Tíz tévhit a Windows Vista biztonságával kapcsolatban

Microsoft, Windows

Megjelent egy összefoglaló a Windows Vista biztonságáról, amivel az informatikusok kétségeit próbálják eloszlatni. A cikkben 10 olyan tévhit kerül kibontásra, amit általában nem ismernek részletesen a rendszergazdák, de persze sokfajta legenda kering róluk. Hát íme, nézzük mennyire győzi ez meg a szakmát! A cikk elérhető itt.

( freeoli v | 2007. 12. 14., p – 08:29 )

Messziről jött ember ...

Németországban milyen oprendszeren tartottak online házkutatást a felhasználó tudta nélkül, szürkeillegálisan??? :) ... lehet még valami kattingatós police toolt is készítettek hozzá...

Tök mindegy ki mit mond, az élet majd eledönti ... egy pár xp-s cikket is lehet találni a témában hasonlóan magasztos hangvétellel.

Azt majd egyszer befigyel egy msblast 2 vagy vistablast és lessenek a népek ... ismerős nektek is nem??? .. a fél világ érezte milyen ha valami idegen testrész lüktet az ember gégéjémél, pedig csak netre mentek pár másodpercre ...

Érdekes, a Vista már lassan egy éve kint van a piacon, és - _tudomásom szerint_ - még mindig nincs rá egy vírus. De javítsatok ki ha tévedek, mert sehol nem találtam erre vonatkozó hiteles információt.

Apple MacBook
CD 1.83 | 1.25GB 667MHz | 60GB SATA | 2.36 kg | 5400mAh @ 12.5V

( lacika v | 2007. 12. 14., p – 08:44 )

Nincs min nagyon meglepődni. A cikk írója MS alkalmazott.
Szépen is venné ki magát, ha lehúzná a munkaadója operációs rendszerét.
"Minden szentnek maga fele hajlik a keze..."
Én sem szidom a Solarist ... Pedig neki is vannak bug -jai, akarom mondani feature -ei

--
http://laszlo.co.hu/

( kertes | 2007. 12. 14., p – 08:56 )

Elég egy tévhit is: az, hogy van neki biztonsága. Amúgy meg tök mindegy, alig használja valaki. Itthon 1-5% körüli a weboldalam látogatói közül a visztások aránya.
90% körüli meg az ami "nem tudott teljes mértékben profitálni ennek a paradigmaváltásnak az előnyeiből". A HUP-ot mennyi visztás lesi?

( palmaci | 2007. 12. 14., p – 09:02 )

erdekes en ugyan ezt olvastam a technet ujsagban is szorol-szora:) fizetett hirdetes?? :)

( vomberg | 2007. 12. 14., p – 09:05 )

Ezt a borzalmas süket dumát... te jó ég!

gyakorlatilag annyit mond, hogy egy számítástechnikában képzett ember fél év Vista-kiképzéssel be tudja állítani a Vistáját nagyjából biztonságosra. Egy mezei user ilyen szempontból "halott"-nak minősíthető.

Két "apróságot" emelnék ki:
- az alap adminisztrátori fiókot jelszó nélkül, azaz boldog-boldogtalan részére hozzáférhetően megnyitja, ha kell, ha nem kell, de hagyja is ebek harmincadjára ahelyett, hogy defaultból erős jelszót rakatna hozzá a userrel
- a "third-party" szoftverek nagy része igényel feleslegesen rendszergazdai jogokat, emiatt futnak admin jogokkal a userek általában. No igen, erről is sa user tehet meg a programfejlesztő, és nem az oprendszer gyártó aki világos előírásokat adna a fejlesztéshez

Magyarul a számítástechnika popularizációjának 20-ik évében eljutottak odáig, hogy biztonságossá kéne tenni... bravó!

Mindehhez nem túl nagy bizalmat ad az, hogy kompletten újraírtak egy csomó részt a rendszerben, pl. a hálózati réteget, ami azért valljuk be nem szokott sehol első döfésre hiba nélkül működni...

