-
Вирусы и ограниченный пользователь
Здравствуйте! Не ругайте если подобные темы обсуждались.
Настраиваю ПК следующим способом:
Настраиваю политики ограниченного использования программ
Запретить все
Прописываю используемые программы
Запрещаю выполнение Js и VBS
+ Запрет авторан + закрытие портов + отключение служб по вашим темам.
Антивирус стоит
Урезаю права до пользователя
Вопрос: если на компьютер попадет вирус и антивирус его пропустит, может ли он изменить прописанное мной для своего выполнения?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
meir
Вопрос: если на компьютер попадет вирус и антивирус его пропустит, может ли он изменить прописанное мной для своего выполнения?
Если он запуститься сможет и/или эксплуатировать одну из уязвимостей системы то вполне.
-
-
Сообщение от
zerocorporated
Если он запуститься сможет и/или эксплуатировать одну из уязвимостей системы то вполне.
А то что я работаю под ограниченным пользователем, у которого нет прав менять групповую политику, его никак не остановит?
-
Сообщение от
meir
А то что я работаю под ограниченным пользователем, у которого нет прав менять групповую политику, его никак не остановит?
Остановит. Но если уязвимости будет эксплуатировать и получит повышенные права, то не остановит уже...
В общем у зловреда 3 проблемы:
1. Нужно попасть на ПК.
2. Нужно запуститься на ПК.
3. Нужно увеличить себе права, чтоб что-то сотворить.
-
-
А при таком раскладе могут выполняться вирусы с расширением scr?
И вообще групповая политика запрещает только исполнение exe файлов или всех исполняемых файлов?
-
Сообщение от
meir
А при таком раскладе могут выполняться вирусы с расширением scr?
И вообще групповая политика запрещает только исполнение exe файлов или всех исполняемых файлов?
Пуск -> выполнить -> secpol.msc -> "Политики ограниченного использования программ" -> "Назначенные типы файлов"
Вот тут перечислены расширения, которые считаются исполняемыми.
-
-
Сообщение от
zerocorporated
Пуск -> выполнить -> secpol.msc -> "Политики ограниченного использования программ" -> "Назначенные типы файлов"
Вот тут перечислены расширения, которые считаются исполняемыми.
Большое пребольшое спасибо!!!! Это первый форум где мне не начали задавать вопросов типа: Зачем тебе это и т.д., а помогли и ответили на вопрос! Еще раз большое спасибо.
-
Офф: у нас вот такое общение здесь. Радуйтесь.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Если в “Политики ограниченного использования программ” уровень безопасности по умолчанию установлен как “Запретить все”, и у пользователя права “Пользователь” то в принципе все остальные настройки безопасности лишние (+ Запрет авторан + закрытие портов + отключение служб по вашим темам.
Антивирус стоит). Autorun и так работать не будет (выполнение не установленных INF, EXE файлов запрещена). Можно даже и не устанавливать антивирус и продвинутый firewall, потому что возможность заразить компьютер в такой конфигурации задача практически невыполнимая. Теоретически конечно можно использовать какую не будь незакрытую дыру в Windows или другой программе, но все равно заразить компьютер не получиться. Классический Downloader не прокатит из-за невозможности запуска исполняемых файлов из папок к котором у пользователя есть права на запись.
Примечание:
Если уровень безопасности установлен как “Запретить все”, и так как в списке запрещенных файлов есть и LNK файлы, то появится проблема с запуском программб через ярлык которые находится на Desktop и в Start Menu. Один из способов устранение данной проблемы – удалить LNK из списка запрещенных файлов.
-
Сообщение от
Firza
Е Теоретически конечно можно использовать какую не будь незакрытую дыру в Windows или другой программе, но все равно заразить компьютер не получиться.
Примечание:
Можно и не теоретически и заразиться http://av-school.ru/news/a-186.htm
http://news.drweb.com/show/?i=204&c=5 червяки не исполняемые файлы.
-
-
в теории червяк по ссылке на дрвеба сайт под ограниченной учеткой работать не будет...
поэтому именно его ТС боятся нечего, но в качестве примера - в самый раз.
-
Сообщение от
SDA
Невидно как можно заразится данным вирусом, если у компьютер установлен хоть какой небудь firewall.
-
там был еще разговор про съемные носители и сетевые диски
тут будут помогать проактивки и ограниченная учетка...
