Показано с 1 по 18 из 18.

Можно ли так укрепить защиту от кидо?

  1. #1
    Junior Member Репутация
    Регистрация
    02.02.2006
    Сообщений
    21
    Вес репутации
    44

    Можно ли так укрепить защиту от кидо?

    Хочется узнать мнение по поводу настроек указанных ниже как дополнительных к перечисленным в форуме для повышения защиты от кидо и возможных негативных последствиях.
    Глобальные политики – конфигурация компьютера – конфигурация виндовс – параметры безопасности – локальные политики – назначения прав пользователя –
    1.Отказывать во входе в качестве пакетного задания – добавить идентификатор Сеть(S-1-5-2), SYSTEM
    2.Отказывать во входе в качестве службы - добавить идентификатор Сеть(S-1-5-2),Пакетные файлы(S-1-5-3). Сеть В этой группе находятся все пользователи, в настоящее время имеющие доступ на компьютер по сети. (все пользователи входящие через сетевое подключение включая администраторов не смогут добавить и запустить задание в шедулер и службы, в интерактивном режиме – консоль и терминальный вход можно.)
    3. Глобальные политики – конфигурация компьютера – конфигурация виндовс – параметры безопасности – файловая система –
    %SystemRoot% и %SystemRoot%\sysytem32 (так как не наследуются права) –
    Добавить права доступа NTFS идентификаторы
    Сеть(S-1-5-2) разрешения все снять, запрет на запись.
    Пакетные файлы(S-1-5-3)(Группа, в которую входят все пользователи, вошедшие в систему с использованием средства пакетной очереди. Пример планировщик задач.) разрешения все снять, запрет на запись.
    (невозможность записи по сети и запущенными в планировщике задачами в системной папки, в интерактивном режиме – консоль и терминальный вход можно.)
    4. Глобальные политики – конфигурация компьютера – конфигурация виндовс – параметры безопасности – реестр –
    MACHINE\SYSTEM\CurrentControlSet\Services
    MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost– добавить идентификатор Сеть(S-1-5-2) разрешение пусто, запрет всех изменений в реестре. SYSTEM - снимите флажок Полный доступ
    Последний раз редактировалось Oleg; 05.05.2009 в 16:21.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    02.02.2006
    Сообщений
    21
    Вес репутации
    44
    Похоже все согласны, что это хороший способ защиты от сетевых вирусов (не с переносных носителей) включая защиту от доступа по сети от имени администратора.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.10.2007
    Адрес
    Владивосток
    Сообщений
    298
    Вес репутации
    75
    Звучит многообещающе.
    А можно про
    идентификатор Сеть(S-1-5-2),
    Пакетные файлы(S-1-5-3)
    поподробней. Это как? Я так понял это "Встроенные участники безопасности".
    Хотелось бы по подробней и с первоисточниками

  5. #4
    Junior Member Репутация
    Регистрация
    02.02.2006
    Сообщений
    21
    Вес репутации
    44
    http://support.microsoft.com/kb/243330/ru

    Добавлено через 12 минут

    http://technet.microsoft.com/ru-ru/l.../cc780850.aspx

    Добавлено через 7 минут

    Запрещение входа в качестве пакетного заданияОписание
    Эта настройка безопасности определяет, какие учетные записи запрещается использовать при входе в систему в качестве пакетного задания. Эта политика отменяет политику Вход в качестве пакетного задания, если учетная запись пользователя контролируется обеими политиками.

    По умолчанию: не определен.

    Настройка этого параметра безопасности
    Настроить данный параметр безопасности можно, открыв соответствующую политику и развернув дерево консоли следующим образом: Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\.

    Запрещение входа в качестве службыОписание
    Эта настройка безопасности определяет, каким учетным записям запрещается регистрировать процесс в качестве службы. Эта политика отменяет политику Вход в качестве службы, если учетная запись пользователя контролируется обеими политиками.

    Примечание

    Данная настройка не используется для учетных записей: «Локальная служба», «Системная служба» и «Сетевая служба».
    По умолчанию: не определен.

