uac – اسکنر آسیب پذیری که به خدمات رجیستری از راه دور متصل می شود، شکست خورده است

من تلاش میکنم اسکن آسیب پذیری کامل را در برابر تمام رایانه های شخصی، سرورها و لپ تاپ های من انجام دهم. با این حال، من قادر به خواندن / اتصال به رجیستر هدف با وجود خدمات رجیستری از راه دور آغاز نشده و بخشی از گروه Administrator محلی برای همه است.

در تحقیق این موضوع، به نظر می رسد که UAC به بازی و جلوگیری از دسترسی اسکنر به رجیستری. آیا دیگر راه حل های دیگری وجود دارد:

  1. به ماشین ها به یک دامنه بپیوندید و سپس از مدارک سرپرست دامنه استفاده کنید
  2. محدودیت های کنترل از راه دور حساب کاربر (UAC) را بر روی ماشین ها غیر فعال کنید

آیا یک مکانیزم برای یک حساب کاربری منحصربفرد یک رمز عبور، مشکل رفع UAC را در ویندوز حل می کند؟

مکانیسم استاندارد جداسازی نقش در ویندوز برای یک مدیر محلی، داشتن یک حساب واحد است، اما از طریق UAC محافظت می کند و برای اینکه همیشه امنیت مورد نظر مورد نظر باشد، آن را برای همیشه مطلع کنید. متاسفانه، این مکانیزم به طور مداوم به دور زدن آسیب پذیر است. مایکروسافت گفت UAC یک مانع امنیتی نیست. اما در چه مواردی

برای جلوگیری از دور زدن، یک استراتژی امن تر، داشتن دو حساب کاربری جداگانه، یک مدیر و یک غیر admin برای کاربر است. پس از آن هیچ دور زدن UAC وجود ندارد، به جز موارد آسیب پذیری گاه به گاه امتیازات (بسیار نادر از عبور از UAC در داخل حساب) در ویندوز یافت می شود.

متاسفانه، استراتژی امن تر نیز بیشتر از یک بدون هیچ زحمتی است، زیرا کاربر باید یک رمز عبور هر بار او به سرعت فقط یک دکمه افزایش می یابد. بنابراین ایده من این است: هر دو مدیر و حساب غیر مدیر حساب یک رمز عبور مشابه دارند. در صورتی که کاربر فقط با یک کلمه عبور خالی با کلیک بر روی دکمه ورود به حساب کاربری نمایش داده می شود، ابتدا ویندوز باید به طور پیش فرض با استفاده از گذرواژه (در حال حاضر وارد شده، البته) غیر کاربر admin شود.

البته، شما هم اکنون می توانید دو حساب با همان رمز عبور ایجاد کنید. تغییری که من پیشنهاد می دهم، ارتقاء به مکانیزم ارتفاع است، خوشبینانه فرض می کنم که شما از یک رمز عبور برای هر دو حساب استفاده می کنید.

به نظر می رسد این امر راحتی UX از یک حساب واحد را ترکیب می کند (فقط روی یک دکمه برای بالا بردن ) با امنیت حساب های جداگانه. سوال من این است: آیا واقعا درست است؟ اگر نه، چه چیزی از دست داد؟ به عنوان مثال. نوع پاسخی که من دنبال می کنم این است: ایده شما شکسته شده است … (خطا منطقی من را در اینجا قرار دهید)

به عنوان یک مزیت اضافی نسبت به استراتژی استاندارد حساب های جداگانه با گذرواژه های جداگانه، ایده من از رمز عبور جلوگیری می کند فایرفاکس توسط نرم افزارهای بدافزاری غیرمتعارف، از آنجا که کاربر مشکوک است که فقط بر روی یک دکمه کلیک کند، رمز عبور خود را در خطوط ارتفاع وارد نکنید.