-
Уровень безопасности по умолчанию “Запретить все”, надает возможность запускать исполняемые файлы из съемных носителей и сетевых дисков, а запустить вирус - неисполняемый файл локально не получится. А удаленному запуску вредоносного, кода через уязвимость в Service и SMB препятствует любой fiewall. Понятно, что если в локальной сети, хоть один компьютер будет заражен данным вирусом, то потом он cможет заразить все остальные компьютеры в локальной сети, через незакрытую дыру.
-
Сообщение от
Firza
А удаленному запуску вредоносного, кода через уязвимость в Service и SMB препятствует любой fiewall.
Да вот как выясняется - не препятствует, если сам работает на уязвимой системе. Внешний аппаратный - тот защищает.
-
-
Сообщение от
Firza
Невидно как можно заразится данным вирусом, если у компьютер установлен хоть какой небудь firewall.
Речь идет о работе под учеткой на пользовательском уровне без всякой защиты. Встроенный фаервол дыры в Windows от червей не закрывает. Активация сетевого червя без участия пользователя всегда означает, что червь использует бреши в безопасности программного обеспечении компьютера.
Еще один классический пример:
Представители семейства Net-Worm.Win32.Sasser. Эти черви используют уязвимость в службе LSASS Microsoft Windows. При размножении, червь запускает FTP-службу на TCP-порту 5554, после чего выбирает IP-адрес для атаки и отсылает запрос на порт 445 по этому адресу, проверяя, запущена ли служба LSASS. Если атакуемый компьютер отвечает на запрос, червь посылает на этот же порт эксплойт уязвимости в службе LSASS, в результате успешного выполнения которого на удаленном компьютере запускается командная оболочка на TCP-порту 9996. Через эту оболочку червь удаленно выполняет загрузку копии червя по протоколу FTP с запущенного ранее сервера и удаленно же запускает себя, завершая процесс проникновения и активации.
Последний раз редактировалось SDA; 17.01.2009 в 15:21.
-
-
Сообщение от
SDA
Встроенный фаервол дыры в Windows от червей не закрывает. Активация сетевого червя без участия пользователя всегда означает, что червь использует бреши в безопасности программного обеспечении компьютера.
В Microsoft Security Bulletin MS08-067 написано:
This security update resolves a privately reported vulnerability in the Server service. The vulnerability could allow remote code execution if an affected system
received a specially crafted RPC request. On Microsoft Windows 2000, Windows XP, and Windows Server 2003 systems, an attacker could exploit this vulnerability without authentication to run arbitrary code. It is possible that this vulnerability could be used in the crafting of a wormable exploit.
Firewall best practices and standard default firewall configurations can help protect network resources from attacks that originate outside the enterprise perimeter.
Ну и кому сейчас верить? Microsoft пишет что встроенный firewall защищает от удаленного заражение компьютера, через данную уязвимость, а тут говорят что не защищает. Но я все-таки больше верю Microsoft.Подумав чиста логически, прихожу к выводу что компьютер, с любим firewall, просто будет отсекать все попытки удавленного подключение к порту, на котором находится RPC, и никакого заражение не будет, даже если данная заплатка не установлена.
-
Там пишут, что СТАНДАРТНАЯ конф-я встроенного фаера может помочь, а в стандартной конф-ии отключен "общий доступ к файлам и принтерам"...
Left home for a few days and look what happens...
-
-
Сообщение от
ALEX(XX)
а в стандартной конф-ии отключен "общий доступ к файлам и принтерам"...
Если не ошибаюсь, то в настройках Windows Firewall, "Общий доступ к файлам и принтерам" включен по умолчанию, но это доступно только из локальной сети, но не из Interneta.
Сейчас нет возможность проверить, какие порты открыты по умолчанию в Windows Firewall (доступные из Interneta), но есть подозрение что там закрыто все (может только Ping проходит). Если это так, то как можно удаленна заразить компьютер, через уязвимую программу, которая находится на закрытом порту?
-
Сообщение от
Firza
Если не ошибаюсь, то в настройках Windows Firewall, "Общий доступ к файлам и принтерам" включен по умолчанию
Не-а.. сразу после установки - отключен
, но это доступно только из локальной сети, но не из Interneta.
Да, там стоит ограничение только локальная сеть / подсеть
Left home for a few days and look what happens...
-