    Настройка этого параметра безопасности
    Настроить данный параметр безопасности можно, открыв соответствующую политику и развернув дерево консоли следующим образом: Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\.
    Последний раз редактировалось Oleg; 30.04.2009 в 14:26. Причина: Добавлено

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.10.2007
    Адрес
    Владивосток
    Сообщений
    298
    Вес репутации
    75
    Я как-то побаиваюсь ставить эксперимент

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.07.2006
    Адрес
    г. Коломна
    Сообщений
    86
    Вес репутации
    67
    А автоматизировать это как-нибудь можно?

  8. #7
    Junior Member Репутация
    Регистрация
    02.02.2006
    Сообщений
    21
    Вес репутации
    44
    Сама идея была, чтобы с помощью идентификатора Сеть, защитить от воздействия по сети (не важно с какими правами доступа) наиболее критичные точки системы (системную папку, ветки реестра, список которых может расширяться).

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.10.2007
    Адрес
    Владивосток
    Сообщений
    298
    Вес репутации
    75
    с помощью идентификатора Сеть, можно защититься от подбора пароля.
    В случае кидо и переполнения буфера защищаться придется от идентификатора служба. Но тут и кроется засада

  10. #9
    Junior Member Репутация
    Регистрация
    02.02.2006
    Сообщений
    21
    Вес репутации
    44
    в этом случае он идентифицируется от NT AUTHORITY\SYSTEM. Запрещать запись в системных папках этому идентификатору действительно нельзя п.3 и п.2 тоже, а вот остальные п.1 и п.4 можно, запретить пакетные файлы и создание записей в службах.

    Добавлено через 7 минут

    http://support.microsoft.com/kb/962007/ru
    они сами это рекомендуют
    # В диалоговом окне Выбор раздела реестра разверните узел Machine, а затем перейдите в следующую папку:
    Software\Microsoft\Windows NT\CurrentVersion\Svchost
    # Нажмите кнопку ОК.
    # В появившемся диалоговом окне снимите флажок Полный доступ для группы Администраторы и System.
    # Нажмите кнопку ОК.
    # В диалоговом окне Добавление объекта установите флажок Заменить текущие разрешения во всех подразделах наследуемыми.

    также проделать это для ветки сервисов, и НЕ делать этого для администраторв.
    Последний раз редактировалось Oleg; 05.05.2009 в 16:32. Причина: Добавлено

  11. #10
    Junior Member Репутация
    Регистрация
    02.02.2006
    Сообщений
    21
    Вес репутации
    44
    К %SystemRoot%\sysytem32 по умолчанию из служб имеет полный доступ только идентификатор SYSTEM.
    Запуск служб осуществляется под идентификаторами:
    по умолчанию (их нельзя запретить) - SYSTEM (Системная служба), LocalService (Локальная служба), NetworkService (Сетевая служба)
    или под вручную указанным идентификатором.
    И объединяется идентификатором Служба (S-1-5-6)- Группа, в которую включаются все участники безопасности, вошедшие в систему в качестве службы. Членством в этой группе управляет операционная система.

    Определяется локальной и/или глобальной политикой
    Вход в качестве службы - Эта настройка безопасности определяет, какие учетные записи служб могут зарегистрировать процесс в качестве службы.
    Запрещение входа в качестве службы - Эта настройка безопасности определяет, каким учетным записям запрещается регистрировать процесс в качестве службы. Эта политика отменяет политику Вход в качестве службы, если учетная запись пользователя контролируется обеими политиками.
    Примечание
    • Данная настройка не используется для учетных записей: «Локальная служба», «Системная служба» и «Сетевая служба».

