mboost-dp1
Nvidia
Lad os nu lige slappe lidt af:
"Hvilken som helst stationær eller bærbar"... NEJ, den samme stationære eller bærbare.
Skåret ud i pap betyder denne sikkerhedsfejl at:
Hvis du kan logge på din FIRMA-pc med en begrænset bruger, så vil du kunne opnå admin rettigheder på maskinen ved at udnytte denne sikkerhedsfejl, hvis maskinen har denne driver installeret.
Dvs. misbrugeren skal kunne logge på først. Hvis dette kan lade sig gøre, så har virksomheden allerede et problem i forvejen.
Det gælder ikke for hjemmepc'ere, da nærmest ingen her kører med domæner. (Og i øvrigt kører masser af folk konstant som admins allerede, så de er hverken mere eller mindre f*cked pga denne sikkerhedsrisiko :-D)
Men man kan jo godt opdatere alligevel, ikke mindst fordi den giver op til 16% mere power på BF3. ;-)
"Hvilken som helst stationær eller bærbar"... NEJ, den samme stationære eller bærbare.
Skåret ud i pap betyder denne sikkerhedsfejl at:
Hvis du kan logge på din FIRMA-pc med en begrænset bruger, så vil du kunne opnå admin rettigheder på maskinen ved at udnytte denne sikkerhedsfejl, hvis maskinen har denne driver installeret.
Dvs. misbrugeren skal kunne logge på først. Hvis dette kan lade sig gøre, så har virksomheden allerede et problem i forvejen.
Det gælder ikke for hjemmepc'ere, da nærmest ingen her kører med domæner. (Og i øvrigt kører masser af folk konstant som admins allerede, så de er hverken mere eller mindre f*cked pga denne sikkerhedsrisiko :-D)
Men man kan jo godt opdatere alligevel, ikke mindst fordi den giver op til 16% mere power på BF3. ;-)
#1:
"The vulnerability allows a remote attacker with a valid domain account to gain super-user access to any desktop or laptop running the vulnerable service."
Ie. hvis du på en eller anden måde har fjern-adgang, f.eks. hvis du sidder on premises. Så kan du overtage næsten alle maskiner med Nvidia drivere... :P
Og det med at man har et problem hvis en angriber kommer ind (i første omgang) er lidt strakt. Det er relativt nemt i dag at komme ind på én maskine. Ellers kan man jo forestille sig en skole hvor alle har en konto. Her har hver elev jo en konto, og disse kan jo let blive til angribere :P
"The vulnerability allows a remote attacker with a valid domain account to gain super-user access to any desktop or laptop running the vulnerable service."
Ie. hvis du på en eller anden måde har fjern-adgang, f.eks. hvis du sidder on premises. Så kan du overtage næsten alle maskiner med Nvidia drivere... :P
Og det med at man har et problem hvis en angriber kommer ind (i første omgang) er lidt strakt. Det er relativt nemt i dag at komme ind på én maskine. Ellers kan man jo forestille sig en skole hvor alle har en konto. Her har hver elev jo en konto, og disse kan jo let blive til angribere :P
#1
Stort set alle firmaer med Active Directory har en rimeligt aaben ballpark ifht. hvem der kan logge ind paa hvilke klient maskiner.
Det er efterhaanden ret mange aar siden det var noedvendigt at laase en maskine til en given bruger.
Derudover saa har stort set alle firmaer jo RDP slaaet til, hvilket goer at Hans Peter kan logge ind remote paa min maskine, fx, hvis han kan finde ud af det.
Alle user-data er krypteret og med laast adgang paa en filserver anyway, saa det er ikke et sikkerhedsproblem foer nVidia (fx) laver en bug saa en ikke-auth user kan faa auth :)
Dvs. misbrugeren skal kunne logge på først. Hvis dette kan lade sig gøre, så har virksomheden allerede et problem i forvejen.
Stort set alle firmaer med Active Directory har en rimeligt aaben ballpark ifht. hvem der kan logge ind paa hvilke klient maskiner.
Det er efterhaanden ret mange aar siden det var noedvendigt at laase en maskine til en given bruger.
Derudover saa har stort set alle firmaer jo RDP slaaet til, hvilket goer at Hans Peter kan logge ind remote paa min maskine, fx, hvis han kan finde ud af det.
Alle user-data er krypteret og med laast adgang paa en filserver anyway, saa det er ikke et sikkerhedsproblem foer nVidia (fx) laver en bug saa en ikke-auth user kan faa auth :)
#1
Nu er det en ret overfladisk beskrivelse der er her paa newz.dk, men i praksis kan det OGSAA vaere et problem for hjemmebrugere.
En af grundende til IKKE at koere som admin konstant, er jo netop at diverse programmer kan risikere at have malware med i pakken.
