Živý rozhovor: s Martinem Žugecem o bezpečnosti Windows Vista (první část)

Opět se v diskuzi vyjádřila banda zm*dů co má plnou hubu keců, ale sami nic nedokázali... Běžte si mastit ego někam do p*dele...

A samozrejme Astor (Tomas) a jeho kecy o linuxove komunite nesmi chybet .

Microsoft by jsem z tohoto jednání nevinil, je divý a podobne, to je fakt sila. Tomu rikate cestina?

Pochopil jsem to dobre, ze to M$ s bezpecnosti prehani? To je recese, zhulenost nebo co? Jako jestli toto nekdo mysli vazne, tak je dement, vrazil bych mu do ruky lopatu a bylo by :)

Rozhovor se mi nelibil.

Opravil bych gramaticke chyby v článku :D:D::D:D

No já si myslím, že uživatelé MS produktů (OS+Office) opět dopadnou špatně, poněvadž MS vyinkasuje peníze (10-30 tisíc) a pak se na ně vyprdne. Dám příklad: dlouho slibovaný SP3 pro WindowsXP Prof se odkládá snad na 2.pol. příštího roka. Kdo ví zda vůbec bude. MS vydá SP1 pro Vistu a pak MS a pan M.Ž. bude opět přesvědčovat potenciální zákazníky, aby si koupili Blackcomb-Vienna. Není to padlé na hlavu? Mě to připomíná hru letadlo nebo piramidu.

No tak to ani omylem. Ve hře jako pyramida nebo letadlo je alespoň teoreticky možné vyhrát.

Ale i tady vitezi existuji. MS a MVPs

Dík za článek, hrozně jsem se pobavil. Jen si myslím, že místo pana M. Ž. jste mohli použít např. Járu Cimrmana, Josefa Spejbla, nebo nějakou známější neexistující bytost, čtenáři by dříve pochopili, že jde o vtip (provokaci).

A ty jsi blb co si neumi ani overit overitelne.... radeji drzkuje...

No, jestli to tedy nebylo myšleno jako vtip, pak tomu rozumím tak, že dochází k další výrazné akceleraci světa na cestě do pekel (a ještě hlouběji)

http://sudown.sourceforge.net/

napriklad

sudo control
sudo timedate.cpl
sudo regsvr32 "\"d:\cesta k\nejakemu.dll\""
sudo explore

ale musis si to do tech woken dobastlit

Koukam ze je to navic beta, projekt existuje 2 mesice a ma az jednoho vyvojare.

Jako pokus o vtip to nebylo spatne .

No keby sa to rozbehalo, tak preco nie? :) Ja som si to kedysi napisal sam, kde som credentials pre local admin account zakryptoval pre MakeMeAdmin... Takze funkcionalita bola v podstate identicka.

Problem vobec nie je v tom, vyriesit to technicky, ale skor v bezpecnosti...

# Project Admins : sudownProject Admin
# Developers : 1
# Development Status : 4 - Beta
# Intended Audience : Advanced End Users, End Users/Desktop
# License : GNU General Public License (GPL)
# Operating System : 32-bit MS Windows (NT/2000/XP)
# Programming Language : C++
# Topic : Security, Systems Administration
# Translations : English
# User Interface : Win32 (MS Windows)
# Project UNIX name : sudown
# Registered : 2006-11-30 10:05

Omlouvam se, to byla reakce na uzivatele "lore".

ano, projekt na sourceforge je registrovaný teprve nedávno, dříve měl autor tyto stránky: http://sudown.mine.nu/

Jeste detail, neslo by to bez toho sileneho "kryptovani"?

co je to za FUD? já sudoWn používám už téměř ROK, nedávno vyšla verze 2 a je to utilita, bez které si práci na PC už nedokážu představit

bastlením máš na mysli instalaci a začlenění uživatelského konta mezi "Superusers" ?

