Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows 7 (http://forum.oszone.net/forumdisplay.php?f=95)
-   -   [решено] Считаете ли вы такую защиту надежной? (http://forum.oszone.net/showthread.php?t=245795)

jamesraynor 30-10-2012 13:57 2015013

Считаете ли вы такую защиту надежной?
 
Два запароленных аккаунта Админа и Пользователя. Агрессивно настроенный AppLocker, разрешивший запуск админу чего угодно, а пользователю только с program files и windows и программ, подписаных парой издателей. Естественно, сижу я только под пользователем. Таким образом я думаю обходиться без антивируса. Безопасно ли это? По идее, гадость лаже не должна запускаться.

jamesraynor 30-10-2012 14:36 2015048

И да, UAC зверствует на максимуме

Phoenix 30-10-2012 15:05 2015071

Зараза может попасть в систему из интернета. К чему такие извращения, не проще ли поставить антивирус? Тот же MSE, например.

yurfed 30-10-2012 15:05 2015072

Цитата:

Цитата jamesraynor
а пользователю только с program files и windows и программ, подписаных парой издателей. »

Этого достаточно чтобы все ваши труды на смарку. Наверняка ещё и интернет подключен.
Вот только один пример временный патч, закрывающий уязвимость AppLocker, а сколько ещё будет?
Это не панацея. Нет универсальных таблеток от всех болезней сразу.

jamesraynor 30-10-2012 16:30 2015132

2Phoenix
попасть-то попадет, а что без прав сможет сделать? и запуститься никак не сможет, кроме как из програмфайлз и виндоус, на которые не хватит прав

Цитата:

Цитата yurfed
yurfed »

интернет естесственно подключен. только в них еще надо попасть сквозь UAC. обновы регулярно ставлю, должно помочь.

Vadikan 30-10-2012 16:36 2015140

jamesraynor, да, это очень надежно (за исключением моментов, когда вы отключаете AppLocker для обновления версий ПО). Для полного счастья в AppLocker следует включить проверку библиотек.

Думаю, вам также будет любопытна дискуссия Домашний ПК: антивирус или SRP.

Цитата:

Цитата yurfed
Этого достаточно чтобы все ваши труды на смарку. »

Утверждение неверно из-за непонимания принципов работы AppLocker. По правилам исполняемые файлы запускаются только из расположений, в которые у пользователя нет права на запись. Подумайте над этим...

jamesraynor 30-10-2012 16:41 2015150

Цитата:

Цитата Vadikan
jamesraynor, да, это очень надежно (за исключением моментов, когда вы отключаете AppLocker для обновления версий ПО). Для полного счастья в AppLocker следует включить проверку библиотек.
Думаю, вам также будет любопытна дискуссия Домашний ПК: антивирус или SRP. »

Мне, как обычному малолетнему нубу Очень приятно слышать, спасибо=) А я его не отключаю: всё, что нужно запускаю с админ правами (они-то ничем не ограничены). Ну библиотеки это на десерт.

Vadikan 30-10-2012 16:43 2015153

Цитата:

Цитата jamesraynor
всё, что нужно запускаю с админ правами »

Ну вот в этот момент вы и остаетесь без контроля AppLocker при отсутствующем антивирусе...

jamesraynor 30-10-2012 16:46 2015157

Цитата:

Цитата Vadikan
Ну вот в этот момент вы и остаетесь без контроля AppLocker при отсутствующем антивирусе... »

Так точно, но дать админ права можно только умышленно. А если я это делаю, то программе полностью доверяю и не даю на нее влиять любому антивирусу. На всякий случай имеется cureit, который подскажет. Тем более, абсолютной защиты не ищу.

Denisoff 30-10-2012 16:48 2015158

Цитата:

Цитата jamesraynor
Тем более, абсолютной защиты не ищу. »

Так и живите, как жили.

jamesraynor 30-10-2012 16:53 2015161

Цитата:

Цитата Denisoff
Так и живите, как жили. »

Экспериментировать всегда интересней. Тем более, неопробованная фича не даст мне покоя.

yurfed 30-10-2012 17:38 2015201

Цитата:

Цитата Vadikan
Утверждение неверно из-за непонимания принципов работы AppLocker. »

Дело совсем не в этом. Просто нет идеально написанных программ, которые "выскакивают из пера" в последней и окончательной редакции.
Хорошо если тестер первым обнаружит дыру, а если это окажется "человек с чёрными мыслями"?
Огульно полагаться на какой то один вариант (в чём угодно), не совсем логично. Даже, казалось бы, самые надёжные источники, в один момент могут оказаться провальными.

Цитата:

Цитата jamesraynor
Тем более, неопробованная фича не даст мне покоя. »

Эксперимент, это хорошо и если у вас всё получится, как вы и хотели, я буду только рад за вас.

