¿Es peligroso un instalador de Windows que no requiere derechos de administrador?

Instalar algo sin necesitar privilegios de administrador no es más peligroso que ejecutar un programa sin instalación con permisos de usuario estándar. Esto también es menos peligroso que instalar algo CON privilegios de administrador (o incluso ejecutar cualquier cosa con permisos de administrador).

Ejecutar un programa aleatorio descargado de Internet, por supuesto, es potencialmente peligroso, incluso si no requiere administración.

Si la inquietud de su ISSO es "está ejecutando un código de Internet aleatorio, y el autor de ese código le facilita la pereza de pedirme que lo examine", entonces esto es bastante válido y real. (puede debatir el costo / beneficio, pero es válido)

Si el problema es que "este instalador es más peligroso que otros instaladores o programas que no se instalan porque no aumenta su nivel de acceso", entonces no, esto es un hecho incorrecto.

Bueno, si no necesita derechos de administrador, eso significa que solo puede hacer lo que un usuario normal puede hacer. Por supuesto, no sabrá realmente lo que está haciendo el instalador (pero, ¿alguna vez lo sabe?), Pero puede estar seguro de que no podrá hacer nada que un usuario sin privilegios no pueda, por lo que no sé. No vea el problema si confía en la fuente.

En la plataforma de Windows, si un instalador de aplicaciones tiggers UAC (Control de cuentas de usuario) no está a la altura de la aplicación y la aplicación no puede eludir UAC. Si la instalación de la aplicación requiere hacer algo que requiera administración, se activará UAC. Esto incluiría escribir en los directorios del sistema o en la configuración del registro que abarca todo el sistema.

Si la instalación de una aplicación no activa UAC, eso indica que la aplicación se está instalando en el directorio del perfil del usuario que no es administrador, y que solo está configurando el registro en el propio perfil del usuario. Ciertamente, es posible que un usuario instale malware, y el malware diseñado para desordenar solo los archivos / configuraciones de ese usuario, el daño no se extenderá a todo el sistema.

En el contexto de las amenazas de ransomware, esto significa que el ransomware que se dirige solo a los archivos propios del usuario volaría bajo el radar de UAC.

Para protegerse contra eso y satisfacer las inquietudes de su ISSO, su organización necesitaría políticas y herramientas de protección para evitar la ejecución de cualquier aplicación que no esté provista y certificada por la empresa. Es increíblemente difícil hacerlo de manera efectiva, y para hacerlo se requeriría una gran inversión de personal para certificar las aplicaciones según las necesidades del negocio.

Obviamente, lo anterior solo es cierto si UAC no se ha desactivado o manipulado. Solía ser bastante común que las personas deshabilitaran UAC porque era una molestia, ya que las aplicaciones que realmente no deberían necesitar administración lo activaban. Por ejemplo, solía ser común (y aún sucede) donde ejecutar un juego requiere una elevación porque el juego sí lo hace y se actualiza automáticamente en cada ejecución. En estos días, las aplicaciones se comportan mejor y UAC realmente no debería ser deshabilitado.

Actualizado para aclarar después de buenos comentarios:

Debe mencionarse que cuando se inicia sesión como usuario con un administrador local, hay formas de eludir UAC. Para una mejor protección, uno no debe tener derechos de administrador para su cuenta diaria y crear otro con derechos de administrador. El UAC solicitará las credenciales de administrador cuando se cambie la configuración de todo el sistema o se instale el software, pero no se puede eludir el UAC si el UAC está habilitado.

Una amenaza adicional para las instalaciones de programas que no requieren derechos de administrador es que la instalación puede ser modificada por el código de nivel de usuario. Esto permite actualizaciones silenciosas (no se requiere acceso de administrador), lo que significa que el comportamiento del programa puede cambiar sin previo aviso. Esto también permite que un adversario inserte un código y manipule el programa en silencio (no se requiere acceso de administrador).

  

Si no te pide aprobación, nunca sabes lo que está pasando.   y cambiando en el fondo!

Si el instalador requiere o no derechos de administrador, no sabe qué está haciendo a menos que esté siguiendo / monitoreando los cambios del sistema.

Sin embargo, lo que sabe es que si no solicita derechos de administrador, no puede realizar ningún cambio que requiera derechos de administrador (alterar los archivos del sistema, el registro del sistema, los controladores, etc.).

  

¿Es peligroso un instalador que no requiere derechos de administrador?

Podría ser, pero no más que un instalador que requiere derechos de administrador, de hecho, en teoría, es menos peligroso.

Pero de cualquier manera, no debes ejecutar ningún instalador en el que no puedas confiar en un entorno sensible, ya sea que requiera o no derechos de administrador.