Zájemcům o bezpečnější užívání Windows vřele doporučuji.

Ono to de celkem i bez utilit, je to sice trosku tezkotonazni prikaz runas nebo pridrzeni shiftu a spustit jako, ale uznavam prace ve woknech jako power user je trosku osemetna ale jde to.

1. sudo, uzivatel ma v /etc/sudoers nastavene "pravidla" a pri pouziti PRESNE DEFINOVANYCH prikazu (viz. /etc/sudoers) zadava SVOJE heslo
2. v pripade pouziti runas zadava heslo ADMINISTRATORA, resp. uzivatele pod kterym to chces spustit!!

Pochopil? Sudo z tebe udela admina pro pouziti konkretniho prikazu bez znalosti hesla uzivatele, runas spusti prikaz pod uctem admina (nejenom) a musis znat jeho heslo.

Toto ale vo Windows existuje uz davno, dokonca managovane cez Active Directory, staci si len najst EPAL...

Ale to by museli admini pouzivat mozek

ano, RUNAS jsem užíval dříve, ale má několik nevýhod:
- nejde s tím jednodušše spustit jiné než spustitelné soubory. Zkuste přes RUNAS spusit třeba Control panel.Jde to,ale složitě.
- daný program spustíte sice s právy administrátora (pokud jste svým pánem a znáte heslo..což je asi většina případů), ale nejen s právy, ale i s uživatelským nastavením.

V tom je hlavní rozdíl oproti sudoWn

aargh!

prosim, necht se korektori zive.cz nauci zakladni pravidla ceske gramatiky. k nastudovani doporucuji predevsim clanky o shode podmetu s prisudkem:
http://www.google.com/search?q=shoda+podm%C4%9Btu+s+p%C5%99%C3%ADsudkem&ie=utf-8&oe =utf-8
a dale pak problematiku sklonovani:
http://cs.wikipedia.org/wiki/České_skloňování

... kde kazdy vzdycky vi vsechno lepe nez autor. Kazdy diskuter tu zna windows lepe nez kdokoliv z MS a nebo aspon bezpecne vi, ze cokoliv zamestnanec MS (nebo odbornik na jejich produkty, ci proste zastance) rekne, je nutne lziva propaganda. Jen tak dal, dobre se bavim.

Nejen na tyto otázky odpovídal Martin Žugec, certifikovaný Microsoft Most Valuable Professional.

1. MVP je "cestny titul" pokud se nepletu, tak jaky certifikovany co je to za blbost?
2. MZ v originalnim rozhovoru psal slovensky a bez hrubek, coz se ale o prekladu rict neda

Jo, certifikovany MVP je trosku protimluv, to som si ani nevsimol :D

> ve Vistách je uživatel opravdu jen uživatelem a ne administrátorem.

Aha, takže Guest, User, Power User, a Administrator ve Windows 2000 a Windows XP jsou jenom takový vtípek, rozverný easter egg unuděného programátora. Ti pánové z Microsoftu jsou ale veselá kopa. Jsem zvědav čím nás pobaví příště.

Po nainstalovani win xp je uzivatel defaultne hned administrator. a malo kdo si vytvori ucet aniz by nebyl adminem. vim jak to myslel. vy musite jen vzdycky do neceho jebat

V korporatnim prostredi (na ktere se ono MVP v textu asi 3x odvolavalo) je naprosto bezne ze uzivatele na svych desktopech nebo noteboocich NEMAJI administratorsky ucet. Defaulni nastaveni je irelevantni. To ze se z usera ve WXP da dostat na administratora (viz nedavny 1E9 krat kvalitnejsi rozhovor s Petrem Odehnalem) je predevsim dusledek idiocie vyrobce onoho OS, nikoliv chyb uzivatelu.

V korporatnim prostredi je naprosto bezne, ze uzivatele MAJI LOKALNIHO ADMINISTRATORA a v domene nejakeho cripled usera.

