"Administrador": Usar ou não usar? Nunca? Quando?

Na Help Net Security:

(...) retirar os direitos de administração irá proteger melhor as empresas [e os indivíduos] contra a exploração de:
  • 75% das vulnerabilidades Críticas no Windows 7 reportadas pela Microsoft até à data;
  • 100% das vulnerabilidades do Microsoft Office reportadas em 2010;
  • 100% das vulnerabilidades do Internet Explorer e 100% do IE 8 reportadas em 2010; e
  • 64% de todas as vulnerabilidades reportadas pela Microsoft em 2010.

in Lack of admin rights mitigates most Microsoft vulnerabilities.

Estes números foram o resultado de um estudo da BeyondTrust, um estudo que analisou as vulnerabilidades Microsoft ao longo de 2010. O documento está disponível online (embora o registo seja necessário para transferi-lo).

Alguns comentários:

  1. Uma parte importante do malware que tenta explorar as vulnerabilidades dos programas e dos sistemas operativos, uma parte significativa, utiliza os privilégios que estiverem atribuídos aos utilizadores para realizar a sua arte, seja ela qual for, e, sobretudo, para tentar perpetuar-se e propagar-se;
  2. Quando os privilégios dos utilizadores comprometidos através de uma vulnerabilidade forem elevados, e.g. quando forem privilégios de administrador local ou global, o impacto da exploração será o maior possível;
  3. As contas de administração dos computadores e dos domínios não devem ser usadas no dia-a-dia; só devem ser usadas, por uma questão de precaução, para realizar tarefas de gestão dos equipamentos. Por exemplo, para instalar programas e modificar configurações do sistema; e
  4. Como regra geral, devem ser criadas e usadas contas normais, contas comuns sem privilégios. Essas contas podem ser usadas regularmente. As outras, as privilegiadas, só devem ser utilizadas quando forem estritamente necessárias.

As estatísticas apresentadas pelo relatório suportam facilmente estas ideias.

E tu? Estás a usar uma conta privilegiada neste momento? És administrador da máquina? Muda: cria uma conta diferente...

(FYI: Esta nota marca o início da publicação simultânea em Português e Inglês. Desde 2006 que escrevo exclusivamente em Português mas decidi recentemente que devia escrever também em Inglês. Vamos ver como corre... Começo hoje, com este apontamento)