Хочется узнать мнение по поводу настроек указанных ниже как дополнительных к перечисленным в форуме для повышения защиты от кидо и возможных негативных последствиях.
Глобальные политики – конфигурация компьютера – конфигурация виндовс – параметры безопасности – локальные политики – назначения прав пользователя –
1.Отказывать во входе в качестве пакетного задания – добавить идентификатор Сеть(S-1-5-2), SYSTEM
2.Отказывать во входе в качестве службы - добавить идентификатор Сеть(S-1-5-2),Пакетные файлы(S-1-5-3). Сеть В этой группе находятся все пользователи, в настоящее время имеющие доступ на компьютер по сети. (все пользователи входящие через сетевое подключение включая администраторов не смогут добавить и запустить задание в шедулер и службы, в интерактивном режиме – консоль и терминальный вход можно.)
3. Глобальные политики – конфигурация компьютера – конфигурация виндовс – параметры безопасности – файловая система –
%SystemRoot% и %SystemRoot%\sysytem32 (так как не наследуются права) –
Добавить права доступа NTFS идентификаторы
Сеть(S-1-5-2) разрешения все снять, запрет на запись.
Пакетные файлы(S-1-5-3)(Группа, в которую входят все пользователи, вошедшие в систему с использованием средства пакетной очереди. Пример планировщик задач.) разрешения все снять, запрет на запись.
(невозможность записи по сети и запущенными в планировщике задачами в системной папки, в интерактивном режиме – консоль и терминальный вход можно.)
4. Глобальные политики – конфигурация компьютера – конфигурация виндовс – параметры безопасности – реестр –
MACHINE\SYSTEM\CurrentControlSet\Services
MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost– добавить идентификатор Сеть(S-1-5-2) разрешение пусто, запрет всех изменений в реестре. SYSTEM - снимите флажок Полный доступ
Последний раз редактировалось Oleg; 05.05.2009 в 17:21.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Похоже все согласны, что это хороший способ защиты от сетевых вирусов (не с переносных носителей) включая защиту от доступа по сети от имени администратора.
Звучит многообещающе.
А можно про
идентификатор Сеть(S-1-5-2),
Пакетные файлы(S-1-5-3)
поподробней. Это как? Я так понял это "Встроенные участники безопасности".
Хотелось бы по подробней и с первоисточниками
Запрещение входа в качестве пакетного заданияОписание
Эта настройка безопасности определяет, какие учетные записи запрещается использовать при входе в систему в качестве пакетного задания. Эта политика отменяет политику Вход в качестве пакетного задания, если учетная запись пользователя контролируется обеими политиками.
По умолчанию: не определен.
Настройка этого параметра безопасности
Настроить данный параметр безопасности можно, открыв соответствующую политику и развернув дерево консоли следующим образом: Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\.
Запрещение входа в качестве службыОписание
Эта настройка безопасности определяет, каким учетным записям запрещается регистрировать процесс в качестве службы. Эта политика отменяет политику Вход в качестве службы, если учетная запись пользователя контролируется обеими политиками.
Примечание
Данная настройка не используется для учетных записей: «Локальная служба», «Системная служба» и «Сетевая служба».
По умолчанию: не определен.
Настройка этого параметра безопасности
Настроить данный параметр безопасности можно, открыв соответствующую политику и развернув дерево консоли следующим образом: Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\.
Последний раз редактировалось Oleg; 30.04.2009 в 15:26.
Причина: Добавлено
Сама идея была, чтобы с помощью идентификатора Сеть, защитить от воздействия по сети (не важно с какими правами доступа) наиболее критичные точки системы (системную папку, ветки реестра, список которых может расширяться).
с помощью идентификатора Сеть, можно защититься от подбора пароля.
В случае кидо и переполнения буфера защищаться придется от идентификатора служба. Но тут и кроется засада
в этом случае он идентифицируется от NT AUTHORITY\SYSTEM. Запрещать запись в системных папках этому идентификатору действительно нельзя п.3 и п.2 тоже, а вот остальные п.1 и п.4 можно, запретить пакетные файлы и создание записей в службах.
