Этот вопрос неоднократно всплывал в форуме и комментариях блога, а на прошлой неделе мне задал его в почте читатель Игорь. Причем письмо пришло в тот момент, когда я читал свежий отчет по безопасности Microsoft за вторую половину 2012 года. Это совпадение примечательно тем, что именно аспект работы без актуальной антивирусной защиты попал в фокус специалистов компании на сей раз.
Я предлагаю вам посмотреть на большую картину работы без антивируса в Windows, а также разобраться, нужен ли антивирус опытным пользователям.
[+] Сегодня в программе
Статистика заражений различных ОС Windows
Постоянные читатели блога уже знакомы с записями, в которых я разбирал любопытные факты из отчетов по безопасности Microsoft, например, за вторую половину 2011 года и первую половину 2012 года. По сравнению со вторым из них мало что изменилось:
- Уязвимости в Java и Adobe эксплуатируются в разы активнее, чем уязвимости ОС Windows.
- Страсть к халяве не идет на спад, и самым популярным семейством вредоносных программ остается Win32/Keygen.
- Россия прочно удерживает четвертое место в мире по количеству зараженных ПК, а уровень вредоносных и фишинговых сайтов на территории страны превышает среднемировой в 1.5 раза.
И даже статистика заражений ОС Windows не преподносит сюрпризов, несмотря на появление в списке Windows 8. Скачок уровня заражений Windows XP в четвертом квартале 2012 года связан со взрывным ростом активности фальшивого антивируса Win32/OneScan в Корее. Напомню, что уровень означает число ПК с обнаруженными вредоносными программами на каждую тысячу компьютеров, просканированных MSRT.
Столь низкий уровень заражений Windows 8 объясняется в первую очередь тем, что пока на нее перешли, в основном, энтузиасты, обладающие более высоким уровнем компьютерной грамотности. Они же склонны сознательно выбирать 64-разрядные системы, снабженные защитными технологиями, недоступными в 32-разрядных ОС.
Но есть и еще один фактор, который поспособствует тому, что в будущем Windows 8 продемонстрирует уровень заражений ниже, чем у Windows 7. Это – встроенный антивирус Windows Defender, обладающий тем же интерфейсом, движком и базами обновлений, что и Microsoft Security Essentials, предназначенный для предыдущих версий Windows.
Статистика заражений ОС Windows сквозь призму наличия антивируса
В принципе, Капитан Очевидность подсказывает, что с антивирусом вероятность заражения ниже, чем без оного. Однако разве не любопытно посмотреть на конкретные статистические данные, собранные с помощью MSRT с миллионов ПК?
В своем отчете Microsoft использует термин «незащищенные ПК», относя к таковым системы, на которых антивирус не установлен или работает с устаревшими базами. Как выяснилось, во второй половине 2012 года в эту категорию попадал каждый четвертый ПК!
Неудивительно, что незащищенные ПК (красный график) заражались в среднем в 5.5 раз чаще, чем системы с обновленными антивирусами (зеленый график).
Любопытен также расклад незащищенных ПК по операционным системам. Честно говоря, я ожидал даже более высокого уровня заражений на Windows XP. Но зато совсем не удивился тому, что владельцы Windows 7 без SP1 относятся безответственно не только к обновлению ОС, но и наличию антивирусной защиты.
Обратите внимание, что на Windows 8 зафиксирован самый низкий уровень незащищенных ПК, благодаря наличию Windows Defender.
Тем не менее, 7-8% людей умудряются отключать встроенную антивирусную защиту Windows 8, не устанавливая ничего взамен!
Наконец, взгляните на расклад по операционным системам и разрядностям в контексте наличия актуального антивируса. Незащищенные ПК обозначены штриховкой, а защищенные – сплошной заливкой.
Ожидаемо, системы без должной защиты заражаются чаще вне зависимости от версии и разрядности. В частности:
- Windows XP в 4.7 раза
- Windows 7 SP1 в 9.4 раза (х86) и 7.3 раза (х64)
- Windows 8 x64 в 13.5 раз
Адепты Windows XP вряд ли удержатся от вывода, что старая ОС почти в три раза устойчивее к заражениям при работе без антивируса, нежели Windows 8. Однако я вижу два фактора, делающие такое суждение несколько поверхностным.
