Sandbox "fai da te" :D

[Sisupoika]

Dimenticavo: persino PsExec di Russinovich accetta come parametro una password in chiaro. I pro e i contro sono gli stessi.

[Sisupoika]

Ha pubblicato il post ma non ancora risposto

http://theinvisiblethings.blogspot.c...10619513139284

[sirus]

Ho fatto un po' di prove questa sera ed ho notato una cosa molto strana. Utilizzando un utente con diritti di amministrazione non posso togliere la spunta sui permessi di esecuzione nella cache del browser, posso negare l'esecuzione ma così facendo mi viene automaticamente negata anche la possibilità di leggere senza che io possa fare nulla.

[Sisupoika]

Quote:

Originariamente inviato da sirus

Ho fatto un po' di prove questa sera ed ho notato una cosa molto strana. Utilizzando un utente con diritti di amministrazione non posso togliere la spunta sui permessi di esecuzione nella cache del browser, posso negare l'esecuzione ma così facendo mi viene automaticamente negata anche la possibilità di leggere senza che io possa fare nulla.

Quando sei nel tab Security, non modificare i permessi da quella lista di utenti che compare subito, ma clicca su Advanced e modifica di la' i permessi dell'utente.

[xcdegasp]

Thread linkato in "Thread Importanti" e spostato nell'area "How to/FAQ" , spero possa essere cosa gradita

[Sisupoika]

Quote:

Originariamente inviato da xcdegasp

Thread linkato in "Thread Importanti" e spostato nell'area "How to/FAQ" , spero possa essere cosa gradita

Thanks chief, sounds cool

[SuperBubbleBobble]

Mi spiegate cos'è sto LUA...?

[sirus]

Quote:

Originariamente inviato da SuperBubbleBobble

Mi spiegate cos'è sto LUA...?

E' un "criterio"; significa Least-Privileges User Account.
Ossia l'utilizzo di un account che ha il numero minore di privilegi necessari per effettuare una certa operazione sul sistema.
Eg. per navigare i privilegi di amministrazione non sono necessari, quelli di utente sono il minimo necessario e quelli sono quelli che il criterio LUA propone di usare.

[SuperBubbleBobble]

grazie sirus!
Ps: se vi dovesse servire ho un bel trucchetto x accedere alla scheda "Protezione" anche su XpHome

[sirus]

Quote:

Originariamente inviato da LucaNoize

ciao,
riesumo questo 'vecchio' thread per una domanda
se avvio il browser come utente NoChange sono cmq in grado di installare gli aggiornamenti di windows?

grazie
ciao

No.

[frank10]

Intanto ringrazio Sisupoika per i suoi consigli di sicurezza. Devo trovare il tempo di leggere tutta la discussione Windows hardening.

Per intanto ho applicato il sandboxing faidate e volevo suggerire questa aggiunta:

Se avete Xp di default, dovete modificare le opzioni di Esplora risorse per far apparire i tab corretti (infatti di default questa opzione è nascosta):
Aprire una cartella qualsiasi, dal menu a tendina selezionare la voce “Strumenti” e successivamente “Opzioni cartella”. Dalla finestra di proprietà che compare selezionare la scheda “Visualizzazione” e nel campo “Impostazioni avanzate” trovare la voce “Utilizza condivisione file >semplice (scelta consigliata) e accertarsi che sia deselezionata. A questo punto anche in Windows XP Pro appare la scheda protezione tra le proprietà di una cartella.

Le voci in italiano sono:
il tab è "Protezione" (Security)
e nel regedit nel menu contestuale cercare "Autorizzazioni" (Permissions)

[SuperBubbleBobble]

Quote:

Originariamente inviato da frank10

“Impostazioni avanzate” trovare la voce “Utilizza condivisione file >semplice (scelta consigliata) e accertarsi che sia deselezionata. A questo punto anche in Windows XP Pro appare la scheda protezione tra le proprietà di una cartella.