I teorien kunne dette malware saa bruge din allerede aktive konto, til at faa admin rettigheder...... :)
Det gælder ikke for hjemmepc'ere, da nærmest ingen her kører med domæner. (Og i øvrigt kører masser af folk konstant som admins allerede, så de er hverken mere eller mindre f*cked pga denne sikkerhedsrisiko :-D)
Nu er det en ret overfladisk beskrivelse der er her paa newz.dk, men i praksis kan det OGSAA vaere et problem for hjemmebrugere.
En af grundende til IKKE at koere som admin konstant, er jo netop at diverse programmer kan risikere at have malware med i pakken.
I teorien kunne dette malware saa bruge din allerede aktive konto, til at faa admin rettigheder...... :)
Hvis du har RDP slået til uden begrænsninger på alle PC'er så burde du være på arbejde for at slå det fra nu.fidomuh (6) skrev:Derudover saa har stort set alle firmaer jo RDP slaaet til, hvilket goer at Hans Peter kan logge ind remote paa min maskine, fx, hvis han kan finde ud af det.
Jeg har ikke set nogen firmaer være så sløset med sikkerheden.
fidomuh (9) skrev:#8
Uden begraensninger? Hvilke begraensninger skulle det vaere?
Vi har peter. Han skal kunne logge paa Negerdillers computer baade lokalt og via RDP.
That's it.
Hvordan skulle jeg begraense det? Og hvorfor skulle jeg begraense det?
Man kunne starte med at slå rdp fra. Hvis man vil/skal have det slået til så bør man begrænse hvilke brugere, der har adgang til at logge ind på maskinerne
#10
Jojo, jeg kan ogsaa proppe den op i roeven.
Spoergsmaalet var hvorfor :D
Derudover saa er RDP naturligvis kun slaaet til paa de maskiner det skal bruges paa. Dvs alle klient maskiner, eftersom vi skal have remote admin-adgang.
Derudover, saa er det gruppe specifikt hvem der kan logge ind paa hinandens maskiner, men det sker nu ret ofte at de skal bruge hinandens maskineri, fx til praesentationer eller hjemmearbejde, eller w/e de nu har af undskyldninger :)
Men du maa meget gerne uddybe hvorfor. :)
Jojo, jeg kan ogsaa proppe den op i roeven.
Spoergsmaalet var hvorfor :D
Derudover saa er RDP naturligvis kun slaaet til paa de maskiner det skal bruges paa. Dvs alle klient maskiner, eftersom vi skal have remote admin-adgang.
Derudover, saa er det gruppe specifikt hvem der kan logge ind paa hinandens maskiner, men det sker nu ret ofte at de skal bruge hinandens maskineri, fx til praesentationer eller hjemmearbejde, eller w/e de nu har af undskyldninger :)
Men du maa meget gerne uddybe hvorfor. :)
Hvilke brugere der har adgang og på hvilke netværk der er åbent for det er to af de ting jeg ville kigge på hvis der absolut skal være åbent for RDP.fidomuh (9) skrev:Uden begraensninger? Hvilke begraensninger skulle det vaere?
Fordi der ikke er nogen grund til at have det åbent for alle og enhver. Spørgsmålet burde nærmere være: Hvorfor skulle der være åbent?fidomuh (9) skrev:Og hvorfor skulle jeg begraense det?
Nu deler en RDP session jo ikke skærmen med den der sidder ved computeren så hvordan det lige kan være en fordel i de der situationer kan jeg ikke se.fidomuh (11) skrev:Derudover, saa er det gruppe specifikt hvem der kan logge ind paa hinandens maskiner, men det sker nu ret ofte at de skal bruge hinandens maskineri, fx til praesentationer eller hjemmearbejde, eller w/e de nu har af undskyldninger :)
Remote Assistance derimod...
fidomuh (11) skrev:
Men du maa meget gerne uddybe hvorfor. :)
Tja... Når jeg skal vurdere den slags plejer jeg at bruge et spørgsmål vi fik af vores instruktør på et it-sikkerhedskursus jeg tog engang. Hvad får jeg ud af det og hvad mister jeg.
Ifølge hvad du skriver så får jeg brugere der har adgang til maskinerne hjemmefra formentlig via vpn
Jeg mister så tilgengæld noget af kontrollen over hvem der kan logge ind på mine maskiner og hvorfra.
#12
Well, i princippet saa er folk jo kun paa vores domaene, hvis de har grund til at vaere det.
Som det ser ud nu, er det delt op i grupper (fx Salg og IT), hvor Salg kan logge ind paa Salg-computere og IT kan logge ind paa alle.
Men de bruger det. Saa hvorfor ikke?
Det kraever selvfoelgelig domaene auth.