Vadikan 30-10-2012 18:14 2015223

yurfed, технически AppLocker не является границей защищенной зоны, но при правильной настройке это решение обеспечивает более высокую степень защиты, чем антивирус. Разница в том, что антивирус блокирует запуск кода только в том случае, если считает его небезопасным. AppLocker блокирует всегда.

Цитата:

Цитата yurfed
Хорошо если тестер первым обнаружит дыру, а если это окажется "человек с чёрными мыслями"? »

Угу, именно поэтому вероятность попасть под 0-day намного выше с антивирусом, ибо может эксплуатироваться любая уязвимость, а не конкретно уязвимость AppLocker.

WindowsNT 30-10-2012 18:15 2015225

В описании не указаны ещё пара пунктов:
- вовремя устанавливаются обновления на операционную систему, приложения и аддоны;
- разрешения NTFS не позволяют стандартному пользователю писать в папки приложений;
- чистые руки Администратора, который не скачивает абы что абы откуда.
Впрочем, вы полное описание настроек уже читали.

Мой опыт работы в указанной вами конфигурации: 10+ лет (да, Апплокеру меньше 10, но SRP встроено в XP с конца 2001 года). На объёме сети около 1000 компьютеров вирусов нет. Но я защищаю Апплокером и Администратора тоже, ведь администратор — самый опасный пользователь!

За отдельно взятые дыры Апплокера я бы пока не стал бояться. Почитал описание — для эксплуатации конкретно той уязвимости требуются "специальные манипуляции". Таких макросов in the wild ещё никто не регистрировал ни разу, полагаю. Зато макросы по умолчанию уже давно не запускаются.

У антивирусных программ дыр на порядки порядков больше, а процент успешного отлова новых вирусов традиционно крайне низок. Практически все громкие эпидемии прошлись по компьютерам, на которых был антивирус, но не было whitelisting, это факт.

jamesraynor 31-10-2012 09:53 2015629

Цитата:

Цитата yurfed
Цитата jamesraynor:
Тем более, неопробованная фича не даст мне покоя. »
Эксперимент, это хорошо и если у вас всё получится, как вы и хотели, я буду только рад за вас. »

Спасибо за хорошие слова, трудностей действительно оказалось много...

WindowsNT 31-10-2012 10:19 2015646

Например?

jamesraynor 31-10-2012 15:22 2015817

Вложений: 3
Цитата:

Цитата WindowsNT
Например? »

Спасибо за ценную информацию. Я считаю себя уверенным пользователем, варезом не пользуюсь, порнушкой не балуюсь =)
Ну например- я собираюсь защитить и администратора, и мне как-то надо для определенных папок Пользователю разрешить только чтение, а админу полный доступ (чтобы их можно было считать безопасными и запускать с них файлы), но не могу его человечески настроить: так я хочу,чтоб эти папки выглядели (мне удалось задать разрешения самому):

jamesraynor 31-10-2012 15:25 2015819

Вложений: 4
Цитата:

Цитата WindowsNT
Например? »

А вот так выглядит, и НУЖНЫМ изменениям не поддаются:

jamesraynor 31-10-2012 15:27 2015822

Пробовал даже присвоить владение этими папками (добавил пункт в контекст take ownership), но не возымело действия..

WindowsNT 31-10-2012 16:07 2015855

Ну это всего лишь показывает, что разрешения назначены не на требуемую папку, а наследуются сверху.
Прервите наследование вышестоящих разрешений в кнопке Дополнительно и назначайте разрешения по вкусу.

Единственное, я бы делал несколько иначе, а именно:
- доступ с системы снимать нежелательно (должен остаться Full Control)
- доступ пользователям поштучно назначать нежелательно, для этого есть группы (например, группа Users)
- доступ пользователям не должен превышать Modify. Full Control - для администраторов.

jamesraynor 31-10-2012 16:32 2015871

Вложений: 1
Цитата:

Цитата WindowsNT
Ну это всего лишь показывает, что разрешения назначены не на требуемую папку, а наследуются сверху.
Прервите наследование вышестоящих разрешений в кнопке Дополнительно и назначайте разрешения по вкусу.
Единственное, я бы делал несколько иначе, а именно:
- доступ с системы снимать нежелательно (должен остаться Full Control)
- доступ пользователям поштучно назначать нежелательно, для этого есть группы (например, группа Users)
- доступ пользователям не должен превышать Modify. Full Control - для администраторов. »

Просёк фишку, спасибо.
-А как систему снова добавить туда?
-Я правильно понимаю, что группы предпочитаются из-за UID и после переустановки системы нынешние разрешения останутся неудел? В группе users меня смущают пара личностей, предлагаемых на скрине (гость тоже относится к прошедшим проверку, что удручает) их можно удалить??
-Пользователь чтением обойдётся =)

jamesraynor 31-10-2012 16:45 2015881

Цитата:

Цитата jamesraynor
-А как систему снова добавить туда? »

уже сам просёк

WindowsNT 31-10-2012 18:57 2015968

Группы предпочитаются потому, что раздача разрешений пользователю в дальнейшем сводится к "добавить в группу Бухгалтеров", и он получает все (все) права группы Бухгалтеров. Если же щёлкать права каждому пользователю поштучно, то это можно делать до утра.

