2014年發(fā)現(xiàn)的每個(gè)微軟漏洞幾乎都可以通過(guò)去掉用戶的管理員(admin)權(quán)限來(lái)阻止攻擊�。
英國(guó)安全公司Avecto通過(guò)研究對(duì)微軟一年來(lái)發(fā)布的補(bǔ)丁公告發(fā)現(xiàn),2013年92%的微軟漏洞可以通過(guò)去掉admin權(quán)限來(lái)消除����,2014年,該數(shù)字上升到了97%��。
報(bào)告顯示�,將97%的數(shù)據(jù)拆開(kāi)來(lái)看,Windows系統(tǒng)漏洞主要由IE漏洞和Office漏洞組成���,管理員權(quán)限機(jī)制在這兩類漏洞中起到作用的比例分別是99.5%和95%��。
Avecto采取了一種非常簡(jiǎn)單的調(diào)查方法���,微軟的官方漏洞公告中是否提到了系統(tǒng)權(quán)限�����。比如這樣的描述方式:“那些使用更低權(quán)限級(jí)別的用戶�,將比使用管理員權(quán)限的用戶受到更少的影響”��。
當(dāng)然����,“受到更少的影響”這種說(shuō)法并非意味著去掉管理員權(quán)限機(jī)制后,所有這些漏洞就將完全無(wú)害����。但是在很多情況下確實(shí)是這樣。
令人震驚的是����,微軟關(guān)鍵漏洞的數(shù)量在2014年飆升到了240個(gè),比2013年增長(zhǎng)了63%�����,這意味著Avecto公司的今年的報(bào)告可能會(huì)對(duì)公司們更有說(shuō)服力。
IT機(jī)構(gòu)需要多種策略��,以應(yīng)對(duì)陡然上升的危險(xiǎn)漏洞數(shù)量����。根據(jù)Avecto機(jī)構(gòu)的說(shuō)法,操作系統(tǒng)權(quán)限機(jī)制最好是從一開(kāi)始就不存在����。
通常來(lái)講不應(yīng)該授予工作電腦以管理員權(quán)限,盡管這說(shuō)起來(lái)容易做起來(lái)難���。很多版本的Windows都在運(yùn)行老版本的應(yīng)用,在很多情況下�,去掉管理員權(quán)限會(huì)造成不便。
Avecto的歐洲區(qū)負(fù)責(zé)人表示�,2014年的報(bào)告一貫地展示了去掉系統(tǒng)權(quán)限的好處。反復(fù)的經(jīng)驗(yàn)表明�����,去掉系統(tǒng)權(quán)限是簡(jiǎn)單有效的防御策略�,不過(guò)很多企業(yè)還沒(méi)有意識(shí)到這一點(diǎn)的重要性�。
人們對(duì)被動(dòng)式防御有一些誤解�����,比如探測(cè)技術(shù)能夠提供完備的防御�。盡管明確的證據(jù)表明,面對(duì)變化多端的進(jìn)攻方式���,現(xiàn)有的策略已經(jīng)疲于應(yīng)對(duì)了�。
企業(yè)可以使用Defendpoint(曾經(jīng)的Privilege Guard)軟件管理系統(tǒng)權(quán)限���,該軟件提供了沙盒和應(yīng)用控制模塊�����。
如果用戶不能獲得管理員級(jí)的關(guān)鍵權(quán)限����,進(jìn)行安裝程序等操作����,將有效控制惡意程序的危害。
權(quán)限管理可以解決大部分的高級(jí)網(wǎng)絡(luò)攻擊�����,特別是和其它主動(dòng)式防御策略同時(shí)使用的時(shí)候。這些主動(dòng)式策略包括應(yīng)用控制�����、補(bǔ)丁管理和沙盒��。