Egy mezei user nem telepít Linuxot. Az előtelepítettet meg sokszor úgy adják neki, hogy
user: root
passwd: root
(Sulinetes időkből emlékszem ilyenre.)

Ha valaki nem ért, nem akar érteni valamihez, az sosem fog, aki meg igen, az "bármelyik" rendszert biztonságosan tudja használni!

Meg kell nézni, hogy a feltört webszerverek kb. 90%-án milyen oprendszer fut. Ezek szerint nem csak a Windowsnál van probléma az alap beállításokkal?
(Persze itt az is probléma, hogy ma már az is üzemeltet szervert, akinek annyi rendszergazdai ismerete van, hogy le tudja cserélni a háttérképet, és be tudja állítani az IP címet.)

Szerkesztve: Úgy tűnik rosszul emlékeztem a 90%-ra :(((((
Sokkal rosszabb arányra emlékeztem.
http://www.zone-h.org/
Bár amit írtam így is megállja a helyét.

Hogyne, ezt is kitárgyaltuk már: az OS legnagyobb ellensége maga a user (és az lehet rendszergazda is.)
Azt azonban ne felejtsük el, hogy egy Unix-rendszerben a user tud a saját felhasználói terében programokat telepíteni anélkül, hogy ez a rendszerre veszélyt jelentene. És ez nem felülről jövő kezdeményezés, hanem már Kernelszinten eldől a kérdés. Ergo, nem foltozgatás. (Előbb-utóbb az M$ termékek is kénytelen-kelletlen módon efelé kell, hogy tendáljanak, ha a biztonságot akarják fokozni. Ja, csakhogy akkor egy tonna cég dől össze a nyomukban. Azok a cégek, akik biztonsági megoldásaikkal foltozzák az M$ rendszereket.)

Akkor nem értem mi a gondja egyeseknek.
Kezdetekbe elcseszte az M$, de fokozatosan javítja.
Nem teheti meg, hogy az új oprendszer ne legyen visszafele kompatibilis, mert ugye akkor nem venné meg senki. A leírtakból az derül ki, hogy ha hirtelen áttérnének arra, hogy az átlag felhasználó nem futtathat semmit adminisztrátori jogokkal, akkor a programok nagy részét nagyon át kéne írni. Ez nyilván kivitelezhetetlen pár év átállással, azaz fokozatosan kényszeríti rá a fejlesztőket.
Nekem a Win2000 óta egyáltalán nincsen több bajom az M$ oprendszerekkel, mint a Linuxokkal.

(Aki nagyon okoskodik, gondoljon bele, mennyi probléma van Linux alatt is a 64 bites progikkal. Látszólag pedig csak annyi, hogy újra kéne fordítani mindent. Ez az átállás is több év lesz, pedig egyszerűbb dologról van szó.)

És a userspace-be nem tud elfutni egy spam vagy DOS központ? Kap a user egy "britney.sh" fájlt, boldogan rákattint és kész. Igaz a rendszert nem hekkelték meg, de valahányszor elindítja a gépet ontja a spamet vagy dosol. Szerintem ez pont elég.
Hm... én addig vagyok boldog, amíg nincs linuxra féreg, de felesleges mítoszokba kár hinni.

Azt azonban ne felejtsük el, hogy egy Unix-rendszerben a user tud a saját felhasználói terében programokat telepíteni anélkül, hogy ez a rendszerre veszélyt jelentene. És ez nem felülről jövő kezdeményezés, hanem már Kernelszinten eldől a kérdés.

