Beyondtrust.com近期发布了一份报告,声称除其他外,还有其他相当引人注目的事情:“通过消除pipe理权限减轻了90%的关键Microsoft Windows 7漏洞”
他们提供的其他有趣的“事实”说,这些也通过不作为本地pipe理员运行缓解:
但是,阅读报告的第一页左右,我看到这一行:
如果以下语句位于“安全公告”的“缓解因素”部分,则认为通过删除pipe理员权限可以缓解漏洞, – 与具有pipe理用户权限的用户相比,其帐户configuration为拥有较less用户权限的用户受到的影响要小。
对我来说可能听起来相当虚弱,所以我想知道这一切是多么的有效。 我不想说没有pipe理员权限就不安全,我想这是众所周知的。 我只是想知道这些统计数据是否会用作参数中的弹药,或者用来将这种变化(将用户作为本地pipe理员移除)出售给业务方? 思考?
链接到报告(pdf)
[这应该是一个社区维基?]
是和不是,如果你面对有针对性的攻击,即使微软自己承认,本地可开发的特权升级缺陷也很容易find,并且是半定期发布的。 此外。 BEP(像mPack,Silence,Eleonore这样的浏览器开发包)正在将诸如#GPtrap处理程序漏洞的东西整合到他们的包中,因为pipe理员变得更加精明。
拒绝用户的pipe理访问是好的,但远远不是一个完整的解决scheme。
当然,它会保护你的系统(窗户,办公室等)。 由于常规用户不具有窗口和程序文件文件夹的编辑权限(目标文件存储病毒和漏洞)。 所有这些病毒和漏洞都可以在这种情况下完成 – 感染用户的configuration文件,只需要删除用户的configuration文件或简单的病毒扫描程序,就可以在pipe理员帐户下简单地修复这些configuration文件。
没有pipe理员权限,您无权访问:
所以如果不能访问上面的内容,就很难妥协Windows。
正如@Dimitry所说,作为一个有限的用户,所有你可以搞砸的是你自己的个人资料…理论上…
我build议你看看给用户的pipe理员访问公司PC是否正常? 进行类似的讨论。