DropMyRights - obniżanie uprawnień aplikacjom
#1
Możliwe, że będę nudny w tym, co teraz będę pisał, bo będą to rzeczy od dawna wiadome, sprawdzone i przy tym wszystkim przydatne...chodzi o obniżanie uprawnień dla aplikacji i dla użytkowników , co związane jest z mało lubianym i stosowanym rozwiązaniem czyli kontem użytkownika z ograniczonymi uprawnieniami. Jak dobrze wiemy znakomita część użytkowników systemów Windows pracuje na koncie z uprawnieniami Administratora, co z pewnością wygodne i mniej kłopotliwe jest, aczkolwiek niesie ze sobą spore ryzyko, o którym większość niestety zapomina...a systemowe rozwiązania lub bazujące na ich idei osobne programy mogą stanowić...i stanowią...często znakomite i pomocne rozwiązanie podnoszące znacznie bezpieczeństwo naszych komputerów i zgromadzonych na nich danych.
Nieco to obco może brzmi i pewnie części z Was od razu ciśnie się w głowie pytanie "no dobra...niech będzie, że to jest ważne...ale w sumie, to z jakiego powodu?...a w ogóle, to o co chodzi?" . Pytanie słuszne, a odpowiedź może być krótka i jasna chyba – program/proces powinien pracować z jak najmniejszymi koniecznymi uprawnieniami do wykonywania swoich zwyczajowej zadań…im mniej uprawnień, tym ewentualnie wyrządzone szkody będą mniejsze. To jedna z naczelnych zasad zachowania bezpieczeństwa!Jak pokazuje codzienna praktyka, wcale nie tak trudno być z tymi zasadami „na bakier”Winkponieważ niepotrzebnie pracując na prawach Administratora możemy umożliwić malware jedną z takich rzeczy na przykład:
- tworzenie i uruchamianie potem nowych plików w ważnych systemowych lokalizacjach (np. System32, Documents&Settings użytkownika, jego Moje Dokumenty)
- zamykanie procesów/usług i instalowanie nowych własnych
- dokonywanie modyfikacji w rejestrze systemowym (HKLM, HKCU)
- niekontrolowane pobieranie danych z sieci

co z kolei może doprowadzić do:
- zainstalowania keyloggerów przechwytujących nasze dane
- całkowitego zablokowanie systemu i tym samym dostęp do naszych danych
- braku możliwości uruchomienia urządzeń komputera
- modyfikowanie listy startujących z systemem programów/usług
- wyłączenia/zdezaktywowania systemowej lub zainstalowanej dodatkowo zapory
- wyłączenia/zdezaktywowania programu antywirusowego
- podmiany plików systemowych lub innych programów na pliki własne malware
- zainstalowania kontrolek ActiveX, podmianę stron startowych w przeglądarkach
- ukrycia własnych plików/procesów przed użytkownikiem, programem zabezpieczającym, podglądem/zapisem zdarzeń
- dostępu do danych innych użytkowników systemu
- jeśli komputer jest w sieci, to również dostępu do innych użytkowników sieci i ich danych, przejęcie nad nimi kontroli.

No i teraz nareszcie zmierzamy do celu… DropMyRights(czyli w wolnym tłumaczeniu „porzuć moje uprawnienia” ) jest aplikacją, która użytkownikom na prawach Administratora pozwala uruchamiać wybrane aplikacje z ograniczonymi uprawnieniami. Tak, tak…nie brzmi to specjalnie obco i znamy takie funkcje/możliwości zaimplementowane do niektórych programów zabezpieczających np. tryb RunSafer w Online Amor , podobny tryb pod nazwą Restricted/Reduced/Limited Rights w Privatefirewall , Restricted Rights w SpyShelter czy podobne funkcje oferowane przez DefenseWall czy Sandboxie . Problem jednak w tym, że nie każdy musi/chce od razu instalować jakąś bardziej rozbudowaną aplikację, żeby mieć takie możliwości…nie każdy pewne rozwiązania lubi czy preferuje…nie zawsze instalowany program dobrze pracuje na naszym konkretnym systemie. Wtedy właśnie z pomocą przyjść może takie „maleństwo” jak DropMyRights – sprytna i prosta aplikacja stworzona już…uwaga!…8 lat temu! W 2004roku właśnie Michael Howardjako pracownik Microsoft Security Engineeringopublikował na blogu msdn.microsoft.com artykuł na temat swojego programu. OK…jak to więc działa w praktyce? Bardzo prosto…można rzec nawet, że zadziwiająco prosto… modyfikując ścieżkę dostępu do skrótu programu, który chcemy by działał w ograniczonym trybie, powodujemy, że tak naprawdę uruchamiamy ten program poprzez DropMyRights . DMR staje się procesem nadrzędnym dla uruchamianego programu i narzuca mu takie same ograniczenia, jakie znajdziemy w trybie ograniczonego użytkownika.