    Думаю целесообразно идентификатору Служба , запретить создание/удаление в MACHINE\SYSTEM\CurrentControlSet\Services Применять: Только этот раздел. Cлужбы не должны создавать новые службы.
    Изображения Изображения

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.10.2007
    Адрес
    Владивосток
    Сообщений
    298
    Вес репутации
    75
    Олег, а не расскажите про отличия:
    SYSTEM (Системная служба),
    LocalService (Локальная служба),
    NetworkService (Сетевая служба).
    Очень интересно зачем 3 разных идентификатора. Неужели LocalService не может работать с сетью

  13. #12
    Junior Member Репутация
    Регистрация
    02.02.2006
    Сообщений
    21
    Вес репутации
    44
    Вот хорошее описание http://about-computer.ru/?p=433
    http://www.oszone.net/4644_2/
    Я сейчас тоже перечитал, и думаю можно не запрещать создание/удаление в MACHINE\SYSTEM\CurrentControlSet\Services для Служба, а ограничиться снятием полного доступа для SYSTEM.
    Последний раз редактировалось Oleg; 06.05.2009 в 13:29.

  14. #13
    Junior Member Репутация
    Регистрация
    07.02.2009
    Сообщений
    17
    Вес репутации
    33
    Я так понимаю что после этих монипуляций сервис автоматические обновления да и вообще обновления из интернета с windows update ставится не будут?

  15. #14
    Junior Member Репутация
    Регистрация
    02.02.2006
    Сообщений
    21
    Вес репутации
    44
    Автоматическое обновление выполняется от SYSTEM, а у этой учетке забрали запись на ветку служб, запись в системную папку осталась и обновлению не помешает (если конечно не будут добавляться новые службы). А если обновляетесь в ручную то вообще от имени пользователя в котором работаете.

    Добавлено через 2 минуты

    А вообще может кто-то из экспертов/модераторов выскажет свое мнение?
    Последний раз редактировалось Oleg; 13.05.2009 в 12:30. Причина: Добавлено

  16. #15
    Junior Member Репутация
    Регистрация
    02.02.2006
    Сообщений
    21
    Вес репутации
    44
    Вообще убрать полный доступ у SYSTEM (оставить только по чтению )не мешало б у всех ключей реестра отвечающих за автозапуск в виндовс, тогда рекомендации по работе с ограниченной учеткой спасали бы и в случае дыр позволяющих зловреду от имени SYSTEM прописывать себя в автозапуск, а антивирусы запускать от пользователя с правами администратора.

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    Цитата Сообщение от Oleg Посмотреть сообщение
    Вообще убрать полный доступ у SYSTEM (оставить только по чтению )
    Вот этого не советовал бы.
    По крайней мере на ветку Winlogon.

    Попытки были, и заканчивались они неизменно - невозможностью загрузки системы.
    The worst foe lies within the self...

  18. #17
    Junior Member Репутация
    Регистрация
    02.02.2006
    Сообщений
    21
    Вес репутации
    44
    Для Winlogon можно установить для SYSTEM доступ по чтению - Этот раздел и его подразделы и полный Только подразделы.

    Добавлено через 25 минут

    Сейчас изменил и перезагрузил два компа W2K3 SP2 И XP SP3, все прошло хорошо, и параметр Userinit закрыт.
    Последний раз редактировалось Oleg; 18.05.2009 в 09:54. Причина: Добавлено

  19. #18
    Junior Member Репутация
    Регистрация
    07.02.2009
    Сообщений
    17
    Вес репутации
    33
    Так как тут обсуждается доступ для SYSTEM то вот еще кое чего я нашел:
    Из дескрипторов безопасности наиболее важным является дескриптор безопасности всей системы - SECURITY\Policy\SecDesc. По умолчанию объем полномочий учетной записи SYSTEM и всей группы администраторов (в которую SYSTEM всегда включена) составляет "FF 1F 0F 00". Можно работать без всяких проблем, если уменьшить данный объем полномочий SYSTEM до "01 10 00 00".

    Собственно у меня вопрос есть может кто знает какие есть значения кроме FF 1F 0F 00 и 01 10 00 00??
    я знаю только что FF 1F 0F 00 это полный доступ а остальные что означают?может быть где нибудь можно посмотреть??

Похожие темы

  1. Подозрение на Кидо
    От Millerai в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 29.09.2010, 20:32
  2. Поже на кидо
    От DZon в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 17.10.2009, 19:58
  3. Вроде бы кидо...
    От Sergik_I в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 04.09.2009, 14:22

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01646 seconds with 17 queries