SRP / LUA - opis - Wersja do druku +- SafeGroup (https://safegroup.pl) +-- Dział: Publikacje (https://safegroup.pl/forum-27.html) +--- Dział: Poradniki (https://safegroup.pl/forum-29.html) +--- Wątek: SRP / LUA - opis (/thread-1015.html) |
SRP / LUA - opis - yngve - 14.07.2009 Pare osób prosiło mnie na forum, abym napisał coś na temat SRP, więc napisałem trochę. Może się komuś przyda. S oftware R estriction P olicies czyli zasady ograniczeń oprogramowania, których główna funkcją jest blokowanie wykonywania programów. Oznacza to, że wybranych lokalizacjach nie będą uruchamiały się pliki o określonych rozszerzeniach. Cechą szczególna, zaletą SRP jest całkowity brak wykorzystania dodatkowych zasobów przy znacznym podwyższeniu bezpieczeństwa. Kiedy pracujemy na koncie administratora, to będziemy obniżać uprawnienia lub blokować uruchamianie dla pewnego zakresu programów, lokalizacji. Nazwijmy je obrazowo czarną listąprogramów, ponieważ będą to programy, z których strony może grozić nam niebezpieczeństwo. Inaczej to wygląda w przypadku pracy na koncie limitowanym (LUA), wtedy blokowane jest uruchamianie we wszystkich lokalizacjach poza domyślnie ustawionymi na bez ograniczeń, czyli katalogi \Windows oraz \Program Files. Tutaj tworzy się białą listęprogramów, dla których będzie się podwyższać uprawnienia, badź pozwalać na wykonywanie programów. Gdy pracujemy na koncie Administratora, możemy za pomocą SRP obniżać uprawnienia (in. nakładać restrykcje) np. dla określonych ścieżek czy aplikacji do Basic Usera (Zwykłego użytkownika). Jest to możliwe wtedy, gdy uaktywnimy domyślnie ukryty poziom zabezpieczeń BU. Zwykły użytkownik nie mam praw zapisu do katalogów typu %programfiles% oraz %systemroot% (cały katalog Windows). Dzięki temu złośliwy kod, malware, który ewentualnie uruchomiłby się - nie zainfekuje, uszkodzi systemu. Linki: Microsoft: [Aby zobaczyć linki, zarejestruj się tutaj] ).aspxFor Users of Software Restriction Policies: [Aby zobaczyć linki, zarejestruj się tutaj] ADMIN+SRP, czyli obniżanie uprawnień na koncie administratora za pomocą SRP W środowisku tym wykorzystuje się dwie opcje SRP, a więc Deny (niedozwolone) lub Restrict (restrykcje, ograniczenia - moduł Zwykłego Użytkownika). Ograniczamy tutaj każdy program, który łączy się siecią, czyli np.: przeglądarkę internetową, komunikator, klient pocztowy, ftp, odtwarzacz strumieni... itd. Bezpośredni dostęp: Panel sterowania -> Narzędzia administracyjne -> Zasady zabezpieczeń lokalnych lub Start -> Uruchom -> secpol.msc -> Zasady ograniczeń oprogramowania (Software Restriction Policies) lub Start -> Uruchom -> gpedit.msc -> Konfiguracja komputera -> Ustawienia systemu Windows -> Ustawienia zabezpieczeń -> Zasady ograniczeń oprogramowania Załącznik: [Aby zobaczyć linki, zarejestruj się tutaj] Domyślne poziomy zabezpieczeń :
W rzeczywistości jednak jest ich wiecej, są one jednak ukryte. Dodatkowe poziomy zabezpieczeń:
Zaleca się ustawienie na Basic Usera. Kolejne poziomy w dół czynią aplikację coraz mniej użyteczną a nawet uniemożliwiają jej start (np. obiżenie do poziomu z ograniczeniami – część aplikacji ma problemy nawet z uruchomieniem na tym poziomie).Poziom Użytkownika podstawowego zapewnia wysoki poziom bezpieczeństwa podczas surfowania po Internecie, a jednocześnie nie powoduje problemów. Jak dodać ukryte poziomy zabezpieczeń? Dodajemy przez edycje rejestry. Najprościej jest pobrać gotowy plik [Aby zobaczyć linki, zarejestruj się tutaj] i dodać go do rejestru.Od czego zacząć? Zaczynamy od utworzenia nowych zasad . Załącznik 1: [Aby zobaczyć linki, zarejestruj się tutaj] Załącznik 2:[Aby zobaczyć linki, zarejestruj się tutaj] Następnie konfigurujemy Wymuszaniejak na poniższym załączniku. Załącznik 3: [Aby zobaczyć linki, zarejestruj się tutaj] SRP daje nam możemy dodawania i usuwania plików wykonywalnych . Powinniśmy tutaj dodać następujące rozszerzenia: VBS, VBE, JS, JSE, WSH, WSF, REG, DOC, XLS. Załącznik 4: [Aby zobaczyć linki, zarejestruj się tutaj] Pracując na koncie Administratora zostawiamy domyślne ustawienie - poziom Bez ograniczeń , ponieważ da nam to większą wygodę. Ustawiając na Niedozwolone - ograniczamy sobie wykonywanie plików we wszystkich scieżkach poza domyślnie ustawionymi na Bez ograniczeń. Poniżej pokazano w jaki sposób przełączać poziomy. Załącznik 5: [Aby zobaczyć linki, zarejestruj się tutaj] Domyślne reguły pozwalające uruchamiać się plikom wykonywalnym w katalogach \Windows i \Program Files. Załącznik 6: [Aby zobaczyć linki, zarejestruj się tutaj] Tworzenie reguł dodatkowych Możemy tworzyć nowe reguły, w tym wypadku jako przykład wzięto przegladarkę Firefox, której obniżono prawa do Użytkownika podstawowego. Załącznik 7: [Aby zobaczyć linki, zarejestruj się tutaj] Uwaga:możemy zamiast podawać cała ścieżkę do programu wpisać samą nazwę lub jej część stawiając gwiazdki, np.: *firefox* lub *firefox*.exe.Reguła blokującawykonanie: Załącznik 8: [Aby zobaczyć linki, zarejestruj się tutaj] Co się stanie przy próbie zapisu do folderów chronionych? Nie będziemy mieli uprawnień do zapisu do tych folderów i zostanie nam zaproponowany zapis do katalogu Moje dokumenty, gdzie mamy pozwolenie na zapis, natomiast nie mogą w tym katalogu uruchamiać się programy. Załącznik 1: [Aby zobaczyć linki, zarejestruj się tutaj] Załącznik 2:[Aby zobaczyć linki, zarejestruj się tutaj] Co się staniem przy próbie uruchomienia programu w katalogu, dla którego blokujemy wykonywanie programów? Rzecz jasna program nie uruchomi się. Zostaniemy poinformowani, że system jest chroniony przez zasady ograniczeń oprogramowania. Załącznik: [Aby zobaczyć linki, zarejestruj się tutaj] Jakie główne reguły powinniśmy utworzyć? Załóżmy, że posiadamy dwie partycje. Pierwsza będzie to partycja systemowa zawierająca katalogi Windows, Program Files, Documents and Settings. Druga będzie zawierać katalogi Moje Dokumenty (warto przenieść na druga partycje), Pobrane (katalog z plikami pobranymi z internetu), jakiś katalog z multimediami - Muzyka, Filmy oraz katalog Instalowanie (jedyny folder, z którego będzie można instalować). W przypadku, gdy chcemy zainstalować jakiś program, to przenosimy go do tego katalogu. Warto też zablokować wykonywanie programów dla Recycle Bin (Kosz) i katalogów Temp. Polecam przenieść wszystkie katalogi tymczasowe do jedengo katalogu. W przypadku, gdyby jakaś aplikacja potrzebowała temp do instalacji, to wtedy w "Zasadach ograniczeń oprogramowania" -> "Wymuszanie" - przestawiamy na opcję"Wszyscy użytkownicy oprócz administratorów lokalnych". Również bardzo ważną sprawą jest ustawienie przeglądarki na zapis do jednego, stałego katalogu np. Pobrane , wyłączając w ten sposób możliwość wyboru lokalizacji zapisu. Jak w prosty, szybki sposób zarządzać SRP? Polecam mały programik o nazwie PGS . Opis poniżej. PGS - Pretty Good Security Platforma: Windows XP/Vista Linki: Download i opis: [Aby zobaczyć linki, zarejestruj się tutaj] Wątek w Wilders Security:[Aby zobaczyć linki, zarejestruj się tutaj] Poradnik:[Aby zobaczyć linki, zarejestruj się tutaj] Opis:Twórcą programu jest Sully z Wilders Security. Na razie program jest oznaczony jako beta. Jednka spokojnie mozemy go używać. Jest stabilny. PGS jest małym programem, którego zadaniem jest pomoc w zarządzaniu SRP, czyli zasadami ograniczeń oprogramowania. Dzięki niemu w łatwy sposób możemy włączać i wyłączać SRP, tworzyć, usuwać, eksportować, importować nowe reguły. Aby ustawić SRP na koncie Admina przechodzimy do zakładki Automatic setup i wybieramy "Setup SRP policies if you are an Administrator" i zatwierdzamy. Załącznik 1: [Aby zobaczyć linki, zarejestruj się tutaj] W zakładce SRP Manager znajdują się rozszerzenia plików, dla których blokowane jest wykonywanie oraz pozostałe opcje, identyczne jak w Zasadach zabezpieczeń lokalnych. Załącznik 2: [Aby zobaczyć linki, zarejestruj się tutaj] W zakładce Presets znajdują się gotowe, domyślne reguły, które możemy uaktywniać przez zaimportowanie do zakładki Path Rules. Załącznik 3: [Aby zobaczyć linki, zarejestruj się tutaj] Załącznik 4:[Aby zobaczyć linki, zarejestruj się tutaj] Załącznik 5:[Aby zobaczyć linki, zarejestruj się tutaj] Załącznik 6:[Aby zobaczyć linki, zarejestruj się tutaj] Załącznik 7:[Aby zobaczyć linki, zarejestruj się tutaj] LUA+SRP, czyli podwyższanie uprawnień na koncie limitowanym LUA (Limited User Account) - czyli limitowane konto użytkownika. Linki: Maximising Windows XP security with LUA and SRP: [Aby zobaczyć linki, zarejestruj się tutaj] Maximising Windows VISTA security with LUA and SRP:[Aby zobaczyć linki, zarejestruj się tutaj] Używając konta z ograniczonymi prawami, firewallem i SRP mamy bezpośrednią kontrolę nad wszystkimi programami, nawet tymi, które próbują się uruchomić bez naszej wiedzy, co w zdecydowany sposób podnosi poziom bezpieczeństwa. Jak na samym początku wspomniałem na koncie limitowanym, automatycznie blokować będziemy uruchamianie we wszystkich lokalizacjach poza domyślnie ustawionymi na "Bez ograniczeń", czyli katalogi \Windows oraz \Program Files. Tutaj tworzy się białą listęprogramów, dla których będzie się podwyższać uprawnienia, bądź pozwalać na wykonywanie programów. Od czego zacząć? Podobnie jak poprzednio zaczynamy od utworzenia nowych zasad . Załącznik 1: [Aby zobaczyć linki, zarejestruj się tutaj] Załącznik 2:[Aby zobaczyć linki, zarejestruj się tutaj] Następnie konfigurujemy Wymuszaniejak na poniższym załączniku. Załącznik 3: [Aby zobaczyć linki, zarejestruj się tutaj] Dodajemy rozszerzenia: VBS, VBE, JS, JSE, WSH, WSF, REG, DOC, XLS oraz usuwamy rozszerzenie oznaczajace skrót LNK, abyśmy mogli uruchamiać programy z menu start i pulpitu za pomocą skrótów.Załącznik 4: [Aby zobaczyć linki, zarejestruj się tutaj] Na LUA ustawiamy poziom zabezpieczeń na Niedozwolone . Żadne aplikacje nie będą mogły się uruchomić poza lokalizacjami \Windows, \Program Files oraz ścieżakami dodanymi przez nas. Załącznik: [Aby zobaczyć linki, zarejestruj się tutaj] Możemy też skorzystać z programu PGS. Z tym, że na koncie z ograniczeniami w zakładce Automatic Setup zaznaczamy pierwszą opcję - "Setup SRP policies if you are a User or use LUA". Załącznik: [Aby zobaczyć linki, zarejestruj się tutaj] Szybkie przejmowanie praw administratora
Stałe uruchamianie jako administrator
Co zrobić, kiedy aplikacja potrzebuje modyfikować pliki w katalogu nie mając do tego praw? Klikamy PPM na katalog i wybieramy właściwości. Następnie wybieramy zakładkę "Zabezpieczenia", klikamy na przycisk dodaj, wpisujemy nazwę naszego konta z ograniczeniami i na przycisk "Sprawdź" oraz "OK". Teraz wybieramy nazwę naszego konta z ograniczeniami i dajemy mu prawa do modyfikacji - zaznaczając tą opcję. Załącznik 1: [Aby zobaczyć linki, zarejestruj się tutaj] Załącznik 2:[Aby zobaczyć linki, zarejestruj się tutaj] Automatyczne logowanie na konto z ograniczonymi prawami Sposób 1. 1.Start > Uruchom… 2.Wpisz: control userpasswords2 Kliknij OK i w oknie które się pojawi, wybierz użytkownika, który ma się domyślnie logować (trzeba podać jego hasło). Sposób 2. W Uruchom wpisz Regediti przejdz do klucza HKEY_LOCAL_MACHINE\Sofware\Microsft\Windows NT\CurrentVersion\Winlogon i znajdź wpisy DeafaultUserName i DefaultPasswords a następnie edytuje je podając odpowiednio swoją nazwę konta z ograniczeniami oraz hasło. Załącznik: [Aby zobaczyć linki, zarejestruj się tutaj] SuRun Linki: [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] Strona domowa:[Aby zobaczyć linki, zarejestruj się tutaj] Wątek w Wilders Security:[Aby zobaczyć linki, zarejestruj się tutaj] Opis:autor opisu: Krzysztof Daszkiewicz z [Aby zobaczyć linki, zarejestruj się tutaj] Użytkownik, który ma do wykonanie zadanie wymagające uprawnień administratora, zostaje chwilowo naniesiony do grupy Administratorzy i chwilę potem usunięty z niej (natychmiast po uruchomieniu stosownej aplikacji). W celu wpisania hasła SuRun otwiera na ekranie nowy pulpit, do którego ze wzgledów bezpieczeństwa mają dostęp tylko usługi. W porównaniu z innymi narzędziami o podobnej funkcjonalności SuRun okazuje się znacznie bardziej bezpieczny, a ponadto o wiele wygodniejszy. Pozwala np. przywoływać folderów Eksploratora z większymi prawami dostępu. To z kolei jest warunkiem korzystania z Panelu sterowania jako administrator (np. po to, aby odinstalować niepotrzebne programy, zmienić ustawienia sieci lub chociażby skonfigurować Kosz). Aby przywołać program z uprawnieniami administratora, pracując na koncie zwykłego użytkownika, kliknij go prawym przyciskiem myszy i wskaż polecenie Start as Administrator. Niekiedy jednak brakuje tego polecenia w menu podręcznym (np. w wypadku takich elementów powłoki jak Kosz). W tej sytuacji uruchom jako adminitrator Panel sterowania i klikaj przycisk W górę tyle razy, aż znajdziesz się w folderze Pulpit. Stąd możesz przywoływać menu podręczne obiektów takich jak Kosz - zupełnie jak na zwykłym pulpicie Windows. Tymczasem, gdy zechcesz urochomić jakiś program z poziomu okna wiersza poleceń lub okna otwieranego poprzez menu Start | Uruchom, przydzielając sobie uprawnienia administratora, poprzedź jego przywołanie poleceniem surun. Instalowanie z użyciem SuRun. Narzędzie SuRun próbuje samodzielnie wykrywać pliki instalacyjne, np. po ich nazwie lub ich specyficznym zachowaniu tuż po uruchomieniu. W celu wykonania wszystkich innych czynności administracyjnych lub gdy automatyczne wykrywanie nie zadziała poprawnie, użyj menu podręcznego (jak opisano powyżej). Wymaga to członkostwa w grupie SuRunners. Jeśli nie jesteś członkiem tej grupy, SuRun spyta, czy chcesz się w niej znaleźć. Musisz wówczas podać hasło administratora. Jako członek tej grupy, będziesz musiał wpisywać tylko swoje hasło w pomarańczowym oknie. Jeżeli twoje hasło zostało zachowane z poprzedniego razu, ujrzysz zielone okno i wystarczy potwierdzić chęć uruchomienia aplikacji. W obu oknach jest opcja zablokowania kolejnych zapytań o hasło (pole Don''t ask this question again for this program). Jeśli z niej skorzystasz SuRun zapamięta twój wybór (potwierdzenie uruchomienia lub jego anulowanie). W wypadku kliknięcia OK SuRun będzie wyświetlał tylko pomarańczowe okno hasła, lecz pominie zielone okno potwierdzenia. Jeżeli jednak anulujesz, nie będzie już można uruchomić danego programu z uprawnieniami administratora. To może się przydać, gdy SuRun błędnie zaklasyfikuje zwyczajny program jako program instalacyjny. Oprócz tego SuRun oferuje możliwość restartowania aplikacji działających z ograniczonymi prawami dostępu, udzielając im uprawnień administratora. Wystarczy kliknąć prawym przyciskiem myszy pasek tytułowy żądanego programu i wskazać stosowne polecenie (jak wyżej) w menu podręcznym. Brak tego polecenia oznacza, że dana aplikacja jest już uruchomiona z uprawnieniami administratora. Załącznik 1: [Aby zobaczyć linki, zarejestruj się tutaj] Załącznik 2:[Aby zobaczyć linki, zarejestruj się tutaj] Przydatne dodatkowe informacje: Prezentacje przedstawiajace w jaki sposób można nakladać ograniczenia na konta
[Aby zobaczyć linki, zarejestruj się tutaj] Re: SRP / LUA - opis - polak900 - 14.07.2009 kolejna świetna robota na naszym forum Re: SRP / LUA - opis - Jurek - 14.07.2009 Brawoyngve! Wiem, że nie jest to najważniejsze ale zastanawia mnie to, że kolega nadal ma tylko trzy gwiazdki. Moim zdaniem powinien ich mieć dwa razy więcej. Ale nie tylko to na tym forum mnie zastanawia Re: SRP / LUA - opis - Creer - 14.07.2009 yngve, kawal dobrej roboty odwaliles... ze tez Ci sie chcialo [Aby zobaczyć linki, zarejestruj się tutaj] Re: SRP / LUA - opis - yngve - 14.07.2009 Heh, dzięki. A czy te gwiazdki nie są przypadkiem zależne od ilości postów? PS. Jakieś literówki, niedociągnięcia postaram się w tygodniu poprawić. Dziś już niestety czasu nie mam. Re: SRP / LUA - opis - Serafin - 14.07.2009 yngve Dobra robota Re: SRP / LUA - opis - adam_993 - 14.07.2009 Musiałeś się nad tym natrudzić. Re: SRP / LUA - opis - Meir - 14.07.2009 Yngve-nie będę kozaczył-nie ogarniam tego Ps.ten gość z Twojego avatara to Slash? Re: SRP / LUA - opis - Plati - 19.07.2009 Gwiazdki zaleza posrednio od ilosci postow. Good Job yngve Re: SRP / LUA - opis - zbycho - 19.07.2009 Przydatne i łopatologicze wytłumaczenie jak zabezpieczyć komp przed innym mniej rozgarnietym uzytkowniem. Re: SRP / LUA - opis - adam_993 - 19.07.2009 SuRuns powstał w oparciu o sudo? Re: SRP / LUA - opis - Plati - 19.07.2009 jeszcze jest taki jeden przydanty programik dla tych, którzy przyzwyczaili się do Linuksa, ale dzialaja na Win. Ten prgoram to SUDOWN Re: SRP / LUA - opis - bierni - 07.12.2009 Admin + SRP = Załącznik 6: Reguły dodatkowe (domyślne)oraz poziomy.reg nie działa LUA + SRP = Załącznik 1: Uruchom jako…nie działa zbycho napisał(a):Przydatne i łopatologicze wytłumaczenie jak zabezpieczyć komp przed innym mniej rozgarnietym uzytkowniem. @zbycho - sprawiasz, że czuje się totalnym debilem Re: SRP / LUA - opis - korbennn - 13.12.2009 gpedit.msc Vista, nie odnaleziono ścieżkim jak tam dotrzeć? Re: SRP / LUA - opis - korbennn - 13.11.2011 Nie ma jak, chyba że na win PRO i wyżej. Chyba od tego trzeba było zacząć wstęp. PGS ratuje w takiej sytuacji. |