Vista/Win7 - UAC e privilegi limitati: il 92% delle falle critiche reso inoffensivo

[WarDuck]

Il report di BeyondTrust, fonte ZDNet:

http://blogs.zdnet.com/security/?p=2517

• 92% of Critical Microsoft vulnerabilities are mitigated by configuring users to operate without administrator rights
• Of the total published Microsoft vulnerabilities, 69% are mitigated by removing administrator rights
• By removing administrator rights companies will be better protected against exploitation of 94% of Microsoft Office, 89% of Internet Explorer, and 53% of Microsoft Windows vulnerabilities
• 87% of vulnerabilities categorized as Remote Code Execution vulnerabilities are mitigated by removing administrator rights

Tradotto:

- il 92% delle vulnerabilità critico è reso inoffensivo configurando gli utenti senza diritti amministrativi

- Il 70% di tutte le vulnerabilità che Microsoft ha pubblicato, sono rese inoffensive dall'uso di account senza diritti amministrativi

- Senza diritti amministrativi le aziende sono protette contro exploit il 94% di Office, 89% Internet Explorer e 53% Windows (percentuali di vulnerabilità)

- L'87% delle vulnerabilità del tipo Esecuzione di Codice Remota sono rese inoffensive usando account senza privilegi amministrativi

Questo conferma quanto sia importante usare account con privilegi limitati.

[rutton]

Viva viva lo UAC

[xsim]

Meglio però configurare lo UAC in modo che chieda la password invece di un banale "Continue - Cancel"..così facendo attira maggiormente l'attenzione e allo stesso tempo rende impossibile a chi non amministra il computer di fare danni seri.
Così come già accade con il Sudo (super user do) in ambiente Linux..per esempio.

[Collision]

Quanti siti e blog di "espertoni informatici" che hanno pubblicato le ottimizzazioni di Vista, dovrebbero aprire invece un blog di giardinaggio...

[WarDuck]

In parte concordo con XSIM, alla MS dovrebbero fare una schermata che spiega perché UAC è indispensabile e poi dare la possibilità alla gente di configurarlo subito dopo l'installazione, possibilmente rendendolo difficile da disattivare (quantomeno in prima battuta).

Cmq vale la pena ricordare che UAC interviene su richiesta per elevare i privilegi, e si poggia sulla gestione già esistente da Windows NT degli account.

[rutton]

Quote:

Originariamente inviato da WarDuck

dovrebbero fare una schermata che spiega perché UAC è indispensabile

gli utonti non la leggeranno comunque.

[xsim]

Quindi, paradossalmente, gli utonti certificati farebbero bene ad usare Linux (diciamo Ubuntu, così..per dirne una) invece del Windows per il semplice motivo che su tale sistema operativo virus & company sono così pochi che rischierebbero quasi nulla.
Tuttavia..se ci si sposta in massa su Linux allora questo verrà preso di mira dagli sviluppatori "malevoli"..e quindi Windows sarà meno bersagliato e quindi più sicuro.
Alla fine il sistema operativo più sicuro è quello meno bersagliato..questo aldilà delle proprie intrinseche qualità architetturali in ambiente di sicurezza informatica (che comunque gli "utonti" mettono in ogni caso in seria crisi). ^_^
La sfida certamente più grande è quella di impedire "all'utonto" di fare danni senza che questo cambi sistema operativo perchè si è rotto le pelotas di troppa invasività (insomma..una richiesta eccessiva del proprio cervello single neuron).
La verità è che se gli utonti (notare che ormai lo scrivo senza virgolette) vogliono essere DAVVERO sicuri o si aggiornano..o è meglio se mettono i dindi sotto il materasso e staccano il PC dalla rete.

[WarDuck]

Quote:

Originariamente inviato da rutton

gli utonti non la leggeranno comunque.

Dopo il testo ci metti un quiz e chi sa rispondere bene accede al sistema operativo

Se UAC viene disattivato allora gli ripresenti il quiz, dopo 3 volte UAC non è più disattivabile.

Oppure gli scrivi, chi legge questo testo diventa miliardario

[xsim]

Quote:

Originariamente inviato da WarDuck

Dopo il testo ci metti un quiz e chi sa rispondere bene accede al sistema operativo

Se UAC viene disattivato allora gli ripresenti il quiz, dopo 3 volte UAC non è più disattivabile.

Oppure gli scrivi, chi legge questo testo diventa miliardario

E così tornano all'XP e sputano (a torto) anche sul Windows 7, 8 e 9.

[G1971B]

Quote:

Originariamente inviato da WarDuck

Dopo il testo ci metti un quiz e chi sa rispondere bene accede al sistema operativo

Se UAC viene disattivato allora gli ripresenti il quiz, dopo 3 volte UAC non è più disattivabile.

Oppure gli scrivi, chi legge questo testo diventa miliardario

Ma LOL!!!!

