Ξέρουμε ότι το να είναι οι χρήστες τοπικοί admins στο πισί τους δεν είναι καλή ιδέα. Και από άποψη ασφαλείας και από άποψη διαχειριστικού κόστους.

Ενδιαφέρουσα έρευνα βρίσκει ότι των 92% των κρίσιμων τρυπών (critical vulnerabilities) που έβγαλε η ΜΣ το 2008 θα είχαν μικρότερη ισχύ εάν ο χρήστης έτρεχε με στάνταρ δικαιώματα στο πισί του. Συγκεκριμένα:

• 94% του Microsoft Office
• 89% του Internet Explorer
• 53% των Microsoft Windows vulnerabilities
• 92% των critical ulnerabilities

Συνολικά το 69% όλων θα είχαν μικρότερη ισχύ. Πόσο μικρότερη; Δεν το ξέρουμε, αλλά η ίδια η ΜΣ αναφέρει για αυτές τις τρύπες ότι “Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.”

Βέβαια η εταιρεία που έκανε την έρευνα ευλογεί τα γένια της μιας και φτιάχνει προγράμματα που εξαλείφουν την ανάγκη να τρέχει ο χρήστης εφαρμογές ως αδμιν. Ωστόσο, ο τρόπος που έγινε η έρευνα είναι εξαιρετικά απλός και βασίζεται στο τι γράφουν τα security bulletins της ΜΣ.

Άλλο συμπέρασμα που προκύπτει είναι ότι πρώτα απ'όλους ΕΜΕΙΣ οι ίδιοι οι domain admins είμαστε μεγάλη κερκόπορτα εφόσον εκτελούμε τις καθημερινές μας εργασίας με αυξημένα δικαιώματα.

Τί μπορούμε να κάνουμε; Μερικές γρήγορες προτάσεις:

• Χρησιμοποιούμε έναν κανονικό χρήστη για τις καθημερινές μας εργασίες (εμαιλ, ιντερνετ κλπ) και έναν με δικαιώματα admin για τις διαχειριστικές. Ειδικά με το remote desktop τα πράγματα είναι πολύ απλά: Όποτε θέλουμε συνδεόμαστε στο σερβερ και κάνουμε τη δουλειά μας.
• Χρησιμοποιούμε το runas. Διαθέσιμο από Windows 2000 κ μετά.
• Αν έχουμε Βίστα τα πράγματα είναι κάπως καλύτερα: Έχουμε πάντα ενεργοποιημένο το UAC και εκτελούμε κανονικά τις καθημερινές μας εργασίες. Παράλληλα, έχουμε ανοιχτή μια γραμμή εντολών με αυξημένα δικαιώματα. Όποτε έχουμε να κάνουμε κάτι διαχειριστικό, απλά εκτελούμε το πρόγραμμα από τη γραμμή εντολών. Έτσι δε χρειάζεται να μας εκνευρίζει το UAC συχνά και κάνουμε και τη δουλειά μας με μεγαλύτερη ασφάλεια.
• ΠΟΤΕ μα ΠΟΤΕ δεν εγκαθιστούμε πρόγραμμα που δεν ξέρουμε την προέλευσή του 100%. Εννοείται ΠΟΤΕ δεν τρέχουμε patch ή crack ή keygen ή τέτοια. Κατεβάζουμε προγράμματα/εργαλεία μόνο από αξιόπιστες σελίδες και όχι από το www.mitsosultimatesoftware.org.

Ξέρω ότι είναι πόνος το να βγάλεις ένα χρήστη από τοπικό αδμιν. Θα καλεί κάθε λίγο και λιγάκι για βοήθεια και θα τρέχουμε άδικα. Όμως αν ο χρήστης είναι αδμιν και αρπάξει κάποιον ιό δε θα τρέχουμε και πάλι; Άσε που μπορεί να κάνει ακόμα μεγαλύτερη ζημιά. Οπότε, αφού θα τρέχουμε έτσι κ αλλιώς, τουλάχιστον ας έχουμε ένα πιο ασφαλές περιβάλλον.

Και ένα τιπ για το τέλος: Αν έχετε χρήστες (π.χ. φορητών) που χρειάζονται συχνά να αλλάζουν τις ρυθμίσεις δικτύου μπορείτε να τους βάλετε στο τοπικό “Network configuration operators” γκρουπ. Θα μπορούν να τις αλλάζουν χωρίς όμως να είναι τοπικοί αδμινς.

Χαιρετίσματα στους σερβερ σας