Цитата:
|
Severny - Вы скажите прямо: Вам нужна помощь в создании? Вы можете выложить дистрибутив и инструкцию? Вам нужны тестеры? Вам нужно что?
|
По большому счету мне ничего не нужно. Я просто хотел получить отклики по теме. У меня все работает как описано - именно такой способ установки и реализован принцип минимальной достаточности, т.е. нет ни одного лишнего файла, каталога, параметра или ключа реестра, лишних прав и привилегий у учетных записей и групп безопасности. И при этом все функционирует нормально - Интернет, принтер, нужные мне приложения и т.д.
Дистрибутив выложить невозможно. Вы это поймете, если более внимательно прочитаете файл АнтиSYSTEM.doc.
Предположив, что на основе моих наработок можно было бы предложить на рынке некую IT-консалтинговую услугу, определенное время назад я разослал файл АнтиSYSTEM.doc нескольким фирмам и организациям - но ответа не получил. Я не работаю и не планирую работать в сфере IT, поэтому тратить время на написание подробных инструкций не буду, если только это не будет нужно для реального дела.
Цитата:
|
Vadikan - Для изменения ключевых системных параметров требуются права администратора, а описываемый тут метод не изменяет структуру безопасности ОС и работу ее компонентов. Ну а если вы продолжаете работать с правами администратора, то вредносный код, проникнув в систему, тоже будет работать в контексте администратора, со всеми вытекающими из этого плачевными последствиями.
|
Все ключевые системные параметры уже зафиксированы (так, как это нужно для работы мне) и менять их впоследствии в процессе работы нет ни потребности, ни возможности (я не предоставляю таких прав ни своей учетной записи, ни каким бы то ни было иным учетным записям). Права группы администраторов описываются здесь - HKLM\SECURITY\Policy\Accounts\S-1-5-32-544. У меня этот ключ отсутствует - поэтому и своих огромных прав и привилегий администраторы не имеют. Вообще в ключе HKLM\SECURITY\Policy\Accounts у меня всего 1 подключ (и об этом сказано в файле АнтиSYSTEM.doc) - HKLM\SECURITY\Policy\Accounts\<SID моей учетной записи>. А права и привилегии, необходимые мне для работы, очень скромны - право Локальный вход в систему и 2 привилегии - Завершение работы системы и Принудительное удаленное завершение (последняя необходима для возможности осуществления перезагрузок и завершений работы с помощью командного файла - используя в нем утилиту shutdown.exe).
Есть правда еще ключ HKLM\SECURITY\Policy\SecDesc. В нем есть пустой параметр, значение которого нигде не задокументировано и непонятно как его менять и можно ли (в отличие от прав и привилегий (ключи ActSysAc и Privilgs соответственно), которые могут изменяться с помощью, например, secpol.msc). Однако, менять значение в ключе HKLM\SECURITY\Policy\SecDesc можно и, с моей точки зрения, даже нужно. В этом ключе даны разрешения определенным группам и учетным записям. Так группа администраторов там числится с правами "FF 1F 0F 00" (естественно такие права имеет и учетная запись SYSTEM, которая является членом группы администраторов). Это очень большие разрешения. Достаточными являются "01 10 00 00" - и не для всей группы администраторов, а только для учетной записи SYSTEM. Еще одна учетная запись, которой нужно дать разрешения в объеме "00 08 00 00", это учетная запись, под которой осуществляется работа на компьютере. Все остальные учетные записи и группы (включая группы Все и АНОНИМНЫЙ ВХОД) вместе с их разрешениями можно удалить из значения пустого параметра ключа HKLM\SECURITY\Policy\SecDesc.
Таким образом, можно работать как администратор, но полноценных прав, привилегий, разрешений администратора не иметь.
Кроме того, всем файлам, каталогам, ключам реестра присвоены очень жесткие ACL - практически ни один важный файл ОС или приложений не имеет права на запись (только чтение или чтение и исполнение, или вообще пустой ACL). А за счет присвоения всем объектам неизвестного системе владельца все эти ACL невозможно изменять. Ну, чтобы было понятней, давайте на примере. Создайте у себя некий файл, например с именем "1.txt". С помощью secedit.exe присвойте ему в качестве владельца например такой SID - S-1-8-1, а ACL сведите к праву на чтение для группы администраторов. Если при этом ни ваша учетная запись, ни вся группа администраторов не имеют привилегии "Овладение файлами и иными объектами" (Take ownership of files or other objects), вы не сможете изменить ACL файла 1.txt. Этого не сможет сделать и никакой другой член группы администраторов.
При таком жестком подходе к безопасности успешное выполнение вредоносного кода будет возможно только в режиме ядра (при этом все ACL не будут играть никакой роли). Но, насколько я понимаю, получить полномочия ядра очень непросто. Осуществлять такое способны немногие хакеры, и то - при определенных условиях (наличие подходящей ошибки в том или ином драйвере).
В общем, на счет антивирусов и файрволов - это предположение. Мне кажется сомнительным, что их использование существенно повысит безопасность и так достаточно безопасной системы. Более того, скорее всего для их использования понадобится значительное расширение прав, привилегий, разрешений для учетной записи SYSTEM и для той административной учетной записи, под которой осуществляется работа. Кроме того, если хакер достаточно искусен, что сможет осуществить захват Ring 0 (получив полномочия ядра), то антивирусы и файрволы уже не будут иметь для него никакого значения.
