Показано с 1 по 10 из 10.

Какие уязвимости возможны в такой защите

  1. #1
    Junior Member Репутация
    Регистрация
    16.02.2009
    Сообщений
    8
    Вес репутации
    33

    Какие уязвимости возможны в такой защите

    Здравствуйте!
    Я использовал метод белых списков:
    В политиках ограниченного использования программ по умолчанию поставил "не разрешено". Запустив все программы на ПК зашел в диспетчер процессов и все программы запущенные от моего имени ввел в список исключений по хешам. Все это применил ко всем пользователям включая админов.
    Далее сделал выход браузера и почтовика в интернет через DropMyRights.
    Работаю под учеткой с админскими правами, встроенный админ переименован и отключен.
    Какие слабые стороны сдесь есть?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    590
    Работаю под учеткой с админскими правами
    Мне кажется это уже уязвимость

  4. #3
    Junior Member Репутация
    Регистрация
    16.02.2009
    Сообщений
    8
    Вес репутации
    33
    Цитата Сообщение от light59 Посмотреть сообщение
    Мне кажется это уже уязвимость
    Да, но ведь запрещен запуск всего, кроме конкретных программ и выход в инет под ограниченной учеткой.
    Какой толк от работы под ограниченной учеткой , если все и так запрещено. Если можно конкретней.

  5. #4
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.11.2005
    Сообщений
    91
    Вес репутации
    199
    Если в политиках ограниченного использования программ по умолчанию выставлен "не разрешено", то это означает что разрешены не только те программы которые Вы ввели в список разрешенных, но и все программы которые находится в папках %ProgramFiles% и %Systemroot% (смотреть ключи в политиках %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%, %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur rentVersion\ProgramFilesDir%). Можно конечно их отключить, но тогда нет никакой гарантии что Windows вообще запустится.
    Слабое место в данной защите в том, что ограничение устанавливается на все пользователей, и это делает проблематичным установку новых программ Администраторам. Лучше конечно для повседневной работы не использовать учетную запись в правами Администратора, но это все-таки лучше чем только антивирус.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    972
    А если программы используемые обновились- каждый раз будете в ручную данные операции проделывать?
    К тому же, используемые программы тоже могут иметь уязвимости, значит с
    помощью первого же же эксполоитa можно получить права админа и делать с системой что захочется, включая отключения политик.
    Ну и CD с флешками забыли как-то.
    Можно запустить такой троян, чтобы активизировался сразу после рестарта системы и до исполнения ваших политик- это значит просто зря потраченное время на настройку с вашей стороны.

  7. #6
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.11.2005
    Сообщений
    91
    Вес репутации
    199
    Цитата Сообщение от drongo Посмотреть сообщение
    Можно запустить такой троян, чтобы активизировался сразу после рестарта системы
    От куда его можно запустить, если нет прав на запуск неразрешенных программ? (в данном случаи не рассматривается ситуация, когда пользователь сам руками прописывает автоматический запуск вредоносной программы, или злоумышленник имеет физический доступ к данному компьютеру)

    По умолчанию, в политиках ограниченного использования программ с установкой "не разрешено", нет прав запуска исполняемых файлов из съемных носителей, так что по средством их, проста так заразить компьютер не удастся.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    972
    Firza,скрипт по идее можно сварганить на веб странице, чтобы такое сделал Скрипты то не запретили.

    Добавлено через 14 минут

    Я считаю, что важно понять: вирус/эксплоит имеют те же права что и работающий пользователь.
    Ок, поставили костыль в виде drop my rights- но только на несколько программ.А остальным всё равно есть прямой доступ к настройкам системы.
    Максимально возможную защиту можно получить лишь работая по умолчанию под ограниченным пользователем. А предложенная вами политика ещё менее удобна в повседневной работе и всё равно дырявей предложенной мной.
    Последний раз редактировалось drongo; 16.02.2009 в 21:57. Причина: Добавлено

  9. #8
    Junior Member Репутация
    Регистрация
    16.02.2009
    Сообщений
    8
    Вес репутации
    33
    Цитата Сообщение от Firza Посмотреть сообщение
    Если в политиках ограниченного использования программ по умолчанию выставлен "не разрешено", то это означает что разрешены не только те программы которые Вы ввели в список разрешенных, но и все программы которые находится в папках %ProgramFiles% и %Systemroot% (смотреть ключи в политиках %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%, %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur rentVersion\ProgramFilesDir%). Можно конечно их отключить, но тогда нет никакой гарантии что Windows вообще запустится.
    .
    С ограниченной учеткой софт оттуда тоже запустится.