Medmindre du vil paastaa at RDP er en sikkerhedsbrist, saa burde det vel vaere aabent, fordi det er slaaet til default af MS og deres "Best practice" siger at man skal lade det vaere aabent ? :D
Du misforstaar. De logger nogen gange ind paa hinandensmaskiner, for at arbejde paa dokumenter de saa fx ligger i Users/Shared eller hvad det nu er den hedder.
Samtidig saa er de ofte flere brugere der logger (lokalt) ind paa de samme maskiner (dog paa forskellige tidspunkter ;)), hvorfor de ogsaa har random filer der, etc.
Er det en smart arbejdsmodel? Nej.
Ville jeg selv goere det? Nej.
Er det lykkedes mig at faa folk til at bruge moedelokaler som en resource istedetfor en public folder? Nej.
PPL are retarded :D
Er saa tilgengaeld slaaet fra, eftersom det giver mulighed for at sende RA requests til random andre end vores IT afdeling - og vi har alligevel et andet system til Remote Assistance :)
Hvilke brugere der har adgang og på hvilke netværk der er åbent for det er to af de ting jeg ville kigge på hvis der absolut skal være åbent for RDP.
Well, i princippet saa er folk jo kun paa vores domaene, hvis de har grund til at vaere det.
Som det ser ud nu, er det delt op i grupper (fx Salg og IT), hvor Salg kan logge ind paa Salg-computere og IT kan logge ind paa alle.
Fordi der ikke er nogen grund til at have det åbent for alle og enhver.
Men de bruger det. Saa hvorfor ikke?
Det kraever selvfoelgelig domaene auth.
Spørgsmålet burde nærmere være: Hvorfor skulle der være åbent?
Medmindre du vil paastaa at RDP er en sikkerhedsbrist, saa burde det vel vaere aabent, fordi det er slaaet til default af MS og deres "Best practice" siger at man skal lade det vaere aabent ? :D
Nu deler en RDP session jo ikke skærmen med den der sidder ved computeren så hvordan det lige kan være en fordel i de der situationer kan jeg ikke se.
Du misforstaar. De logger nogen gange ind paa hinandensmaskiner, for at arbejde paa dokumenter de saa fx ligger i Users/Shared eller hvad det nu er den hedder.
Samtidig saa er de ofte flere brugere der logger (lokalt) ind paa de samme maskiner (dog paa forskellige tidspunkter ;)), hvorfor de ogsaa har random filer der, etc.
Er det en smart arbejdsmodel? Nej.
Ville jeg selv goere det? Nej.
Er det lykkedes mig at faa folk til at bruge moedelokaler som en resource istedetfor en public folder? Nej.
PPL are retarded :D
Remote Assistance derimod...
Er saa tilgengaeld slaaet fra, eftersom det giver mulighed for at sende RA requests til random andre end vores IT afdeling - og vi har alligevel et andet system til Remote Assistance :)
fidomuh (15) skrev:Medmindre du vil paastaa at RDP er en sikkerhedsbrist, saa burde det vel vaere aabent, fordi det er slaaet til default af MS og deres "Best practice" siger at man skal lade det vaere aabent ? :D
Siden hvornår er rdp slået til som standard på en klient pc?
RDP er disablet default, både på Windows server og klient OS. Og hvad er det for en best practice?fidomuh (15) skrev:Medmindre du vil paastaa at RDP er en sikkerhedsbrist, saa burde det vel vaere aabent, fordi det er slaaet til default af MS og deres "Best practice" siger at man skal lade det vaere aabent ? :D
Det kan vi vist hurtigt blive enige om. Efter min mening lyder det som om der er en masse der kunne optimeres.. At logge på RDP på en klient maskine for at arbejde på en fil giver absolut ingen mening.. Det er jo bare dumt og spild af tid, strøm og HW.fidomuh (15) skrev:Er det en smart arbejdsmodel? Nej.
Du tænker på solicited RA :)fidomuh (15) skrev:Er saa tilgengaeld slaaet fra, eftersom det giver mulighed for at sende RA requests til random andre end vores IT afdeling - og vi har alligevel et andet system til Remote Assistance :)
Unsolicited RA kan brugerne ikke sende invites ligesom det kan begrænses hvilke brugere der kan tilbyde assistance.
Magten (18) skrev:RDP er disablet default, både på Windows server og klient OS. Og hvad er det for en best practice?fidomuh (15) skrev:Medmindre du vil paastaa at RDP er en sikkerhedsbrist, saa burde det vel vaere aabent, fordi det er slaaet til default af MS og deres "Best practice" siger at man skal lade det vaere aabent ? :D
Det er som standard slået til på Small Business Server, og computere der meldes til domænet får det også som standard slået til. Så de fleste mindre danske virksomheder, som benytter en SBS, vil have RDP aktiveret på alle PCs/servere, medmindre man aktivt slår det fra med en GPO. Du kan på klienterne ikke deaktivere RDP på normal vis via "Remote" under "System".
Den defaulter også til ikke at kræve NLA.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund