Windows może być bezpieczny, o ile pracujemy na koncie standardowym
Jak znacznie zwiększyć bezpieczeństwo systemu Windows bez instalowania dodatkowego oprogramowania i spowalniania komputera? Wystarczy podczas codziennej pracy korzystać z konta standardowego, zamiast administratora. Ten fakt jest znany od dawna i teraz potwierdzają go badania firmy Avecto. Niestety, większość użytkowników wciąż nie stosuje się do tego zalecenia.
Wspomniana firma zajmuje się zabezpieczeniami komputerowymi, a także tworzeniem oprogramowania do ochrony systemów. Przeprowadzone przez nią badanie dotyczy łącznie 250 luk bezpieczeństwa i ich poprawek wydawanych przez Microsoft w całym ubiegłym roku podczas tzw. wtorkowych aktualizacji. Nie wszystkie zostały wykorzystane przez atakujących, większość odkrył producent, lub firmy zewnętrzne, ale to nie ma w tym przypadku znaczenia. Najważniejsze pytanie brzmi: co by się stało, gdyby spróbować wykorzystać te podatności w sytuacji, gdy użytkownik korzysta z konta standardowego?
Wyniki nie są zaskakujące i potwierdzają, że praca na koncie administratora bez potrzeby znacznie zwiększa ryzyko. Brak wysokich uprawnień powoduje, że 98% podatności w systemie Windows nie dałoby się wykorzystać. Jeszcze lepiej przedstawia się kwestia Internet Explorera, tak bardzo narażonego na ataki – tutaj wskaźnik ten wynosi aż 99,5%. Nie inaczej jest w aplikacjach pakietu Microsoft Office, bo w ich przypadku przejście na konto standardowe czyni komputer niewrażliwym na wykorzystanie 95% wszystkich wykrytych dziur. Większość ze wszystkich podatności jest związana z możliwością zdalnego wykonania kodu, zaś w przeciągu roku liczba dziur oznaczonych jako krytyczne wzrosła o 63%. Dlaczego więc użytkownicy najczęściej pracują na kontach administracyjnych i tym samym narażają się na druzgocące skutki ataków, tak w przypadku systemu jak i zewnętrznych aplikacji?
Nieco winy leży po stronie samego Microsoftu, który latami nieodpowiedniego podejścia nauczył użytkowników przekładania wygody nad bezpieczeństwo. Jak wygląda proces instalacji i konfiguracji pierwszego konta na komputerze? Jest zautomatyzowany, użytkownik wpisuje tylko najważniejsze dane. Niestety, tworzone wtedy konto posiada uprawnienia administratora, a system nie sugeruje dodawania drugiego, o standardowych. Takie rozwiązanie znajdziemy natomiast w instalatorach niemal każdej dystrybucji Linuksa, gdzie konto administratora jest wyraźnie oddzielone od konta użytkownika. Z drugiej strony zrobiono wiele, aby poprawić bezpieczeństwo, czego przykładem jest mechanizm kontroli konta użytkownika (UAC), który pojawił się w Viście. Niestety od Windows 7 jego domyślne ustawienia są znacznie osłabione.
Inny problem to kompatybilność i problemy, jakie powoduje uruchamianie głównie starszego oprogramowania na kontach standardowych. Czasami nie działa ono poprawnie, co pokazuje, że również deweloperzy nauczyli się wygody i czasami zapominali o zabezpieczeniach. Podnoszenie uprawnień na żądanie w systemie Windows nie jest tak wygodne jak mogłoby być i czasami potrafi uprzykrzyć życie. Przepis na zwiększenie bezpieczeństwa jest prosty, ale raczej nie odniesie sukcesu. Nawet producenci oprogramowania antywirusowego idą z modą zwiększania wygody i wyłączania myślenia.
