** Michal Kawecki <kkwinto@o2.px> wrote:
>> Witam! Mam z W2K nawyk stosowania zabezpieczeń KERIO+AVAST+edycja kluczy
>> rejestru. Nie bardzo wiem czy jest sens zastosować podobne rozwiązania pod
>> Vistą? Czy MS zadbał odpowiednio o bezpieczeństwo nowego systemu czy jednak
>> warto pokusić się o niezależne narzędzia ochronne dostosowane już do Visty?
> Domyślna konfiguracja Visty jest w zasadzie wystarczająco bezpieczna, czego
> dowodem jest praktyczny brak exploitów na ten system.
Co za bzdura. Brak eksploitów na system nie jest niczego dowodem, na AmigaDOS
czy SpectrumUnix (z czapy wzięte) również nie ma eksploitów i nie mówi to nic o
poziomie ich zabezpieczeń.
Zerknij sobie chociażby na to:
http://secunia.com/product/13223/?task=statistics_2007
Luk nie brakuje, że nikomu nie chcę się ich masowo (ani też nie jest to możliwe
z powodu nikłego udziału w rynku) eksploitować, to nie oznacza, że nie da się.
> Zaimplementowano dość sensowny schemat zabezpieczeń NTFS i uprawnień do
> kluczy w rejestrze, a także dodatkowy system tzw. poziomów zaufania.
To jest na plus. Na minus jest to, że nadal nie uproszczono tego. Typowy
użytkownik nadal w ogóle nie używa tych miechanizmów, wielu użytkowników tzw.
zaawansowanych ich nie rozumie.
Obejrzyj sobie jak wygląda zakładka uprawnień do plików w Vista, tam powinien
być jedna wielka kontrolka "plik chroniony". Prostota.
Do tej pory (chociaż era takich programów już mija) można używając np.
programów typu P2P wyszukać systemowe pliki bo użytkownik udostępnił cały dysk
(bo nie wiedział co robi) - to powinno zostać uproszczone, tak aby było
użyteczne.
> Na przykład IE działa w trybie ograniczonego zaufania, w efekcie żaden skrypt
> czy też kontrolka ActiveX nie narobi nam szkody w systemie.
Bardzo się mylisz. Nawet nie zdajesz sobie IMHO sprawy jakie szkody są w stanie
narobić skrypty na WWW. I wcale nie chodzi o szkodzenie w systemie tylko o
wykradanie danych. Mało który program malware (praktycznie żaden) ma na celu
szkodzenie systemowi, wręcz przeciwnie - programy malware nie chcą systemowi w
żaden *zauważalny* sposób szkodzić. Chcą pozostać niewykryte możliwie długo.
O tym jakie zagrożenia płyną ze strony skryptów możesz pobieżnie przeczytać np.
tutaj:
Message-ID: <op.t1chjz0wc85zcd@pornel.net>
I to w ogóle nie ma związku z tym czy przeglądarka działa w Trybie Chronionym
(tm) czy nie.
> Nad wszystkim czuwa UAC, co powoduje, ze nie ma już żadnej potrzeby pracy na
> koncie administracyjnym.
No modulo sytuacje awaryjne. Ale UAC w wielu miejscach po prostu wyświetla
alert i pozwala użytkownikowi kontynuować. To jest ogromna pomyłka, powinno
odpytywać o hasło.
A i odpytuje o hasło administratora - powinno odpytywać o hasło użytkownika,
nie chcę nikomu dawać hasła administratora.
> Ale to wszystko oczywiście nie zwalnia użytkownika od myślenia. Jeśli
> uruchomi on świadomie jakiś program i zatwierdzi żądanie UAC uruchomienia go
> z podwyższonymi uprawnieniami celem jego zainstalowania, to oczywiście nic
> nie stoi na przeszkodzie, żeby w ten sposób system zainfekować. Dlatego
> antywirus niestety dalej jest niezbędny. Co do firewalla sprawa jest
> dyskusyjna, mnie osobiście ten wbudowany w zupełności wystarcza, ale jeśli
> ktoś lubi mieć przed oczyma kolorowe okienka ze słupkami z ilością
> przesyłanych bajtów, to może sobie zafundować bardziej rozbudowane narzędzie
> ;-).
Wiesz bezpieczeństwo NIE sprowadza się do Twojej Visty. Bezpieczeństwo to
ogromny proces, na który nakłada się wiele różnych czynników, sama stacja
robocza i jej konfiguracja oczywiście jest ważna, ale do tego dochodzi cała
infrastruktura, monitoring, ludzkie doświadczenie etc.
I jeżeli chodzi o ogół wszystkich tych procesów, to XP nadal pozostaje
bezpieczniejsze, bo współpracuje przewidywalnie (lata doświadczenia ludzkiego)
z infrastrukturą, bo znane są jego odchyły i już dokładnie wiadomo jak je
obchodzić etc.
Więc to zależy jak Ty pojmujesz bezpieczeństwo, ja zawsze patrzę w znaczeniu
ogólnym/szerokim i na dzień dzisiejszy w tym kontekście Vista nie oferuje
niczego spektakularnego, za to jest mniej ogarnięta przez ludzi.
--
+ ' .-. .
, * ) )
http://kosmosik.net/ . . '-' . kK
Received on Wed Nov 7 22:20:06 2007
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Wed 07 Nov 2007 - 22:42:02 MET