Joka viikko käyttäjille on esitetty uudet Windows 7: n tietoturvatiedotteet, muistutettu hyökkäyksistä internetin välityksellä, haavoittuneita haittaohjelmia ja monia muita hyökkäyksiä, joita käyttäjät käyttävät jonkun tietokonekäyttöön. Mitä on harvoin puhuttu eikä ole yhtä tärkeä, ovat fyysiset hyökkäykset, joita käyttäjän on kohdattava, kun joku yrittää hyökätä hänen tietokoneellaan.
Ota esimerkiksi - sinulla on tietokone työmatkalla ja yksi kotona, ja sinun on joskus tuettava työsi kotiin ja sinulla on erittäin tärkeät tiedostot, jotka on tallennettu kotitietokoneellesi, tai et todellakaan halua, että joku pääsee tietokoneellesi. Keskimäärin käyttäjällä on yksi puolustuslinja, jotta ihmiset eivät kirjaudu tietokoneeseen ja tekevät mitä he haluavat tiedoillesi, ja hän asettaa käyttäjän salasanan. Edistyneemmät käyttäjät tuntevat muita menetelmiä, kuten salasanan asettamista BIOS: n kautta, mutta kohtaavat sen, useimmilla käyttäjillä ei ole aavistustakaan, että voit tehdä tämän.
Kaksi viikkoa sitten kirjoitin ohjelman, jonka avulla käyttäjä voi korvata Helppokäyttöinen painike logonäytössä. Tämä tarkoitti keinona antaa käyttäjille enemmän joustavuutta, koska jotkut käyttäjät eivät käytä Helppokäyttöoikeuden painiketta.
Sovelluksen laittaessa törmäsin jotain puhtaasti sattumalta. Pieni muutos koodiin sovelluksestani, eikä vain käyttäjä voi korvata Ease of Access -painiketta, mutta käyttäjä voi käyttää sitä jollakin tietokoneella kirjautumisnäytön kautta. Kaikkien oli tehtävä oli korvata Ease of Access -painike erityisesti sisäänrakennetun Windows-työkalun“!
Tämä mahdollistaa sen, että käyttäjä voi ohittaa kaikki käyttäjän salasanat ja antaa käyttäjälle mahdollisuuden kiinnittää flash-aseman … ja poistaa kaiken tietokoneelta, jota he halusivat. Sen lisäksi, että käyttäjä voi poistaa tiedostoja, käyttäjä voi poistaa, muokata tai siirtää tiedostoja tietokoneessa, joka olennaisesti tuhoaa käyttöjärjestelmän. Tällöin sinun on asennettava uudelleen.
Seuraavassa on kuvakaappauksia muokatusta sovelluksestani työssä:
Testaa käyttäjätili, suojattu salasanalla.
Minun peukalon asema on asetettu. Näyttää, että levyllä ei ole tiedostoja.
Testitilin selaaminen valitsee ja kopioi kolme tiedostoa, jotka luotiin testata.
Kopioitu pikkukäyttöön.
Kirjautunut, näyttämällä tiedostot, jotka kopioin peukaloteholle.
Tämä oli Microsoftin edustajien vastaus:
There are a couple of behaviors that make this an issue that we would not consider a security vulnerability from my understanding of your report.
- To run a different executable as admin, the file to be changed has to be changed by an admin. The changed utility may then be available to even standard users at logon, but the change must be done by an admin user.
- Physical access to the system is necessary in order to carry out this behavior. There are many malicious things a user can do with physical access to a system and while we do publish best practices for physical security of computing resources, we cannot protect against physical access in it entirety.
Microsoft antoi seuraavan linkin, jossa todettiin, että ongelma sijoittui luettelossa (2) # 3 ja (1) # 6: 10 Immutable Security Laws
Microsoftin edustajan ei ymmärrä, että käyttäjän ei tarvitse olla ylläpitäjä suorittaa koodia. Sitä voi käyttää kuka tahansa, jolla on tarpeeksi tietoa.
Microsoftin kohta on yksinkertainen. Helppokäyttöisen painikkeen vaihtaminen ei saisi olla niin yksinkertaista. Olisi pitänyt tehdä paremmat toimenpiteet sen varmistamiseksi, että tätä kriittistä ei voi muuttaa, koska se on Logon-näytön ydinosa. Jos he eivät pysty varmistamaan tätä, pitäisi olla vaihtoehto, jotta tätä painiketta ei näytetä.
Jos muut pitävät tätä vakavana kysymyksenä, mielestäni se on, ota yhteyttä turvallisuus (at) microsoft (dot) com ja ilmaise huolesi.
Aiheeseen liittyvät julkaisut:
- Microsoft Surface Diagnostic Toolkit auttaa sinua käyttämään laitteistohäiriöitä
- Windows Password Recovery: Palauta kadonneen, unohtuneen Windows-salasanan
- Logon-käyttöliittymän taustakuvan muuttaminen Windows 7: ssä
- Vapaa web-selaimen suorituskyvyn vertailu testityökaluilla
- Paras ilmainen salasanojen hallintaohjelma Windowsille 10/8/7