NE, v korporátním prostředí je naprosto běžné, že žádný local admin pro usery NEExistuje

security díra jak svi.... jakékoli cd které tam vrazí se spustí a může instalovat atd (neřeším že něco podepsal - samozřejmě potom poletí, ale škoda je již dokonána)

Jsou-li uživatelé dostatečně zlikvidování předpisy a máte-li centrální systémy (kecy typu potřebuji to a to ignorujete) stačí bohatě user, a to ještě hodně okleštěn (i pro lidi co pracují hodně dlouho mimo firmu..)

u náš běžné návštěvy pouze 1x měsíčně


děláte v amatérské firmě

Je to naprosto bezne, a admini argumentuji tim ze uzivatele to potrebuji a ze nemaji cas resit kazdou piiip .

Teoreticky user staci, ale prakticky (diky zbastlenemu SW) je to jen dalsi zbozne prani widlo-adminu.

Nemejte obavy, ja v takove firme rozhodne nedelam, jen to vidim u nekterych zakazniku .

Problém je ten, že pokud program nainstaluji coby admin, po spuštění po
obyčejným userem (s jiným profilem) jsou potíže, protože se program snaží
zapisovat někam, kam nemá. Při množství aplikací nemůžeme odzkoušet všechny
možné závislosti, abychom mohli s jistotou ponechat uživateli jen oprávnění
User. Stačilo by splnit 2 jednoduché požadavky:
1) Program lze nainstalovat v administrátorském okně (cmd spuštěný přes RUNAS).
2) Program lze poté spustit s právy USER.
Jinak řečeno, tímto způsobem se vůbec nemusím jako administrátor přihlašovat.
Opačný extrém jsou aplikace, kde musím uživatele nejprve přiřadit oprávnění
Administrator, nainstalovat pod ním program, spustit ho, a pak teprve snížit
jeho oprávnění (pokud to jde) na Users.
Musím konstatovat, že v tomto jsou unixové systémy obecně sto let napřed.
Přitom instalace jako taková je ABSOLUTNÍ ZÁKLAD všeho.
Cheers

firma s 5000 pc po světě..(wokna samozřejmě..)

všichni stejnou instalaci
wokna, office, AV(fw), SAP, intranet
k tomu běžné aplikace jako acro-reader.., VPN

NIC vic, nic MIN

to že některé firmy si hrají na corporaci a jedou jak garažníci je jeich boj - tohle šlapalo krásně
(ano, byli vývojové oddělení, testeři co měli např. linux - ale vše to bylo IT, user má makat na svým bussinesu (prodavat např.) a ne se šťourat ve woknech
a vymejšlet milion ptákovin

hlavně teď nezačněte s veselýma věcma jako je "flexibilita" atd...

Já v takové korporaci pracuji a mám s tím bohaté zkušenosti. Zodpovědně prohlašuji, že takové řešení je nahovno. IT možnosti výpožetní techniky tak ořezali, že je prakticky k ničemu. Schwalovací workflow na cokoli je tak neprůhledný a zmatečný, že kromě standardních situací nefunguje. V důsledku toho IT opouštíme a vracíme se k papírování a papírové evidenci, protože je prostě jednoduší koupit sešit, do kterého mohou všichni psát, než si zřizovat nějakou sdílenou složku na síti, nedej bože webovou aplikaci, aby to bylo přístupné odkudkoli. Byrokracie kolem toho je naprosto neúnosná, opravdu nemáme čas s tím zápasit, potřebujeme makat na svém bussinesu. Vám se to možná líbí, ale já to považuji za selhání IT oddělení, které si žije samo pro sebe a nedovede flexibilně vycházet vstříct potřebám uživatelů.