Гостя в группе Прошедших проверку нет. А у вас что, включён Гость? Для чего?

jamesraynor 03-11-2012 09:21 2017758

Цитата:

Цитата WindowsNT
Группы предпочитаются потому, что раздача разрешений пользователю в дальнейшем сводится к "добавить в группу Бухгалтеров", и он получает все (все) права группы Бухгалтеров. Если же щёлкать права каждому пользователю поштучно, то это можно делать до утра.
Гостя в группе Прошедших проверку нет. А у вас что, включён Гость? Для чего? »

С гостем я попутал..Включал как-то для проверки. У меня пользователя два, так что добавление много время не займёт. А вот после переустановки и правда возникают проблемы. В общем-то все проблемы решены и AppLocker стал обеспечивать небходимый уровень защиты. Правда есть у меня к Вам несколько вопросов:
-Неужели windows стала обеспечивать нормальное разделение прав, которое не так просто преодолеть? Неужели хоть на шаг в этм приблизилась к линуксу?
-Слышал, что есть вирусы, которые заражают комп, когда винда считывает свойства файла(зараженного) или что-то подобное (когда файл находится под курсором). спасет ли здесь локер?
-Как быть с другими потенциально опасными объектами (swf и пр)?

Vadikan 03-11-2012 14:54 2017858

Цитата:

Цитата jamesraynor
Неужели windows стала обеспечивать нормальное разделение прав, которое не так просто преодолеть? »

Это всегда было границей безопасности Windows.

Цитата:

Цитата jamesraynor
Слышал, что есть вирусы, которые заражают комп, когда винда считывает свойства файла(зараженного) или что-то подобное (когда файл находится под курсором). спасет ли здесь локер? »

Вас спасет Windows Update.

Цитата:

Цитата jamesraynor
Как быть с другими потенциально опасными объектами (swf и пр)? »

Обновляйте программы, и будет вам счастье.

Iska 03-11-2012 17:35 2017938

Цитата:

Цитата jamesraynor
Слышал, что есть вирусы, которые заражают комп, когда винда считывает свойства файла(зараженного) или что-то подобное (когда файл находится под курсором). »

Не совсем так. Именно про такой вирус я не слышал, а вот эксплоит для IconHandler существовал. Теоретически, конечно, может быть и такой, который будет эксплуатировать уязвимость в функциях, осуществляющих чтение свойств файла (тех, которые выводятся во всплывающей подсказке). И в том, и в другом случае — это эксплоиты, использующие определённые уязвимости в функциях библиотек. Как правило, в первую очередь сие связано с языком, использованным при создании кода, а также и с банальным отсутствием проверок или недоработками в алгоритмах. Что делать — см. выше:
Цитата:

Цитата Vadikan


jamesraynor 04-11-2012 08:46 2018316

Цитата:

Цитата Vadikan
Цитата jamesraynor:
Неужели windows стала обеспечивать нормальное разделение прав, которое не так просто преодолеть? »
Это всегда было границей безопасности Windows.
Цитата jamesraynor:
Слышал, что есть вирусы, которые заражают комп, когда винда считывает свойства файла(зараженного) или что-то подобное (когда файл находится под курсором). спасет ли здесь локер? »
Вас спасет Windows Update.
Цитата jamesraynor:
Как быть с другими потенциально опасными объектами (swf и пр)? »
Обновляйте программы, и будет вам счастье. »

Понятно, всё по методичкам мелкософта =)

Цитата:

Цитата Iska
Не совсем так. Именно про такой вирус я не слышал, а вот эксплоит для IconHandler существовал. Теоретически, конечно, может быть и такой, который будет эксплуатировать уязвимость в функциях, осуществляющих чтение свойств файла (тех, которые выводятся во всплывающей подсказке). И в том, и в другом случае — это эксплоиты, использующие определённые уязвимости в функциях библиотек. Как правило, в первую очередь сие связано с языком, использованным при создании кода, а также и с банальным отсутствием проверок или недоработками в алгоритмах. Что делать — см. выше: »

Спасибо, обновляюсь.


Время: 15:08.

Время: 15:08.
© OSzone.net 2001-