微软的安全补丁分析
截止至2009年底,大约有90%的微软安全补丁是把管理员权限给disable了。根据 BeyondTrust的报告,到今年3月分,Windows 7 有57%的安全补丁是以移除管理员权限作为解决方法的,相比较而言,Windows 2000 是 53%,Windows XP 是 62%,Windows Server 2003 是 55%,Windows Vista 是 54% 以及 Windows Server 2008 是 53%,而最牛的要算是 —— 100% 的 Microsoft Office 和 94% Internet Explorer (其中100% 的 IE8 )的安全补丁是移除管理员权限。
这对于某些公司的IT部门来说是个好消息,因为这些公司的IT部门通常是不会让公司的员工有本机的管理员权限的,根据微软大量的安全补丁是移除某些管理员权限的这一特性,这意味着对于本机只有一般用户权限IT管理,将会防住很大一部份的恶意攻击。
Paul Cooke, Windows Client Enterprise Security主管说:“我们相信,如果你只是用一般用户来操作Windows的话,这会是一种很好的方式”。而这一提法,相对于Unix的尽可能的不用root用户操作系统这一观点,整整落后了几十年,Windows的用户很习惯于在Administrator下操作系统,这样,一旦中招,任何程序都以系统管理员的权限运行,所以结果也是毁灭性的。这样操作电脑的方式对于Unix的用户来说简直是不可想像的,因为在Unix下,99%的情况下,操作者都不会使用管理员的账号。
还记得以前和朋友的一段对话:
朋友:“为什么Windows下很容易中病毒,Unix/Linux下却不常见?杀毒软件在Windows下是必备的,但还是很容易中招,而Unix/Linux却可以祼奔。”
宝酷:“那是因为大家都用Windows的Administrator用户操作电脑,而且文件系统都没有权限设置。不像Unix/Linux,没人总是用root操作电脑,而且,所有的文件和目限都有权限。所以,Windows下,一中病毒,病毒就会以管理员的权限运行,不但破坏你的系统甚至干掉你的杀毒软件。而Unix/Linux下,就算中毒,干掉的也是当前用户下的文件,对于系统文件和系统进程来说,不会有任何问题。”
朋友:“那么在Windows下,如何和Unix/Liunx一样使用?”
宝酷:“首先,尽量不要使用Adminstrator用户,使用User用户操作电脑。并且把文件系统格式化成NTFS,这样才能设置上权限。把C盘的根目录,%Windows%以及%System%目录,注册表的关键位置(服务、启动等),都设置上只有Administrator可写,User只读。这样一来,就算是中毒,病毒最多改写当关用户文件,其根本无法操作C盘根目录和Windows%以及%System%目录以及注册表的关键位置,还有IE的插件等(这些地方都是病毒最爱去的地方),中毒后不会对系统造成伤害。在这种情况下,你就算没有杀毒软件祼奔也没有问题”
朋友:“嗯,听起来不错。不过这样整是不是太麻烦了,特别是要装一些软件什么的。”
宝酷:“是的,没错。按道理来说,各个用户的软件应该是装在其用户的目录和环境下,而不应该装在系统的目录下,Unix/Liunx就是这么做的,但是Windows并没有提供这样的方式,很多软件都要去Adminstrator下安装,所以,在系统上装上一些恶意插件,流氓软件也就很正常了。没办法,这就是Windows和Unix/Liunx的差别了,Windows出生的时候就是单用户的,Unix/Liunx则是多用户的,这是Windows先天设计的缺陷,所以,今天这样的局面也是理所当然的。”
上面的这段对话,也许有助于你了解Windows,安全等方面的东西。下面,让我们再来用一组数据结束本文。
总体来说,去年一年中64%的所有的微软安全补丁把管理员权限给移除了。如果你只考虑Critical级别的安全补丁,那么有点到80%补丁是移除管理员权限,如果只考虑远程攻击方面的,那么这个比率是84% 。相关的报道请查看如下文章:
(全文完)
(转载本站文章请注明作者和出处 宝酷 – sou-ip ,请勿用于任何商业用途)
《微软的安全补丁分析》的相关评论
其实,换个方面思考:其实病毒不知道养活了多少人,哈哈~ 这么看来windows还有助于提高就业率呢~
希望耗子以后能多写些Linux/Unix和Windows设计上的差异的文章。
nice pointer
“就业率”这个词真好用!
嗯,是哦,就是有些垃圾的设计,导致了很多垃圾的漏洞,然后又创造出了很多就业机会,找一些更垃圾的人去填补那些垃圾漏洞,然后再产生更多垃圾的漏洞,以及创造更多的就业机会,就业问题解决了。
“各个用户的软件应该是装在其用户的目录和环境下,而不应该装在系统的目录下,Unix/Linux就是这么做的”
是指编译源码的方式安装程序吗?请问软件包管理器可以这样吗?
@陈白告
好像有的可以在安装前通过改一些变量的设置做到
不过都作成软件包统一管理了 也没那么不安全
linux下好多东西make install时时要root权限的好不好啊。
说白了,还是linux更geek一点儿,更灵活的定制性意味着更复杂的定制方式。win从诞生那天起就是以易用性为目标的。基于unix的mac os把易用性做的非常好,结果其安全性反而不如win了
还有win下病毒泛滥的最大原因是在win下写病毒的人多,而在win下写病毒的人多的原因又是win的用户多,win的用户多的就是因为win易用,这样无穷循环下去了
觉得博主对win的偏见很深。换个角度看的话,可以说,ms对封闭的代码和统一开放的规范;对可以接受的安全性牺牲和对普通用户的易用性这些东西之间的关系平衡的很好。
很难想象如果没有win系列的os,靠*nix系列,现在地球上能有这么大规模的it产业
你到底用没用过*nix!!??不同进程在不同时间可以有不同权限,你make install之前sudo就ok了,win下就得注销。如果没有win系列的os,靠*nix系列,现在地球上能有更大规模的it产业。
@油菜
water 说的在理的。 总的来说,windows和*nix比较是没意思的。
Windows就是面向易用,nix一般不是日常使用
windows的电脑一般多人用,而nix的多用户的意义是:多人同时登录,不是面对电脑,而是使用资源。
我曾经一直用user登录windows,也挺安全的,装软件用runas就可以了,相当于sudo.
皓哥的观点提出有点偏,不是偏激,环境使然,他做的开发工作决定了多用unix。有人骂windows是垃圾有些太那个了吧,有多少这么好的垃圾?最近很火的Mint现象说明,还是有很多人停留在玩桌面的初级阶段。
@water 唔,那是因为没prefix到自己能写的目录下啊亲