A Windowst érintő közel összes sérülékenység aktualitását vesztené egy kicsivel gondosabb ellenőrzés bevezetésével, jutott erre a megállapításra az Avecto. Az IT-biztonsággal foglalkozó vállalat szerint az adminisztrációs jogok érintett számítógépről való eltávolításával a biztonsági problémák 94 százaléka megszüntethető lenne.

Jogosultságkérdésről szól az egész

Tökéletes az érvelés, hiszen ha a számítógép beállításait a felhasználó nem tudja megváltoztatni, akkor azt egy külső fél sem tudja megtenni (abban az esetben, ha hozzáfér a felhasználói fiókhoz). Vagy legalábbis az esetek zömében; a Windowsok összes hibájának átlagosan 94 százaléka válik védhetővé pusztán a rendszergazdai jogosultságok eltávolításával. Az Internet Explorer esetében 100 százalék, a Windows 10-nél pedig 93 százalék ennek aránya - állítja az Avecto.

A tavaly összesen 530 sebezhetőség látott napvilágot, 36 százalékuk (189) kritikus fontosságúnak minősült. Ezek 94 százaléka elveszti kritikus minősítését, ha rendszergazdai jogosultsággal nem rendelkező felhasználót ér támadás a sérülékenységek révén. 2015-ben még 85 százalék volt ennek aránya.

Érdekesség, hogy hiába a Windows 10 a legújabb, legbiztonságosabbnak tartott asztali operációs rendszer a Microsoft berkeiben, a legtöbb biztonsági rés (395 darab) ezen a platformon vált ismertté. Windows 8 és 8.1 alatt 46 százalékkal kevesebb, 256 darab sebezhetőségről számolt be a redmondi gigász. Ennek okai minden bizonnyal az eltérő funkcionalitásban és a javítási ciklusok hosszában rejlik. A Windows 8 hibáinak több ideje volt kiderülni, ezek egy része pedig a Windows 10-ben már nem létező kódokat érintenek.

Marco Peretti, az Avecto műszaki vezetője kihangsúlyozta cége álláspontját, miszerint a jogosultságnövelésre (privilege escalation) irányuló támadásokat teljes egészében elavulttá lehetne tenni a rendszergazdai jogosultságok megvonásával. És erre nem csak windowsos, hanem maces környezetben is lehetőség van, állította Peretti.

Biztonság vs. felhasználói élmény

A jogosultságcsökkenés eszközét emlegetni persze nagyon egyszerű, a feladatot megvalósítani már jóval nehezebb. Ennek egyrészt pozícióbeli okai vannak; a menedzserek, vezetők gyakran nem fogadják el a korlátozás szükségességét gépükön, és azt megtagadva használják eszközeiket. Míg a vállalat beosztottjai ezt egy jól kitalált és betartatott biztonságpolitikai szabályzat esetén nem tehetik meg, a felső(bb) vezetés embereivel szemben gyakran tehetetlenek az IT rendszert üzemeltetők.

Másrészt a beállítás közel sem annyira triviális, mint mondjuk a Start Menüre bökve egy program elindítása. Igaz, nem is túlságosan bonyolult, célszerű rögtön az operációs rendszer telepítéskor létrehozni egy adminisztrátori jogkörökkel nem rendelkező felhasználót, és azzal bejelentkezve végezni a mindennapi munkát a számítógépen.

Ezzel ugyanakkor elvész a rendszer használatának egyszerűsége; azokat a műveleteket, amikhez rendszergazdai jogosultság szükséges (például fontos frissítéseket telepíteni), utóbbi jelszavával lehet csak megtenni. Ha ezzel nem rendelkezik a felhasználó, akkor csorbulhat a Windows-használat élménye – ez az ára tehát a biztonságnak.

Vállalati környezetben ezt a már említett biztonságpolitikával lehet szabályozni, ahol a felhasználói élmény hátrébb való (vagy legalábbis annak kellene lennie), mint a biztonság kérdése. Az adminisztrátori jogokat igénylő, a vállalati érdekeket szolgáló beállítások, változtatások pedig központosítottan kell, hogy történjenek, melyek kezelésére külön alkalmazások állnak rendelkezésre. "Teljesen véletlenül" a felmérést készítő Avecto is fejleszt ilyen eszközt, de természetesen más szállítók is nyújtanak hasonló lehetőségeket.