    Добавлено через 3 минуты

    Цитата Сообщение от drongo Посмотреть сообщение
    А если программы используемые обновились- каждый раз будете в ручную данные операции проделывать?
    К тому же, используемые программы тоже могут иметь уязвимости, значит с
    помощью первого же же эксполоитa можно получить права админа и делать с системой что захочется, включая отключения политик.
    Ну и CD с флешками забыли как-то.
    Можно запустить такой троян, чтобы активизировался сразу после рестарта системы и до исполнения ваших политик- это значит просто зря потраченное время на настройку с вашей стороны.
    Я за свою практику только антивирусы обновлял и софт предпочитаю использовать не самый свежий, а прошедший проверку временем. Сложностей в настройке никаких не вижу - гораздо проще настройки фаервола. Под ограниченными учетками тоже можно запустить эксплоит до старта системы.
    Последний раз редактировалось bestsponsor; 16.02.2009 в 22:08. Причина: Добавлено

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    972
    Цитата Сообщение от bestsponsor Посмотреть сообщение
    С ограниченной учеткой софт оттуда тоже запустится.
    вот только попасть туда не сможет без ведома пользователя, а под админом запросто.

  11. #10
    Junior Member Репутация
    Регистрация
    16.02.2009
    Сообщений
    8
    Вес репутации
    33
    Цитата Сообщение от drongo Посмотреть сообщение
    Firza,скрипт по идее можно сварганить на веб странице, чтобы такое сделал Скрипты то не запретили.

    Добавлено через 14 минут

    Я считаю, что важно понять: вирус/эксплоит имеют те же права что и работающий пользователь.
    Ок, поставили костыль в виде drop my rights- но только на несколько программ.А остальным всё равно есть прямой доступ к настройкам системы.
    Максимально возможную защиту можно получить лишь работая по умолчанию под ограниченным пользователем. А предложенная вами политика ещё менее удобна в повседневной работе и всё равно дырявей предложенной мной.
    Опять таки до старта системы ограниченная учетка уязвима. Программы из белого списка врядли станут пакостить.

    Добавлено через 2 минуты

    Цитата Сообщение от drongo Посмотреть сообщение
    вот только попасть туда не сможет без ведома пользователя, а под админом запросто.
    Как он попадет? С инета - учетка ограничена (скрипты тоже не проходят), изнутри или со съемных носителей - запрещен запуск.
    Кроме того можно максимально запретить инструменты редактирования политик и реестра , занеся всякие CMD, regedit и компанию черным списком по хешам.

    Добавлено через 10 минут

    Цитата Сообщение от drongo Посмотреть сообщение
    Максимально возможную защиту можно получить лишь работая по умолчанию под ограниченным пользователем. А предложенная вами политика ещё менее удобна в повседневной работе и всё равно дырявей предложенной мной.
    Получить доступ к системе с ограниченной учеткой равносильно сложно и возможно как и с админкой на белых списках. Но лично мне гораздо удобней настраивать белый список нежели ломать голову, чего мол еще не хватает этой проге для запуска под юзером. И никаких проблем для настройки софта для обычных юзеров - скопировал со своего рабочего стола иконку проги юзеру на стол и все!
    Хотя конечно использование белых списков и ограниченного пользователя (которому напрочь отрезали любые возможные инструменты настройки системы) дает очень большой выигрыш в безопасности. Я так сделал на работе: перед отпускоском настроил так сервер, чтоб никто не лез с чужим софтом (есть у нас один любитель понаставить программок) - после отпуска все в том же виде и застал. Хотя коллега и хвастал, что все можно взломать при желании. Понабирал хацкерского софта , а сделать ничего не смог - на биос пароль, в админку пароль, софт только дозволеный, запись разрешена только в свою папку.
    Последний раз редактировалось bestsponsor; 16.02.2009 в 23:43. Причина: Добавлено

Похожие темы

  1. Возможны вирусы
    От masusik в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 26.06.2010, 17:32
  2. Возможны вирусы
    От vlad_1976 в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 02.02.2010, 11:29
  3. Возможны трояны...
    От Gizmos в разделе Помогите!
    Ответов: 17
    Последнее сообщение: 28.07.2009, 11:23
  4. Ответов: 2
    Последнее сообщение: 31.05.2007, 07:08

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00434 seconds with 16 queries