Все Полный контроль группы над Файлом hosts
Нахожусь в процессе документирования, как установить новое решение для удаленного доступа через (наше предоставленное несколько маленькое) база пользователей. Во время установки клиента на XP программа просит быть предоставленной доступ к файлу hosts. Это меня устраивает до сих пор. Проблема состоит в том, что это только предоставляет его администратору или отдельному пользователю, но Group\Everyone. На перезагрузку я запустил Эффективный тест Полномочий на файле hosts для Гостевой учетной записи и низко и созерцайте его, теперь имеет Полный контроль над файлом hosts.
Мой менеджер не думает, что это чрезмерно касается, поскольку это не было перечислено как уязвимость для продукта, который мы используем. Я - касание, более осторожное относительно этого хотя тем более, что мы просим, чтобы пользователи сделали это на своих домашних ПК.
Имеет Group\Everyone с полным контролем к файлу hosts чрезвычайно тревожную дыру в системе безопасности?
2 ответа
Я был бы взволнован. Вы теперь даете разрешение для чего-либо для изменения DNS. Почему это является беспокоящим?
- Когда Windows соединится с Microsoft, он сделает поиски имени через сервер обновления. Как это находит это? Через поиски имени. Windows затем выполнит любой код, полученный с этого сервера. Я не знаю, какой Windows проверок безопасности работает на них, таким образом, это могло бы отрицаться.
- Когда Вы ходите по магазинам, Вы соединяетесь с сервером. Что происходит, если и сервер и сервер сертификата оба перенаправляются к серверам выбора взломщика? Я не знаю, как сертификаты работают, таким образом, это также могло бы отрицаться.
Но даже если оба из тех отрицаются, то, что происходит, если взломщик может соблазнить пользователя в обход проверок безопасности?
Хм. С одной стороны, очевидно, да, это - проблема.
С другой стороны, существует много использования безопасности XP, которое устанавливает себя как локальная система, даже сегодня (у меня был недавний рывок заражений Vundo, которые, кажется, снижаются с использованных веб-страниц; пользователи fricking. Корпоративная Symantec не выручает много ни один). Возможности - что-либо, что совершает нападки, Ваша машина будет способной получить доступ к Файлу hosts независимо от того, как полномочия установлены.
Meh. Я не заботился бы, сам. Не может доверять рабочему столу, который не будет использован; необходимо запланировать безопасность выше его.