In Xp Home invece non c'è questa opzione e bisogna riavviare in modalità provvisoria ogni volta (allora la tab 'Protezione' compare magicamente senza bisogno di settare alcunchè).
Oppure si può usare/creare questo piccolo file batch per avere la scheda Protezione su Xp Home senza dover riavviare.
Anzi, può anche essere usato su Xp Pro evitando così di dover andare ogni volta su Opzioni cartella ecc.

[leolas]

OT

Quote:

Originariamente inviato da SuperBubbleBobble

In Xp Home invece non c'è questa opzione e bisogna riavviare in modalità provvisoria ogni volta (allora la tab 'Protezione' compare magicamente senza bisogno di settare alcunchè).
Oppure si può usare/creare questo piccolo file batch per avere la scheda Protezione su Xp Home senza dover riavviare.
Anzi, può anche essere usato su Xp Pro evitando così di dover andare ogni volta su Opzioni cartella ecc.

ehila' bubble! Sei tornato finalmente??

Dev'essere stato davvero duro questo mese a jesolo

/OT

[SuperBubbleBobble]

Quote:

Originariamente inviato da leolas

Dev'essere stato davvero duro questo mese a jesolo

Ciao Leo!
oh sì, faticoso...

cmq a Creta volevi dire, dove son andato in ferie...
(jesolo è dove abito)
è da ieri che son tornato a connettermi... poi ho visto che OA è ancora in beta


Hehehe, dai, ci si legge sul 3d (appena trovo qualcosa di interessante da dire)

scusate l'OT

[medus@]

ciao sisu
ho scaricato IE8 e vorrei utilizzarlo come browser predefinito seguendo la tua procedura Sandbox (in ambiente LUA grazie alla tua config "windows hardering" come già sai). volevo chiederti 1 chiarimento su qualcosa che nel 3d non ho trovato: quando tu consigli di modificare i permessi su HD e regedit...

<Sisupoika>...CUT...Andate nelle proprieta' di ciascun drive del vostro pc, nel tab "Security"
- Aggiungete l'utente "NoChange" appena creato
- Togliete tutti i permessi apparte quelli di lettura (cosi' scrittura ed esecuzione sono bloccate)
- Andate nella cartella dove si trova l'eseguibile del browser o programma da sandboxare, e aggiungete solo per quella cartella i diritti di esecuzione ma non quelli di scrittura
- Andate nella sottocartella dove il browser (se e' un browser) salva i file temporanei nella cache, e - al contrario - consentite per NoChange i diritti di scrittura ma non quelli di esecuzione
- avviate REGEDIT, e per ogni ramo andate nei permessi (menu contestuale->permissions), aggiungete l'utente NoChange e consentite soltanto il permesso di lettura...>

è chiarissimo...però mi manca una cosa: i permessi modificati devono essere ereditati da tutte le cartelle e i file?....cioè..Io di solito quando creo dei permessi custom non utilizzo quasi mai l'UI standard della tab "security" ma seleziono il pulsante "Advanced" (come anche tu consigli poco sopra) e applico da li i permessi, inoltre, metto il flag su
"Eredita dall'oggetto padre le autorizzazioni propagate agli oggetti figlio. Aggiungi tali autorizzazioni a quelle qui specificate" e clicco su OK nel pop up di avviso per conferma. mi chiedevo se è corretto, nel momento in cui (esempio) tolgo tutti i permessi all'account NoChange nella partiz di sistema, far ereditare i permessi x tutto, sia per HD (sotto cartelle e file) che Regedit (sotto chiavi). Senza ereditarietà è sicuro che i permessi vengono tolti e/o aggiunti ovunque?
xxxooo med

[DAN83M]

Quote:

Originariamente inviato da Sisupoika

Premessa: apro per ora un piccolo thread per questo argomento, dal momento che e' in "ristrutturazione" il contenuto che mettero' in "Windows Hardening" e questo topic ne fara' in seguito parte (il tempo e' quello che e'..)