La aplicación todavía tiene que solicitar una elevación si necesita más privilegios, independientemente de su instalador. Por otro lado, si una aplicación es malware, ya puede ejecutar su código dañino en el instalador.

En realidad, es al revés, si ni el instalador ni la aplicación piden una elevación, pueden hacer menos daño, que si uno de ellos pide privilegios.

Al escribir un instalador, uno trata de usar los privilegios tan pequeños como sea necesario. Por lo general, esto determina si el programa solo se puede instalar en una base por usuario o si se puede instalar para todos los usuarios.

Entonces, si es suficiente escribir en la rama del registro [HKEY_CURRENT_USER], a menudo no hay necesidad de pedir una elevación, cuando el instalador necesita privilegios para escribir en [HKEY_LOCAL_MACHINE] o para hacer otras cosas, solo se debe permitir un administrador. tiene que preguntar.

Lo que significa

Si un instalador no requiere derechos de administrador, entonces está instalando software solo para el usuario actual, en lugar de para todo el sistema.

¿Cuáles son los impactos en la seguridad?

El software que está instalando solo puede ejecutarse bajo su propia cuenta de usuario, por lo que no tiene forma de modificar o dañar el sistema a nivel de superusuario / administrador y afectar a otros usuarios o servicios del sistema. En este sentido, es más seguro que ejecutar un instalador de software que requiere derechos de administrador.

Sin embargo, eso no significa que el software en sí no pueda hacer cosas malas, como cualquier software, como espiarte, enviar correos no deseados al tráfico de red no deseado, jugar con tus archivos en tu cuenta, etc. Sin embargo, nada de esto. , es específico del método en el que se instala el software.

Por qué a los administradores de sistemas no les gusta

Evita cualquier política que puedan tener con los usuarios que instalan software, como un proceso de aprobación.

¿Se justifica su preocupación?

Sí y no. Si bien no es más un riesgo de seguridad para el sistema en sí mismo que cualquier cosa que ya pueda hacer en su cuenta de usuario (como escribir scripts, ejecutar sus propios binarios o compilar su propio software), todavía hay algunas razones por las que los departamentos de TI pueden Quiero ser notificado o consultado de todos modos.

A algunos departamentos de TI les gusta mantener un registro de qué software existe en las computadoras de los usuarios con el propósito de realizar auditorías. Si el usuario instala software sin que TI lo sepa, entonces ese software aún puede hacer cosas infames, como atacar computadoras a través de una red, enviar correo no deseado, usar muchos recursos en la máquina, filtrar documentos confidenciales, etc. Por lo tanto, aunque no pueda arriesgar la integridad del sistema para otros usuarios de ese sistema, aún puede realizar cosas que no son deseadas.

Incluso un software bien intencionado puede tener vulnerabilidades que pueden causar problemas si no se mantienen actualizados. Si un departamento de TI conoce el software instalado en los sistemas de los usuarios, puede asegurarse de que estén actualizados.

Summary

Todo esto se reduce a que no hay un riesgo de seguridad inherente en un instalador que se instala para un solo usuario y no usa derechos de administrador. Lo que puede preocupar a un departamento de TI es simplemente el hecho de instalar software sin notificarlo.

Un instalador que no solicita derechos de administrador es más seguro que uno que sí pregunta, ...

A menos que , usted tenga derechos de administrador y se los haya otorgado al instalador.

Como ejemplo, tengo un instalador en mi MacBook que puede instalar aplicaciones en / use / local / bin sin pedir mi contraseña de administrador (llamada "brew" para curiosos). La única forma posible es que se le hayan otorgado derechos de administrador a Brew cuando se instaló. Ahora MacOS tiene algo llamado SIP que evita que incluso el administrador realice algunos tipos de cambios. Por lo que yo sé, Windows no tiene equivalente. (Pero no he usado Windows en casi cuatro años).

Dicho esto, incluso sin privilegios de administrador, un programa que instaló puede hacer cosas desagradables para usted . Otra respuesta ha mencionado algunas de esas cosas. Pero el programa cualquiera puede hacer algunos de ellos, no solo un instalador.

Se puede extraer una gran cantidad de instaladores sin derechos de administrador utilizando herramientas de terceros como el extractor universal y realmente no requieren derechos de administrador. Al dar a los instaladores acceso al modo de administrador, les da acceso a cada parte de su computadora, un instalador que se ejecuta sin esos derechos solo tiene acceso a los archivos que no requieren derechos de administrador.

