Firza
Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Цитата:| SRP работает, только если никогда не нарушают правила типа не сидеть в админе, не качать софт с первого попавшегося сайта и т.д. ? |
Да. Если пользователь сам, добровольна будет устанавливать программы неизвестного происхождение, то не SRP, и не сидеть в админе не поможет. Но это относится к любой OS, даже самой защищенной. Если root, administrator сам хочет установить вредоносную программу то это его выбор. Если человек хочет повесится то это выбор, а не вина верёвки.
Груба говоря, SRP это почти аналог атрибута execute который есть на Linux, BSD и который там очень широко применяется. Вообще-то и на Windows есть атрибут execute, но толка от него никакого, так ко он по умолчанию уже установлен на все папки, все файлы, для всех пользователей.
Используя SRP можно добиться того, что запускать можно только те программа, которые установлены администратором. То есть только те программы которые находится в папках %Windir% и %SystemRoot% (настройка по умолчанию в SRP). Так как у пользователя по умолчанию эти папки доступны только для чтение, то он не сможет запустить что то постороннее, даже если очень сильно захочет (запуск Live CD и сброс пароля администратора не считается, так как вирусы еще не научились сами вставлять и записывать Live CD для сброс пароля).
Как заразить компьютер, под зашитой SRP и учетной записи Пользователь, я не знаю. Так и не получилось мне заразит свой компьютер, в течении > 5 лет, независимо от то какие вредоносные страницы я бы посещал. Ну наверно я просто посещал не те страницы.
Все бы было хорошо, но у SRP есть очень могучий противник под названием Google Chrome. Так как у Google Chrome есть только один способ установки – в папку %usereprofile%, то сперва будет проблема с самой установкой данной программы, и даже если её установить, с настройками по умолчанию в SRP, Google Chrome работать не будет, потому как запуск программ из %usereprofile% запрещен. Это означает, что надо будет менять правила в SRP для Google Chrome. Но так как в папку %usereprofile% разрешена запись то это ослабевает защиту. Раз уж Google Chrome может запускаться из %usereprofile% то и вредоносные программы могут сперва копировать себя в папку Chrome и уже от туда запускаться как разрешенная программа. Так что Google Chrome еще долго небудет установлен на моем компютере.
|
Всего записей: 273 | Зарегистр. 01-09-2004 | Отправлено: 18:40 22-03-2012 | Исправлено: Firza, 18:41 22-03-2012 |
|
. Вооружился вторым монитором и дополнительным софтом, позволяющем нескольким пользователям одновременно работать за одним системником (я предпочитаю "Астер"). Идея была следующая: одновременно работать под двумя учётками: локального админа, у которого полностью заблокирована сеть, и админа домена, у которого нет админских прав на локальном компе. Суть: с одной стороны, все права есть и не нужно жать подтверждения UAC, с другой - по безопасности равносильно работе под ограниченной учёткой. Увы, не прокатило... Так и не нашёл никаких средств, которые бы позволили избирательно заблокировать сеть лишь для одной учётки при нескольких активных... 
