасные приложения :) а как же ридер, ява, wmp, браузер? и эксплоиты, проникающие через уязвимости этих компонентов,
Установите последнюю версию того, чем вы лазите по инету: браузер, аська, скайп, флеш-плеер, акробат-ридер. Внесите в закладки бесплатный онлайн сервис для проверки: http://www.surfpatrol.ru и регулярно посещайте
Там всё сказано как надо, читайте внимательно.. Практически ВСЕ приложения имеют уязвимости. Но привилегии стандартного пользователя в большинстве случаев сводят эффект эксплоита в ноль, это и есть ключевой момент.
Пока пользователи не дошли до такого уровня, привить им культуру обновления программ — это уже большой прогресс.
Здравствуйте, Peter Gubarevich.
Хочу уточнить: к настройкам ограничения прав и SRP по вашим советам нужно устанавливать антивирусное ПО?
Dear Kreator,
Считаю установку антивирусного ПО бессмысленным и даже вредным занятием. В нормально настроенной системе «питаться» ему нечем, при этом оно всё равно потребляет неприличный процент производительности машины, а зачастую плохо влияет на надёжность работы системы.
Единственная ситуация, в которой сам применяю антивирус, — перед установкой новой программы проверяю её на virustotal.com. Однако, всё равно учитываю, что ни малейшей гарантии при этом всё равно не даётся.
А что делать с файлами больше 32 MB?
Затрудняюсь ответить на все сто на предмет превышения 32 Мб, не так часто возникает необходимость подобного рода. Более того, практически все инсталляционные ресурсы стараюсь получать в заведомо доверяемых источниках.
Благодарю, с вирусами разобрался. Но как же быть со шпионским ПО, кейлоггерами и т. п.?
Ни к чему выносить кейлоггеры в отдельную категорию. Это такие же исполняемые модули, как и вирусы. Исполняемые модули. SRP безразлично, какую функцию несёт неразрешённое ПО, — оно будет заблокировано в любом случае.
Здравствуйте, Peter Gubarevich.
На anti-malware читал вас. Заинтересовало. Гугл показал дорогу к вам в блог. Вчера настроил SRP. Вы считаете «установку антивирусного ПО бессмысленным и даже вредным занятием». Я же так не считаю. У меня установлен платный продукт класса IS (не каспер и не нортон), пропатчиваю систему и программы.
Давно хочу организовать работу ограничения прав пользователей, но что то «руки не доходят». Уж много-много лет «работаю» под админом на домашнем компьютере. И слава Богу заразу компьютер не ловил (хотя кто знает). Как говорится: «полет нормальный!». Это я к тому, что, оказывается, можно жить и без SRP. Без защитного антивирусного ПО жить не пробовал. Поэтому спорить не буду.
«Наслушавшись» Вас в блоге и на анти-малваре настроил на домашнем компе SRP, и думаю уже сегодня начать использовать отдельные учетные записи для каждого члена семьи. И не отказываться от защитного ПО.
Выражаю Вам благодарность. Спасибо!
Dear Snejoker,
Обязательно обращайтесь, если будут какие-либо трудности с SRP. Лучше их решить, ибо всё решаемо, чем в случае непоняток кинуть на полпути.
Хочу только отметить один нюанс на предмет «полёт нормальный». Когда вы можете поручиться дома за себя, за свои действия, это хорошо. Но зачастую компьютером пользуются несколько человек, вот тогда полёт перестаёт быть нормальным очень быстро. Если желаете попробовать, не надо ждать, упорно готовиться и сушить сухари.
Just do it.
Здравствуйте, Peter Gubarevich.
Хочу услышать ваше мнение: какой браузер наиболее безопасен? Или это не имеет значения при работе под пользователем с ограниченными правами и включённой SRP?
Dear Purity,
На мой взгляд, с точки зрения безопасности все они практически идентичны. Разница лишь в том, что IE не требует особых телодвижений для установки обновлений. С помощью Automatic Updates либо WSUS, за обновления IE голова может особо не болеть.
Вообще, я не играю в игры «мой браузер самый лучший». До тех пор, пока IE успешно работает, полностью исполняя возложенные задачи, других браузеров на моих рабочих станциях нет и не будет. Местами встречается Firefox — там, где особенности веб-приложений не позволяют использовать IE (обычно это различного рода Content Management Systems).