Oh! A kernel szintjén van eldöntve, hogy a user milyen felhasználói programokat tud telepíteni userland-be? Nem semmi ez a Unix... :)

"hogy egy Unix-rendszerben a user tud a saját felhasználói terében programokat telepíteni"
Hmmm. Ezt úgy érted, hogy 'gipszjakab' egységsugarú user a kedvenc ablakkezelőjének a menüjében kattint pl. az aptitude-ra, azt mondja, hogy neki kell pl. kino, erre az meglódul, lerángatja azt a hálóról az összes függőségével egyetemben és felpakolja a /home/gipszjakab/(bin, sbin, lib, share, stb.) alá?
Lehet, hogy csak én vagyok nagyon lemaradva, és ez már működik a fenti módon, de amire még én emlékszem, az az, hogy a home-okon belüli könyvtárhierarchia sincs alapból létrehozva, PATH, LD_LIBRARY_PATH, MANPATH, STB_PATH arra beállítva, valamint azt, hogy ne rootként és ne a /-re épülve dolgozzon pl. a dpkg, arra külön kell holdfényes keresztútnál áldozott fekete kakassal rávarázsolni. Márpedig a 'luser telepít magának' az szerintem ezt jelentené, és nem azt, hogy sudo-val felülvághatja a már telepített és bekonfigurált csomagokat ill. a kvótájától függetlenül teleszemetelheti a filerendszert.
Szóval az a 'luser telepítés' szvsz. pont olyan, mint a 'luser kernelbugot javít': az elvi lehetőség megvan, de a gyakorlati háttér nulla.
Szerk.:
Userenkénti külön chroot-tal talán egyszerűbb lenne megoldani, viszont akkor a több példányban fenn lévő csomagok eszik fel a vinyót, nehezítik a naprakészen tartást, és akkor még nem beszéltünk arról, hogy mi van, ha a user egy csomagban hibát szeretne javítani (mert ugye ez a nyílt forrás egyik előnye), viszont az a program root jogot igényelne (mert pl. egy daemon), ugyanis ekkor ott vagyunk, hogy user kód fut root joggal. Tehát kell valami access control is, de akkor az hogyan lesz automatikusan karbantartva?
Szóval a síparadicsomban férjre vadászó csajok és csajokra vadászó férjek esetéhez hasonlóan a helyzet nem olyan egyértelmű, amilyennek elsőre tűnik...

a cikkben az a lényeg, hogy sok mindennel lehet biztonságossá tenni a Vistát, sokkal komolyabb eszközök vannak benne mint az XP-be, aki meg ezeket nem is ismeri, az meg látatlanban ne nyilatkozzon egy oprendszerről.

a linux biztonsága is csak akkor áll, ha korlátozod a felhasználókat alaposan és ismered a rendszer mélyét.

B10

a linux biztonsága is csak akkor áll, ha korlátozod a felhasználókat alaposan és ismered a rendszer mélyét.

Nagyságrendi különbségek vannak.

Telepíts fel egy Debiant, s meglátod. Kér egy root password-öt és azt is elmondja, hogy mire való. Utána kér egy user name/password-öt is.

Ez az alaptelepítés, innentől kezdve az alaptelepítéseel egy nagyságrenddel biztonságosabb rendszered van mint egy Windows. Na innentől kezdve lehet súlyozni a user hülyeségével a dolgot.

Anno én is beszoptam a hugaim XP-jével, mert korlátozott fiókot akartam nekik adni, erre nem indult el a winamp2 (akkor már volt 5, csak valamiért mindig lefagyott, meg recsegett a hang).

A hálózati réteg újraírása elég érdekesre sikerült :)

Btw ez az írás megint csak egy szűk réteg egóját simogatja. Azokét, akik azért tértek vissza Linuxról Windowsra, mert a Linux elterjedésével nem voltak elég elitek. Mac-ra nincs pénzük, ráadásul az is terjed Magyarországon (meg lehet nézni a reklámokat, fele reklámban már Mac van: főként MacBook Pro és iMac). A BSD az még barátok közt is elég mazo desktopnak (volt is egy körkérdés a HUP-on, és a nagy BSD-sek közül alig volt aki desktopra azt használna otthon). Mi maradt? A Windows. Azzal nem lehet elitnek lenni, mert ugye még mindig 80% fölött van a piaci részesedése, nomeg az lefagy, instabil, lassú stb. Hát akkor lesz nekik elit Windowsuk, ami stabil és gyors. Az átlag usernek nincs ilyenje, mert ő nem ért hozzá (megjegyzem: nekem sem sikerült hosszú távon stabil és használható Windowst csinálni... ja, hogy ndiswrapperrel 100x gyorsabb (ez nem érzékeltető érték, hanem +/-10% pontos érték) a wlan kártya, mint natívan? Ráadásul Linux nem "felejti el" a hardvereket random [tuti nem user error, mert erre más is panaszkodott]. Persze ez user error, tudom.)