1.Przystępując do pracy z DMRPo pierwsze należy pobrać program…niestety podany w macierzystym artykule link do pliku nie działa już, więc podaję inny ze strony GRC, który prowadzi bezpośrednio do instalatora DMR

[Aby zobaczyć linki, zarejestruj się tutaj]

2.Następnie instalujemy program – tu trzeba chwilę skupienia…bardzo istotne jest aby dobrze pamiętać ścieżkę dostępu do zainstalowanego programu, ponieważ ta ścieżka będzie parametrem, którym posługiwać się w dalszej pracy z programem (można tę ścieżkę sobie skopiować i zapisać jeszcze podczas działania instalatora lub zrobić to potem z systemowego menadżera dysków lub jakiegoś menadżera plików). Nie wiem czemu u mnie program chciał się zainstalować w folderze Moje Dokumenty na dysku D, ale możliwe, że istotne dla programu jest położenie tego folderu – jakby nie było systemowego.

[Aby zobaczyć linki, zarejestruj się tutaj]


3.Kiedy mamy już zainstalowany program przystępujemy do pracy z programem, a możemy to zrobić na dwa sposoby (na przykładzie Firefoxa):
* Pierwszy – poprzez utworzenie nowego skrótu na pulpicie z menu kontekstowego myszki„Nowy/skrót” . Otwiera się okno kreatora, dalej lokalizujemy wybrany program, wskazujemy plik Firefox.exea w polu edycji ścieżki dopisujemy lokalizację DropMyRights.exe– jeśli instalowaliśmy na C:\Program Files , to dodajemy na początku
„C:\Program Files\DropMyRights\DropMyRights.exe”
wpisane w cudzysłów jak ścieżka do Firefoxa i oddzielona jedną spacją…to ważne żeby tylko jedną!Otrzymujemy więc pełną ścieżkę w takiej postaci
„C:\Program Files\DropMyRights\DropMyRights.exe” „C:\Program Files\Mozilla Firefox\firefox.exe”
Następnie nazywamy po swojemu nowy skrót – najlepiej tak byśmy wiedzieli, że dotyczy uruchamiania z ograniczonymi uprawnieniami np. „retricted/ograniczony/DMR/non-admin Firefox”i kończymy kreatora.

[Aby zobaczyć linki, zarejestruj się tutaj]


* Drugi – jest nieco szybszy wg mnie i polega na tym, że istniejącego skrótu do Firefoxa robimy kopię np. na pulpicie – zwyczajnie z menu kontekstowego myszki – lub tworzymy go na nowo z ikonki programu Firefox.exe. Klikamy na ten nowy skrót z i menu kontekstowego wybieramy polecenie „Właściwości”– tu interesuje nas tylko zakładka „Skrót”i pole "Element docelowy"do edycji ścieżki. W normalnej wersji będzie tam ścieżka do Firefoxa
„C:\Program Files\Mozilla Firefox\firefox.exe”
a my dodamy do niej na początku ścieżkę do DMR i otrzymamy (jak w porzedniej metodzie) pełną w postaci
„C:\Program Files\DropMyRights\DropMyRights.exe” „C:\Program Files\Mozilla Firefox\firefox.exe”

[Aby zobaczyć linki, zarejestruj się tutaj]


Tu należy teraz dodać pewne informacje, ponieważ mnie samego w tym miejscu naszły wątpliwości…w znalezionych w sieci poradnikach na temat DMR znalazłem dwie „szkoły” na temat tego, co wpisywać w polu „Rozpocznij w” :
- według jednej zostawiamy domyślną ścieżkę do Firefoxa
- wg innej wpisujemy ścieżkę do folderu DMR czyli C:\Program Files\DropMyRights
Nie ma to znaczenia dla działania programu! ...wszystko działa dokładnie tak samo, jedyne różnice jakie znalazłem to w opisie procesu Firefox.exe w panelu szczegółów w programie Process Explorer. Tu warto dodać, że DMR nie uruchamia się z systemem, nie pracuje stale w tle...działa tylko na żądanie po uruchomieniu wybranej aplikacji ze zmodyfikowanego skrótu - nie zauważyłem przy tym żadnych zmian w zużyciu zasobów systemowych. Podobnie ma się sprawa z polem "Uruchom"- w poradnikach jest zalecane by uruchamiać jako "Zminimalizowane" ...w sumie nie wiem, czemu to ma służyć, ponieważ o ile udało mi się sprawdzić i ustalić, to równie dobrze można uruchamiać jako "Normalne okno"i nie ma to wpływu na działanie DMR, ograniczonego programu i skuteczność całego zabiegu.