Jo tohle si nase IT myslelo taky. Kdyz instalace, tak pro vsechny. Jenze pak vylezli z ulity idealnich pripadu a zacali zjistovat... PR potrebuje Photoshop, furu veci od Adobe... elektrikari neco na prohlizeni AutoCADu... rozpoctari MS Project... mapari MicroStation plus nadstavby... vyvojari svoje softiky na chemii a matematiku... stavari a strojari plnej AutoCAD... par veci se seslo a bylo po prce...user proste chtel makat na svym buzinecu... a nebyl zrovna zamestnancem firmy, kde je dvanact prodejcu do tuctu a jinak nic. Zpatky na zem, kolego...

na to je třeba manažer aby 90 procentum useru vysvětlil, že to opravdu nepotřebují - jinak co jste vyjmenoval - různé dwg, dxf dng viewry fungují, Acad také.. photoshop máme také vyzkoušený..(samo pro usery..)


co tam máte dál? to že vám to nejde neznamená že to nejde - když jste gold MS partner a i jiných firem tak to obvykle není problém - dodají šablony pro AD atd...

stále se bavíme o korporacích, ne o garážnících co si na bussiness jen hrají.....

Jo a pak se prejde na reseni kompletne od MS, vcetne serveru. Akorat to ma jednu chybku. Tisk z MS Project pres tiskovy server (samo ze od MS) projde ale ma jednu chybku. Popisky radku se rozjedou s radky. V nahledu je vse OK, na papire KO. Muzete bejt Gold partner treba s puncem, ale nikdo vam neporadi. Nam to funguje. Spete dal.

Ja som sa istu dobu zivil ako konzultant na LUA a mozem povedat, ze to vo Windows ani zdaleka nie je taky problem, ako sa tvrdi... 90% problemov sa da riesit cez Process Monitor + politiky, zvysok sa da riesit cez ACT redirecting (chces zapisat do Program Files a nemas prave, tak sa to presmeruje do userprofile), v najhorsich pripadoch cez EPAL.

Samotny Microsoft na to ma VELMI pekny nastroj Standard User Analyzer, ktory dokaze vyhodnotit, preco dana aplikacia nepobezi pod user accountom.

Inak mozem doporucit http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/luawinxp.mspx, sice uz je pomalicky out of date, ale stale to je pouzitelny dokument.

OK, a jak se pozna takova korporace, kdyz firma kt. ma 40tis PC je garazova? Podle ceho se pozna neamaterska korporace, pouziva windows professional a nejakou amater edition?

Je to takova, kde maji kompletne AD a uzivatele nemaji prava ani na pridani kontaktu do adresare ale neresi se kodovani dokumentu ve stredoevropskych pobockach (proste nejede cestina, oficialni odpoved centraly je fak-off)?

Je to firma ktera ma komplet vsude AD, vsechno musi byt od MS a ve finale overuje 20tis uzivatelu proti (prisne utajenemu, jak jinak) squidu+mysql ?

Jeste by to mohla byt firma (asi 20tis zamestnancu) ktera na vsechno pouziva SAP s nejakou dodelanou aplikaci a ve finale ho synchronizuje pomoci linuxoveho stroje (ktery tam nesmi byt) a je zasity nekde v mistnosti pro uklizecku, protoze originalni nastroje jsou ne(polo)funkcni?

Nebo je to firma (cca 40tis uzivatelu) ktera ma stovky MS certifikovanych IT, tucty bezpecnostnich techniku a lidi tam bezne pouzivaji soukroma wifi pojitka 2,4ghz a pripojuji si vlastni pocitace do firemni site? A verte mi ze v te firme to lze

Ano je to naproste selhani IT oddeleni, ale nikdo se tim nezabyva protoze za ten rok/dva na kt. ma pracovni smlouvu nema sanci na tyto problemy upozornit, pripadne nema na to silu.

Ne, u nas nic takove neni, protoze unix/linux . Je to o pristupu a drtiva vetsina "MS oddanych ajtiku" ma pristup velice spatny.

