Zasady Ograniczeń Oprogramowania - luki bezpieczeństwa

Pytam doświadczonych administratorów o luki tego zabezpieczenia, być może coś ważnego pomijam, lub o czymś nie wiem. (software restriction policies jakby ktoś wyszukiwał po angielsku)
Skrócona procedura konfiguracji:
Instalacja Windows Pro (7, 8,1 10) na czysto (sformatowane wszystkie partycje) + drivery + aktualizacje + niezbędny soft. BEZ ANTYWIRUSA.
Utworzenie konta użytkownika, konto administratora z hasłem, którego użytkownik nie zna.
Włączenie Zasad Ograniczeń Oprogramowania i ich konfiguracja:
Wymuszanie: wszyscy użytkownicy oprócz administratorów lokalnych.
Poziomy zabezpieczeń: użytkownik podstawowy
Dodanie ścieżki do program files w x86 i x64 i ew. inne niezbędne do wyjątków. (Do żadnego z dodawanych wyjątków user nie ma praw zapisu)
W liście rozszerzeń usunięte .lnk aby użytkownik mógł korzystać ze swoich skrótów.
Dodane rozszerzenia do blokowanych: .js .jse .vbe .vbs .wsf .wsh
reszta domyślnie.
Efekt tego jest taki, że gdy użytkownik próbuje uruchomić aplikację (lub wirusa) z folderów innych niż dozwolone: (C:\Windows, C:\Program files C:\Program files (x86) )
np. próbuje uruchomić plik c:\Users\uzytkownik\Downloads\smiesznypiesek.mp4.exe
dostanie komunikat:
Ta aplikacja została zablokowana przez administratora systemu
Natomiast do dozwolonych folderów użytkownik ma nie mieć praw zapisu, a więc nie wgra do nich złośliwego pliku.
Czy ktoś zna jak obejść tego typu blokadę? Jedyne co mi przychodzi do głowy, to że może gdzieś istnieje w dozwolonych folderach miejsce, gdzie użytkownik miałby prawo zapisu. Np

  1. Czy w folderach C:\Windows lub C:\Program files istnieje gdzieś miejsce, które trzeba specjalnie zabezpieczyć?
  2. Czy ktoś zna jakieś typowe aplikacje biurowe, które tworzyłyby takie miejsca? np. któraś z aplikacji Office, ERP, Adobe?
  3. Czy coś ważnego pominąłem? (celowo pomijam złośliwe działanie spoza zabezpieczonego systemu Windows, np. boot Linuxa z USB czy przełożenie hdd do innego komputera i wgranie w ten sposób czegoś do program files)

To bardzo rozległy temat, a poradników znajdziesz sporo w sieci…tu przykłady
https://safegroup.pl/thread-1015.html
https://safegroup.pl/thread-10989-post-212317.html#pid212317
https://safegroup.pl/thread-10999-post-212653.html#pid212653
Dwa ostatnie artykuły są tego samego autorstwa, co aplikacja wykorzystująca te mechanizmy
https://safegroup.pl/thread-11023.html
Ponadto na tym samym forum anonsowane były dwie inne aplikacje m.in. od NVT
https://safegroup.pl/thread-11360.html?highlight=syshardener
https://safegroup.pl/thread-10978.html

Wydaje się, że “utwardzasz” tylko system i stąd info o tych aplikacjach, ponieważ dają możliwość blokowania innych lokalizacji. Pytasz o przykłady - Chrome (jego klony też) instaluje się w folderach tymczasowych, więc restrykcje na nie bez odpowiednich wykluczeń mogą sprawić problem.

2 polubienia

Bardzo dziękuję za te linki, czeka mnie dużo czytania, nie znałem tego forum. Co do Chrome, to można go zainstalować normalnie w Program Files. Jak na razie to jedynie Spotify mi się nie udało, a że to mało istotny program, to go olałem. Generalnie chcę osiągnąć bardzo bezpieczny i stabilny system bez antywirusa.
Trafiłem wcześniej na program hard_configurator, w którym jest napisane:
Protecting (deny execution) Writable subfolders in “C:\Windows” folder (via SRP).
ale jakoś nie znalazłem które to foldery, (choć długo nie szukałem) a sam program (na razie) nie budzi mojego zaufania, stąd moje wcześniejsze pytanie o te foldery.

Foldery, o które pytasz to wszystkie te, w których system, programy i użytkownik ma prawo coś zapisać…to mogą być pliki tymczasowe (Users/Użytkownicy/Documents and Settigns), foldery z Program Files, te utworzone na inne aplikacje…jak tam mam np. z aplikacjami portable, które mają osobną lokalizacją na C:
Tu coś znajdziesz chyba
https://social.technet.microsoft.com/Forums/ie/en-US/459f90d8-f0bb-4d3c-be67-0b8b00664564/applocker-default-rule-windows-holes?forum=winserversecurity

Odnośnie aplikacji do utwardzania systemu - te od NVT i od Andy’ego są dobrze udokumentowane, a sami twórcy są znani i cenieni za wsparcie i rozwój swoich programów. Na Malwaretips czy Wilderssecurity Forum znajdziesz spore dyskusje na ich temat. Powiem tak - fajnie jest samemu eksplorować temat i szukać własnych rozwiązań, ale tematy które zgłębiasz są wałkowane od lat i znalazły odzwierciedlenie w wielu specjalizowanych narzędziach, które poza tym, że są interfejsem dla ukrytych w systemie rozwiązań/opcji same starają się rozszerzać zakres funkcjonalności.

1 polubienie

Założenie było takie, że tam gdzie user może zapisywać, nie może wykonywać kodu. Myślałem, że będzie to prosto spełnić, jednak nie, bo sporo jest tych folderów w C:\Windows, do których user może pisać.
Dzięki jeszcze raz, zwłaszcza za ten pierwszy link, pod którym się kryje accesschk, czym można sprawdzić zapisywalne foldery w np w c:\Windows. U mnie to wygląda tak:

accesschk64.exe -s -w -d "Użytkownicy" c:\Windows

Accesschk v6.12 - Reports effective permissions for securable objects
Copyright (C) 2006-2017 Mark Russinovich
Sysinternals - www.sysinternals.com

RW c:\Windows\Temp
RW c:\Windows\tracing
Error: c:\Windows\Logs\waasmedic has a non-canonical DACL:
   Explicit Allow after Inherited Allow
RW c:\Windows\Registration\CRMLog
RW c:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Dlna\DeviceIcons
RW c:\Windows\System32\FxsTmp
 W c:\Windows\System32\com\dmp
RW c:\Windows\System32\Microsoft\Crypto\RSA\MachineKeys
 W c:\Windows\System32\spool\PRINTERS
 W c:\Windows\System32\spool\SERVERS
RW c:\Windows\System32\spool\drivers\color
RW c:\Windows\System32\Tasks\Microsoft\Windows\SyncCenter
RW c:\Windows\System32\Tasks_Migrated\Microsoft\Windows\SyncCenter
RW c:\Windows\SysWOW64\FxsTmp
 W c:\Windows\SysWOW64\com\dmp
RW c:\Windows\SysWOW64\Tasks\Microsoft\Windows\SyncCenter
RW c:\Windows\SysWOW64\Tasks\Microsoft\Windows\WCM
RW c:\Windows\SysWOW64\Tasks\Microsoft\Windows\PLA\System
RW c:\Windows\Temp\DiagTrack_alternativeTrace
RW c:\Windows\Temp\DiagTrack_aot
RW c:\Windows\Temp\DiagTrack_diag
RW c:\Windows\Temp\DiagTrack_miniTrace
RW c:\Windows\Temp\NVIDIA Corporation
RW c:\Windows\Temp\NVIDIA Corporation\NV_Cache

accesschk64.exe -s -w -d "Użytkownicy" "c:\Program Files (x86)"

Accesschk v6.12 - Reports effective permissions for securable objects
Copyright (C) 2006-2017 Mark Russinovich
Sysinternals - www.sysinternals.com

RW c:\Program Files (x86)\PDFTK Builder
RW c:\Program Files (x86)\Business Objects\Common\3.5\bin\Cache
RW c:\Program Files (x86)\PDFTK Builder\tmp

Ciekawe co przestanie działać, gdy się je zabezpieczy. Prosto jest kliknąć w aplikacji przycisk “zabezpiecz” i niech się dzieje samo, ale jak nie wiem co się dzieje, to w przypadku, gdy coś przestanie działać, znaleźć przyczynę będzie dużo trudniej.
Znalazłem jeszcze coś takiego: https://github.com/MortenSchenk/Windows-Write-Execute ale jeszcze nie testowałem.

Myślę, że zanim wejdziesz tak głęboko i to jeszcze bez odpowiedniej wiedzy, to w efekcie możesz sobie tylko zaszkodzić :slight_smile: Nie twierdzę, że ja jej mam wystarczająco wiele i dlatego nie odpowiem na Twoje pytania…ale zaproponuję Ci inne rozwiązania (poza tymi wcześniejszymi), które mają za swoje główne zadanie ochronę wybranych lokalizacji w systemie i na dyskach niesystemowych (to ważne m.in. w przypadku ransomware)



A tu na temat mnogości rozwiązań i opcji w aktualnych wersjach Windows Defender