Amit a cikk boncolgatott, annak nagy része megvan Linux alatt is eleve, vagy megoldható, vagy elegánsabban meg van oldva. A többi dolog architekturális okok miatt felesleges.

---------
"Ha igazat mondasz azt végig unják, ha feldíszíted azt jól meg dugják"
szerény blogom -- új címen!

"Amit a cikk boncolgatott, annak nagy része megvan Linux alatt is eleve, vagy megoldható"

Nekem ez a rész tetszett a cikkben:

"A Vista tűzfala már kétirányú szűrést is képes végezni, szemben a Windows XP SP2 csak bejövő szűrést végző tűzfalával"

No comment. Jó, hogy 2007-re végre ezt is meg tudták csinálni... :)

"No comment. Jó, hogy 2007-re végre ezt is meg tudták csinálni... :)"
Nyilván tudnának komolyabb tűzfalat csinálni, de akkor a Media Playerhez, Explorerhez hasonló problémák lépnének fel. Azaz perelné egy csomó cég őket, hogy az alternatívákat kiszorítja a piacról...
Szóval ha nem csinálja meg jól, akkor az a baj, ha meg jól megcsinálja, akkor az a baj.

Több laptop tulajdonostól hallottam, hogy az XP olyat csinál, hogy bootkor "elfelejt" bizonyos drivereket. Egyszer indítom a gépet, klikk a Winamp ikonra. Winamp betölt, behozza a lejátszólistát, én klikkelek a play-re, erre bejön, hogy direct sound error. Erre a hibaüzenetre emlékeztem, mert ugyanilyet dobott, amikor még zöldfülűként telepítettem Windowst, és a hajnali időpontok miatt (fél nap volt kibackupolni mindent) elfelejtettem a hangkártya drivert felrakni. Nosza be az eszközkezelőbe, ott virít a multimedia devices alatt a hangkártya (körülnéztem a tulajdonságok lapján, semmit nem írt ki, hogy nem ment volna). Egy véletlen ötlettől fogva letöröltem, majd új hardver hozzáadása, megtalálta a hangkártyát, drivert felrakta, utána szólt a hang. Ez nem lett volna baj, node 3-ból 2 bootoláskor ezt eljátszani? Vagy én rontottam el valamit a procedúra során?

Hardverhiba kizárt, Linux alatt ilyen nem történik, és a hangkártyám is megy rendesen (VIA VT82xx).

---------
"Ha igazat mondasz azt végig unják, ha feldíszíted azt jól meg dugják"
szerény blogom -- új címen!

Bár messze elkerülöm az ilyen VIA chipset alapú szörnyűségeket, de régen annál láttam olyat is, hogy a vinyókat nem tudta DMA-val meghajtani, csak PIO-ként. A hozzávaló driverek nem a Windows részei, hanem külön kell letölteni őket (-> third-party) és nem mentek át a WHQL minősítésen se. Szerinted ezekután a Windows a hibás?

Szar drivert a Linuxra is lehet írni, ha nagyon akarod valaki biztos ír neked rá egyet, amelyet ha betöltesz, akkor a kernel random "elfelejti" a többi drivert... ;)

És csak kizárólag olyan driver van feltelepítve, amelyik rendelkezik ilyen minősítéssel? (Itt nem csak hardver eszköz driverre gondolok, hanem minden non-pnp-re is, amelyeket programok telepítenek maguknak)

BTW, asszem pont VIA-nál láttam azt, hogy a telepítő program átállítja a local policy-t, hogy a Windows ne riasszon amiért a driver nem WHQL... Szóval ha csak arra alapozol, hogy nem ugrott fel a csúnya piros ablak telepítéskor, akkor az kevés. ;)

Hat mondjuk en mar fixeltem nem mukodo lirc-et a hardveremhez kb. fel ora alatt, igaz nem is volt nagy baja. Ez szamit?