Není to o přístupu, je to o podstatě. Podstata každého většího
systému je byrokracie, a ta utlumuje jakoukoli aktivitu.
Jediné aktivní impulsy, které přinášejí změnu, jsou ty,
které systém ještě více komplikují, nikdy ne naopak.

Posílal jsem dotaz a mnohokrát děkuji za odpověď. Pomohla.

Nevim jak ostatni casti systemu, ale IP stack vykazoval v betach dost chyb. Napriklad ping of death znamy z Windows 98 fungoval i proti nekterym betam.

Nejhorsi na tom je ze chovani stacku se menilo s kazdou predbeznou verzi i mesic pred vydanim. Rozhodne to neni tak, ze by ho prepsali a pak rok dva v klidu testovali

V článku jsou příšerné hrubky, někomu s takovou kulturou jazyka se dá těžko věřit.

Nejsem pedant a nějakou tu hrubku neřeším neb nikdo z nás není dokonalý a podstatný je především obsah. Ale to, co předvedl pan Žugec (nebo někdo jiný?, potom se mu omlouvám) lze těžko označit jinak než jako trapas. Jen příklady: ... doménový administrátoři ..., ... proč se tomu tedy nyní každý divý., ... problém je v uživatelých. ...

Přesně. To je teda ukázkový chudáček.

"v soukromý", "by jsem"...

Opravte mu někdo ty hrubky, ať tu je za idiota jen kvůli názorům a ne ještě navíc kvůli svým pravopisným neznalostem.

Ako som spominal vyssie, s gramatikou nemam nic, odpovede boli pisane v slovencine a potom (niekym, neviem) prepisovane do cestiny.

Tak to se omlouvám, netušil jsem to. Amatéři ze Živě by se měli omluvit vám i čtenářům, že z vás s prominutím udělali vola.

Proč to tu nemohlo být v originále? Tady přece žádný pitomý jazykový zákon nemáme!

Kdysi jsem dělal on-line rozhovot na Jobs.cz a musím říct, že to nebyla žádná legrace. Stovky dotazů a člověk po chvíli ztratí přehled na co a komu odpovídal a ještě aby kontroloval pravopisné chyby a nebo překlepy. Od to mají být jiní. Ale to co je předvedeno v tomhle rozhovoru je děs a hrůza a ten, kdo to překládal by se měl přinejmenším hodně zastydět a rozhodně bych mu za to nedal peníze, nemluvě o tom, že bych jej s chutí poslal zpět na základní školu.

hmm. A jsou tam i lepsi. Treba zvyklY, my vsechny zeny...

Pokud se o zabezpečení Windows / Linuxu s někým bavím, víceméně vždy jsme skončili u toho, že Windows jsou bezpečná - problém je v uživatelých.>

A jsme u toho. Zase ta politika Microsoftu. Firma ví, že většina uživatelů ani neví, co je to zabezpečení. Ale kdyby byl systém pro domácnosti defaultně zajištěný, mohli by s tím tito uživatelé mít trochu starosti. A to Microsoft určitě nechce. Prostě nainstalovat a spustit. Za každou cenu. Proto MS klidně připustí statisíce zavirovaných počítačů, i tak na tom všem vydělá víc, než kdyby prodával systém zabezpečený. Ale určitě je pravda, že se Windows zabezpečit dají - jen se to musí umět. A to 90 % uživatelů ani umět nechce ...
MS má pravdu. Jeden z důvodů, proč je Linux málo rozšířený, je také nutnost znalosti
zabezpečení (kdy použít usera, kdy administrátora a jak ) .. to BFU snadno odradí.
P.S.: Uživatelích se píše s měkkým i

Odporucil by som autorovi clanku aby pouzil prirucku ceskej gramatiky a opravil chyby bijuce priamo do oci ...

