Hardware Upgrade Forum - View Single Post

Sisupoika · 21-11-2007, 14:22

Premessa: apro per ora un piccolo thread per questo argomento, dal momento che e' in "ristrutturazione" il contenuto che mettero' in "Windows Hardening" e questo topic ne fara' in seguito parte (il tempo e' quello che e'..)

Leggendo nel forum si nota spesso (e non e' una sorpresa, ovvio) come la maggioranza degli utenti preferiscano utilizzare un account Administrator in Windows perche' "piu' pratico" (sorvolando un attimo sulle possibili soluzioni in merito cui si e' accennato in precedenza - discorso non abbandonato dal momento che proporro' appena possibile degli sviluppi in proposito); preferendo dunque ovviare alle limitazioni di un account, appunto, di tipo limitato, molti di questi utenti fanno dunque uso di applicazioni di terze parti di varia classificazione (a seconda di cio' che sono in grado di fare) cosi' da poter prevenire i problemi (e/o ridurne i rischi) potenzialmente possibili a causa dell'account amministratore.

Queste applicazioni spesso offrono funzionalita' di sandboxing con la possibilita' (che poi e' il loro principale uso per certi versi) di eseguire un browser in una modalita' ristretta e protetta, tale da impedire modifiche reali al sistema e da impedire che il browser (o qualunque applicazione sandboxata) esegua processi che esso non dovrebbe a causa ad es. di un malware che abbia sfruttato una vulnerabilita'.
I benefici in termini di sicurezza sono ovvii.

Si sara' capito dalle precedenti discussioni che (non essendo un grande fan di tutte queste applicazioni dal momento che ritengo possibile, in determinate condizioni, farne a meno configurando il sistema in maniera ottimale con quanto esso gia' offre) di solito preferisco usare Windows cosi' com'e' senza ricorrere a tools esterni, perlomeno quando e' realmente possibile farne a meno senza rischiare troppo.

Supponiamo dunque che abbiate il vostro account Administrator (o cmq il discorso vale anche per LUAs) e volete eseguire una applicazione (es. il browser) in modo che non possa eseguire processi o apportare modifiche al sistema. Potete ottenere questo - in linea di massima - col solo Windows in questi semplici passaggi:

- Create un account limitato di nome es. "NoChange", dal pannello di controllo oppure con questo comando

Codice:

net user "NoChange" /add

Codice:

net user "NoChange" qualunque_password /add

(importante: NoChange DEVE avere una password non vuota)

- Nascondete questo utente dal Welcome Screen (se lo usate) andando alla chiave (nel registro)

Codice:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList

Create al suo interno un valore REG_DWORD di nome "NoChange" con valore 0.

- Andate nelle proprieta' di ciascun drive del vostro pc, nel tab "Security"

- Aggiungete l'utente "NoChange" appena creato

- Togliete tutti i permessi apparte quelli di lettura (cosi' scrittura ed esecuzione sono bloccate)

- Andate nella cartella dove si trova l'eseguibile del browser o programma da sandboxare, e aggiungete solo per quella cartella i diritti di esecuzione ma non quelli di scrittura

- Andate nella sottocartella dove il browser (se e' un browser) salva i file temporanei nella cache, e - al contrario - consentite per NoChange i diritti di scrittura ma non quelli di esecuzione

- avviate REGEDIT, e per ogni ramo andate nei permessi (menu contestuale->permissions), aggiungete l'utente NoChange e consentite soltanto il permesso di lettura.

- Create una icona del browser/applicazione che vi interessa, e modificate il percorso del programma da eseguire aggiungendovi, all'inizio, il solito comando

Codice:

Runas /user:NoChange /savecred

(Chi usa Windows XP Home Edition puo' leggere qui una alternativa a /savecred, non disponibile in HE)

Cosi' facendo, quando eseguite quel browser (programma) nel contesto dell'utente NoChange, esso sara' gia' molto limitato (per via di LUA), inoltre non potra' modificare ne' eseguire nulla.
Nel 99% dei casi questo e' piu' che sufficiente, senza programmi di terze parti.
A meno che siate cosi' fortunati da visitare un sito cosi' malvagio (

) da riuscire a bypassare lo LUA in primo luogo, e le negazioni di permessi aggiuntive in secondo luogo.

