Index · Правила · Поиск· Группы · Регистрация · Личные сообщения· Вход

Список разделов Компьютерная безопасность, коды, доступы и т.д.
 
 
 

Раздел: Компьютерная безопасность, коды, доступы и т.д. DropMyRights - малоизвестная утилита от Microsoft 

Создана: 05 Января 2011 Срд 19:37:31.
Раздел: "Компьютерная безопасность, коды, доступы и т.д."
Сообщений в теме: 1, просмотров: 2376

  1. 05 Января 2011 Срд 19:37:31
    Дыры в Internet Explorer и других браузерах, запущенных из под админской учётки, представляют угрозу безопасности для компа. Это общеизвестно.
    Так же известно и решение - не работать в системе с админскими правами, если достаточно ограниченной юзерской учётки.
    При этом можно использовать команду "RunAs" для повышения привилегий.
    Однако по различным причинам многие люди продолжают работать в винде с правами администратора.
    В этом случае целесообразно понижать привилегии приложениям, работающим с интернетом.
    Например, с помощью программы "Drop My Rights" («Понизь Мои Права»), написанной сотрудником Microsoft Майклом Ховардом (Michael Howard).
    Принцип работы в общих чертах следующий:
    Если IE запущен из под админа, эта программа просто отбирает у него все лишние права, оставляя только те, которые имеет ограниченный пользователь. Т.е. нет возможности писать в реестр, в системные директории и т.д. В общем-то действует как "RunAS", только проще - не нужно вводить пароль и выбирать пользователя. Как следствие - если через уязвимость в IE будет запущен троян, то он не сможет прописаться в реестр или скопировать себя в системную директорию. Т.е. в большинстве случаев не сможет сделать вообще ничего.
    Чтобы запустить IE с пониженными правами, создаем ярлык вида -

    "c:\Program Files\dropmyrights\dropmyrights.exe" "C:\Program Files\Internet Explorer\iexplore.exe" C

    Здесь ключ "С" в конце командной строки задает привилегии "Constrained user" («ограниченный пользователь»). При встрече с какой-либо уязвимостью или ошибкой, урон будет минимизирован.
    Возможные уровни привилегий:
    N – normal user (обыкновенный пользователь);
    C – constrained user (ограниченный пользователь);
    U – untrusted user (ненадежный пользователь).

    Аналогично можно запускать не только IE, но и любую программу, способную работать с ограниченными правами (почтовый клиент, аська и т.п.).

    Ссылка на дистрибутив [внешняя ссылка]

    Статья на Securitylab [внешняя ссылка]

    Обсуждение на Virusinfo [внешняя ссылка]

    P.S. Программа актуальна для WinXP.