none
Понижаем ли мы безопасность если программы которые для своей работы используют(создают) папки - размещаются в профиле пользователя ? RRS feed

  • Общие обсуждения

  • Понижаем ли мы безопасность если программы которые для своей работы используют(создают) папки - размещаются в профиле пользователя ?

    При условии что SPR включено на максимум, и пользователь вошел в систему под урезанным профилем как "ПОЛЬЗОВАТЕЛЬ"


    windows server 2008R2 standart AD+DNS+DHCP , клиенты W7 pro
    2 января 2012 г. 17:26

Все ответы

  • Ну вот у нас в профиле (по умолчанию) есть папка MyDocuments, ею пользуются всякие MS Excel, MS Word.. То, что пользователю есть куда складировать документы, снижает ли безопасность?


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI
    2 января 2012 г. 19:20
    Отвечающий
  • Ну вот у нас в профиле (по умолчанию) есть папка MyDocuments, ею пользуются всякие MS Excel, MS Word.. То, что пользователю есть куда складировать документы, снижает ли безопасность?

    А те которые ставятся в корень диска С: ?

     


    windows server 2008R2 standart AD+DNS+DHCP , клиенты W7 pro
    3 января 2012 г. 9:24
  • У вас в корне системного диска мусорят? Не давайте прав. Например, у меня ни на одной машине права NTFS не позволяют пользователям писать в корень любого диска. Только чтение.

    Если не вдаваться в глубокое теоретизирование вида "раз пользователь имеет возможность что-либо куда-либо писать, это уже небезопасно", на практике есть только одна проблема — если вы разрешаете пользователям сохранять данные абы где, возможно, эти данные не попадают под резервное копирование.


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI
    3 января 2012 г. 12:38
    Отвечающий
  • У вас в корне системного диска мусорят? Не давайте прав. Например, у меня ни на одной машине права NTFS не позволяют пользователям писать в корень любого диска. Только чтение.

    Если не вдаваться в глубокое теоретизирование вида "раз пользователь имеет возможность что-либо куда-либо писать, это уже небезопасно", на практике есть только одна проблема — если вы разрешаете пользователям сохранять данные абы где, возможно, эти данные не попадают под резервное копирование.


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI

    Цитата  из http://www.sysadmins.lv/CategoryView,category,SecuritySRP,2.aspx

    Примечание: для бизнес-приложений, которые как правило инсталлируются на отличный от системного том (обычно D:\) и для них рекомендуется делать исключения по хешу, нежели по пути. Это полезно по двум причинам:

    • зачастую бизнес-приложения пишутся “быдлокодерами” (простите уж за такую лексику, но это суровая правда), которые требуют разрешения записи пользователям в папку с исполняемым модулем. Спастись от заражения этого модуля пользователями можно только хешем. Это, к сожалению, актуальная проблема, которую нужно решать примерно так: “разработчиков софта, требующего админских привилегий, нужно силой пересаживать на OpenBSD, и не кормить дошираком до тех пор, пока их г***ософт не начнет там работать в ANSi-режиме на библиотеке ncurses” © Amin
    • в случае, если случится факт заражения (в данном случае только от лица неосторожного администратора), то высока вероятность, что вирус постарается инфицировать все .exe файлы в системе и по изменившемуся хешу это можно быстро вычислить (приложение больше не запустится) и в кратчайшие сроки вывести поражённую систему из сети для дальнейшего расследования инцидента.

    windows server 2008R2 standart AD+DNS+DHCP , клиенты W7 pro
    3 января 2012 г. 16:19
  • Ну давайте не будем тогда путать вместе понятия хранимых данных (документов) и исполняемых модулей (программ), это раз. Храните документы где душе угодно, но лучше строго определите эти душевные места, дабы случайно данные не потерять или не засветить их недопущенным пользователям.

    Если описанные вами быдлокодеры делают свою программу так, что она работает только из корня системного диска, это усложняет администрирование. Безопасность снижают те программы, которые упорно хотят прав на запись в свою папку, это да. Но у вас же описан рецепт, делайте SRP по хэшу? В чём вопрос?


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI
    3 января 2012 г. 18:54
    Отвечающий