АнтиSYSTEM (способ установки и использования Windows XP)
 

Приветствую всех!
Главная тема в моем тексте - применение принципа - "least privilage" В буквальном смысле название файла АнтиSYSTEM.doc подразумевает устранение такого недостатка в ОС Windows, как предоставление по умолчанию чрезмерных прав и привилегий учетной записи SYSTEM (и всей группе Administrators).
Поскольку все это связано с информационной безопасностью, то я создал соответсвующую тему и в разделе форума "Защита компьютерных систем". Там пока комментариев нет вообще.
В данном разделе форума я создал эту тему потому, что предлагаю оригинальный способ автоматической установки/переустановки, а именно (далее цитата из файла АнтиSYSTEM.doc):

Предлагаемый способ установки (переустановки) системы:

Маловато деталей.

Сергей Варфоломеев, развивайте мысль?

Я сам по образованию экономист. Но в свое время решил для себя разобраться до конца в вопросах, связанных с установкой и использованием операционной системы Windows XP и необходимых мне приложений. И, как мне кажется, разобрался. Вкратце все изложено в прилагаемом к моему первому сообщению файлу АнтиSYSTEM.doc. Если кого-то что-либо из того, что там описано, заинтересует, то я готов поделиться - рассказав о том или ином аспекте более подробно.

Сергей Варфоломеев, я прочел Вашу статью, но так до конца и не понял в чем суть данного материала.. %)

интересная статья, но Microsoft уже давно сделала эту работу - называется Windows Embedded штука крайне интересная, правда конструктор ужасный добавление драйверов это просто пытка, но если не лень ковыряться, можно собрать идеальную систему

Сергей Варфоломеев,
1. В шапку внесите аннотацию своей статьи, чтобы людям было понятно, о чем идет речь.
2. Используйте тег цитирования - всплывающую при выделении текста ссылку Цитата или одноименную ссылку над сообщением

Приветствую всех!
Главная тема в моем тексте - применение принципа "least privilage" - http://en.wikipedia.org/wiki/Princip...east_privilege. В буквальном смысле название файла АнтиSYSTEM.doc подразумевает устранение такого недостатка в ОС Windows, как предоставление по умолчанию чрезмерных прав и привилегий учетной записи SYSTEM (и всей группе Administrators).
Поскольку все это связано с информационной безопасностью, то я создал соответсвующую тему и в разделе форума "Защита компьютерных систем". Там пока комментариев нет вообще.
В данном разделе форума я создал эту тему потому, что предлагаю оригинальный способ автоматической установки/переустановки, а именно (далее цитата из файла АнтиSYSTEM.doc):

