-
Junior Member
- Вес репутации
- 56
Какие уязвимости возможны в такой защите
Здравствуйте!
Я использовал метод белых списков:
В политиках ограниченного использования программ по умолчанию поставил "не разрешено". Запустив все программы на ПК зашел в диспетчер процессов и все программы запущенные от моего имени ввел в список исключений по хешам. Все это применил ко всем пользователям включая админов.
Далее сделал выход браузера и почтовика в интернет через DropMyRights.
Работаю под учеткой с админскими правами, встроенный админ переименован и отключен.
Какие слабые стороны сдесь есть?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Работаю под учеткой с админскими правами
Мне кажется это уже уязвимость
-
-
Junior Member
- Вес репутации
- 56
Сообщение от
light59
Мне кажется это уже уязвимость
Да, но ведь запрещен запуск всего, кроме конкретных программ и выход в инет под ограниченной учеткой.
Какой толк от работы под ограниченной учеткой , если все и так запрещено. Если можно конкретней.
-
Если в политиках ограниченного использования программ по умолчанию выставлен "не разрешено", то это означает что разрешены не только те программы которые Вы ввели в список разрешенных, но и все программы которые находится в папках %ProgramFiles% и %Systemroot% (смотреть ключи в политиках %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%, %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur rentVersion\ProgramFilesDir%). Можно конечно их отключить, но тогда нет никакой гарантии что Windows вообще запустится.
Слабое место в данной защите в том, что ограничение устанавливается на все пользователей, и это делает проблематичным установку новых программ Администраторам. Лучше конечно для повседневной работы не использовать учетную запись в правами Администратора, но это все-таки лучше чем только антивирус.
-
А если программы используемые обновились- каждый раз будете в ручную данные операции проделывать?
К тому же, используемые программы тоже могут иметь уязвимости, значит с
помощью первого же же эксполоитa можно получить права админа и делать с системой что захочется, включая отключения политик.
Ну и CD с флешками забыли как-то.
Можно запустить такой троян, чтобы активизировался сразу после рестарта системы и до исполнения ваших политик- это значит просто зря потраченное время на настройку с вашей стороны.
-
-
Сообщение от
drongo
Можно запустить такой троян, чтобы активизировался сразу после рестарта системы
От куда его можно запустить, если нет прав на запуск неразрешенных программ? (в данном случаи не рассматривается ситуация, когда пользователь сам руками прописывает автоматический запуск вредоносной программы, или злоумышленник имеет физический доступ к данному компьютеру)
По умолчанию, в политиках ограниченного использования программ с установкой "не разрешено", нет прав запуска исполняемых файлов из съемных носителей, так что по средством их, проста так заразить компьютер не удастся.
-
Firza,скрипт по идее можно сварганить на веб странице, чтобы такое сделал Скрипты то не запретили.
Добавлено через 14 минут
Я считаю, что важно понять: вирус/эксплоит имеют те же права что и работающий пользователь.
Ок, поставили костыль в виде drop my rights- но только на несколько программ.А остальным всё равно есть прямой доступ к настройкам системы.
Максимально возможную защиту можно получить лишь работая по умолчанию под ограниченным пользователем. А предложенная вами политика ещё менее удобна в повседневной работе и всё равно дырявей предложенной мной.
Последний раз редактировалось drongo; 16.02.2009 в 21:57.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 56
Сообщение от
Firza
Если в политиках ограниченного использования программ по умолчанию выставлен "не разрешено", то это означает что разрешены не только те программы которые Вы ввели в список разрешенных, но и все программы которые находится в папках %ProgramFiles% и %Systemroot% (смотреть ключи в политиках %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%, %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur rentVersion\ProgramFilesDir%). Можно конечно их отключить, но тогда нет никакой гарантии что Windows вообще запустится.
.
С ограниченной учеткой софт оттуда тоже запустится.
Добавлено через 3 минуты
Сообщение от
drongo
А если программы используемые обновились- каждый раз будете в ручную данные операции проделывать?
К тому же, используемые программы тоже могут иметь уязвимости, значит с
помощью первого же же эксполоитa можно получить права админа и делать с системой что захочется, включая отключения политик.
Ну и CD с флешками забыли как-то.
Можно запустить такой троян, чтобы активизировался сразу после рестарта системы и до исполнения ваших политик- это значит просто зря потраченное время на настройку с вашей стороны.
Я за свою практику только антивирусы обновлял и софт предпочитаю использовать не самый свежий, а прошедший проверку временем. Сложностей в настройке никаких не вижу - гораздо проще настройки фаервола. Под ограниченными учетками тоже можно запустить эксплоит до старта системы.
Последний раз редактировалось bestsponsor; 16.02.2009 в 22:08.
Причина: Добавлено
-
Сообщение от
bestsponsor
С ограниченной учеткой софт оттуда тоже запустится.
вот только попасть туда не сможет без ведома пользователя, а под админом запросто.
-
-
Junior Member
- Вес репутации
- 56
Сообщение от
drongo
Firza,скрипт по идее можно сварганить на веб странице, чтобы такое сделал
Скрипты то не запретили.
Добавлено через 14 минут
Я считаю, что важно понять: вирус/эксплоит имеют те же права что и работающий пользователь.
Ок, поставили костыль в виде drop my rights- но только на несколько программ.А остальным всё равно есть прямой доступ к настройкам системы.
Максимально возможную защиту можно получить лишь работая по умолчанию под ограниченным пользователем. А предложенная вами политика ещё менее удобна в повседневной работе и всё равно дырявей предложенной мной.
Опять таки до старта системы ограниченная учетка уязвима. Программы из белого списка врядли станут пакостить.
Добавлено через 2 минуты
Сообщение от
drongo
вот только попасть туда не сможет без ведома пользователя, а под админом запросто.
Как он попадет? С инета - учетка ограничена (скрипты тоже не проходят), изнутри или со съемных носителей - запрещен запуск.
Кроме того можно максимально запретить инструменты редактирования политик и реестра , занеся всякие CMD, regedit и компанию черным списком по хешам.
Добавлено через 10 минут
Сообщение от
drongo
Максимально возможную защиту можно получить лишь работая по умолчанию под ограниченным пользователем. А предложенная вами политика ещё менее удобна в повседневной работе и всё равно дырявей предложенной мной.
Получить доступ к системе с ограниченной учеткой равносильно сложно и возможно как и с админкой на белых списках. Но лично мне гораздо удобней настраивать белый список нежели ломать голову, чего мол еще не хватает этой проге для запуска под юзером. И никаких проблем для настройки софта для обычных юзеров - скопировал со своего рабочего стола иконку проги юзеру на стол и все!
Хотя конечно использование белых списков и ограниченного пользователя (которому напрочь отрезали любые возможные инструменты настройки системы) дает очень большой выигрыш в безопасности. Я так сделал на работе: перед отпускоском настроил так сервер, чтоб никто не лез с чужим софтом (есть у нас один любитель понаставить программок) - после отпуска все в том же виде и застал. Хотя коллега и хвастал, что все можно взломать при желании. Понабирал хацкерского софта , а сделать ничего не смог - на биос пароль, в админку пароль, софт только дозволеный, запись разрешена только в свою папку.
Последний раз редактировалось bestsponsor; 16.02.2009 в 23:43.
Причина: Добавлено