Добавлено через 7 минут
http://support.microsoft.com/kb/962007/ru
они сами это рекомендуют
# В диалоговом окне Выбор раздела реестра разверните узел Machine, а затем перейдите в следующую папку:
Software\Microsoft\Windows NT\CurrentVersion\Svchost
# Нажмите кнопку ОК.
# В появившемся диалоговом окне снимите флажок Полный доступ для группы Администраторы и System.
# Нажмите кнопку ОК.
# В диалоговом окне Добавление объекта установите флажок Заменить текущие разрешения во всех подразделах наследуемыми.
также проделать это для ветки сервисов, и НЕ делать этого для администраторв.
Последний раз редактировалось Oleg; 05.05.2009 в 17:32.
Причина: Добавлено
К %SystemRoot%\sysytem32 по умолчанию из служб имеет полный доступ только идентификатор SYSTEM.
Запуск служб осуществляется под идентификаторами:
по умолчанию (их нельзя запретить) - SYSTEM (Системная служба), LocalService (Локальная служба), NetworkService (Сетевая служба)
или под вручную указанным идентификатором.
И объединяется идентификатором Служба (S-1-5-6)- Группа, в которую включаются все участники безопасности, вошедшие в систему в качестве службы. Членством в этой группе управляет операционная система.
Определяется локальной и/или глобальной политикой
Вход в качестве службы - Эта настройка безопасности определяет, какие учетные записи служб могут зарегистрировать процесс в качестве службы.
Запрещение входа в качестве службы - Эта настройка безопасности определяет, каким учетным записям запрещается регистрировать процесс в качестве службы. Эта политика отменяет политику Вход в качестве службы, если учетная запись пользователя контролируется обеими политиками.
Примечание
• Данная настройка не используется для учетных записей: «Локальная служба», «Системная служба» и «Сетевая служба».
Думаю целесообразно идентификатору Служба , запретить создание/удаление в MACHINE\SYSTEM\CurrentControlSet\Services Применять: Только этот раздел. Cлужбы не должны создавать новые службы.
Олег, а не расскажите про отличия:
SYSTEM (Системная служба),
LocalService (Локальная служба),
NetworkService (Сетевая служба).
Очень интересно зачем 3 разных идентификатора. Неужели LocalService не может работать с сетью
Вот хорошее описание http://about-computer.ru/?p=433 http://www.oszone.net/4644_2/
Я сейчас тоже перечитал, и думаю можно не запрещать создание/удаление в MACHINE\SYSTEM\CurrentControlSet\Services для Служба, а ограничиться снятием полного доступа для SYSTEM.
Последний раз редактировалось Oleg; 06.05.2009 в 14:29.
Автоматическое обновление выполняется от SYSTEM, а у этой учетке забрали запись на ветку служб, запись в системную папку осталась и обновлению не помешает (если конечно не будут добавляться новые службы). А если обновляетесь в ручную то вообще от имени пользователя в котором работаете.
Добавлено через 2 минуты
А вообще может кто-то из экспертов/модераторов выскажет свое мнение?
Последний раз редактировалось Oleg; 13.05.2009 в 13:30.
Причина: Добавлено
Вообще убрать полный доступ у SYSTEM (оставить только по чтению )не мешало б у всех ключей реестра отвечающих за автозапуск в виндовс, тогда рекомендации по работе с ограниченной учеткой спасали бы и в случае дыр позволяющих зловреду от имени SYSTEM прописывать себя в автозапуск, а антивирусы запускать от пользователя с правами администратора.
Так как тут обсуждается доступ для SYSTEM то вот еще кое чего я нашел:
Из дескрипторов безопасности наиболее важным является дескриптор безопасности всей системы - SECURITY\Policy\SecDesc. По умолчанию объем полномочий учетной записи SYSTEM и всей группы администраторов (в которую SYSTEM всегда включена) составляет "FF 1F 0F 00". Можно работать без всяких проблем, если уменьшить данный объем полномочий SYSTEM до "01 10 00 00".
Собственно у меня вопрос есть может кто знает какие есть значения кроме FF 1F 0F 00 и 01 10 00 00??
я знаю только что FF 1F 0F 00 это полный доступ а остальные что означают?может быть где нибудь можно посмотреть??
Ответить с цитированием
Сообщение от Oleg
