Bezpečnost OS Windows 7
Ahoj jak je na tom 7 z firewallem Jak dobrý je je ten integrovaný ?
OS: Microsoft Windows 7 Ultimate 6.1.7600 (Win7 RTM)
Jsou zobrazeny jen nové odpovědi. Zobrazit všechny
Zpět do poradny Odpovědět na původní otázku Nahoru
Jo, je dobře použitelnej a má výhodu pro bezmyšlenkový odklikávače hlášek - je v češtine, není problém si tu hlášku přečíst a pochopit.
IMHO nevidím důvod používat jinej firewall, pokud nemáš speciální nároky. Taky ho používám, v kombinaci s uživatelským účtem, bez antiviru.
účty mám taky
mám admina zaheslovat
takže to vidím tak že prostě to nechám jak to je možná dám antivir - nějaký zakladní
Nestrkej tam antivir. Stačí ti neprivilegovaný účet. Pokud se na Netu nebudeš chovat jak ošípané (viz Drtičova odpověď) a nebudeš stahovat podivuhodné cizí maily, nic ti nehrozí. Antivir (jakýkoliv) ti zpomalí systém až strašidelným způsobem.
ok nedám a toho admina na heslo ?
Nemusíš. Pokud nemáš děti (manželku, tchýni, psa,...), které by ti lezly do admina, nehesluj.
Raději heslovat, nebo mít ještě jeden účet s administrátorskými právy, protože když bude chtít něco z usera instalovat, tak se to zeptá na heslo a to heslo musí k něčemu být.
tuším že kolega myslel runas.
ostatně omezený účet by neměl žádný smysl, kdyby 12letý nezodpovědný zavirovávač místo svého účtu používat nezaheslovaný adminský.
Ale na to jsem se přece ptal. V jiných případech (single user) použití admin hesla nechápu. Asi su blbé...
viz onen runas. Já zásadně hesla adminovi nastavuji, abych se nemusel přehlašovat a bylo možné "spouštět jako" admin.
Jo, to je přesně ono. Navíc se mi ve Win7 líbí, že pokud to chce aministrátorský přístup kamkoliv, tak to automaticky vyžádá heslo k nějakýmu admin účtu, tedy runas. A nejde jen o instalace, ale i o nastavení systému.
Nebud naivny ze by microsoft nieco urobil dobre.
http://pc.poradna.net/f/view/534116-pozor-na-zastu pcov-lnk-bezpecnostna-diera-vo-windows
nepyta sa to na nic.
UAC je totalna kravina (je to asi ako dvere zamknute na 150 zamkov ktore musis pri kazdom vchode do bytu odomykat, a vedla nich diera v stene pre zlodejov
UAC by bolo dobre vtedy keby s pravami system bezlo LEN to uplne najdolezitejsie a 100% bezpecne. V MS ale o takom niecom mozu len snivat, studentoprogramatori.
Konieckoncov podobny sposob jak UAC pouziva MacOS roky, akurat to MS ukradol a nevedia to ani poriadne naprogramovat.
Jak toho chceš docílit? Drivery budou pod userskými účty? To jako ovladač grafiky bude mít každý svůj?
100% bezpečný ovladač grafiky či jakýkoliv je utopie. MS zapracoval na izolaci jádra a boot drivery se integrují jako pluginy(jdou odstřelit bez následků), zapracovali a důsledně využívají hiearchie oprávnění (narozdíl od aplikací, u kterých programátoři neví která bije), "sandboxu" a izolace aplikací. Pochopitelně je spousta bugů (tak jako jinde) , průzkumník nevyjímaje.
To je proto, že nevíš mechanismus toho okna. UAC je pouze userská hláška. S mechanismem to nemá nic do činění.
Systém se řídí při přístupu především účty a oprávněním. Vše je zdokumentováno a systém nabízí tyto mechanismy i ostatním programům.
Jeden příklad za všechny:
IE8 prakticky vůbec "nepřistupuje" uživatelsky na disk v chráněném režimu. IE předá požadavky socketu, trident zrenderuje - prostě standardka, ALE pokud chceš uložit nějaký soubor, stránku, nebo kešování, tak se mechanismem zdegraduje na nejposlednějšího usera, který může pouze do předem povolených adresářů- nikam jinam.