[Aby zobaczyć linki, zarejestruj się tutaj]


W tym też programie możemy stwierdzić, czy DropMyRights rzeczywiście działa i ogranicza żądaną aplikację . Klikając w tym programie na proces i wywołując jego właściwości, przechodzimy w nich do zakładki „Security”
* jeśli działamy na koncie z uprawnieniami Administratorato w linii użytkowników BUILTIN\Administratorzyw kolumnie „Flags”mamy adnotację „Owner”
* jeśli aplikacja działa w trybie ograniczonymdla tej samej grupy mamy adnotację „Deny, Owner” …i to jest to czego oczekiwaliśmy.

[Aby zobaczyć linki, zarejestruj się tutaj]


I to właściwie wszystko poza jednym jeszcze aspektem…program poza niewątpliwymi zaletami ma również pewne może nie wady, ale ograniczenia. O tym wszystkim w krótkim podsumowaniu poniżej:
- DropMyRights używać można (należy) nie tylko w przypadku przeglądarek, ale również w przypadku wszystkich innych programów korzystających z sieci – komunikatory, programy pocztowe, menadżery pobierań
- w ten sam sposób można potraktować każdy inny program pracujący na plikach multimedialnych – odtwarzacze, przeglądarki – przeglądarki dokumentów PDF, nawet edytory tekstów jak MS Word
- DMR uruchamia z ograniczeniami nie tylko wybraną aplikację – z ograniczeniami uruchamiany jest także każdy następny proces potomny wywołany przez nią
- z drugiej strony każdy inny program/sposób uruchamiania przeznaczonej do ochrony aplikacji (launchery, link w e-mailu, itp.) powoduje, że ta aplikacja nie podlega restrykcjom DMR
- z tego powodu najlepiej jest ustawić w przeglądarkach uruchamianie w nowych kartach, a nie w nowych oknach – co prawda kolejny działający proces przeglądarki będzie działał z ograniczeniami, ale są malware, które na tak uruchomionej przeglądarce wymuszają łącze otwierające kolejne okno/kopię przeglądarki tym razem jednak bez stosowanych ograniczeń
- jeśli jakiś program uruchomiony jest bez restrykcji, to uruchomienie go nawet poprzez DMR spowoduje, że kolejne okno/proces i tak uruchomi się bez ograniczeń…jak otwarte już okno/proces
- jeśli chcemy otworzyć jakiś załącznik otrzymany pocztą, na przykład dokument Word, pobieramy go, a potem przeciągamy go bezpośrednio do okna programu MS Word uruchomionego z ograniczeniami
- metoda restrykcji stanowi prostą i skuteczną barierę dla ogromnej ilości infekcji krążących po sieci i wśród użytkowników (napędy przenośne wszelkiego rodzaju – pędraki, pamięci w telefonach, aparatach fotograficznych, itp.) – jest właściwie metodą „bierną” i nie angażującą na bieżąco użytkownika, a w związku z tym nie kłopotliwą i właściwie komfortową
- ale możliwości DropMyRights nie chronią przed atakami wykorzystującymi np. techniki socjotechniczne, gdzie to sam użytkownik decyduje się (świadomie lub nie) na wykonanie czynności potrzebnych do pobrania i uruchomiania malware…są również malware skutecznie obchodzące tego typu mechanizmy restrykcji, dlatego…
- DMR nie powinno być jedyną naszą bronią przeciw infekcjom – w myśl zasady, że najskuteczniejsza jest ochrona wielowarstwowa, może stanowić co najwyżej jedną z takich warstw.

Materiały źródłowe do wątku

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]


Materiały dodatkowe
lista wątków na Wildersach

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#2
Popieram takie programy! Bardziej jednak jestem za pracą na koncie zwykłego użytkownika (sam tego nie stosuję, bo UAC mi starcza) i widzę, że dobrze się to sprawdza. Zero świństwa na domowym kompie od kiedy nie mogą dowolnie instalować i odpalać pseudo programów (bo jak coś wymaga wyższych uprawnień to również wymaga wytężonego myślenia "po co mu to?"). Czysto oraz bezpiecznie, a jaki porządek z tym się jeszcze wiąże. Sam wykorzystuje Sandobxie oraz SSPremium więc kolejny program jest mi zbędny, choć jak coś wymaga uprawnień admina i nie znam tego to mu dziękuje.