Leggendo nel forum si nota spesso (e non e' una sorpresa, ovvio) come la maggioranza degli utenti preferiscano utilizzare un account Administrator in Windows perche' "piu' pratico" (sorvolando un attimo sulle possibili soluzioni in merito cui si e' accennato in precedenza - discorso non abbandonato dal momento che proporro' appena possibile degli sviluppi in proposito); preferendo dunque ovviare alle limitazioni di un account, appunto, di tipo limitato, molti di questi utenti fanno dunque uso di applicazioni di terze parti di varia classificazione (a seconda di cio' che sono in grado di fare) cosi' da poter prevenire i problemi (e/o ridurne i rischi) potenzialmente possibili a causa dell'account amministratore.

Queste applicazioni spesso offrono funzionalita' di sandboxing con la possibilita' (che poi e' il loro principale uso per certi versi) di eseguire un browser in una modalita' ristretta e protetta, tale da impedire modifiche reali al sistema e da impedire che il browser (o qualunque applicazione sandboxata) esegua processi che esso non dovrebbe a causa ad es. di un malware che abbia sfruttato una vulnerabilita'.
I benefici in termini di sicurezza sono ovvii.

Si sara' capito dalle precedenti discussioni che (non essendo un grande fan di tutte queste applicazioni dal momento che ritengo possibile, in determinate condizioni, farne a meno configurando il sistema in maniera ottimale con quanto esso gia' offre) di solito preferisco usare Windows cosi' com'e' senza ricorrere a tools esterni, perlomeno quando e' realmente possibile farne a meno senza rischiare troppo.

Supponiamo dunque che abbiate il vostro account Administrator (o cmq il discorso vale anche per LUAs) e volete eseguire una applicazione (es. il browser) in modo che non possa eseguire processi o apportare modifiche al sistema. Potete ottenere questo - in linea di massima - col solo Windows in questi semplici passaggi:

- Create un account limitato di nome es. "NoChange", dal pannello di controllo oppure con questo comando

Codice:

net user "NoChange" /add

Codice:

net user "NoChange" qualunque_password /add

(importante: NoChange DEVE avere una password non vuota)

- Nascondete questo utente dal Welcome Screen (se lo usate) andando alla chiave (nel registro)

Codice:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList

Create al suo interno un valore REG_DWORD di nome "NoChange" con valore 0.

- Andate nelle proprieta' di ciascun drive del vostro pc, nel tab "Security"

- Aggiungete l'utente "NoChange" appena creato

- Togliete tutti i permessi apparte quelli di lettura (cosi' scrittura ed esecuzione sono bloccate)

- Andate nella cartella dove si trova l'eseguibile del browser o programma da sandboxare, e aggiungete solo per quella cartella i diritti di esecuzione ma non quelli di scrittura

- Andate nella sottocartella dove il browser (se e' un browser) salva i file temporanei nella cache, e - al contrario - consentite per NoChange i diritti di scrittura ma non quelli di esecuzione

- avviate REGEDIT, e per ogni ramo andate nei permessi (menu contestuale->permissions), aggiungete l'utente NoChange e consentite soltanto il permesso di lettura.

- Create una icona del browser/applicazione che vi interessa, e modificate il percorso del programma da eseguire aggiungendovi, all'inizio, il solito comando

Codice:

Runas /user:NoChange /savecred

(Chi usa Windows XP Home Edition puo' leggere qui una alternativa a /savecred, non disponibile in HE)

Cosi' facendo, quando eseguite quel browser (programma) nel contesto dell'utente NoChange, esso sara' gia' molto limitato (per via di LUA), inoltre non potra' modificare ne' eseguire nulla.
Nel 99% dei casi questo e' piu' che sufficiente, senza programmi di terze parti.
A meno che siate cosi' fortunati da visitare un sito cosi' malvagio () da riuscire a bypassare lo LUA in primo luogo, e le negazioni di permessi aggiuntive in secondo luogo.

Ciaps

ciao

sono andato a creare l account ma sul regedit non trovo questa voce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList

ho su windows 7 64 bit che devo fare?

[cryptone]

sapreste indicarmi un soft sandbox free?
che non sia sandboxie

[SuperBubbleBobble]

Quote:

Originariamente inviato da cryptone

sapreste indicarmi un soft sandbox free?
che non sia sandboxie

nn è il 3d appropriato! chiedi ad es qui:
http://www.hwupgrade.it/forum/showth...68898&page=671

[Profeta]

errore