- Заражение – это обнаруженная вредоносная программа, но вовсе не факт, что она может нанести вред конкретной операционной системе. Классический пример – семейство INF/Autorun, включенное во все наборы для атаки, но не представляющее никакой угрозы для Windows 7 и более новых ОС (впрочем, как и для Windows XP с установленным обновлением).
- Windows 8 только что вышла, т.е. установлена начисто на всех ПК. А что люди делают после установки ОС? Правильно, устанавливают программы. Теперь вспомните про неуемную страсть к халяве, и все встанет на свои места.
Win32/Keygen и INF/Autorun являлись самыми широко распространенными семействами вредоносных программ на протяжении 2012 года (за исключением скачка рекламного «вредоноса» DealPly на территории Бразилии в четвертом квартале).
В таблице ниже те же семейства выстроены по ранжиру для каждой ОС. Обратите внимание, что Keygen и Autorun оккупируют места в первой тройке на Windows 8.
Нужен ли антивирус опытным пользователям
Приведенные выше данные наглядно подтверждают, что наличие актуальной антивирусной защиты в разы снижает уровень заражений по экосистеме Windows в целом. Другими словами, подавляющему большинству пользователей антивирус абсолютно необходим.
Следуйте рекомендациям Microsoft
Я всегда подчеркивал пользу от следования рекомендациям Microsoft, которые в данном случае выражены в центре поддержки. Однако есть категория людей, считающих себя достаточно опытными, чтобы избежать заражения без резидентного антивируса (ну, может, только один раз за год словить вымогателя :)
В этом одном разе и заключается более высокая вероятность потери персональных данных, что может нанести ущерб финансам или репутации.
Безусловно, ни один антивирус не обеспечивает 100% защиты от вредоносных программ. Даже если исключить серьезные уязвимости 0-day, которые вероятнее используются для целевых атак типа Aurora, производители защитного ПО с задержкой реагируют на любые новые угрозы.
Тем не менее, антивирус играет важную роль в комплексе мер, работающих в реальном времени и повышающих устойчивость Windows к заражениям:
- центр обновления Windows
- брандмауэр
- антивирус
- фильтр SmartScreen
- контроль учетных записей
Я считаю, что опытный пользователь использует весь защитный арсенал, не пренебрегая никаким оружием.
Впрочем, существует один подход, которым можно оправдать работу без антивируса.
Альтернатива: SRP или AppLocker, либо Device Guard
Windows обладает технологиями контроля над запуском исполняемого кода. Основной подход SRP и AppLocker сводится к тому, что запуск программ и скриптов разрешен только из расположений, в которые у вас нет права на запись (например, Windows и Program Files), а попытки выполнить их из других папок тихо блокируются полностью. Device Guard блокирует исполняемый код с помощью политик WDAC.
Однако эти технологии даже не включены в состав младших изданий Windows, поскольку рассчитаны на применение в организациях. Из этого в домашней среде вытекает пара моментов:
1. Требуется высокая квалификация пользователя. По-настоящему опытный пользователь, конечно, разберется с настройкой в графическом интерфейсе. Но квалификация подразумевает также и понимание принципов работы технологий, что в свою очередь требует более высокой дисциплины. Заманчиво же вывести из-под действия политик, например, папки Downloads и Scripts, но при таком подходе нечего и огород городить.
2. Требуется отключать ограничения на время установки и обновления приложений. С точки зрения SRP или AppLocker эти действия эквивалентны, поэтому для их успешного выполнения приходится временно деактивировать защиту. Проблема в том, что происходит это в самый важный для безопасности Windows момент – запуск исполняемого кода с полными правами!
Исключение составляют лишь программы, обновление которых реализовано с помощью служб, выполняющихся от имени учетной записи “Система”, на которую политики не распространяются (таковыми являются, например, Adobe Reader и Firefox). Минимизировать случаи отключения политик также можно, создавая для конкретных подписанных программ правила сертификатов, как это делает Вадимс Поданс, в чьем блоге вы найдете достаточно материалов для грамотной настройки SRP и AppLocker.
Так или иначе, я затрудняюсь рекомендовать всем читателям своего блога SRP или AppLocker, но настоятельно рекомендую эти технологии тем, кто считает себя достаточно опытными, чтобы работать без антивируса :)
Усиление: EMET
Ранее EMET выпускался как отдельный бесплатный инструмент для управления защитными технологиями Windows. Сейчас он встроен в Windows 10 и Windows 11. EMET блокирует или затрудняет эксплуатацию уязвимостей, для которых еще нет исправлений. Другими словами, он значительно снижает вероятность ущерба от уязвимостей типа 0-day.
Подробности о EMET вы можете почерпнуть из статей Руслана Карманова:
- ЕМЕТ 4.0: Windows Server 2012 R2 и Windows 8.1 (очень хороший обзор технологий защиты Windows)
- EMET 4.0 – новая планка безопасностей (обзор нововведений версии 4.0)
См. также другие статьи в разделе EMET на этой странице.
Дискуссия и опрос
В Windows 7 я пользовался MSE, а в Windows 8 у меня работает встроенный Windows Defender. Антивирус Microsoft не обладает лучшим уровнем защиты на рынке, но соответствует моим навыкам и критериям выбора, в том числе и безупречной совместимостью с Windows. Напишите в комментариях, каким защитным решением вы пользуетесь и почему выбрали именно такой уровень защиты.
Upd. В комментариях многие читатели указывали, что используют AdBlock Plus, а также указывали на его недоступность в Internet Explorer. Уже есть AdBlock Plus для IE :)
Результаты голосования утеряны в связи с прекращением работы веб-сервиса опросов.
Доброго времени суток. Все приведенные тесты с помощью MSRT можно практически признать не не правдивыми. Причина проста. Их фирменная утилита по устранению проблем безопасности не обнаружила установленный антивирус комплексного решения от лаборатории Касперского. Лицензионная Windows XP Pro sp3 (все последние обновления безопасности) + KIS 2013. Выводы напрашиваются сами исследования проведенные Microsoft – не адекватны.
Александр, а как вы определили, что MSRT не обнаружила KIS? Она и не должна кричать об этом истошным голосом или заваливать вас всплывающими сообщениями.
Так что пока неадекватно выглядит не исследование Microsoft, а ваш комментарий.
Vadim Sterkin,
Вадим, да стоит ли так со мной зарубаться. Как ни странно, позиции-то у нас во многом общие.
А Вы выискиваете разночтения там, где их нет. В частности, трактовка Ваша моих слов про перспективы “дырявления” 8-ки – просто некорректна логически, ибо того, что Вы из них выводите, там нет, а потому нет и противоречия (собственно, его не было б даже если б Ваши “из этого следует” были безупречны).
На Андроид стоит смотреть только потому, что он доказывает: система, доминирующая в том или ином сегменте массового рынка – будет наиболее подвержена и атакам. Это не закон технологии – это закон рынка. В частности, рынка коммерческой эксплуатации несовершенства потребительских систем. (Ссылки на тему “рост числа угроз для Андроид” я давать не буду. Пусть каждый желающий сам их нагуглит – это легко.)
Т.е. Андроид нас учит тому, что не стоит уповать на иную, “безопасную” архитектуру и тому подобное. Как только система выходит в лидеры – она становится объектом пристального интереса “хакеров”.
По поводу роли МСЕ/Дефендера я с Вами ни словом не спорю. Скорее наоборот.
А по поводу SRP/EMET – вон Виталий сразу вслед за Вами говорит, что чем современнее (и фактически стандартизированнее) софт, тем меньше у него проблем с этими технологиями.
А развитие экосистемы Винды и идет в этом направлении семимильными шагами, особенно после появления Метро и магазина. Так что в будущем среднему (это важно) юзеру ВОЗМОЖНО вполне будет хватать базового набора софта, из коробки совместимого с тем же ЕМЕТом, а сам ЕМЕТ будет включен в стандартную поставку и активирован.
В принципе, это был бы вполне логичный ход в том направлении, что сейчас вырисовывается.
Хоть лично мне такая перспектива и не слишком по душе. Но это уже другой вопрос.
В общем, все что я хотел сделать своим постом – это просто ответить на Ваш же изначальный вопрос.
Просто Вы традиционно для своего блога старались рассказать о возможности отказаться от АВ при помощи собственных средств Майкрософт.
А я столь же традиционно давал альтернативную картину – как то же самое можно проделать при помощи всего того богатого арсенала защитных методов и средств, что есть сейчас на рынке в огромном избытке.
И пусть каждый читатель выберет свое.
P.S. Жаль, нельзя провести “соцсоревнование” между различными идеологиями защиты, настроив несколько одинаковых ПК по разным протоколам и вручив их в пользование нескольким близнецам, а потом собрать с них фидбек.
Т.е. теоретически это, конечно, возможно, но для нас с Вами тут – вряд ли ;-)
К сожалению, у нас есть принципиальные разночтения.
Из этого следует, что вы вообще не поняли главную мысль моей записи, перевернув все с ног на голову. Объяснять еще раз не буду, просто перечитайте запись еще раз.
Равно как вы не поняли мою просьбу свернуть оффтоп про андроид…
99% “атак” на андроид- это левые программы, прямо при установке требующие прав на отправку платных СМС, звонков и тому подобное. То есть они не взламывают защиту андроида, а тупо требуют подтверждения. Кто виноват, что пользователи не читают и не думают, и ставят обои с правом отправки СМС?
Так же и под винду- толку от уац и антивируса, если пользователь жмёт на “Да” и “Добавить в исключения”.
Vadim Sterkin,
Дело в том, что предлагаемый мастер поиска и исправления ошибок безопасности по ссылке выше из вашего поста просканировал систему и выдал отчет, который по желанию можно отправить в Microsoft. Так вот этот мастер в отчете выдал два сообщения: 1. Антивирусных продуктов не установлено. 2. Ошибок системы безопасности не обнаружено.
Если они по таким отчетам делали исследование, то это как раз подтверждает, что исследование не корректно. Если вам плохо в это верится, могу повторить сканирование и выложить “скриншот”. Причем, прошу заметить, такое сканирование я выполнял на 5-ти различных машинах как с пиратской ОС, так и с лицензионной, то же самое проделал у коллеги в конторе результат тот же.
Попробуйте сами пройти по ссылке из вашей статьи MSRT и вам предложат скачать мастера, и вы поймете, про что идет речь. Скажем по-другому мастер этот, и есть часть Malicious Software Removal Tool. Этот мастер заливается каждый месяц с обновлениями и автоматически делает отчет и отсылает его. Вот по этим отчетам они и делают исследование.
Александр, я пользуюсь современными ОС, и да, я прогонял MSRT на 7 и 8 после ваших заявлений. И утилита не выдавала мне никаких сообщений об отсутствии антивирусов. Если у вас такое происходит, проблему надо искать в стороннем ПО, которое не регистрируется в системе так, чтобы MSRT могла определить его.
Я не знаю, о чем вы говорите. Я не писал статей об MSRT.
И да, выложите скриншот, а еще лучше – видео, потому что у меня давно нет XP SP3. Так или иначе, я склонен видеть у вас какую-то частную проблему, которая не дает оснований дискредитировать отчеты MSRT, отработавшей на миллионах ПК.
Vadim Sterkin,
разногласия – не новость. Странно, если б их не было. Но они и не повод для выискивания некорректных поводов для дальнейшего размежевания. Корректных и так с головой хватит ;-)
Просто я давно придерживаюсь стратегии поиска точек соприкосновения и конструктивной дискуссии, ибо “интернет-пользователи всегда найдут повод размежеваться” ;-)
Виталий К,
а какая разница (что в свете нашей дискуссии, что с точки зрения конечного пользователя), какова технологическая основа угроз? Главное, что они есть и успешно атакуют.
Я ж недаром писал про социальную инженерию применительно к 8-ке – чем больше она будет сближаться с мобильными платформами, тем больше ее будут долбать именно в этом направлении.
Система по идее должна быть устроена так, чтобы помогать юзеру правильно (безопасно) себя вести в непонятных ему ситуациях. Пока же все происходит совсем не так.
И никакой антивирус ЭТУ проблему не решит.
Главное, чтобы вы правильно понимали основные тезисы моих статей. Пока что вы делаете вид, что все нормально, когда я вам указываю на принципиальные разногласия, и продолжаете тащить дискуссию в неконструктивное русло.
Совсем без антивируса нельзя, но можно покупать не дорогие аналоги програм. Не у всех на компьютере есть что-то важное, например документы и потеря не влечёт ничего за собой. Более того, каждый антивирус ловит только свои вирусы, Поэтому нет смысла покупать дорогие. Такие как Касперский, нод, и Веб. На сегодняшний день есть много и бесплатных решений.
Геннадий, к сожалению, вы в плену двух ошибочных стереотипов:
1. Как я неоднократно говорил по поводу “у меня ничего важного нет”, наличие вирусов на вашем ПК способствует их распространению или атакам на другие ПК.
2. Платные решения стоят денег потому, что обеспечивают более надежную защиту по сравнению со своими бесплатными аналогами.
Трёх, Вадим!
3. Совсем без антивируса можно, после настройки системы по протоколу, ссылку на который я приводил в первых комментариях. И ПК будет защищён ото всех вирусов.
Вадим, в защиту данного лопу… продвинутого пользователя хочу заметить, что:
-работа под админом под uac не сильно безопасней, так как есть пути обхода uac, реальную безопасность дает только работа под ограниченным пользователем с включенным uac, не уменьшая удобства пользования системой (фактически, все отличия в вводе пароля при установке программ вместо нажатия Да)
-антивирусная защита при грамотной настройке системы нужна, но в меньшей степени, можно и обойтись, от зеродей угроз навряд ли защитит
А в целом, товарищ реально не в теме, наверняка заражен не одним трояном, просто не знает
Сергей, а какие конкретные пути обхода UAC вы знаете? И если вы собираетесь работать под ограниченным пользователем с включенным UAC, то чем ввод пароля безопаснее с учетом путей обхода? :) Ведь ввод пароля можно и под админом настроить – достаточно подвинуть ползунок вверх.
Вадим, знаю что они есть, был на ИТ конференции, видел демонстрацию без подробностей. Думаю, кому нужно, их знают. Безопаснее работа под ограниченным пользователем тем, что для повышения привилегий запуска нужен зеродей на это повышение, про штатные средства обхода я не слышал. Вы знаете другие способы? Про возможность ввода пароля при перетаскивании ползунка не знал, но думаю, что мало кто этим пользуется и не уверен, что это повышает безопасность при использовании методов обхода, т.к. не знаю подробностей.
Сергей, ок, допустим, вы работаете все время под обычным пользователем. Надо установить или обновить программу. Как вы решаете эту задачу?
Ну на самом деле я не так часто устанавливаю новые программы, т.к. семерка стоит с весны 10-го года, все уже установлено давно. Если возникает необходимость, скачиваю дистрибутив с оф.сайта, проверяю цифровую подпись для порядка и контроля целостности файла (бывает, http компонент каспера бьет файлы, например), потом щелкаю 2 раза по файлу для запуска. Т.к. сейчас в инсталляторах подавляющего большинства программ требуются права администратора, то производители ПО включают в манифест файла флаг на повышение привилегий. Поэтому, при работе из-под UAC выскакивает запрос на разрешение запуска программы, а в моем случае кроме одобрения там еще и графа для ввода пароля. Я ввожу пароль администратора и нажимаю Да. Программа устанавливается.
Что касается обновления программ, то тут все зависит от программы. Windows, Office, IE и пр. обновляются через WU раз в месяц без моего особого вмешательства. Браузеры опера, драгон, мозилла, которые у меня стоят, давненько научились ставить системную службу, которая сама может скачать и установить новую версию без моего одобрямс.
Еще ряд софта выдает при запуске сообщение о вышедшей новой версии, и либо предлагает ее скачать по ссылке, либо самостоятельно выкачивает и запускает, тогда на каком-то этапе обязательно выскакивает запрос UAC с вводом пароля.
В режиме ручного обновления и пристального контроля находится только злополучный флеш плеер, который автоматически обновляется через раз и с опозданием, да защитные продукты типа АВ и МЭ. Тут приходится для лучшей работы сначала все удалять, а потом переставлять более актуальные версии, в основном из-за проблем с совместимостью и кривым импортом настроек. Вот тут я, бывает, даже загружаю профиль администратора, правда бывает это раз в пол года – год. Достаточно подробный ответ? :)
Сергей, да, ответ подробный :) Но опять же, вам приходится вводить пароль админа в запросе UAC. Это нормально, но вы же сами подняли тему обхода UAC… На самом деле, UAC не является границей защишенной зоны (именно потому, что решение в конечном итоге за пользователем).
Другими словами, принципиальной разницы между работой с административной и обычной учетной записью нет – вам так или иначе приходится одобрять запрос.
С точки зрения пользователя- несомненно. Но с точки зрения наличия уязвимостей в прикладном ПО все не так однозначно. Если уязвимость в системных библиотеках, то может и не иметь разницы, каким пользователем она проэксплуатирована, но если уязвимо прикладное приложение, например ридер пдф, и он запущен под ограниченным пользователем, то вредоносный код, запущенный в контексте пользователя не сможет изменить системные файлы или ветки реестра, троян не встанет. Максимум, чем это может грозить, так это однократной кражей данных или процессом, записанным в автозагрузку. Конечно, при отсутствии в наличии злоумышленников метода повышения прав в системе или зеродей уязвимости на повышение привилегий, а они редки и, думаю, баснословно дороги.
Вадим, я правильно понял, что Вы не считаете ввод пароля администратора при запросе uac достаточно безопасным и знаете методы его получения. Ответ жду по почте, расстарался и вписал ящик)
Сергей, я не отвечаю по почте, но вы можете подписаться на комментарии, раз вы уже вписали ящик :)
Я понимаю, что вы имеете в виду, но мне кажется, что вы смешиваете в кучу уязвимости UAC и уязвимости системы безопасности Windows, позволяющие повысить права (elevation of privilege). Я не припоминаю ни одного бюллетеня безопасности, закрывающего уязвимости UAC, зато есть множество бюллетеней с обновлениями, исправляющими ошибки, которые позволяют повысить права. Так, из 90 последних бюллетеней 14 именно таких.
Я не знаю методов получения пароля, но я не вижу принципиальной разницы между вводом пароля и нажатием кнопки “Да” в диалоге UAC. Конечно, при втором варианте случайное одобрение чуть более вероятно (хотя в диалоге кнопкой по умолчанию является “Нет”). Но по сути, если у вас есть надлежащие права и вы хотите одобрить запрос, вы это сделаете и так, и эдак.
И все потому, что UAC не является границей защищенной зоны.
Если уж вы параноидально относитесь к безопасности, работайте обычным пользователем с отключенным UAC (подавление запросов), а для административных задач – входите администратором с включенным UAC. А то сейчас у вас что-то среднее…
См. также записи блога (в общем, в них и надо обсуждать UAC, а не тут :)
Так ли страшен контроль учетных записей?
[видео] Почему не всегда работает перетаскивание файлов при включенном UAC
+ Ещё раз за и против UAC (Артем Проничкин, который намного более параноидален в этом аспекте, чем я)
Добрый день.
Использую у себя на личном компьютере Windows Defender (на Win8). Меня вполне устраивает. Не знаю даже есть ли смысл переходить на другой антивирус?
Если по теме, то считаю, что использование антивируса крайне необходимо особенно для рядового пользователя. Вирусы так то имеют особенности проникать не только из сети, но и с физических носителей…
Включение других мер безопасности (центр обновления Windows, брандмауэр, фильтр SmartScreen, UAC) тоже не на пустом месте основано – и придумано разработчиками не просто так. Собственно много телодвижений со стороны пользователя они и не занимают. И если уж и приходится по началу испытывать дискомфорт использования UAC (вызванный непривычностью по большому счету), то потом привыкаешь и понимаешь, как и почему это работает.
ps “для скептиков: так то можно сигнализацию не включать, да и двери в машине не закрывать уходя домой.”
На одном домашнем ПК Windows7 + UAC + Avast. Аваст сейчас следит за актуальностью браузеров (а их там зоопарк) и флеш/шоквейв и иже с ними. На моем домашнем ПК Windows8. Аваст был уличен в конфликтах с логоном (т.к. если записи как “пользователь” и “админ”) и часто просто не появляется старт-экран, до этого просто бсоды были… пока удален, но и этой системой уже недельки 2-3 не пользуюсь. В тесте Windows8.1 + UAC + Дефендер + Автообновления + Експлорер10 (и мне таки-да нравится, и дефендер и ИЕ10).
Вадим, а давайте останемся каждый при своем мнении, зерна истины есть в обеих точках зрения.
Напоследок замечу, что отличия все же есть, и они достаточно основательные и очевидные. Во-первых, если вы не единственный пользователь ПК (жена, дети и т.д.), то пользователь не знакомый с азами информационной безопасности легко в ваше отсутствие одобрит любые запросы UAC и может способствовать заражению ОС. Или даже сам скачает зараженные файлы программ ,песни с расширением ехе и пр. Нельзя исключать и злой умысел со стороны окружающих. Другое дело ограниченная запись, где ПО устанавливает только квалифицированный пользователь, т.к. пароль знает только он, а остальные пользуются всеми благами, но без административных прав.
2. При работе из-под ограниченного пользователя запросов uac объективно меньше, следовательно, больше возможностей правильно оценить риск. Примером могут служить те же приложения с автозапросом на повышение прав при работе под администратором, например, regedit. Меньше запросов-слабже привычка одобрять не подумав.
3. Администратор под uac имеет больше прав, чем ограниченный пользователь. Во многих unix подобных системах, в т.ч. Mac os X, для повседневной работы используется ограниченный пользователь, права повышаются по необходимости, как в приведенной мной схеме. Та же команда sudo. UAC был введен microsoft чтобы хоть как-то защитить пользователей и привить необходимость повседневной работы под ограничениями, причем после ввода ограничения уже послабляли в новых ОС. Пока, имхо, привилось не очень.
4. Для пользователей windows xp, server 2003, а их пока не так уж мало, другого способа обезопасить свою работу, как работать под ограниченным пользователем-нет. А меню Запустить от имени никто не отменял.
Что касается разделения уязвимостей uac и на повышение привилегий, то я как раз их разделяю. Ведь на повышение привилегий работают и для ограниченного админа, а направленные на обход uac расширяют это множество. А то, что их в бюллетенях нет, то, как говорится: -Видишь суслика? -Нет. -И я нет. А он есть…
Коротко не получилось.
Сергей, оставаться при своем мнении – нормально. Можно расходиться в рекомендациях по безопасной работе, но в любом случае они должны базироваться на понимании технологий. Ваш комментарий показывает, что вы “плаваете” в некоторых моментах.
Так ваши неопытные домочадцы и не должны работать с правами администратора. Их удел – обычная учетная запись. См. также [подкаст] 7 причин использовать отдельные учетные записи для каждого члена семьи (#4)
Я бы не сказал, что запросов так уж намного меньше. Если в манифест заложено требование на повышение прав, запрос будет. regedit – хороший пример, но надо понимать, что отсутствие запроса у обычного пользователя приводит к тому, что он может править только HKCU. Видимо, в манифест прописано RunAsInvoker. Другими словами, работая с обычными правами, вам все равно надо запускать редактор реестра от имени администратора, если вы хотите что-то поправить в системных настройках.
Это абсолютно неверное заявление, и я очень подробно разбирал этот момент в записях, на которые я сослался в комментарии выше. Больше прав администратор получает только после одобрения запроса UAC (в т.ч. тихого – в панели управления, например), а так он работает с обычными правами.
Опять же, в основной записи про UAC (ссылка выше) я объяснял, что истинная цель введения UAC – вовсе не пользователи, а разработчики.
Да, но работа под ограниченным пользователям в этих ОС удобна примерно настолько, насколько в новых ОС – с отключенным UAC. Вы-то работаете со включенным :)
Ммм… вы не нашли закрытых уязвимостей UAC, но все равно сделали вывод, что они есть. Это не аргумент, это слепая вера :) Они-то, может, и есть, но вот только никто их не эксплуатирует почему-то, зато эксплуатируют другие, связанные с повышением привилегий.
.
Это мой основной тезис данного обсуждения, рад, что Вы согласились с ним. При этом я не вижу никаких преимуществ из Ваших доводов, чтобы и мне не сидеть под ограниченным пользователем.
Да, это осознанно вызванное мной повышение привилегий, только на случай, если программа действительно нуждается в правах администратора. Вы же будете раз за разом получать запросы uac, даже если хотите просто просмотреть ряд кустов реестра без их правки или править только HKCU, это если продолжать пример с regedit, и таких приложений не так уж мало.
Ну тут я имел ввиду (возможно, не слишком наглядно пояснил), например, автоматическое повышение привилегий при выполнении рядя административных действий. Попробуйте, например, запустить Управление компьютером под пользователем и администратором под uac.
Именно так, хотя работа вполне возможна, сам практиковал уже давным давно.
Вадим, возможно Вы не поняли, но я ни в коей мере не выступаю за отключение uac, я такого не писал, я за работу под ограниченным пользователем. А как раз наличие uac позволяет сделать эту работу столь же комфортной, как и работу под администраторской учеткой с uac. А вот Ваше предложение
из разряда вредных советов. Например, при отключенном uac, если у вас настроен сетевой доступ по локальной сети, удаленный компьютер, зная пароль вашего администратора (например, подобрав не слишком стойкий), сможет удаленно изменять Ваши системные файлы, даже запускать исполняемые файлы, что невозможно при включенном uac. Так что вы тоже «плаваете» в некоторых моментах. :)
Действительно, буду, но разницы никакой нет – я запустил regedit и одобряю запрос. UAC – это просто уведомление о том, что нужно повышение прав. Если я не запускал ничего и получил запрос – это повод задуматься и отклонить его. И, кстати, можете привести еще пяток примеров таких приложений, раз их немало? :)
Так это сделано для удобства людей, работающих с административной учетной записью (их подавляющее большинство) – такие запросы одобряются всегда, поэтому они повышаются автоматически. Но если вы подвинете ползунок на верхний уровень, будете получать запрос пароля. Пока вы не уясните, что администратор все равно работает с обычными правами, мы так и будем ходить вокруг да около :) Давайте сравним:
Вы – работаете в обычной учетной записи с обычными правами и повышаете их, одобряя запрос UAC путем ввода пароля.
Я – работаю в административной учетной записи с обычными правами и повышаю их, одобряя запрос UAC нажатием кнопки “Да”. При желании я могу настроить запрос пароля (см. ниже).
И в чем же разница?
Возможно, моя формулировка “отключение” была не слишком удачной, но смысл сказанного должен быть понятен, с учетом фразы про подавление запросов и продолжения про включенны UAC для администраторов, что не попало в процитированный вами фрагмент.
UAC отдельно настраивается для обычных пользователей и администраторов. Подавление запросов – это политика “Автоматически запретить запросы на повышение прав”.
Ок, я второй и последний раз прикрывю комментарии. Ибо опять оффтоп идет сплошной. И если дискуссия о UAC еще ведется в техническом ключе, то комментарии людей, вернувшихся в Интернеты к началу учебного года, не выдерживают никакой критики и не должны тут находиться.
Всем спасибо!