useruw
Goto Top

SRP und AppData

Aus Sicherheitsaspekten wäre es optimal, wenn Verzeichnisse, in denen ausführbare Programme liegen, für normale User schreibgeschützt wären, und in allen Verzeichnissen, in die der User hineinschreiben kann, die Ausführung von Programmen gesperrt wäre.

Das wird einem aus mehreren Gründen praktisch unmöglich gemacht:

1. Es gibt im Windows-Verzeichnis Unterverzeichnisse, die nicht schreibgeschützt sind.
2. Viele Programme installieren sich (oder Teile) in das Verzeichnis appdata/..., selbst Microsoft tut das.

Ad 1: Dies wäre lösbar, wenn man die betroffenen Verzeichnisse mit einem Schreibschutz für normale User versehen dürfte. Meine Frage: Darf man? (Wenn man darf: Warum sind sie dann nicht von Haus aus schreibgeschützt?)

(Hinweis: ich habe das jetzt nicht erneut überprüft. Ist das ggf. inzwischen behoben?)

Ad 2: Die betroffenen AppData-Unterverzeichnisse in den Griff zu bekommen (etwa durch Whitelisting) ist extrem zeitraubend. Wir können diese Zeit nicht aufbringen.

Gibt es ggf. ein AV-artiges Programm, das Programmaufrufe aus den betroffenen Verzeichnissen überwacht und meldet und dann ein komfortables Whitelisting unterstützt? Oder irgend etwas in diese Richtung?

Oder gibt es ein besseres Patentrezept?


Vielen Dank im Voraus, Ulrich

Content-Key: 538136

Url: https://administrator.de/contentid/538136

Ausgedruckt am: 28.03.2024 um 10:03 Uhr

Mitglied: DerWoWusste
DerWoWusste 22.01.2020 um 20:21:52 Uhr
Goto Top
Moin Ulrich.

Definiere Whitelisting und gut ist. Willst Du stattdessen unbedingt blacklisting, dann schau Dir Application Whitelisting - Umgang mit Systemdateien an.
Mitglied: UserUW
UserUW 22.01.2020 um 23:53:06 Uhr
Goto Top
Zitat von @DerWoWusste:
Definiere Whitelisting und gut ist...

Ich erkenne nicht ganz, ob Du mich auf den Arm nehmen willst. Zu einem manuellen Whitelisting sehen wir uns zeitlich nicht in der Lage. Ich könnte mir folgende Lösung vorstellen:

1. Alle Windows-Unterverzeichnisse mit Schreibschutz für normale User versehen. (Funktioniert das? Oder läuft dann nichts mehr?)

2. Scan mit einem Programm über das Verzeichnis AppData mit Erzeugung einer Hashtabelle (= "Whitelist").

3. Warnung bei Ausführung, wenn Code ausgeführt werden soll, dessen Hash nicht vorliegt. Der Hash sollte dann komfortabel in die Hashtabelle (Whitelist) aufgenommen werden können.

Ist das naiv? Gibt es so etwas?

Ulrich
Mitglied: mayho33
mayho33 23.01.2020 um 00:32:07 Uhr
Goto Top
Was du suchst @UserUW gibt es schon. Nennt sich Avecto Defenpoint.

Wenn du so willst kannst du das Tool als Applocker Advanced betrachten.

Siehe: http://produkte.exclusive-networks.de/local/presales/avecto.html

Grüße!
Mitglied: DerWoWusste
DerWoWusste 23.01.2020 um 08:54:04 Uhr
Goto Top
Hallo.

Nein, ich meine das Ernst. Natürlich ist das bei SRP ein ordentlicher Aufwand, aber es ist immer noch weitaus besser als Blacklisting und Verzeichnisrechte verbiegen. SRP wird nicht länger von MS supportet und wird eventuell in zukünftigen Versionen ganz entfallen, nebenbei bemerkt. Applocker hingegen ist supportet und erlaubt sogar das automatische Erstellen von Whitelisten ("erlaube alles, was Stand jetzt auf der Kiste ist") - das kann SRP leider nicht.

1. Alle Windows-Unterverzeichnisse mit Schreibschutz für normale User versehen. (Funktioniert das? Oder läuft dann nichts mehr?)
Hinterfrage doch mal, welche Verzeichnisse das sind und warum Microsoft den Nutzern dort Rechte gegeben hat. Ich habe accesschk.exe verlinkt und ein Kommando, mit dem Du die Verzeichnisse findest. Ich denke nicht, dass das läuft ohne Funktionsverlust.

2. Scan mit einem Programm über das Verzeichnis AppData mit Erzeugung einer Hashtabelle (= "Whitelist").
Das Nutzerprofil muss beschreibbar bleiben. Diese Hashtabelle wird also nicht aktuell bleiben können.

3. Warnung bei Ausführung, wenn Code ausgeführt werden soll, dessen Hash nicht vorliegt. Der Hash sollte dann komfortabel in die Hashtabelle (Whitelist) aufgenommen werden können.
Dritthersteller, siehe Mayho.
Mitglied: UserUW
UserUW 23.01.2020 um 11:01:14 Uhr
Goto Top
Zitat von @DerWoWusste:
SRP wird nicht länger von MS supportet und wird eventuell in zukünftigen Versionen ganz entfallen, nebenbei bemerkt. Applocker hingegen ist supportet...

Zur Zeit gibt es Applocker ja nicht für die Pro-Version. Sollte dann aber kommen!

Ich habe accesschk.exe verlinkt und ein Kommando, mit dem Du die Verzeichnisse findest. Ich denke nicht, dass das läuft ohne Funktionsverlust.

Danke, habe aber keinen Link o.ä. gefunden.

Ulrich
Mitglied: DerWoWusste
DerWoWusste 23.01.2020 um 11:33:21 Uhr
Goto Top
Du hast keinen Link gefunden? In meinem ersten Kommentar steht er doch.
Mitglied: UserUW
UserUW 23.01.2020 um 22:57:17 Uhr
Goto Top
Zitat von @DerWoWusste:
Du hast keinen Link gefunden? In meinem ersten Kommentar steht er doch.

War etwas kryptisch formuliert! Aber Danke, Ulrich
Mitglied: UserUW
UserUW 23.01.2020 um 23:01:12 Uhr
Goto Top
Zitat von @mayho33:
Was du suchst @UserUW gibt es schon. Nennt sich Avecto Defenpoint.

Ist nicht unsere Liga. Die reden nur mit einem, wenn man mindestens 500 Arbeitsplätze bestücken will...

"Die reden nur..." ist dabei vielleicht irreführend. Das Gespräch war sehr kompetent und sehr freundlich, aber eben nix für uns.