Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > Dnes k tématu User Account Control a proč to není potřeba přehánět
duben 15
Dnes k tématu User Account Control a proč to není potřeba přehánět

Kamarád mi zaslal následující - což může sloužit i jako jakási motivace:

"to je prvni, co po instalaci Windows vypinam, s tim furt neco nefunguje :)
to me dycky akorat nasere, kdyz jsem admin a pritom nejsem admin, na serverech uplne k nicemu
ale na stanicich to chapu, i kdyz nepouzivam ani tam (delam vsude jen pod userem)"

Ano.

Co je User Account Control (UAC)

UAC je technologie, která má chránit uživatele stanice proti jemu samému. Mnohdy je zvykem (což není dobře), že uživatelé jsou členy lokální skupiny Administrators na svém notebooku, nebo stolním počítači. Dělá se to tak, že prostě účet toho člověka strčíte do lokální skupiny Administrators v okamžiku, kdy mu ten jeho noťas předáváte. Kvůli tomu, abyste mu nemuseli dělat další účet, na který by se musel pořád přehlašovat, když si zrovna chce nainstalovat nějakého trojana, nebo nějaký zaručený gedžet typu "optimalizace paměti a registrů".

Takže ten člověk používá normální obyčejný omezený doménový účet pro přístup do sítě. Na služby jako je Exchange, SharePoint, sdílené soubory a podobně. Tam mu to úplně stačí. A na jeho vlastním notebooku, který je už stejně sám o sobě bezpečnostně odepsaný, může být klidně lokálním adminem.

Aby se mu ten jeho kompl nekurvil tak rychle, tak mu Microsoft vymyslel UAC. To znamená, že když se přihlásí, tak ve skutečnosti v té skupině Administrators není. Až když potřebuje, prostě si klikne pravým čudlíkem a požádá si o zvýšení (elevate) na skupinu Administrators. Případně, pokud nějaká aplikace ví, že potřebuje zvýšit, tak si o to řekne rovnou sama a systém (proces lokální bezpečnostní autority LSASS) mu nabídne už akorát potvrzení.

I já to rád používám na svém notebooku, protože mám přecejenom jakousi kontrolu, co se děje. Sice většinu času jenom znovu otevírám PowerShell a komandlajnu, protože se každou chvilku snažím něco udělat, než si uvědomím, že to musím pustit zvýšené, ale pořád mám z toho dobrý pocit.

Mít UAC zapnuté na serverech je na H O V N O

UAC má vliv pouze na lokální access token. Pokud se připojíte přes síť na vzdálený počítače, například pomocí SMB (sdílené soubory), nebo přes LDAP, nebo WMI, nebo jiný DCOM pro vzdálenou správu apod., tak se UAC neuplatňuje.

Na serverech obvykle pracujete pod nějakým silným účtem, který je správcem minimálně několika serverů v síti. Dobře, nemusí jít zrovna o člena Domain Admins, prostě zase jenom obyčejný doménový účet, který je členem lokálních Administrators na více serverech.

Jestliže si na takovém serveru stáhnu trojana, nebo nějaký exploit, tak samozřejmě ten daný server to neohrozí. Ale každý trojan i exploit se okamžitě rozjede po síti a napadne všechny okolní servery.

Takže na co je UAC na serveru? Ten server, ze kterého se nákaza šíří je alespoň dočasně v bezpečí. Říkám dočasně, protože jakmile se nákaza usídlí na jiném serveru, tak se okamžitě rozjede po síti na druhý hop a napadne zpátky ten váš místní server přímo pod vašima vlastníma rukama.

Prostě blbóóóóóóóóst.

Nehledě na to, že v kombinaci s mikropísmem v příkazové řádce je to jedna z mých nejoblíbenějších nasíraček, obzvláště v hi-tech věku klaudů, kde máte desítky virtuálek.

Comments

Re: Dnes k tématu User Account Control a proč to není potřeba přehánět

ondass on 29.4.2015 21:08

Re: Dnes k tématu User Account Control a proč to není potřeba přehánět

auditování bezpečnostních událostí souvisí se vším, tedy i s tímto článkem: https://www.sevecek.com/Lists/Posts/Post.aspx?ID=549
ondass on 15.1.2016 17:12

Add Comment

Sorry comments are disable due to the constant load of spam *


Omlouvám se, ale příval spamu nelze kontrolovat, takže mi prosím pošlete email, pokud máte nějaký dotaz, nebo připomínku.

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments