Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 37.

Вирусы и ограниченный пользователь

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    08.04.2008
    Сообщений
    62
    Вес репутации
    46

    Вирусы и ограниченный пользователь

    Здравствуйте! Не ругайте если подобные темы обсуждались.
    Настраиваю ПК следующим способом:
    Настраиваю политики ограниченного использования программ
    Запретить все
    Прописываю используемые программы
    Запрещаю выполнение Js и VBS
    + Запрет авторан + закрытие портов + отключение служб по вашим темам.
    Антивирус стоит
    Урезаю права до пользователя
    Вопрос: если на компьютер попадет вирус и антивирус его пропустит, может ли он изменить прописанное мной для своего выполнения?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для zerocorporated
    Регистрация
    23.09.2007
    Сообщений
    967
    Вес репутации
    840
    Цитата Сообщение от meir Посмотреть сообщение
    Вопрос: если на компьютер попадет вирус и антивирус его пропустит, может ли он изменить прописанное мной для своего выполнения?
    Если он запуститься сможет и/или эксплуатировать одну из уязвимостей системы то вполне.

  4. #3
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    08.04.2008
    Сообщений
    62
    Вес репутации
    46
    Цитата Сообщение от zerocorporated Посмотреть сообщение
    Если он запуститься сможет и/или эксплуатировать одну из уязвимостей системы то вполне.
    А то что я работаю под ограниченным пользователем, у которого нет прав менять групповую политику, его никак не остановит?

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для zerocorporated
    Регистрация
    23.09.2007
    Сообщений
    967
    Вес репутации
    840
    Цитата Сообщение от meir Посмотреть сообщение
    А то что я работаю под ограниченным пользователем, у которого нет прав менять групповую политику, его никак не остановит?
    Остановит. Но если уязвимости будет эксплуатировать и получит повышенные права, то не остановит уже...

    В общем у зловреда 3 проблемы:
    1. Нужно попасть на ПК.
    2. Нужно запуститься на ПК.
    3. Нужно увеличить себе права, чтоб что-то сотворить.

  6. #5
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    08.04.2008
    Сообщений
    62
    Вес репутации
    46
    А при таком раскладе могут выполняться вирусы с расширением scr?
    И вообще групповая политика запрещает только исполнение exe файлов или всех исполняемых файлов?

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для zerocorporated
    Регистрация
    23.09.2007
    Сообщений
    967
    Вес репутации
    840
    Цитата Сообщение от meir Посмотреть сообщение
    А при таком раскладе могут выполняться вирусы с расширением scr?
    И вообще групповая политика запрещает только исполнение exe файлов или всех исполняемых файлов?
    Пуск -> выполнить -> secpol.msc -> "Политики ограниченного использования программ" -> "Назначенные типы файлов"

    Вот тут перечислены расширения, которые считаются исполняемыми.

  8. #7
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    08.04.2008
    Сообщений
    62
    Вес репутации
    46
    Цитата Сообщение от zerocorporated Посмотреть сообщение
    Пуск -> выполнить -> secpol.msc -> "Политики ограниченного использования программ" -> "Назначенные типы файлов"

    Вот тут перечислены расширения, которые считаются исполняемыми.
    Большое пребольшое спасибо!!!! Это первый форум где мне не начали задавать вопросов типа: Зачем тебе это и т.д., а помогли и ответили на вопрос! Еще раз большое спасибо.

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Офф: у нас вот такое общение здесь. Радуйтесь.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.11.2005
    Сообщений
    91
    Вес репутации
    199
    Если в “Политики ограниченного использования программ” уровень безопасности по умолчанию установлен как “Запретить все”, и у пользователя права “Пользователь” то в принципе все остальные настройки безопасности лишние (+ Запрет авторан + закрытие портов + отключение служб по вашим темам.
    Антивирус стоит). Autorun и так работать не будет (выполнение не установленных INF, EXE файлов запрещена). Можно даже и не устанавливать антивирус и продвинутый firewall, потому что возможность заразить компьютер в такой конфигурации задача практически невыполнимая. Теоретически конечно можно использовать какую не будь незакрытую дыру в Windows или другой программе, но все равно заразить компьютер не получиться. Классический Downloader не прокатит из-за невозможности запуска исполняемых файлов из папок к котором у пользователя есть права на запись.

    Примечание:
    Если уровень безопасности установлен как “Запретить все”, и так как в списке запрещенных файлов есть и LNK файлы, то появится проблема с запуском программб через ярлык которые находится на Desktop и в Start Menu. Один из способов устранение данной проблемы – удалить LNK из списка запрещенных файлов.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3166
    Цитата Сообщение от Firza Посмотреть сообщение
    Е Теоретически конечно можно использовать какую не будь незакрытую дыру в Windows или другой программе, но все равно заразить компьютер не получиться.

    Примечание:
    Можно и не теоретически и заразиться http://av-school.ru/news/a-186.htm
    http://news.drweb.com/show/?i=204&c=5 червяки не исполняемые файлы.

  12. #11
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1240
    в теории червяк по ссылке на дрвеба сайт под ограниченной учеткой работать не будет...
    поэтому именно его ТС боятся нечего, но в качестве примера - в самый раз.
    // ...

  13. #12
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.11.2005
    Сообщений
    91
    Вес репутации
    199
    Цитата Сообщение от SDA Посмотреть сообщение
    Можно и не теоретически и заразиться http://av-school.ru/news/a-186.htm
    http://news.drweb.com/show/?i=204&c=5 червяки не исполняемые файлы.
    Невидно как можно заразится данным вирусом, если у компьютер установлен хоть какой небудь firewall.

  14. #13
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1240
    там был еще разговор про съемные носители и сетевые диски
    тут будут помогать проактивки и ограниченная учетка...
    // ...

  15. #14
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.11.2005
    Сообщений
    91
    Вес репутации
    199
    Уровень безопасности по умолчанию “Запретить все”, надает возможность запускать исполняемые файлы из съемных носителей и сетевых дисков, а запустить вирус - неисполняемый файл локально не получится. А удаленному запуску вредоносного, кода через уязвимость в Service и SMB препятствует любой fiewall. Понятно, что если в локальной сети, хоть один компьютер будет заражен данным вирусом, то потом он cможет заразить все остальные компьютеры в локальной сети, через незакрытую дыру.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Цитата Сообщение от Firza Посмотреть сообщение
    А удаленному запуску вредоносного, кода через уязвимость в Service и SMB препятствует любой fiewall.
    Да вот как выясняется - не препятствует, если сам работает на уязвимой системе. Внешний аппаратный - тот защищает.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3166
    Цитата Сообщение от Firza Посмотреть сообщение
    Невидно как можно заразится данным вирусом, если у компьютер установлен хоть какой небудь firewall.
    Речь идет о работе под учеткой на пользовательском уровне без всякой защиты. Встроенный фаервол дыры в Windows от червей не закрывает. Активация сетевого червя без участия пользователя всегда означает, что червь использует бреши в безопасности программного обеспечении компьютера.
    Еще один классический пример:
    Представители семейства Net-Worm.Win32.Sasser. Эти черви используют уязвимость в службе LSASS Microsoft Windows. При размножении, червь запускает FTP-службу на TCP-порту 5554, после чего выбирает IP-адрес для атаки и отсылает запрос на порт 445 по этому адресу, проверяя, запущена ли служба LSASS. Если атакуемый компьютер отвечает на запрос, червь посылает на этот же порт эксплойт уязвимости в службе LSASS, в результате успешного выполнения которого на удаленном компьютере запускается командная оболочка на TCP-порту 9996. Через эту оболочку червь удаленно выполняет загрузку копии червя по протоколу FTP с запущенного ранее сервера и удаленно же запускает себя, завершая процесс проникновения и активации.
    Последний раз редактировалось SDA; 17.01.2009 в 15:21.

  18. #17
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.11.2005
    Сообщений
    91
    Вес репутации
    199
    Цитата Сообщение от SDA Посмотреть сообщение
    Встроенный фаервол дыры в Windows от червей не закрывает. Активация сетевого червя без участия пользователя всегда означает, что червь использует бреши в безопасности программного обеспечении компьютера.
    В Microsoft Security Bulletin MS08-067 написано:
    This security update resolves a privately reported vulnerability in the Server service. The vulnerability could allow remote code execution if an affected system received a specially crafted RPC request. On Microsoft Windows 2000, Windows XP, and Windows Server 2003 systems, an attacker could exploit this vulnerability without authentication to run arbitrary code. It is possible that this vulnerability could be used in the crafting of a wormable exploit. Firewall best practices and standard default firewall configurations can help protect network resources from attacks that originate outside the enterprise perimeter.
    Ну и кому сейчас верить? Microsoft пишет что встроенный firewall защищает от удаленного заражение компьютера, через данную уязвимость, а тут говорят что не защищает. Но я все-таки больше верю Microsoft.Подумав чиста логически, прихожу к выводу что компьютер, с любим firewall, просто будет отсекать все попытки удавленного подключение к порту, на котором находится RPC, и никакого заражение не будет, даже если данная заплатка не установлена.

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3708
    Там пишут, что СТАНДАРТНАЯ конф-я встроенного фаера может помочь, а в стандартной конф-ии отключен "общий доступ к файлам и принтерам"...
    Left home for a few days and look what happens...

  20. #19
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.11.2005
    Сообщений
    91
    Вес репутации
    199
    Цитата Сообщение от ALEX(XX) Посмотреть сообщение
    а в стандартной конф-ии отключен "общий доступ к файлам и принтерам"...
    Если не ошибаюсь, то в настройках Windows Firewall, "Общий доступ к файлам и принтерам" включен по умолчанию, но это доступно только из локальной сети, но не из Interneta.
    Сейчас нет возможность проверить, какие порты открыты по умолчанию в Windows Firewall (доступные из Interneta), но есть подозрение что там закрыто все (может только Ping проходит). Если это так, то как можно удаленна заразить компьютер, через уязвимую программу, которая находится на закрытом порту?

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3708
    Цитата Сообщение от Firza Посмотреть сообщение
    Если не ошибаюсь, то в настройках Windows Firewall, "Общий доступ к файлам и принтерам" включен по умолчанию
    Не-а.. сразу после установки - отключен

    , но это доступно только из локальной сети, но не из Interneta.
    Да, там стоит ограничение только локальная сеть / подсеть
    Left home for a few days and look what happens...

Страница 1 из 2 12 Последняя

Похожие темы

  1. анонимный пользователь
    От tais-16 в разделе Сетевые атаки
    Ответов: 4
    Последнее сообщение: 06.05.2010, 11:31
  2. исчез пользователь в ХР
    От vad68 в разделе Помогите!
    Ответов: 14
    Последнее сообщение: 16.04.2010, 00:32
  3. Порченный сетап
    От Finalgon в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 25.04.2009, 15:22
  4. Ограниченный пользователь
    От oneGog в разделе Windows для опытных пользователей
    Ответов: 9
    Последнее сообщение: 16.05.2008, 13:12

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00318 seconds with 16 queries