[ezio]

Aspettavo l'arrivo di un sistema di privilegi automatico e immediato, già attivo e integrato nel sistema operativo. Come ho scritto in un altro thread, l'UAC è secondo me migliorabile ma la sua utilità mi sembra evidente.

Appunto: miraccomando ragazzi, niente flame windows/linux, battute spinte e via discorrendo. Grazie in anticipo a tutti

[Nosf3r]

Secondo me basta impostare già di default, quando le case produttrici preinstallano l'OS, l'utente normale per tutti i giorni e poi alla prima installazione di un programma si crea un utente con privilegi superiori (ma inaccessibile all'utonto) che serve esclusivamente per questo. Dite che sto sognando ad occhi aperti?

[WarDuck]

Quote:

Originariamente inviato da Nosf3r

Secondo me basta impostare già di default, quando le case produttrici preinstallano l'OS, l'utente normale per tutti i giorni e poi alla prima installazione di un programma si crea un utente con privilegi superiori (ma inaccessibile all'utonto) che serve esclusivamente per questo. Dite che sto sognando ad occhi aperti?

Il problema è che l'utente medio Windows non è abituato a vedersi comparire una schermata nella quale mettere la password dell'account amministratore... ad ogni modo penso che tra un po' di tempo ci arriveremo, sempre che Windows 7 si sarà diffuso abbastanza.

[hexaae]

Quote:

Originariamente inviato da WarDuck

Il report di BeyondTrust, fonte ZDNet:

http://blogs.zdnet.com/security/?p=2517

• 92% of Critical Microsoft vulnerabilities are mitigated by configuring users to operate without administrator rights
• Of the total published Microsoft vulnerabilities, 69% are mitigated by removing administrator rights
• By removing administrator rights companies will be better protected against exploitation of 94% of Microsoft Office, 89% of Internet Explorer, and 53% of Microsoft Windows vulnerabilities
• 87% of vulnerabilities categorized as Remote Code Execution vulnerabilities are mitigated by removing administrator rights

Tradotto:

- il 92% delle vulnerabilità critico è reso inoffensivo configurando gli utenti senza diritti amministrativi

- Il 70% di tutte le vulnerabilità che Microsoft ha pubblicato, sono rese inoffensive dall'uso di account senza diritti amministrativi

- Senza diritti amministrativi le aziende sono protette contro exploit il 94% di Office, 89% Internet Explorer e 53% Windows (percentuali di vulnerabilità)

- L'87% delle vulnerabilità del tipo Esecuzione di Codice Remota sono rese inoffensive usando account senza privilegi amministrativi

Questo conferma quanto sia importante usare account con privilegi limitati.

Grande articolo! Finalmente la prova provata...

[hexaae]

Quote:

Originariamente inviato da WarDuck

Dopo il testo ci metti un quiz e chi sa rispondere bene accede al sistema operativo

Se UAC viene disattivato allora gli ripresenti il quiz, dopo 3 volte UAC non è più disattivabile.

Oppure gli scrivi, chi legge questo testo diventa miliardario

XXX sex for free activating UAC!
Vedi come lo attivano...!

Io continuo a sostenere la tesi della video-guida che spieghi l'UAC durante l'installazione (=mentre intanto procede in background dato che ci mette almeno mezz'ora) di Seven. Sarebbe ben più utile della auto-pubblicità "Con Windows la produttività migliora..." etc. etc.

[hexaae]

Per attivare in più anche la richiesta password con UAC la chiave da modificare è:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
ConsentPromptBehaviorAdmin REG_DWORD 0x2

(2= il tipico requester Continua, Annulla (default); 1= chiedi in più login/pass)

[Nosf3r]

Quote:

Originariamente inviato da WarDuck

Il problema è che l'utente medio Windows non è abituato a vedersi comparire una schermata nella quale mettere la password dell'account amministratore... ad ogni modo penso che tra un po' di tempo ci arriveremo, sempre che Windows 7 si sarà diffuso abbastanza.

Se il sistema definitivo è come la beta bè si diffonderà velocemente

[PeK]

si diffonderà, ma con uac disattivato

[WarDuck]

Quote:

Originariamente inviato da PeK

si diffonderà, ma con uac disattivato

Non credo, MS correggerà i problemi che attualmente affliggono UAC su Win7, quindi si potrà tornare ad usarlo come prima senza richieste per le impostazioni di Windows.

[Ghost Of Christmas Past]

Quote:

Originariamente inviato da WarDuck

Non credo, MS correggerà i problemi che attualmente affliggono UAC su Win7, quindi si potrà tornare ad usarlo come prima senza richieste per le impostazioni di Windows.

Correggerà gli exploit attualmente usciti allo scoperto, ma il concetto di fondo, ovvero che un root che interviene solo su programmi esterni, oltre che essere didatticamente errato per l'utente, continua ad esporre il sistema ad exploit simili, in cui script e altre applicazioni malware simulano l'azione utente.