Предлагаемый способ установки (переустановки) системы:
• загрузочный CD-ROM не требуется - установка в режиме MS-DOS с предварительной разбивкой диска и форматированием необходимого раздела с помощью загрузочной дискеты Windows 98
• запись файлов операционной системы и приложений выполняется на обычный компакт-диск (например, с помощью программы Nero Express)
• для максимального сокращения времени установки содержимое каталога i386 минимизируется (включая содержимое файлов dosnet.inf, txtsetup.sif, defltwk.inf, drvindex.inf, setupreg.hiv и др.)
• по сути роль каталога i386 и традиционной процедуры установки сводится к конвертированию файловой системы из FAT32 в NTFS, автоматическому входу в систему с поддержкой CD-ROM и возможности работы таких утилит как xcopy.exe, attrib.exe, secedit.exe, shutdown.exe
• минимально достаточный размер каталога i386 составляет 18,4 МБ (файлов: 167; папок: 10)
• в результате копирование файлов каталога i386 с компакт-диска на жесткий диск занимает всего 20 секунд, поэтому имеет смысл подождать это короткое время, чтобы при перезагрузке изменить в BIOS первое загрузочное устройство с дискеты на жесткий диск
• после этого вся установка (включая копирование всего дерева каталогов с файлами операционной системы и приложений с помощью xcopy.exe, применения к ним нужных ACL с помощью secedit.exe и нужных атрибутов с помощью attrib.exe, и т.д. - вплоть до автоматического входа в абсолютно готовую систему) происходит в автоматическом режиме и занимает не более 7-10 минут
Создание реестра
• файлы кустов реестра вовсе не обязательно создавать в процессе установки - их можно создать заранее на другом компьютере и они будут копироваться вместе со всеми остальными файлами и каталогами с помощью xcopy.exe
• определенную часть нужного содержимого реестра, а также некоторые файлы, можно получить лишь проведя обычную установку операционной системы и некоторых программ (и их активацию) на конкретном компьютере (После такой "технической" установки активировать саму операционную систему смысла нет, поскольку файл wpa.dbl не будет подходить для другой установки. Office 2003 имеет смысл установить и активировать, сохранив файл opa11.dat (а из реестра - значение соответствующего параметра DigitalProductID) для использования при установках на данном компьютере. Для Lingvo 8.0 роль, аналогичную роли файла opa11.dat для Office 2003, играет файл LvLogo.dll. Еще один файл, который необходимо будет создать на данном этапе для дальнейшего использования, это файл BOOTSECT.DAT - для установки на жесткий диск консоли восстановления.)
• идентификаторы устройств будут различными для компьютеров с различными материнскими платами и другими компонентами, а также при использовании ядра с поддержкой ACPI и без, поэтому для создания файла куста SYSTEM нужно знать правильные значения идентификаторов устройств (ключ CurrentControlSet\Enum)
• для создания файла куста SOFTWARE нужны будут правильные значения параметров DigitalProductID для Windows и Office
• что касается системного ключа (syskey), то он является аппаратно-независимым, так что все его необходимые компоненты можно взять с любого компьютера с такой же операционной системой и использовать при создании файлов кустов SAM, SECURITY и SYSTEM, предназначенных для другого компьютера
• создание файлов кустов осуществляется достаточно просто и быстро, не требуя каких-либо программных средств, отсутствующих в самой операционной системе
Интеграция обновлений
Интеграция обновлений Windows и Office осуществляется очень просто: обновленные версии файлов записываются в соответствующие им каталоги на инсталляционный компакт-диск. При этом создание нового инсталляционного диска вовсе не обязательно - такая программа, например, как Nero Express позволяет замещать файлы на компакт-диске на файлы с более поздней датой последнего изменения, не производя заново запись всего дерева каталогов с файлами.

Сергей Варфоломеев,

мда, трудно осмыслить и понять написанное.. Сергей Варфоломеев, отзовитесь плиз, Ваша идея интересна, но хочется больше ясности..

Интересный подход.
Очень хотелось потестить результат.

Сергей Варфоломеев,
Вы скажите прямо:
Вам нужна помощь в создании?
Вы можете выложить дистрибутив и инструкцию?
Вам нужны тестеры?
Вам нужно что?

Уже все отписали --- интересно. Дальше что?

Сергей Варфоломеев

1).В шапке темы нажмите кнопку "Редактировать" и напишите кратко и понятнее, что Вам нужно.

2).Для цитирования-выделите необходимый текст, над ним появится всплывающие окно "Цитировать", нажмите на него.

3). Для вставки в Ваше сообщение ника необходимого пользователя, просто нажмите но его ник в его сообщении.

В прикрепленном файле Аntisystеm.dос говорится что в этой системе можно обойтись без антивирусов и брандмауэров, правда что ли? А можно эти хитрости по настройке безопасности реализовать в обычном виндоусе? Это идея по ограничению прав администраторов вроде функционирует в Vistе, но без антивируса все равно не обойтись?

Нет, конечно. Аргументов можно привести много... ограничусь одним.

Для изменения ключевых системных параметров требуются права администратора, а описываемый тут метод не изменяет структуру безопасности ОС и работу ее компонентов. Ну а если вы продолжаете работать с правами администратора, то вредносный код, проникнув в систему, тоже будет работать в контексте администратора, со всеми вытекающими из этого плачевными последствиями.