Ellenben a CD-talcat F12-re az arcomba loko OSX 10.1-et nem tudtam fixelni, pedig biztos nem lett volna nehez ha megvan a forraskod. Persze a support fixelte nekem, megmondta hogy vegyek ujabbat.

Hat mondjuk en mar fixeltem nem mukodo lirc-et a hardveremhez kb. fel ora alatt, igaz nem is volt nagy baja. Ez szamit?

En AU8830-as drivert fixaltam, szal ez eddig ketto. Hany linux user lehet? :)

Ellenben a CD-talcat F12-re az arcomba loko OSX 10.1-et nem tudtam fixelni, pedig biztos nem lett volna nehez ha megvan a forraskod.

Mit kellett rajta fixalni? OSX-en F12 nyomvatartasa a lemez kiadasat jelenti.

---
pontscho / fresh!mindworkz

En AU8830-as drivert fixaltam, szal ez eddig ketto. Hany linux user lehet? :)

Hat eleg nehez lesz statisztikat csinalni itt, de _szerintem_ eleg sok lehet. Azt azert nem gondolom hogy 5%-nal tobb, marmint a Linux userek 5-10%-anal tobb nem hiszem hogy csinalt ilyet. De egyreszt tevedhetek, masreszt meg lehet hogy meg fog. Bekuldhetsz egy szavazast esetleg.

En is joparszor bugoltam mar drivert. Nem komoly dolgok, de sokszor elofordul hogy valami driver nem megy egy ujabb kernelverzioval, egy ket fuggveny deprecated lesz, azt kicsereled valami masra es megy.
Altalaban sok verzioinkopatibilitast meg lehet oldani altanaos C tudassal.
De olyan is volt hogy a 3com karinak a driverjet kellett hackelni hogy a WOL mukodjon, stb.
Ahhoz jol jott a gugli is. :-)
Tehat egyaltalan nem vagyok kernelprogramozo, de mar joparszor kihuzott a csavabol, hogy megvannak a driverek forraskodban.
Szemelyszerinte nekem tobbet er ez minthogy ala van irva digitalisan.

Bár messze elkerülöm az ilyen VIA chipset alapú szörnyűségeket...

Nálad a pont. Az említett VIA VT82xx alaplapi hangchippel nálam hónapokig úgy működött a Kubuntu, hogy 10 bootolásból 6-7-szer nem volt hang (hibaüzenet persze bootoláskor semmi). Ha először Windows-ra bootoltam és utána Linux-ra akkor volt hang. Végül meguntam és beletettem egy régi PCI-os SBLive!-ot. Úgyhogy sz*r hardveren minden rendszer sz*r.

init();

Nagyon nem értek egyet, itthon 2 gépen is via chipset van, és tökéletesen működnek. Hang: VT8235 és VT3059.
Az tény, hogy a VT8235-ös alaplaphoz adott eredeti driver nem volt certificated, de amikor ez az alaplap kijött még nem volt xp se. A netről letöltött driver meg 100%-osan teljesít. Emlékszem, Red Hat 8 még nem tudta használni a hangkarit, de Fedora Core 4 alatt már ment a cucc out of the box.
Vista alatt is megy out of the box, az más kérdés hogy az csak kipróbálásra volt fenn a gépen. :)

az alap adminisztrátori fiókot jelszó nélkül, azaz boldog-boldogtalan részére hozzáférhetően megnyitja, ha kell, ha nem kell, de hagyja is ebek harmincadjára ahelyett, hogy defaultból erős jelszót rakatna hozzá a userrel