Jak to funguje:
Už ze starodávných dob existují mandatory label (nejsou na kartě oprávnění- není to pro home admins), který je pořádně využit až od Vist. ML určuje oprávnění přístupu a spuštění. Proces s ML střední může spustit nebo přistupovat k ML střední či nízká, ne vysoká. IE s ML střední (lokální bezpečná síť) + ML nízká (internet) při ukládání zavolá proces IELowutil s nízkou ML = IELowutil nemůže ukládat do sys. adresářů, root c:, prg files a 90% sys. adresářů, něco spouštět - všude je vyšší ML. Tzn. že útočník nemá šanci se dostat k systému přes okno i kdyby měl účet papež, jeho mandatory label je totiž nízké. Systém umožňuje využití i programům třetích stran. Proč ho nevyužívá třeba Firefox a nectí systém?
----
Tímhle dlouhým monologem chci říct, že UAC (ne okýnko, ale mechanismus) má smysl. Smysl nemají ignorace a prasečiny ostatních programátorů, kteří dají nálepku pro W7 a konfigurák si naivně pašují do program files.
UAC (tak jak je to implemenovane vo Windows) zmysel nema. Da sa to urobit tak aby to bolo bezpecnejsie. Nie, ovladace nemusia bezat pod userom, uplne staci ked sa tam urobi bezpecny interface od aplikacie (na ovladac sa vzdy ide cez WinAPI - IoControl)
Ked sa da obist UAC kliknutim na .lnk, tak je to absolutny srot bez zmyslu. Zmysel by to malo len vtedy ak by bol urobeny spravne cely koncept OS, viz linux, MacOS, Unix, a vsetky ostatne.
P.S. ziaden renderer ani explorer ani spracovavac .lnk nesmie mat moznost obist UAC ani keby tam bola diera v tom programe. Ak ma moznost, znamena to ze koncept OS je srot (a nieco z toho co som menoval bezi s pravami system).
Ne, ovladače MUSÍ bežet pod systémem - nebudu řešit, že user MM.. není logován, já kmochna chci taky grafiku. Mluvím o ovladačích, ne GUI- to je snad standard.
---
explorer má smutné privilegium, že je primární správce souborů, který může svým způsobem vše - zbytek je skryt za využívání API - tzn. tvůj TC je omezen a bezpečný. A je omezen hodně- a ty víš co.
ved presne to pisem. Ale aplikacia neleze na ovladac priamo ale cez WinAPI a tam moze byt do urcitej miery zarucena bezpecnost tykajuca sa ovladacov.
problem s .lnk neni problem ziadnych ovladacov, problem s .lnk je cisto problem debilizmu a neschopnosti ludi v MS. Ano kazdy spravca suborov a kazda gui aplikacia a vsetko okrem kernel a ovladacov ma bezat pod userom, stejne ako TC. Vysvetli to dementom v MS. Ja by som Windows zakazal.
Ovladače jsou primárně všech= System - ne 100% bezpečné
Ovládání je na každém userovi = User - pokud aplikace leze přímo = obchází systém, ale je to možné - ne moc na nových systémech - systém donutí k použití rozhraní
WinAPI je k dispozici každému - o tom snad válčit nebudeme
---
lnk by měl být ve formátu xml ne binárně- uznávám netransparentnost.
---
Znovu píšu: MS to má dobře (v kontextu dotazu: W7, podchycenost a vůbec)aplikace= nejsou dobrý. Další odpověď bude znamenmat můj přístup k SUAnalyzer a konkrétní aplikaci a přesvědčíš se o prasečinách.
Můj slovosled je rozvrkočený.
Nechapes vobec koncept OS v protected mode. Aplikace nemoze obist OS. Je to technicky nemozne, okrem pripadu ze to dovoli OS, t.j. microsoft, svojou debilitou.