Bohuzial s tym ja nic neurobim - odpovedam po slovenska a redakcia si to potom prepisuje do cestiny :(

v tom pripade bych doporucil redakci vykaslat se na preklad (slovenstine snad rozumi vetsina cechu) a radeji napnout sily nekam jinam

Ty hrubky vasi odbornost docela zneverohodnuji a kdybych nevědel o prekladu, myslel bych si, ze vase nazorny nemaji velkou vahu.

Dekuji tedy EU a Symantecu.

...SP2 pro XP přinesl velmi velké změny, ale nejdůležitější bylo automatické zapnutí firewallu...

Odpovězte mi objektivně jako nestranný odborník: Budou Vista bezpečnější než XP? (Martin Plavec)

Martin Žugec: Nejsem zaměstnanec ani zástupce Microsoftu. Takže nestranná odpověď zní ano, věřím tomu, že Vista budou bezpečnější než XP.

Ver a vira tva te uzdravi

Jestli jsem to dobře pochopil, tak v podstatě normální domácí uživatel, který má zabezpečené svoje 2k/XP/2k3 zatím nemá jediný důvod, proč upgradovat. Všechny ty + co jsem viděl, jsou hlavně pro lidi co buďto využijí nové funkce v korporátní sféře nebo nejsou schopni si nainstalovat/nastavit/používat jakýkoli zabezpečovací software (případně "potřebují" k práci omalovánky).

To by som nepovedal... Ono drtiva vacsina uzivatelov bezpecnostne novinky uplne ignoruje a zaujimaju ich skor
a.) vizualne veci, tu je Vista rozhodne prinos.
b.) ulahcenie prace, t.j. indexing a podobne.

XP sa zabezpecit tak ako Vista neda - MIC a podobne celkom zmenili architekturu, nehovoriac o integrovanom SAFERu (co som chcel uz v SP2) a SID pre sluzby.

Fakt mě baví, jak se snažíte tenhle rozhovor o bezpečnosti Vista protlačit:

Nejdříve jsem to našel mezi běžnýmmi články, pak v Krátkých zprávách a teď je to pro jistotu Článek dne

A co teprve když má člověk RSS, už jsem ten článek dostal nejmíň 6x

Teda kdyby na tyhle otazky odpovidali zastupci MS, myslim, ze lepe by odpovedet nemohli

M$ se snazi a implementuje tyto "zvlastnosti" o 106 ... vzdy do dvou tydnu po uvedeni vylepsene DRM orachny, se najde kdosi kdo zjisti kde nechal tesar diru. Nikdy jsem nebyl zastance pouzivani nelegalniho software ale po tom co si dokazi prolobovat nektere organizace viz poplatky k autorskemu zakonu se DRM branim jak cert krizi. Posledni ukaz na poli teto zabomyssi valky je programek HDDVDBackup jenz umoznuje kopirovani originalnich HDDVD chranenych tusim pres AACS. Kdyby orgranizace distribuujici hudbu/video radeji presli na distribuci pres internet a snizeni ceny myslim si ze by se nikdo za ROZUMNOU CENU neobtezoval kopirovat CD/DVD. To co predvadi tyto organizace nazyvam curanim proti vetru. Je to podobne jak kdyz SONY silou sve korporace chtela protlacit ATRAC nepodporou MP3 a jak to dopadlo ?

Kdyz fotim a sve fotky si z CF ( koupena s poplatkem ) palim na CD/DVD ( koupeno s poplatkem ) na mechanice ( koupeno s poplatkem ) a tisknu na fotopapir ( koupeno s poplatkem ) na tiskarne ( koupeno s poplatkem ) tak se mi z toho zveda panove zaludek.

Jelikoz jsem cetl vyse zminenou diskuzi v dobe kdy probihala online vim ze autor trosku tuto diskuzi promazal, neni to trapne ?

O ziadnom premazani nic netusim, co presne myslite???

Samé lži a oblbbování. Pan Waic taky není pracovníkem Microsoftu a jak se panečku snaží... Jděte do háje s takovejma "odbornejma" článkama..