wtf Windows Security Center

Microsoft heeft gelijk dat code die met Administrator rechten draait,
uiteindelijk alles kan op een systeem (inclusief hooken van keyboard,
file I/O en registry functies) waarmee niets hoeft te zijn wat het lijkt.

De blunder van Microsoft is dat ze XP users by default lid maken
van Administrators. Dat moet zowiezo veranderen. Daarnaast
moeten ze het dagelijkse gebruik van accounts die lid zijn van
Administrators onaantrekkelijk maken (bijv. IE en Outlook
Express dienst laten weigeren). Ten slotte zullen ze veel tijd
moeten stoppen in het opheffen van privilege escalation issues,
want daar zullen attackers zich vervolgens op concentreren.

Voor andere software makers, en Microsoft zelf, is er dan ook
nog een boel werk om te zorgen dat software goed werkt onder
non-admin accounts (geen write-access onder C:Program Files,
in de C:WinNT c.q. C:Windows en buiten HKCU in de registry).
Administrator account(s) worden dan uitsluitend gebruikt waar
ze ooit door voor bedoeld waren: systeem beheer incl. software
(de-) installeren.

Zolang MS users als lid van Administrators blijven werken, is
naast bovenstaande bezwaren de effectiviteit van een virusscanner
ook beperkt. Als verse malware door de scanner slipt zal deze,
indien sprake is van admin rechten, bijv. de automatische update
van de virusscanner eenvoudig kunnen uitschakelen (ook dit kan
visueel gespoofed worden!). De eerstvolgende virusdefinities die
deze malware wellicht wel zouden detecteren, zullen dan niet
worden opgehaald.

Zolang zelfs ervaren IT-ers mij met vragende ogen aankijken als ik
zeg dat ik (met m'n werk-account) bijna nergens schrijfrechten heb
op m'n C: schijf, blijft het vechten tegen de bierkaai.

Erik van Straten

Kan niet anders zeggen dan het hier volledig mee eens te zijn.
Alleen onder mijn admin account kan ik bij de root, niet het internet
op en ook geen mail uitlezen.
Wil ik Internet op en mail lezen moet ik inloggen onder mijn gewone
user-account met beperkte rechten.
En zo hoort het ook!

Erik,

Ik ben het compleet met je eens. Sterker nog, toen ik zelf
na een poos de onbedwingbare behoefte kreeg ook een zo'n
nifty pentium 4 kocht bij de media markt en zodoende mijn
eerste ervaring met XP kreeg had ik hetzelfde enge gevoel.
Een default user heeft in de home editie standaard
adminrechten. _Zonder_ dat er een password wordt afgedwongen
tijden de installatie. XP staat het toe om anonieme
connecties te maken met de IPC$ en zodoende de account namen
achterhalen. Do the math.
Op de site van MS staat dat men verwatcht dat 90% van de te
installeren software niet werkt als de enduser geen admin
rechten heeft.......wtf ?

Jouw ervaring komt overeen met die van mij. Als ik laat zien
hoe walgelijk eenvoudig het is om XP machines op die manier
te "kapen" zit men mij ook aan te kijken of water kan
branden (en dat kan onder bepaalde omstandigheden maar laten
we het /. gehalte laag houden). Een lsass of dcom aanval ga
ik dan maar niet uitleggen.

Oak

Mierenneukers

1 waar woord

Ik denk dat de persoon die de opmerking die ik heb ge-quote, meer een
open source liefhebber is. Dat kan, maar ga niet meteen domme
opmerkingen plaatsen. Zonde van de ruimte op deze site.

Dit is prachtig als je dit heb ingericht op een bedrijf
,sterker, niet meer dan logisch, hoewel veel gebruiker mij
dan wel vragend aankijken waarom ze de software niet kunnen
installeren terwijl ze dit thuis wel kunnen en hier komt dus
het probleem om de hoek kijken. De gewone thuisgebruiker
heeft er geen benul van waar en hoe en wat hij moet doen.
Hij volgt alleen de instructie's van de installatie en hij
is dan als gebruiker direct administrator en kan lekker zijn
eigen software installeren. Ideaal!!!!
Let wel. XP is OOK voor thuisgebruiker en deze lopen naar
mijn mening nog steeds risico.