Pytam doświadczonych administratorów o luki tego zabezpieczenia, być może coś ważnego pomijam, lub o czymś nie wiem. (software restriction policies jakby ktoś wyszukiwał po angielsku)
Skrócona procedura konfiguracji:
Instalacja Windows Pro (7, 8,1 10) na czysto (sformatowane wszystkie partycje) + drivery + aktualizacje + niezbędny soft. BEZ ANTYWIRUSA.
Utworzenie konta użytkownika, konto administratora z hasłem, którego użytkownik nie zna.
Włączenie Zasad Ograniczeń Oprogramowania i ich konfiguracja:
Wymuszanie: wszyscy użytkownicy oprócz administratorów lokalnych.
Poziomy zabezpieczeń: użytkownik podstawowy
Dodanie ścieżki do program files w x86 i x64 i ew. inne niezbędne do wyjątków. (Do żadnego z dodawanych wyjątków user nie ma praw zapisu)
W liście rozszerzeń usunięte .lnk aby użytkownik mógł korzystać ze swoich skrótów.
Dodane rozszerzenia do blokowanych: .js .jse .vbe .vbs .wsf .wsh
reszta domyślnie.
Efekt tego jest taki, że gdy użytkownik próbuje uruchomić aplikację (lub wirusa) z folderów innych niż dozwolone: (C:\Windows, C:\Program files C:\Program files (x86) )
np. próbuje uruchomić plik c:\Users\uzytkownik\Downloads\smiesznypiesek.mp4.exe
dostanie komunikat:
Ta aplikacja została zablokowana przez administratora systemu
Natomiast do dozwolonych folderów użytkownik ma nie mieć praw zapisu, a więc nie wgra do nich złośliwego pliku.
Czy ktoś zna jak obejść tego typu blokadę? Jedyne co mi przychodzi do głowy, to że może gdzieś istnieje w dozwolonych folderach miejsce, gdzie użytkownik miałby prawo zapisu. Np
Czy w folderach C:\Windows lub C:\Program files istnieje gdzieś miejsce, które trzeba specjalnie zabezpieczyć?
Czy ktoś zna jakieś typowe aplikacje biurowe, które tworzyłyby takie miejsca? np. któraś z aplikacji Office, ERP, Adobe?
Czy coś ważnego pominąłem? (celowo pomijam złośliwe działanie spoza zabezpieczonego systemu Windows, np. boot Linuxa z USB czy przełożenie hdd do innego komputera i wgranie w ten sposób czegoś do program files)
Wydaje się, że “utwardzasz” tylko system i stąd info o tych aplikacjach, ponieważ dają możliwość blokowania innych lokalizacji. Pytasz o przykłady - Chrome (jego klony też) instaluje się w folderach tymczasowych, więc restrykcje na nie bez odpowiednich wykluczeń mogą sprawić problem.
Bardzo dziękuję za te linki, czeka mnie dużo czytania, nie znałem tego forum. Co do Chrome, to można go zainstalować normalnie w Program Files. Jak na razie to jedynie Spotify mi się nie udało, a że to mało istotny program, to go olałem. Generalnie chcę osiągnąć bardzo bezpieczny i stabilny system bez antywirusa.
Trafiłem wcześniej na program hard_configurator, w którym jest napisane:
Protecting (deny execution) Writable subfolders in “C:\Windows” folder (via SRP).
ale jakoś nie znalazłem które to foldery, (choć długo nie szukałem) a sam program (na razie) nie budzi mojego zaufania, stąd moje wcześniejsze pytanie o te foldery.
Odnośnie aplikacji do utwardzania systemu - te od NVT i od Andy’ego są dobrze udokumentowane, a sami twórcy są znani i cenieni za wsparcie i rozwój swoich programów. Na Malwaretips czy Wilderssecurity Forum znajdziesz spore dyskusje na ich temat. Powiem tak - fajnie jest samemu eksplorować temat i szukać własnych rozwiązań, ale tematy które zgłębiasz są wałkowane od lat i znalazły odzwierciedlenie w wielu specjalizowanych narzędziach, które poza tym, że są interfejsem dla ukrytych w systemie rozwiązań/opcji same starają się rozszerzać zakres funkcjonalności.
Założenie było takie, że tam gdzie user może zapisywać, nie może wykonywać kodu. Myślałem, że będzie to prosto spełnić, jednak nie, bo sporo jest tych folderów w C:\Windows, do których user może pisać.
Dzięki jeszcze raz, zwłaszcza za ten pierwszy link, pod którym się kryje accesschk, czym można sprawdzić zapisywalne foldery w np w c:\Windows. U mnie to wygląda tak:
accesschk64.exe -s -w -d "Użytkownicy" c:\Windows
Accesschk v6.12 - Reports effective permissions for securable objects
Copyright (C) 2006-2017 Mark Russinovich
Sysinternals - www.sysinternals.com
RW c:\Windows\Temp
RW c:\Windows\tracing
Error: c:\Windows\Logs\waasmedic has a non-canonical DACL:
Explicit Allow after Inherited Allow
RW c:\Windows\Registration\CRMLog
RW c:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Dlna\DeviceIcons
RW c:\Windows\System32\FxsTmp
W c:\Windows\System32\com\dmp
RW c:\Windows\System32\Microsoft\Crypto\RSA\MachineKeys
W c:\Windows\System32\spool\PRINTERS
W c:\Windows\System32\spool\SERVERS
RW c:\Windows\System32\spool\drivers\color
RW c:\Windows\System32\Tasks\Microsoft\Windows\SyncCenter
RW c:\Windows\System32\Tasks_Migrated\Microsoft\Windows\SyncCenter
RW c:\Windows\SysWOW64\FxsTmp
W c:\Windows\SysWOW64\com\dmp
RW c:\Windows\SysWOW64\Tasks\Microsoft\Windows\SyncCenter
RW c:\Windows\SysWOW64\Tasks\Microsoft\Windows\WCM
RW c:\Windows\SysWOW64\Tasks\Microsoft\Windows\PLA\System
RW c:\Windows\Temp\DiagTrack_alternativeTrace
RW c:\Windows\Temp\DiagTrack_aot
RW c:\Windows\Temp\DiagTrack_diag
RW c:\Windows\Temp\DiagTrack_miniTrace
RW c:\Windows\Temp\NVIDIA Corporation
RW c:\Windows\Temp\NVIDIA Corporation\NV_Cache
Ciekawe co przestanie działać, gdy się je zabezpieczy. Prosto jest kliknąć w aplikacji przycisk “zabezpiecz” i niech się dzieje samo, ale jak nie wiem co się dzieje, to w przypadku, gdy coś przestanie działać, znaleźć przyczynę będzie dużo trudniej.
Znalazłem jeszcze coś takiego: https://github.com/MortenSchenk/Windows-Write-Execute ale jeszcze nie testowałem.
Myślę, że zanim wejdziesz tak głęboko i to jeszcze bez odpowiedniej wiedzy, to w efekcie możesz sobie tylko zaszkodzić Nie twierdzę, że ja jej mam wystarczająco wiele i dlatego nie odpowiem na Twoje pytania…ale zaproponuję Ci inne rozwiązania (poza tymi wcześniejszymi), które mają za swoje główne zadanie ochronę wybranych lokalizacji w systemie i na dyskach niesystemowych (to ważne m.in. w przypadku ransomware)
A tu na temat mnogości rozwiązań i opcji w aktualnych wersjach Windows Defender