Windowsの非管理者権限でログオンの是非 について考えてみた
Windowsは非管理者権限でログオンしていればどの程度安全か? という記事が気になったのでちょっと追記・ω・
|
一般的に、管理者権限のないユーザーの権限でコンピューターを利用する方が、管理者権限のあるユーザーで利用するよりも「安全」とされていますが、Microsoft Windowsにおいて具体的にどの程度「安全」になるのかを調べた結果が公開されました。 これは、米セキュリティベンダーのAvectoが、2013年にMicrosoftが公開した脆弱性情報全333件を分析したもの また、Windows OSに限定すれば「緊急」レベルの脆弱性の96%が軽減され、Internet Explorerについてはレベルに関係なく100%すべての脆弱性が軽減できるという結果が出ています。 セキュリティにかかわる者にとっては、ある程度予想通りの結果とも言えますが、それでも90%を超える数字が具体的に示されているのは興味深いです。 しかし、だからと言って管理者権限さえなければ安全というわけではありません。注意しなければならないのは、今回の調査結果があくま 今回の調査レポートは、管理者権限のないユーザーでの利用を推奨する際の参考資料に使うにはいいのですが、逆に、管理者権限さえなければOKという誤解を生まないような注意が必要でしょう。 |
記事の内容はこちら
ここでいう、管理者権限のないユーザーでコンピューターを利用していれば、IEの脆弱性が利用される可能性は 0% みたいな誤解を招きかねないのですが…
まず、権限の昇格があるような脆弱性が利用された場合は無意味です。
JVNDB-2011-001159 – JVN iPedia – 脆弱性対策情報データベース
JVNDB-2013-005450 – JVN iPedia – 脆弱性対策情報データベース
権限自体を昇格した上、保護モードを迂回されてしまっては、ユーザー権限でWebページを見ていても変わらないということです。
例えるなら、 Windows 2000使ってて、ちゃんとセキュリティ考えて使ってるのはひと握りで、大半は サポートの切れた Java、 Flash、 IE 使ってアクセスしてる実態があるってのに似てる気がします
もう一つ、脆弱なパスワードやアカウントロックアウトの設定により、管理者アカウントが乗っ取られて、IEコンポーネントを実行された場合、ログインしているユーザー権限はあんまり関係ありませんよね。
アラート/アドバイザリ:TMTDIドライバがカーネル内での任意コード実行を許可してしまう脆弱性について | サポート Q&A:トレンドマイクロ
例えば、これはウィルスバスターの脆弱性の例。
インストールされているセキュリティソフトは管理者権限より高いSYSTEM権限でいろいろできるので、ここからIEコンポーネントの任意の脆弱性を利用することも可能って話です
ちゃんとセキュリティアップデートを行っていて、ゼロディの脆弱性が内容な状態で、ちゃんとセキュリティソフトを入れて使っていれば、管理者権限で利用していてもユーザー権限で利用していてもあまり関係ないのですが、管理がずさんなPCで…脆弱性が利用されるような環境ってのは、そもそも、こういった特権昇格の脆弱性なども放置されていることが多く、アップデートしてなくても、ユーザーモードで実行してれば安全という誤解を招かないか気になるところであります・ω・
UACがあれば、重大な処理は、管理者権限の承認が必要だから安全って気もしますが、Windows Vista や 7や 8の場合、これが多すぎて、本当に管理者権限で実行していいものなのか確認する思考が麻痺してくる気がするんですが、実際のところどうなんですかね ・ω・; ?
ユーザ権限で普段PCを使う時に、サポートが切れたOSやゼロディが放置状態になってるPCをできるだけ OSのコンポーネントに頼らないような範囲での利用の場合は、絶大な効果を発揮しそうですね(笑)
Translate
Comments