Ciaps

21-11-2007, 14:22	#1
Sisupoika Registered User Iscritto dal: Nov 2006 Città: Espoo, Finland Messaggi: 1631	Sandbox "fai da te" :D Premessa: apro per ora un piccolo thread per questo argomento, dal momento che e' in "ristrutturazione" il contenuto che mettero' in "Windows Hardening" e questo topic ne fara' in seguito parte (il tempo e' quello che e'..) Leggendo nel forum si nota spesso (e non e' una sorpresa, ovvio) come la maggioranza degli utenti preferiscano utilizzare un account Administrator in Windows perche' "piu' pratico" (sorvolando un attimo sulle possibili soluzioni in merito cui si e' accennato in precedenza - discorso non abbandonato dal momento che proporro' appena possibile degli sviluppi in proposito); preferendo dunque ovviare alle limitazioni di un account, appunto, di tipo limitato, molti di questi utenti fanno dunque uso di applicazioni di terze parti di varia classificazione (a seconda di cio' che sono in grado di fare) cosi' da poter prevenire i problemi (e/o ridurne i rischi) potenzialmente possibili a causa dell'account amministratore. Queste applicazioni spesso offrono funzionalita' di sandboxing con la possibilita' (che poi e' il loro principale uso per certi versi) di eseguire un browser in una modalita' ristretta e protetta, tale da impedire modifiche reali al sistema e da impedire che il browser (o qualunque applicazione sandboxata) esegua processi che esso non dovrebbe a causa ad es. di un malware che abbia sfruttato una vulnerabilita'. I benefici in termini di sicurezza sono ovvii. Si sara' capito dalle precedenti discussioni che (non essendo un grande fan di tutte queste applicazioni dal momento che ritengo possibile, in determinate condizioni, farne a meno configurando il sistema in maniera ottimale con quanto esso gia' offre) di solito preferisco usare Windows cosi' com'e' senza ricorrere a tools esterni, perlomeno quando e' realmente possibile farne a meno senza rischiare troppo. Supponiamo dunque che abbiate il vostro account Administrator (o cmq il discorso vale anche per LUAs) e volete eseguire una applicazione (es. il browser) in modo che non possa eseguire processi o apportare modifiche al sistema. Potete ottenere questo - in linea di massima - col solo Windows in questi semplici passaggi: - Create un account limitato di nome es. "NoChange", dal pannello di controllo oppure con questo comando Codice: net user "NoChange" /add Codice: net user "NoChange" qualunque_password /add (importante: NoChange DEVE avere una password non vuota) - Nascondete questo utente dal Welcome Screen (se lo usate) andando alla chiave (nel registro) Codice: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList Create al suo interno un valore REG_DWORD di nome "NoChange" con valore 0. - Andate nelle proprieta' di ciascun drive del vostro pc, nel tab "Security" - Aggiungete l'utente "NoChange" appena creato - Togliete tutti i permessi apparte quelli di lettura (cosi' scrittura ed esecuzione sono bloccate) - Andate nella cartella dove si trova l'eseguibile del browser o programma da sandboxare, e aggiungete solo per quella cartella i diritti di esecuzione ma non quelli di scrittura - Andate nella sottocartella dove il browser (se e' un browser) salva i file temporanei nella cache, e - al contrario - consentite per NoChange i diritti di scrittura ma non quelli di esecuzione - avviate REGEDIT, e per ogni ramo andate nei permessi (menu contestuale->permissions), aggiungete l'utente NoChange e consentite soltanto il permesso di lettura. - Create una icona del browser/applicazione che vi interessa, e modificate il percorso del programma da eseguire aggiungendovi, all'inizio, il solito comando Codice: Runas /user:NoChange /savecred (Chi usa Windows XP Home Edition puo' leggere qui una alternativa a /savecred, non disponibile in HE) Cosi' facendo, quando eseguite quel browser (programma) nel contesto dell'utente NoChange, esso sara' gia' molto limitato (per via di LUA), inoltre non potra' modificare ne' eseguire nulla. Nel 99% dei casi questo e' piu' che sufficiente, senza programmi di terze parti. A meno che siate cosi' fortunati da visitare un sito cosi' malvagio () da riuscire a bypassare lo LUA in primo luogo, e le negazioni di permessi aggiuntive in secondo luogo. Ciaps Ultima modifica di Sisupoika : 21-11-2007 alle 18:44.