Beyondtrust.com 最近发布了一份报告,其中声称“90% 的关键 Microsoft Windows 7 漏洞通过消除管理员权限得到缓解”
他们提供的其他有趣的“事实”表明,不以本地管理员身份运行也可以缓解这些问题:
- 2009 年报告了 100% 的 Microsoft Office 漏洞
- 2009 年报告了 94% 的 Internet Explorer 和 100% 的 IE 8 漏洞
但是,在阅读报告的第一页左右时,我看到了这一行:
如果以下句子位于安全公告的缓解因素部分中,则认为可以通过删除管理员权限来缓解漏洞:“帐户被配置为在系统上拥有较少用户权限的用户可能比使用管理用户权限操作的用户受到的影响更小。
对我来说可能听起来很弱,所以我想知道这一切到底有多有效。我并不是说没有管理员权限运行不安全,我认为这是众所周知的。我只是想知道这些统计数据是否是您在争论中用作弹药的东西,或者用于向业务方出售类似的更改(删除用户作为本地管理员)?想法?
[这应该是一个社区维基吗?]
是的,当然它会保护您的系统(windows、office 等)。因为普通用户对 Windows 和程序文件文件夹(其中存储病毒和漏洞利用的目标文件)没有编辑权限。在这种情况下,所有病毒和漏洞都可以做 - 感染用户的配置文件,只需删除用户的配置文件或使用简单的病毒扫描程序即可在管理员帐户下修复。
是的,也不是,如果您面临有针对性的攻击,即使微软自己承认,本地可利用的特权升级漏洞也很容易找到,并且是半定期发布的。此外。随着管理员变得更加精明,BEP(浏览器漏洞利用包,如 mPack、Silence、Eleonore)正在将#GPtrap 处理程序漏洞利用等内容整合到他们的包中。
拒绝用户的管理员访问是好的,但离一个完整的解决方案还很远。
如果没有管理员权限,您将无权访问:
因此,如果不访问上述内容,很难破坏 Windows。
正如@Dimitry 所说,作为有限的用户,你所能搞砸的只是你自己的个人资料......理论上......
我建议您看一下授予“用户”管理员访问其公司 PC 的权限是否正常?进行类似的讨论。