По большому счету мне ничего не нужно. Я просто хотел получить отклики по теме. У меня все работает как описано - именно такой способ установки и реализован принцип минимальной достаточности, т.е. нет ни одного лишнего файла, каталога, параметра или ключа реестра, лишних прав и привилегий у учетных записей и групп безопасности. И при этом все функционирует нормально - Интернет, принтер, нужные мне приложения и т.д.
Дистрибутив выложить невозможно. Вы это поймете, если более внимательно прочитаете файл АнтиSYSTEM.doc.
Предположив, что на основе моих наработок можно было бы предложить на рынке некую IT-консалтинговую услугу, определенное время назад я разослал файл АнтиSYSTEM.doc нескольким фирмам и организациям - но ответа не получил. Я не работаю и не планирую работать в сфере IT, поэтому тратить время на написание подробных инструкций не буду, если только это не будет нужно для реального дела.
Все ключевые системные параметры уже зафиксированы (так, как это нужно для работы мне) и менять их впоследствии в процессе работы нет ни потребности, ни возможности (я не предоставляю таких прав ни своей учетной записи, ни каким бы то ни было иным учетным записям). Права группы администраторов описываются здесь - HKLM\SECURITY\Policy\Accounts\S-1-5-32-544. У меня этот ключ отсутствует - поэтому и своих огромных прав и привилегий администраторы не имеют. Вообще в ключе HKLM\SECURITY\Policy\Accounts у меня всего 1 подключ (и об этом сказано в файле АнтиSYSTEM.doc) - HKLM\SECURITY\Policy\Accounts\<SID моей учетной записи>. А права и привилегии, необходимые мне для работы, очень скромны - право Локальный вход в систему и 2 привилегии - Завершение работы системы и Принудительное удаленное завершение (последняя необходима для возможности осуществления перезагрузок и завершений работы с помощью командного файла - используя в нем утилиту shutdown.exe).
Есть правда еще ключ HKLM\SECURITY\Policy\SecDesc. В нем есть пустой параметр, значение которого нигде не задокументировано и непонятно как его менять и можно ли (в отличие от прав и привилегий (ключи ActSysAc и Privilgs соответственно), которые могут изменяться с помощью, например, secpol.msc). Однако, менять значение в ключе HKLM\SECURITY\Policy\SecDesc можно и, с моей точки зрения, даже нужно. В этом ключе даны разрешения определенным группам и учетным записям. Так группа администраторов там числится с правами "FF 1F 0F 00" (естественно такие права имеет и учетная запись SYSTEM, которая является членом группы администраторов). Это очень большие разрешения. Достаточными являются "01 10 00 00" - и не для всей группы администраторов, а только для учетной записи SYSTEM. Еще одна учетная запись, которой нужно дать разрешения в объеме "00 08 00 00", это учетная запись, под которой осуществляется работа на компьютере. Все остальные учетные записи и группы (включая группы Все и АНОНИМНЫЙ ВХОД) вместе с их разрешениями можно удалить из значения пустого параметра ключа HKLM\SECURITY\Policy\SecDesc.
Таким образом, можно работать как администратор, но полноценных прав, привилегий, разрешений администратора не иметь.
Кроме того, всем файлам, каталогам, ключам реестра присвоены очень жесткие ACL - практически ни один важный файл ОС или приложений не имеет права на запись (только чтение или чтение и исполнение, или вообще пустой ACL). А за счет присвоения всем объектам неизвестного системе владельца все эти ACL невозможно изменять. Ну, чтобы было понятней, давайте на примере. Создайте у себя некий файл, например с именем "1.txt". С помощью secedit.exe присвойте ему в качестве владельца например такой SID - S-1-8-1, а ACL сведите к праву на чтение для группы администраторов. Если при этом ни ваша учетная запись, ни вся группа администраторов не имеют привилегии "Овладение файлами и иными объектами" (Take ownership of files or other objects), вы не сможете изменить ACL файла 1.txt. Этого не сможет сделать и никакой другой член группы администраторов.
При таком жестком подходе к безопасности успешное выполнение вредоносного кода будет возможно только в режиме ядра (при этом все ACL не будут играть никакой роли). Но, насколько я понимаю, получить полномочия ядра очень непросто. Осуществлять такое способны немногие хакеры, и то - при определенных условиях (наличие подходящей ошибки в том или ином драйвере).
В общем, на счет антивирусов и файрволов - это предположение. Мне кажется сомнительным, что их использование существенно повысит безопасность и так достаточно безопасной системы. Более того, скорее всего для их использования понадобится значительное расширение прав, привилегий, разрешений для учетной записи SYSTEM и для той административной учетной записи, под которой осуществляется работа. Кроме того, если хакер достаточно искусен, что сможет осуществить захват Ring 0 (получив полномочия ядра), то антивирусы и файрволы уже не будут иметь для него никакого значения.

