[Win7]Sicherer

24/01/2012 - 21:43 von ram | Report spam
Zunàchst einmal danke ich für die Antworten (nircmd, Turn
off LCD, wizmo, ...) auf meine Anfrage zum Thema »Bildschirm
ausschalten«!

Ich wollte schon manchmal etwas mehr über die in SAFER
verwendeten Techniken lernen, aber vielleicht kann jemand
folgendes beantworten. Bei SAFER finde ich verschiedene
Dinge zusammen verpackt. Mich interessiert aber auch, wie
man einzelne Aktionen davon gezielt unter Windows 7 Home
Premium ausführen kann.

Falls das überhaupt mit Windows 7 Home Premium möglich sein
sollte:

- Wenn man ein bestimmtes Verzeichnis ohnehin nur für
Daten und nicht für Programme nutzen will, durch
welche Registrierungseintràge oder Kommandos
(Bordmittel und Kommandozeilenkommandos bevorzugt)
kann man die Ausführung von Code aus diesem
Verzeichnis sperren?

- Wie kann man einem Programm einzelne Rechte gezielt
entziehen, insbesondere Schreibrechte für das
Dateisystem, aber auch andere eventuell
sicherheitskritische Rechte, also es sozusagen
weitmöglichst »sandboxen«?

Ferner:

- Kann man das zweite gleich für alle Programm unter
einem bestimmten Pfad machen?

- Es wurde hier empfohlen, Programme in den dafür
vorgesehenen Windows-Ordner zu installieren. Wenn
diese aber nun schon in andere Ordner installiert
wurden, kann man dann Einstellunge für diese Ordner
(beziehungsweise gegebenenfalls andere Ordner)
vornehmen, die dann den Einstellungen des
eigentlich für Programme vorgesehenen Ordners
entsprechen?
 

Lesen sie die antworten

#1 Robert Jasiek
24/01/2012 - 22:28 | Warnen spam
Stefan Ram wrote:
- Wenn man ein bestimmtes Verzeichnis ohnehin nur für
Daten und nicht für Programme nutzen will, durch
welche Registrierungseintràge oder Kommandos
(Bordmittel und Kommandozeilenkommandos bevorzugt)
kann man die Ausführung von Code aus diesem
Verzeichnis sperren?



1) SRP Whitelisting: nichts im Verzeichnis freigeben

2) SRP Blacklisting: das Verzeichnis blocken

3) für alle Benutzer/Gruppen dem Verzeichnis mit Vererbung das
Ausführen-Recht und verwandte Rechte entziehen

4) mit Integrity Levels und Vererbung auch das Flag NoExecuteUp setzen

http://home.snafu.de/jasiek/vista_s...ncept.html

- Wie kann man einem Programm einzelne Rechte gezielt
entziehen, insbesondere Schreibrechte für das
Dateisystem, aber auch andere eventuell
sicherheitskritische Rechte, also es sozusagen
weitmöglichst »sandboxen«?



1) mit Integrity Levels das Programm hinreichend niedrig setzen (zB
Low) und die passenden Flags setzen (zB NoWriteUp), wàhrend die zu
schützenden Verzeichnisse ein höheres Integrity Level bekommen

2) einen Benutzer speziell für das Programm erzeugen und dann im
Dateisystem fleißig Rechte basteln, wàhrend das Programm unter anderen
Benutzern per SRP geblockt bzw. nicht gewhitelistet ist

- Kann man das zweite gleich für alle Programm unter
einem bestimmten Pfad machen?



Ja, siehe URL oben. (Für die SRP-Umsetzung per Hand a la Kanthak kann
ich dir aber nicht ad hoc die Details sagen.)

- Es wurde hier empfohlen, Programme in den dafür
vorgesehenen Windows-Ordner zu installieren. Wenn
diese aber nun schon in andere Ordner installiert
wurden, kann man dann Einstellunge für diese Ordner
(beziehungsweise gegebenenfalls andere Ordner)
vornehmen, die dann den Einstellungen des
eigentlich für Programme vorgesehenen Ordners
entsprechen?



Im Prinzip ja, aber man muss stàndig darauf achten, auch immer alles
identisch zu halten.

Ähnliche fragen