Beyondtrust.com 最近发布了一份报告,其中声称“90% 的 Microsoft Windows 7 关键漏洞可通过消除管理员权限得到缓解”,这其中还包含一些相当引人注目的内容。
他们提供的其他有趣的“事实”表明,这些问题也可以通过不以本地管理员身份运行来缓解:
- 2009 年报告的 Microsoft Office 漏洞总数为 100%
- 2009 年报告了 94% 的 Internet Explorer 漏洞和 100% 的 IE 8 漏洞
但是,读完报告的第一页左右,我看到了这样一行:
如果在安全公告的缓解因素部分中有以下句子,则认为通过删除管理员权限可以缓解漏洞影响:“与具有管理用户权限的用户相比,帐户配置为拥有较少系统用户权限的用户受到的影响较小。”
可能听起来对我来说很无力,所以我想知道这一切到底有多有效。我并不是想说没有管理员权限运行并不安全,我认为这是众所周知的。我只是想知道这些统计数据是否会成为你在争论中用作弹药的东西,或者用来向业务方推销这样的改变(删除用户作为本地管理员)?你觉得呢?
[这应该是一个社区维基吗?]
答案1
是也不是,如果你面临有针对性的攻击,即使微软自己也承认,本地可利用特权升级漏洞很容易找到,并且会定期发布。此外。随着管理员变得更加精明,BEP(浏览器漏洞利用包,如 mPack、Silence、Eleonore)正在将 #GPtrap 处理程序漏洞等内容纳入其包中。
拒绝用户的管理员访问权限是好的,但远远不是一个完整的解决方案。
答案2
是的,它当然会保护您的系统(Windows、Office 等)。因为普通用户没有编辑 Windows 和程序文件文件夹(病毒和漏洞的目标文件存储在其中)的权限。在这种情况下,病毒和漏洞所能做的就是感染用户的配置文件,只需在管理员帐户下删除用户的配置文件或使用简单的病毒扫描程序即可轻松修复。
答案3
如果没有管理员权限,您将无权访问:
- 程序文件
- Windows 目录
- 主注册表
- 其他用户资料
- 自动运行(仅您自己登录)
- 创建服务
因此,如果不能访问上述内容,就很难入侵 Windows。
正如@Dimitry 所说,作为有限用户,您所能搞砸的只是您自己的个人资料……理论上……
我建议你看看授予“用户”公司电脑的管理员访问权限是否正常?进行类似的讨论。