Какие уязвимости возможны в такой защите

Здравствуйте!
Я использовал метод белых списков:
В политиках ограниченного использования программ по умолчанию поставил "не разрешено". Запустив все программы на ПК зашел в диспетчер процессов и все программы запущенные от моего имени ввел в список исключений по хешам. Все это применил ко всем пользователям включая админов.
Далее сделал выход браузера и почтовика в интернет через DropMyRights.
Работаю под учеткой с админскими правами, встроенный админ переименован и отключен.
Какие слабые стороны сдесь есть?

[quote]Работаю под учеткой с админскими правами[/quote]
Мне кажется это уже уязвимость :)

[quote=light59;350032]Мне кажется это уже уязвимость :)[/quote]
Да, но ведь запрещен запуск всего, кроме конкретных программ и выход в инет под ограниченной учеткой.
Какой толк от работы под ограниченной учеткой , если все и так запрещено. Если можно конкретней.

Если в политиках ограниченного использования программ по умолчанию выставлен "не разрешено", то это означает что разрешены не только те программы которые Вы ввели в список разрешенных, но и все программы которые находится в папках %ProgramFiles% и %Systemroot% (смотреть ключи в политиках %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%, %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%). Можно конечно их отключить, но тогда нет никакой гарантии что Windows вообще запустится.
Слабое место в данной защите в том, что ограничение устанавливается на все пользователей, и это делает проблематичным установку новых программ Администраторам. Лучше конечно для повседневной работы не использовать учетную запись в правами Администратора, но это все-таки лучше чем только антивирус.

А если программы используемые обновились- каждый раз будете в ручную данные операции проделывать?
К тому же, используемые программы тоже могут иметь уязвимости, значит с
помощью первого же же эксполоитa можно получить права админа и делать с системой что захочется, включая отключения политик.
Ну и CD с флешками забыли как-то.
Можно запустить такой троян, чтобы активизировался сразу после рестарта системы и до исполнения ваших политик- это значит просто зря потраченное время на настройку с вашей стороны.

[COLOR=black][FONT=Verdana][COLOR=black][FONT=Verdana][quote=drongo;350084]Можно запустить такой троян, чтобы активизировался сразу после рестарта системы[/quote]От куда его можно запустить, если нет прав на запуск неразрешенных программ? [I](в данном случаи не рассматривается ситуация, когда пользователь сам руками прописывает автоматический запуск вредоносной программы, или злоумышленник имеет физический доступ к данному компьютеру)[/I] [/FONT][/COLOR]
[COLOR=black][FONT=Verdana]По умолчанию, в политиках ограниченного использования программ с установкой "не разрешено", нет прав запуска исполняемых файлов из съемных носителей, так что по средством их, проста так заразить компьютер не удастся.[/FONT][/COLOR][/FONT][/COLOR]

Firza,скрипт по идее можно сварганить на веб странице, чтобы такое сделал :) Скрипты то не запретили.

[size="1"][color="#666686"][B][I]Добавлено через 14 минут[/I][/B][/color][/size]

Я считаю, что важно понять: вирус/эксплоит имеют те же права что и работающий пользователь.
Ок, поставили костыль в виде drop my rights- но только на несколько программ.А остальным всё равно есть прямой доступ к настройкам системы. :P
Максимально возможную защиту можно получить лишь работая по умолчанию под ограниченным пользователем. А предложенная вами политика ещё менее удобна в повседневной работе и всё равно дырявей предложенной мной.

[quote=Firza;350083]Если в политиках ограниченного использования программ по умолчанию выставлен "не разрешено", то это означает что разрешены не только те программы которые Вы ввели в список разрешенных, но и все программы которые находится в папках %ProgramFiles% и %Systemroot% (смотреть ключи в политиках %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%, %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%). Можно конечно их отключить, но тогда нет никакой гарантии что Windows вообще запустится.
.[/quote]
С ограниченной учеткой софт оттуда тоже запустится.

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

[quote=drongo;350084]А если программы используемые обновились- каждый раз будете в ручную данные операции проделывать?
К тому же, используемые программы тоже могут иметь уязвимости, значит с
помощью первого же же эксполоитa можно получить права админа и делать с системой что захочется, включая отключения политик.
Ну и CD с флешками забыли как-то.
Можно запустить такой троян, чтобы активизировался сразу после рестарта системы и до исполнения ваших политик- это значит просто зря потраченное время на настройку с вашей стороны.[/quote]
Я за свою практику только антивирусы обновлял и софт предпочитаю использовать не самый свежий, а прошедший проверку временем. Сложностей в настройке никаких не вижу - гораздо проще настройки фаервола. Под ограниченными учетками тоже можно запустить эксплоит до старта системы.

[quote=bestsponsor;350143]С ограниченной учеткой софт оттуда тоже запустится.

[SIZE=1][COLOR=#666686][B][/B][/COLOR][/SIZE][/quote]вот только попасть туда не сможет без ведома пользователя, а под админом запросто.

[quote=drongo;350134]Firza,скрипт по идее можно сварганить на веб странице, чтобы такое сделал :) Скрипты то не запретили.

[SIZE=1][COLOR=#666686][B][I]Добавлено через 14 минут[/I][/B][/COLOR][/SIZE]

Я считаю, что важно понять: вирус/эксплоит имеют те же права что и работающий пользователь.
Ок, поставили костыль в виде drop my rights- но только на несколько программ.А остальным всё равно есть прямой доступ к настройкам системы. :P
Максимально возможную защиту можно получить лишь работая по умолчанию под ограниченным пользователем. А предложенная вами политика ещё менее удобна в повседневной работе и всё равно дырявей предложенной мной.[/quote]
Опять таки до старта системы ограниченная учетка уязвима. Программы из белого списка врядли станут пакостить.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[quote=drongo;350148]вот только попасть туда не сможет без ведома пользователя, а под админом запросто.[/quote]
Как он попадет? С инета - учетка ограничена (скрипты тоже не проходят), изнутри или со съемных носителей - запрещен запуск.
Кроме того можно максимально запретить инструменты редактирования политик и реестра , занеся всякие CMD, regedit и компанию черным списком по хешам.

[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]

[quote=drongo;350134]Максимально возможную защиту можно получить лишь работая по умолчанию под ограниченным пользователем. А предложенная вами политика ещё менее удобна в повседневной работе и всё равно дырявей предложенной мной.[/quote]
Получить доступ к системе с ограниченной учеткой равносильно сложно и возможно как и с админкой на белых списках. Но лично мне гораздо удобней настраивать белый список нежели ломать голову, чего мол еще не хватает этой проге для запуска под юзером. И никаких проблем для настройки софта для обычных юзеров - скопировал со своего рабочего стола иконку проги юзеру на стол и все!
Хотя конечно использование белых списков и ограниченного пользователя (которому напрочь отрезали любые возможные инструменты настройки системы) дает очень большой выигрыш в безопасности. Я так сделал на работе: перед отпускоском настроил так сервер, чтоб никто не лез с чужим софтом (есть у нас один любитель понаставить программок) - после отпуска все в том же виде и застал. Хотя коллега и хвастал, что все можно взломать при желании. Понабирал хацкерского софта , а сделать ничего не смог - на биос пароль, в админку пароль, софт только дозволеный, запись разрешена только в свою папку.