Ну что ответить.
Вы что-то сделали.
Никому потрогать нельзя.
Спасибо.

А что Вы хотите потрогать? Если внимательно прочитать содержимое файла АнтиSYSTEM.doc, то должно быть понятно, что на основе этого нельзя сделать определенный программный продукт, представленный в виде "дистрибутива", который можно "потрогать". Я вкратце описал подход, метод, который реально работает - а не продукт, который можно тиражировать.
Другое дело, что у участников форума могут быть свои мнения по поводу целесообразности применения такого подхода в принципе и/или по поводу каких-либо конкретных моментов, описанных в файле АнтиSYSTEM.doc. Буду рад, если такие мнения будут конкретно высказаны.

Уже одно это отбивает охоту связываться с данным методом установки...

А самое главное - в чём смысл и практическое применение всего этого ?

Сергей Варфоломеев, большая просьба к вам - научитесь пользоваться цитированием в форуме.

Затем исправьте все сообщения, где вы цитируете других. Спасибо.

---

Честно говоря, мне не хочтется вникать в часть про возможности... я просто скажу, что если у вас нет потребности сейчас, это не значит, что эта потребность не возникнет через месяц. И тем более это не означает, что у других этой потребности тоже нет. Даже если ваша модель работоспособна, я не вижу в ней смысла.

Пробовал зайти на Ваш форум с использованием полноценной лицензионной Windows XP Service Pack 2, но все равно цитировать первыми двумя способами не получается - при нажатии на Цитировать ничего не происходит, а при выделении текста не появляется всплывающей кнопки Цитировать (как показано на Вашем рисунке). Возможно, это связано с тем, что нужна более новая версия браузера, например IE7?
Третий метод работает, но тут у меня никак не получается после слова Цитата вставлять ник пользователя.

Безусловно установка с помощью загрузочного диска, который был бы изготовлен так, что разбивка жесткого диска и форматирование раздела(-ов) происходили бы автоматически, более удобна. Но у моего подхода есть другое преимущество. Если у Вас произошли определенные изменения требований к образу диска (например интеграция новых обновлений, изменение базовых настроек в реестре), то Вам нужно будет изготовлять новый загрузочный диск. А при применении моего подхода достаточно будет создать обновленные файлы кустов реестра (которые требуют изменения или добавления определенных параметров) и записать их вместе с обновленными версиями файлов (взятыми с центра загрузки Microsoft) на свой инсталляционный диск с помощью, например, Nero Express. Естественно, запись нескольких обновленных файлов на диск с помощью Nero Express - это гораздо быстрее, чем создание нового загрузочного диска (и экономнее - не требуется новый диск).
А в чем смысл nLite? Или в чем смысл SELinux? Понятно, что такой тотальный подход к ограничению функциональности до необходимого минимума с целью повышения безопасности мало кому нужен. Но мне все же казалось, что кому то такой подход нужен. Другое дело, что те, кому он нужен, возможно и сами нечто подобное применяют.

Заработало цитирование. Но оно почему-то начинает работать только после создания пробного сообщения, после чего появляется внизу страницы окно "Быстрый ответ".

Согласен.
Но, во первых, я имел в виду изменение таких параметров, как, например, параметры настройки служб, различные политики и т.п. Естественно, у меня в процессе работы есть возможность менять такие параметры, как базовые настройки работы браузера, настройки архиватора, используемый по умолчанию десятичный разделитель и др. (практически все эти параметры находятся в разделе HKCU реестра).
А во-вторых, если автоматизированное рабочее место предназначено для совершенно конкретных известных функций, то потребности менять ключевые системные параметры не должно быть и через месяц, и через два ...