Sin embargo, es cierto que nunca se sabe lo que hace CUALQUIER programa de terceros, a menos que lo compruebe usted mismo. Todo lo que puede hacer es asegurarse de que el programa provenga de una fuente confiable, no tenga ningún virus conocido (usando un antivirus / virustotal) y, por último, podría usar algo como el extractor universal para ver qué hace el script o incluso usarlo para extraer Los archivos del instalador directamente. Y, obviamente, asegúrese de que el jefe esté de acuerdo con los programas que está ejecutando / instalando.

Tenga en cuenta que no todos los instaladores se pueden extraer de esta manera y que algunos de ellos realmente requieren derechos de administrador para instalar elementos como controladores o ingresar elementos en el registro.

Para agregar a las respuestas existentes, hay una desventaja de la otra cara de un instalador que no necesita derechos de administrador si el software que está instalado necesita derechos de administrador para ejecutarse .

Si el instalador no usa derechos de administrador, es posible que el software no pueda instalarse en la carpeta de Archivos de Programa (protegida). Al instalar localmente en lugar de globalmente, es posible que un actor malintencionado modifique el programa, o instale complementos personalizados, desde una cuenta local en lugar de administrador. Esto podría potencialmente llevar a una escalada de privilegios si alguien ejecuta ese programa como administrador.

Sin embargo, las condiciones necesarias para lograr esto prácticamente son muy remotas. Es más una vulnerabilidad teórica que real.

Tu ISSO está simplemente equivocado.

Primero, si logré crear un instalador que no necesita privilegios de administrador pero en realidad es malware (por ejemplo, me envía todos sus documentos), entonces es trivial para mí pedirle privilegios de administrador. Realmente me estaría preguntando cómo pedir privilegios de administrador haría que el instalador sea más seguro.

No pedir aprobación no significa que el instalador pueda hacer lo que quiera. Solo puede hacer cosas que no requieren aprobación. No puede hacer estas cosas sin aprobación. El instalador con derechos de administrador puede hacer cualquier cosa en su computadora y desordenar por completo. El instalador sin derechos de administrador puede hacer cualquier cosa en su directorio de usuarios y desordenar por completo, lo que es menos que lo que el instalador con privilegios de administrador puede hacer.

Ahora el daño no se hace necesariamente por malicia, sino a menudo por estupidez (también conocidos como errores en el instalador). Con derechos de administrador, un instalador tiene la capacidad de arruinar todo tu equipo involuntariamente. Sin derechos de administrador, ese riesgo se reduce enormemente.

(Como se mencionó anteriormente, en los sistemas MacOS recientes, los "privilegios de administrador" y "privilegios de raíz" no son los mismos en absoluto, lo que se utiliza para proteger el sistema operativo incluso desde el código con derechos de administrador).

Simplemente significa que no puede hacer lo que puede hacer un administrador. Si alguna acción requiere derechos de administrador, la ejecución del proceso requerirá Elevación . Como SourceTree no está solicitando una elevación, no hará nada que pueda dañar el sistema.

Por ejemplo, no puede :

• instalar un servicio de Windows
• Iniciar o detener cualquier servicio
• Detener cualquier proceso elevado
• Instale el controlador del dispositivo (firmado o no, ese no es el punto).
• Registro protegido de lectura / escritura
• Formatear una unidad
• Cambiar partición de disco
• Cambiar la hora del sistema
• Apaga la máquina
• Iniciar un perfilador de procesos de todo el sistema
• Lea el directorio protegido.
• Cambiar la configuración de arranque.
• Cambiar política de seguridad
• . . .

Por lo tanto, es mejor y seguro que el instalador (o cualquier programa) no solicite la ejecución en modo administrador.

Para completar: un instalador que tome privilegios que NO DEBE tener en silencio (por uno de los métodos descritos en varios comentarios) no solo sería de mal gusto sino también un riesgo de seguridad adicional: en algunos casos podría ser instrumentado por otro malware de lo contrario, no sería capaz de descargar una herramienta de vulnerabilidad como esa a la máquina local.

Ejemplo: el instalador está en la lista blanca con una solución antimalware por un usuario que sabe que el software no es malicioso en sí mismo. El malware real (o un atacante dedicado), a quien se le impediría usar directamente la misma vulnerabilidad, podría convertir ese instalador, si aún se encuentra en la carpeta de descargas locales, por ejemplo, en un agente confuso modificándolo o ejecutándolo de forma artesanal. medio ambiente.

Atlassian SourceTree puede, en cierto sentido, verse como un programa capaz de crear canales encubiertos que, según la norma ISO 27001, requieren mitigación. El argumento para esto es que es un cliente Git capaz de arrastrar un vasto cuerpo de código fuente a través de https.