Tévedés. Jelszó nélküli felhasználói fiók nem hozzáférhető távolról, csak lokális bejelentkezésre alkalmas és ez sem a Vista óta van így...

a "third-party" szoftverek nagy része igényel feleslegesen rendszergazdai jogokat, emiatt futnak admin jogokkal a userek általában. No igen, erről is sa user tehet meg a programfejlesztő, és nem az oprendszer gyártó aki világos előírásokat adna a fejlesztéshez

Mielőtt hülyeségeket írsz olvass el egy Microsoft leírást ezzel kapcsolatban. Windows 2000 óta (jórészük NT-től kezdve) szabadon elérhetők azok az előírások és ajánlások, amelyeket be kellene tartani a programfejlesztőknek ahoz, hogy az alkalmazásuk megfelelően működjön a Windows rendszereken. Közöttük van többekközt a jogosultságok szem előtt tartása, az elkülönített felhasználói fiókok figyelembe vétele. Hogy ezt - hozzád hasonlóan - nem ismerik és nem olvassák el a fejlesztők, nehogy már a Microsoft sara legyen...

Hogy van ez ezekkel a jogok kiosztásával, betartásával?
Ezt a feladatot teljes mértékben az oprendszernek kellene lekezelnie, vagy csak akkor fog helyesen működni, ha a felhasználói programot is ehhez megfelelően készítették el?
Csak azért kérdezem, mert jártam már úgy, hogy XP alatt egy tűzfal program szervizként futott és én felhasználói jogokkal le tudtam állítani.
Akkor ez most minek a hibája volt? Az oprendszer nem kezeli úgy a programot ahogy kellene, vagy a program nem volt megírva úgy, ahogy kellene?
Linux alatt persze olyat még nem láttam hogy egy daemon-t le tudtam volna állítani user jogokkal.
Vagy valamit rosszul gondolok?

Vagy például hogy van az hogy XP alatt a Nero-val nem lehet CD-t írni mert felhasználóként nem látja az eszközt.
És ennek nem az a megoldása, hogy az oprendszerben kell valami jogkezelés dolgot átállítanom, hanem egy Nero segédprogramot kell feltelepítenem és abban kell meghatározni, hogy kinek legyen joga írni.
Szóval nem az oprendszerrel osztom a jogokat, hanem a program egy segédprogramjával.

Ezt a feladatot teljes mértékben az oprendszernek kellene lekezelnie, vagy csak akkor fog helyesen működni, ha a felhasználói programot is ehhez megfelelően készítették el?

Értsd mire gondoltam: ha egy programot úgy készítenek alapból, hogy az a Program Files alatt tárolja a felhasználói beállításokat, akkor értelemszerűen nem fog megfelelően működni korlátozott user alatt, mert az nem írhat/módosíthat alapesetben az alatt a könyvtár alatt. Persze lehet jogokkal variálni ott is, hogy a sima user is írhassa/módosíthassa, de az már nem a megfelelő hozzáállás (*nix esetén se szerencsés, ha a /etc alatt állítgathatja a user egy programnak a beállításait). Ezért van a Documents and Settings alatti felhasználó könyvtárakban a Local Settings és az Application Data, ahogy *nix esetén is a user home alatti beállítások (~/.akarmi).

Csak azért kérdezem, mert jártam már úgy, hogy XP alatt egy tűzfal program szervizként futott és én felhasználói jogokkal le tudtam állítani.

Ez lehet akár feature is, ha a programban biztonságosan meg van oldva, hogy a leállítást csak ténylegesen a user végezheti el, egy másik program nem (lásd Vista UAC, ahol szintén le tudsz állítani egy szervízt, ha az UAC-n keresztül "hitelesíted" magad, hogy te ténylegesen a user vagy és nem egy kártékony program, mert a feljövő UAC ablakot egy program se tudja vezérelni).

Az oprendszer nem kezeli úgy a programot ahogy kellene, vagy a program nem volt megírva úgy, ahogy kellene?

A program valószínűleg direkt volt úgy megírva, hogy user által is kontrollálható legyen. A "Personal Firewall" névvel megáldott tűzfalak gyakran ilyenek, hogy ne kelljen a felhasználót adminisztrátori bejelentkezéssel terhelni.

Linux alatt persze olyat még nem láttam hogy egy daemon-t le tudtam volna állítani user jogokkal.

Ez pedig csak annak a függvénye, hogy a daemon hogyan van megírva. A squid proxy is leállítható user-ként, ha engedélyezed ezt a lehetőséget benne... ;)

Egyébként valószínűleg nem a szervízt állítottad le Windows esetén se, csak küldtél neki (a user interfacen keresztül) egy olyan jelzést, hogy jelenleg ne legyen bekapcsolva a tűzfal funkciója.

( pippec | 2007. 12. 14., p – 14:28 )

Elolvastam a cikket.
"A Vista architektúrájának már a tervezéstől fogva része a biztonság." - Még szerencse. Ahhoz képeset ebben a magasztalásban ők maguk írják le a problémákat (amiken változtathatnának, de nem):

"A beépített Rendszergazda elleni támadások:
ennek a fióknak a neve mindenki számára ismert" - egyes disztrókban már nincs root felhasználó
"jelszava is gyakran egyszerű, vagy üres is lehet ... Ennek javasolt ... bonyolult jelszód adni" - nem javasolni kell, hanem kötelezővé tenni a jelszó megadását, és hosszát, mert mezei user nem fog IT guruként viselkedni, könnyebb üresen hagyni...
"...így können törhető."

"A szoftverfejlesztők többnyire feltételezték, hogy a programjuk elérhet és módosíthat akármilyen fájlt ... Windows platformra fejlesztett szoftverek sok esetben ... indokolatlanul igényelik az adminisztrátori jogosultsággal való futtást." - a zárt forráskód hátránya, rossz kommunikáció a m$ és winre fejlesztők között

"az Administrators csoport tagja vagyok, a Windows\System32 mappába írás nem sikerült a nem elevált jogokkal indított parancssorban" - ha rendszergazda jogom van, akkor az általam indított parancssor miért nem kap ilyen jogot? Ez alap nem?

"A Vista esetében még a Rendszergazdák csoport tagjai sem módosíthatják a rendszer erőforrásokat. ... Azonban a rendszergazdáknak jogukban áll tulajdonukba venniük a védett rendszer-erőforrásokat is ... így módosítani vagy törölni is képesek lesznek..." - felesleges köröket kell futni

"a felhasználó így is rávehető arra, hogy letöltsön és futtasson egy rosszindulatú kódot tartalmazó állományt, akkor a védett módú IE sem tehet ellene sokat. Valós idejű vírus és spyware elleni védelemre tehát továbbra is szükség van." - no komment

"Konklúzió
A Windows Vista az eddigi legbiztonságosabb megjelent Windows verzió" - egyértelmű, mivel biztos nem a bika vasat igénylő csillivillire ment el a sok sok millió
"Ugyanakkor továbbra is hihetetlenül fontos, hogy szakemberként mélységében is tisztában legyünk minden új korláttal és lehetőséggel." - ez olyan kínai bölcs bölcsességének hangzik
________________________________________________
Attól, hogy más hülye, te még lehetnél normális.

Csak úgy általánosságban: sosem értettem, mit kell érteni az alatt, hogy "felhasználó barát". A cikk - és egyéb írások - szerint pedig "mélységében" ismerni kell a rendszert. Na akkor ez hogy van? Azt mindenki tudja, elfogadja, hogy a photoshop profi használatához kell 1-2 hónap tréning, nem tudom, miért kell 20 éve azzal etetni a népet, hogy egy oprendszer az meg eccerű.

láttam/használtam már néhány féle rendszert - valamennyi közül a windows a leggyengébb.

A windows "felhasználóbarát", mert nem kell a felhasználónak gondolkodnia, majd a windows megmondja mit akar a felhasználó :D Komolyra véve a szót, sztem a felhasználóbarátság jelentése, h nem baj ha nem értel hozzá, attól még tudod kezelni, bár nem biztos h tudod is mit csinálsz. És valóban ellentmondás van, ha a win "felhasználóbarát" akkor miért kéne "mélységében ismerni"?
________________________________________________
Attól, hogy más hülye, te még lehetnél normális.

"az Administrators csoport tagja vagyok, a Windows\System32 mappába írás nem sikerült a nem elevált jogokkal indított parancssorban" - ha rendszergazda jogom van, akkor az általam indított parancssor miért nem kap ilyen jogot? Ez alap nem?

Akkor te még mindig nem érted az UAC lényegét. Pont az a lényege, hogy ha valamit nem muszáj, akkor ne rendszergazdaként csináld. Mi van, ha a parancssor helyett például egy férget indítasz el véletlen? Ha megkapná alapból a High szintet, gyk. azt csinálhatna a rendszerrel, amit akar, viszont így először kapsz egy figyelmeztetést, hogy hagyod-e, hogy xy program matasson a rendszerben.

De értem, jó elgondolás az UAC. (Max a kivitelezés kevésbé jó.) De én konkrétan a parancssorra gondoltam amit írtam. Mezei user mióta használ parancssort? (Örül ha megtalálja azt a kék kis izét, amire ha duplakatt, akkor lehet netezni.) Ha már vki parancssort indít, és még rendszergazda joga is van, akkor biztos olyasmit akar csinálni amihez kell is a rendszergazda jog...
________________________________________________
Attól, hogy más hülye, te még lehetnél normális.

Itt jön a képben az, hogy mi a feladatkör? Az, hogy gémerpistuka nem használja a parancssort az egy dolog. Viszont én elég gyakran használok például parancssoros programokat, mint pl. wget vagy svn. Ezeket minek futtassam emelt jogkörrel? Teljesen felesleges és csak potencionális támadási felületet ad. Elhiszem, hogy pl. egy diskpart futtatásához kellenek az emelt jogkörök, de például azért, hogy valami rendszer beállításait nem érintő dolgot csináljak, felesleges pluszba emelt jogokat adni.

Persze ezen a témakörön tovább lehet menni: akkor most a konzolos alrendszer kapjon helyből emelt jogokat (hülyeség lenne) vagy csak az, amit parancssorból indítanak (megint csak hülyeség lenne, egyszerű .bat fájlal ki lehetne kerülni).

Szóval érdekelne, hogy mi alapján gondolod, hogy valaki biztosan olyat akar csinálni, amihez rg jog kell? Millió ellenpéldát lehet rá hozni.

Megvalósítás: igen, szokni kell, hogy változnak a dolgok. De hirtelen nekifutásból nekem sincs jobb ötletem ennél a hibrid módszernél. XP-ben a Power user és magasabb szintű jogkörökkel az volt a gond, hogy ugyan kényelmesen lehetett vele állítani mindent, viszont túl nagy támadófelületet ad. Ha meg valaki egyszerű userként használta, akkor jöttek egyrészt a szarul megírt programok és a vele való szopás, másrészt az, hogy a komolyabb beállítások elvégzéséhez vagy át kellett jelentkezni rendszergazda(i jogkörrel rendelkező felhasználóvá) vagy lehet játszadozni a runas/psexec és társaival. Oké, hogy én elszórakozok azzal, hogy a bbLean CTRL+jobbclick -s menüjébe rakok ilyet, hogy rendszergazdaként indított cmd és total commander, de egy egyszerű felhasználó nem fog ilyenekkel szenvedni. Aki meg nem ért hozzá, annak meg magyarázhatod, hogy miért ne használja rendszergazdaként ("ez az én gépem, miért ne legyek rendszergazda?!")

Ezért jó megoldás szerintem erre a szitura ez, amit az UAC-vel kitaláltak: alapvetően mindenki user, de megvan a lehetőség, hogy bizonyos programokat futtasson magasabb jogkörrel, ha van joga _és_ jóváhagyja.