Sobre o scheduler no Windows e SYSTEM
Acabei de ver um post no SANS Internet Storm Center sobre a "vulnerabilidade" das tarefas executadas pelo Scheduler do Windows, que rodam como SYSTEM. Bom, achei que o comentário tem uma boa dose de preconceito contra a plataforma, ou no mínimo uma visão limitada de quem escreveu.
Sim, o scheduler roda como SYSTEM e dispara as tarefas como tal. Pelo menos no post eles deixam claro que apenas administradores podem fazê-lo. Mas aí tem uma coisa curiosa. Eles comparam o SYSTEM ao root do Unix. Caramba, o Unix tem uma série de situações nas quais as coisas são executadas com privilégios de root! Eles escrevem preocupados com administradores rodando tarefas como SYSTEM, mas na maioria dos Unix e semelhantes os administradores já são root! Ou seja, nem a separação que existe no Windows (SO x Administradores) eles têm.
Também esqueceram de comentar que o Scheduler pode ser executado com privilégios de outro usuário. Se o problema é o SYSTEM, coloque um usuário com outro nível de privilégios. Vale lembrar também que um administrador tem várias maneiras de executar tarefas como SYSTEM, não só o scheduler. Isso está diretamente ligado ao direito "Act as part of the OS" (ou algo do tipo, não lembro de cabeça). Quem tem pode virar SYSTEM. Agora, como fica a segregação de administradores de sistema do "UID 0" nos Unix?
Sim, o scheduler roda como SYSTEM e dispara as tarefas como tal. Pelo menos no post eles deixam claro que apenas administradores podem fazê-lo. Mas aí tem uma coisa curiosa. Eles comparam o SYSTEM ao root do Unix. Caramba, o Unix tem uma série de situações nas quais as coisas são executadas com privilégios de root! Eles escrevem preocupados com administradores rodando tarefas como SYSTEM, mas na maioria dos Unix e semelhantes os administradores já são root! Ou seja, nem a separação que existe no Windows (SO x Administradores) eles têm.
Também esqueceram de comentar que o Scheduler pode ser executado com privilégios de outro usuário. Se o problema é o SYSTEM, coloque um usuário com outro nível de privilégios. Vale lembrar também que um administrador tem várias maneiras de executar tarefas como SYSTEM, não só o scheduler. Isso está diretamente ligado ao direito "Act as part of the OS" (ou algo do tipo, não lembro de cabeça). Quem tem pode virar SYSTEM. Agora, como fica a segregação de administradores de sistema do "UID 0" nos Unix?
0 Comments:
Postar um comentário
<< Home