Kolejny dobry wpis! +
Windows 10/11 Home x64 + Hard_Configurator + Windows Defender + router z firewall
Odpowiedz
#3
No i tak...pisałem sprawdzałem...i zapomniałem Smile Istotna informacja, która może nie jest tak oczywista, żeby o niej nie wspominać:
- Nie jest konieczne i nawet nie jest raczej zalecane, zeby pozbywać się skrótów do programów uruchamianych bez ograniczania DMR, a to z tej prostej przyczyny - gdyby trzeba było aplikację zaktualizować na przykład, albo podczas używania w trybie ograniczonym coś się nam w niej popsuło możemy ją uruchomić, naprawić ustawienia czy samą instancję programu. "Kolekcję" ikon do programów uruchamianych poprzez DMR można sobie zgrupować na pulpicie w jednym miejscu...tak dla wygody Smile
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#4
Będzie znów własny post pod poprzednim, ale trudno...
W myśl zasady, że "najciemniej jest pod latarnią" lub "rzeczy oczywiste najtrudniej dostrzec" chcę napisać o czymś, na co w sumie na samym końcu zwróciłem uwagę podczas korzystania z programu. Jak wiemy w DMR działa zasada, że aplikacja ograniczona uruchamia procesy również z ograniczeniami i nie ma odwołania...problemu więc nie ma, kiedy z pozycji takiej aplikacji uruchamiamy plik z nią skojarzony np. dokument tekstowy z Worda, arkusz kalkulacyjny z Excela, obrazek JPG z np. XnView, a plik MP3 z systemowego WMP czy Aimpa. Problem zaczyna się wtedy, kiedy taki plik otwieramy inaczej czyli np. z jakiegoś menadżera plików albo z ikonki Mój komputerlub Moje dokumentyna pulpicie...
- wprzypadku otwierania z systemowego menadżera zasobów (skrót Mój komputer ) lub Moje dokumentynie możemy zrobić właściwie nic, bo to ikony systemowe i nie za wiele w ich właściwościach zmodyfikujemy, poza tym dotyczą zasobów, a nie jednego konkretnego pliku wykonywalnego, który moglibyśmy zawsze uruchamiać przez DMR...
- natomiast dylemat rozwiązuje w tej sytuacji zainstalowanie jakiegoś osobnego menadżera plików i zmodyfikowanie jego skrótu za pomocą DMR w sposób opisany powyżej. Daje nam to taki efekt, że kiedy z menadżera uruchomimy/otworzymy jakiś plik tekstowy, multimedialny, itp. skojarzony z konkretną aplikacją to będzie ona dziedziczyła ograniczenia dokładnie takie, jak menadżer...i gdybyśmy tylko tak uruchamiali/otwierali pliki podczas pracy, to właściwie tylko tyle by wystarczyło zrobić Smile Niestety ten sposób nie wyczerpuje wszystkich możliwości otwierania plików, więc tak czy siak nie uchronimy się od modyfikacji skrótów do samych aplikacji.
Tę drugą metodę przetestowałem na programie FreeCommander...działa za każdym razem w przypadku dokumentów MS Office, plików pdf, plików muzycznych, filmowych, obrazków.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#5
Kwestia kosmetyczna, ale pozwolę sobie zapytać w tym miejscu, czy nie da się zmienić ikony skrótu do programu, kiedy przechodzi on przez DMR? Gdy większość koniecznych skrótów przepuścimy przez DRM wówczas na pulpicie okazuje się, że mamy masę ikon wyglądających tak samo None
AppGuard / EXE Radar Pro ^ SpyShelter Firewall ^ Sandboxie ^ HitmanPro
-------
Jeśli uczysz się od innych, ale sam nie pomyślisz - to najczystsze oszołomstwo;
Jeśli myślisz, ale nie uczysz się od innych - to może być dla Ciebie wręcz niebezpieczne.


Konfucjusz
Odpowiedz
#6
artoor napisał(a):Kwestia kosmetyczna, ale pozwolę sobie zapytać w tym miejscu, czy nie da się zmienić ikony skrótu do programu, kiedy przechodzi on przez DMR? Gdy większość koniecznych skrótów przepuścimy przez DRM wówczas na pulpicie okazuje się, że mamy masę ikon wyglądających tak samo None

Oczywiście, że można zmienić ikonę - z prawokliku uruchamiamy "Właściwości" i po wciśnięciu "Zmień ikonę" wybieramy tę, która nam pasuje. Jeśli zaś chodzi o ewentualny "bałagan" i dublowanie ikon...tu wystarczy stworzyć na pulpicie folder, do którego zostaną schowane wszystkie niezmodyfikowane ikony. To, jak pisałem wyżej, na wypadek konieczności zaktualizowania programu, czy dołożenia jakiegoś dodatku.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#7
Dziękuje ichito. A ja jak zwykle nie pomyślałem od tym jakże prostym i fundamentalnym rozwiązaniu Facepalm
AppGuard / EXE Radar Pro ^ SpyShelter Firewall ^ Sandboxie ^ HitmanPro
-------
Jeśli uczysz się od innych, ale sam nie pomyślisz - to najczystsze oszołomstwo;
Jeśli myślisz, ale nie uczysz się od innych - to może być dla Ciebie wręcz niebezpieczne.


Konfucjusz
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości