Написал человек, представившийся рядовым сотрудником Лаборатории Касперского. Говорит, выдергиваю из контекста:
«Это один из пунктов инструкции, который может выбрать клиент, в случае проблем с альтернативным.
Если критикуете, то выскажите аргумент против или предложите свой вариант.
Иначе ваша заметка выглядит глупо <...> Для домашних продуктов достаточно. Но не для корпоративных. Это ведь мануал не для антивируса, а для KSC или KES. И конкретно этот пункт для службы, которая устанавливает пакеты (кроме всего прочего). Это средство администрирования.»
Любой человек, занимавшийся администрированием сетей Windows знает, что учётной записи с правами локального администратора более чем достаточно для любого прикладного ПО, в том числе, для антивируса. Права же учётной записи администратора домена вообще категорически нельзя давать никакому прикладному софту, это создаёт дополнительный вектор атаки для машин Windows, входящих в домен, что, в самом плохом сценарии, может привести к полной компрометации корпоративной сети предприятия. И сам факт наличия предложения поступить подобным образом на сайте компании, специализирующейся на информационной безопасностью — и есть главная глупость.
«Но ведь это софт как альтернатива средствам администрирования Майкрософт. Он начинает обладать теми же правами, которыми обладает винда. Разница только в том - у кого больше дыр» — продолжает подписчик.
Действительно, альтернатива. Изначально теоретическая компрометация может прийти только со стороны вендор ОС, а так ещё и со стороны Лаборатории Касперского. Вариантов становится ровно в два раза больше. Как-то так.
Вообще, тема с правами учётных записей ОС — важная тема. Надо запомнить одну простую истину — никогда не давайте ПО прав больше, чем необходимо для работы его задокументированных возможностей.
«Это один из пунктов инструкции, который может выбрать клиент, в случае проблем с альтернативным.
Если критикуете, то выскажите аргумент против или предложите свой вариант.
Иначе ваша заметка выглядит глупо <...> Для домашних продуктов достаточно. Но не для корпоративных. Это ведь мануал не для антивируса, а для KSC или KES. И конкретно этот пункт для службы, которая устанавливает пакеты (кроме всего прочего). Это средство администрирования.»
Любой человек, занимавшийся администрированием сетей Windows знает, что учётной записи с правами локального администратора более чем достаточно для любого прикладного ПО, в том числе, для антивируса. Права же учётной записи администратора домена вообще категорически нельзя давать никакому прикладному софту, это создаёт дополнительный вектор атаки для машин Windows, входящих в домен, что, в самом плохом сценарии, может привести к полной компрометации корпоративной сети предприятия. И сам факт наличия предложения поступить подобным образом на сайте компании, специализирующейся на информационной безопасностью — и есть главная глупость.
«Но ведь это софт как альтернатива средствам администрирования Майкрософт. Он начинает обладать теми же правами, которыми обладает винда. Разница только в том - у кого больше дыр» — продолжает подписчик.
Действительно, альтернатива. Изначально теоретическая компрометация может прийти только со стороны вендор ОС, а так ещё и со стороны Лаборатории Касперского. Вариантов становится ровно в два раза больше. Как-то так.
Вообще, тема с правами учётных записей ОС — важная тема. Надо запомнить одну простую истину — никогда не давайте ПО прав больше, чем необходимо для работы его задокументированных возможностей.