P.S. V spravne urobenom OS sa moze aplikacia aj pokrajat a aj tak nemoze nic nedovolene sposobit. Technicky nema sancu. Na dnesnych x86/x64 CPU s protected mode. Aplikacia ma vyhradenu svoj vlastny kus pamati a nikam inam sa nedostane, CPU ju nepusti. Nedostane sa priamo na HW. CPU ju nepusti (privilegovane instrukcie). Je to proste technicky nemozne. Aplikacia v dobre urobenom OS si moze akurat tak trhnut nohou.
psal jsem o protect mode v IE - tam si můžou trhnout všichni. o OS jsem psal o větším "škatulkování".
Ta "debilita" je trošku rána pod pás. Máš snad něco super imunní? Všechno má chyby a neznamená, že teď není chyba, že vývojem času se chybou nestane.
Vraťme se na UAC - ten koncept je podle mého dobrý. W7 si chrání své záležitosti a vůbec není jednoduché (čti vir explorer.com v sys. nejvyšším adresáři c:\) ho obelstít- má tam obranu.
vsetky ostatne OS su super imunni ptz pouzivaju protected mode tak jak ho pouzivat maju.
Protected mode je v CPU a nie v ziadnom IE. OS ma CPU vyuzivat tak, aby zamedzil aplikaciam akokolvek obist to UAC. Potom by UAC malo vyznam.
To mluvíš o DEP? - umí.
--
Na systémové úrovni se brání , JaFi promiň, takto:
ale koukám, že jeden o koze, druhý o voze.... UAC
DEP je nieco uplne ine. Nemas znalosti o architekture CPU a OS, protected mode, nema to vyznam. Samozrejme ze Win pouziva vsetko mozne, ale robi to zle. Derave aplikacie (od MS) bezia s vysokymi pravami ako sucast systemu, atd. Dokaz je prave to spracovanie .lnk, ktore vie obist UAC. Tipujem ze vnnik je explorer.exe zamontovany do systemu, co je v bezpecnom OS NEPRIPUSTNE.
Nemám a ani se jich to netýká. čtu si to hlášení o lnk a pif:
hm, ale tahle chyba se týká Windows Shell (kolekce knihoven a spouštěčů), ne procesu explorer(což je chybně interpretováno i na wiki). Podívej, pokud ti MS OS nevyhovuje, tak ho nepoužívej. Tuhle chybu přeřazuji k chybě wmf, kdy shell místo zobrazení wmf ji chtěl zpracovat (wmf není obrázek, ale program/ instrukce), nebo k chybě v id tagu, kdy tuším winamp byl zneužitelný, bo zneužit megasplitter quartz
Smiř se stím, že Explorer bude mít vždy větší přístup než obyčejné aplikace třetích stran.
Ja sa s tym zmierit mozem mne je to uplne fuk, ale prave preto k dotazu o bezpecnosti OS (tento dotaz) nebudem vypisovat ze jak je W7 bezpecny a jak je UAC super, ked kliknutie na .lnk nainstaluje vir ktory skryva subory a obchadza UAC (nepyta si admin prava a na nainstalvanie viru a skryvania suborov snad admin prava treba, nie?). Naco potom u stejneho usera otravuje UAC zakazdym, ale u viru u stejneho usera zrazu UAC neotravuje? To uz zrazu stejny user ma admin prava ked ich pred 3 sekundami nemal a otravoval ho UAC? Co to je za ko**ina? UAC. Vyborne.
Právě proto je to označeno jako chyba.
Není to chtěné chování.
pif jsem použil ještě tak na w95 a lnk pouze svoje - nepoužívám volbu instalátoru z pochybných zdrojů "na plochu". Mi se chyba pravděpodobně třeba netýká
Je to chyba, ale v mozgovych pochodoch v MS. Ptz takato chyba sa da vylucit ak sa navrhne OS spravne. o tom tu cely cas pisem. Shell ma bezat s user pravami (izolovany od systemu - potom nebude vadit ze ma chyby) a nie instalovat viry a skryvat subory.
Tu http://www.zive.sk/spravy/na-windows-systemy-sa-da -utocit-cez-zastupcov/sc-30-a-289124/default.aspx si pozri video kde jasne vidis ze nakazil PC zastupcom ked bol ako obycajny user. Takze necitaj klamstva od nejakeho dementa na wiki, ale sleduj fakty.
P.S. a nemusis pouzivat .lnk aktivne, staci ze s dementnym explorerom si preskumas vlozeny USB stick, kde je nejaky nakazeny .lnk. Dokonca sa to udajne nakazi uz pri autorun prehladavani USB sticku.
tahle reklama neukázala nějaké napadení- to se někam zkopírovalo, nebo spustilo? dej link na infikovaný lnk, zkusím.
na konci to vsetko zmizlo samo od seba to znamena vir sa aktivoval a aktivoval skryvanie sameho seba (subory tam su ale v demetoexploreri ich nevidno). Vychadzal som z toho co tam chalan komentoval ja som to neskusal. Link nemam nepotrebujem, ja tomu videu verim :)
To video je od SOPHOS.
Priklad: mas v zariadeni draty, s izolaciou, ale na 20cm ta izolacia chyba a len tak visia odizolovane draty v lufte. Vybuchne to ale ty ako vyrobca sa budes brani "nieee, ja som predsa pouzil izolaciu!!!"
Lebo ano pouzil si ju na pol metri kabla, ale bola tam uplne nahovno ked 20cm ostane odizolovane. Tak asi funguje MS 
Pouziva aj protected mode, aj UAC, aj DEP, aj vsetko pouziva :)
A další pan chytrý, pravděpodobně pohádkář. Prosím tě, jak se předem pozná, že právě příchozí email není podivuhodný? Antivir zpomaluje PC strašidelným způsobem? Možná tak 5 let starej AV na 10 let starým PC. Dnešní AV (samozřejmě ne všechny) - ty lepší, v žádném případě PC strašidelně nezpomalují a o některých dokonce ani nevíš, ale to jich chce pár vyzkoušet a ne tlachat a omílat několik let staré bludy. Ani na netbooku s Atomem není téměř poznat vliv celýho bezpečnostního balíku některých výrobců, natož AV.
Tak, že přijde od někoho, koho znáš, nikoliv ze společnosti, prodlužující penisy.
Ano. Každý. Aby měl AV nějaký smysl, musí být jeho rezidentní štít nastaven poněkud agresivnějším způsobem (aby "prohrkával" každý otevřený soubor).
Hmmm... Kdo je tu teda pohádkář, chytrý pane Hansi Christiane?
No ja se k tomu taky trosku vyjadrim. Email muze mit zfalsovanou hlavicku a muze ti prijit i od zcela bezneho ceskeho jmena treba honza@centrum.cz a su zvedavej, jak budes normalnim lidem (pro vas lamam) vysvetlovat, jak najit hlavicku atd. Takze bys asi vsem poradil, aby neotvirali ani emaily ze seznamu atd. ne? Chapes cos napsal za blbost? Bohuzel v cesku je navic porad jeste i spousta firem, ktery maji email na seznamu, atlasu, email.cz, centrumu apod. a treba ti z nej posilaji pracovni nabidky, zakazky, cenovy nabidky atd.
Rezident u par lepsich AV muzes nastavit na nekolik stupnu a dale vubec nemusis mit spusten rezident, ktery hlida cisty pc a kuprikladu jeho soubory. Pokud totiz mas ciste pc (navic nektery AV si pc oskenuji, soubory si podle vybranych kriterii oznaci nebo "zapamatuji" a uz je priste neskenuji, takze zatez pc s kazdym skenem pada niz a niz i u rezidentu, ktery je nastaven na paranoiu), staci ti pouzivat rezident pouze na web a pak o Av nevis skoro vubec. Shodou okolnosti jem minuly rok daval na netbook od Lenova, asi s Atomem NIS 2010 a zpomaleni nepocituju. Na mym ntb zpomaleni nepoznma ani s kasperskym, kteryho nastavim skoro na paranoiu. O setinach sekundy se ale nebavim. Ty nevnimam a jsou mne jedno. Kdyz mluvim za sebe, tak na zadnym z mych pc okem neni mozne zpozorovat zpomaleni systemu pri zzapnutym AV. Navic ja pouzivam cely baliky, ktery by podle vas meli pc pomalu zastavit. Presto se tak nedeje.