Windows hardening

[Sisupoika]

Quote:

Originariamente inviato da medus@

ciao sisupoika...è sempre 1 piacere leggerti.
anzitutto però voglio subito chiarire 1 cosa:
forse il mio post è potuto sembrar polemico o chissà cos'altro ma (ci tengo molto a precisarlo) la mia 'richiesta di help' non era assolutamente per mettere in dubbio le tue conoscenze, tutto ciò che hai proposto in queste pagine e le reali potenzialità di una corretta config windows-utenza.
se è passato questo...scusami, non era assolutamente mia intenzione!
i tuoi posts sono tra i pochi (su HWU) che trovo utili, ed è proprio grazie al tuo howto "windows-hardening" che mi sono iscritta qui.
quindi sarebbe oltretutto come 'sputare' nel piatto in cui mangio dal 2007...
ero solo preoccupata di un comando che sembra essere sfuggito un pò ovunque:
ma sai quanto ho dovuto leggere x trovare dettagli sul parametro 'trustlevel' del runas?
tra l'altro sai benissimo (leggi pvt) da quanto tempo utilizzo, senza ripensamenti e con successo, la config proposta da te e utilizzata (senza troppe pubblicità) anche da molte aziende/professionisti.
ti dirò di più...da ca. 1 anno utilizzo, al posto dell'ottimo IPSec, 'solo' il Windows firewall di XP che ho sempre ritenuto un buon prodotto a patto di essere ben configurato (come da guida che ti ho linkato tempo fa) e, quando posso, utilizzo il Pc per svago girovagando anche su siti non proprio 'ortodossi'....emh...se il mio "lui" legge:mi riferisco alle volte che l'abbiamo fatto insieme...logico...

tutto ciò x ribadire che ho seguito (a parte il firewall ultimamente) alla lettera la config senza mai beccare nulla nonostante a volte mi sia messa in situazioni pericolose. premesso ciò...



pensavo invece che potesse essere sfruttato (e.g. da remoto) e comunque penso sia un'opzione che dovrebbe essere limitata, magari con un'update dell'exe rilasciato da Microsoft (runas è uno dei pochi componenti del mio XP SP3 ad essere ancora di versione 5.1.2600 XPclient)
l'opzioni così accessibile mi è sembrata un bug tra i tanti (o presunti tali) di windows anche perchè, sarà utile per gli amministratori che vogliono eseguire un'applicazione bloccata senza restizioni, ma perchè lasciare il parametro pienamente accessibile all'utenza limitata?





ripeto...ho seguito alla lettera il tuo tutorial e quindi anche l'enforcement sulle DLL ma il comando trustlevel funziona tranquillamente...cioè permette di eseguire qualsiasi setup senza richieste di password o restrizioni!
è per questo ci sono rimasta secca provando la cosa + volte...probabilemnte non conoscendo i dettagli del trustlevel mi son anche sorpresa: essendo un'opzione di runas per nulla indicata nella guida '/?' da prompt e poco chiara nella guida in linea di xp, come invece imho dovrebbe essere.
naturalmente, come da te ricordato, se si gestiscono i permessi correttamente su determinate folders nn si possono comunque portare a termine installazioni o accedere a determinati file, però in sistemi non perfettamente protetti è pericoloso..no?



a) di utenti "No-change" (come consigliato dal tuo 'Sandbox fai-da-te') ne ho ben 2, uno per eseguire i browser e scaricare file, uno per mail-chat (come consigliato anche in "Running vista every day" di Joanna Rutkowska.
b) non vorrei proprio disabilitare runas tramite le policies...

stanote invece ho pensato ad una soluzione, forse banale, ma efficace:
ho negato l'accesso per runas a tutti gli altri account del PC, tranne all'account (sempre limitato) che utilizzo per accedere fisicamente e con cui, tramite 'MakeMeAdmin', eseguo i programmi pericolosi tramite le altre utenze.
clic destro sull'eseguibile in system32 e messo i flag su "Nega" in Controllo completo.
in questo modo con laccount con cui ti sto fisicamente scrivendo (da desktop) posso eseguire il runas per avviare l'utenza con cui invio "tutto l'ambaradan" tramite IE, ma che a sua volta nn può eseguire il runas perchè
"...risulta bloccato. Rivolgersi all'amministratore."
poter bloccare i programmi, è un'opzione presente anche nel programma Windows StaedyState che (come sai) utilizzo, ma ho preferito fare a manina perchè ho notato che non viene bloccato l'accesso anche a: "Esegui come..." da menu destro.
tu cosa ne pensi? fatto bene?!? ;-)

Certo, suona funzionale anche se forse forse alla fine e' una esagerazione
L'importante e' che un sistema rimanga funzionale mentre e' anche sicuro.
Se delle possibili soluzioni (come appunto questa citata da te) non limitano la tua esperienza come utente, allora perche' no?
Certo, puoi sempre passare a Linux/BSD come passo successivo

[medus@]

Quote:

Originariamente inviato da Sisupoika

Certo, suona funzionale anche se forse forse alla fine e' una esagerazione

dici?!? eppure è una configurazione xfetta x me...sopratutto pensando a come proteggevo il mio pc prima....un tot (non dico quanti perchè allora sì che rusulterei esagerata) di programmi in background che comunque non mi hanno risparmiata nel tempo:
2 dialer, qualche spyware ed altri "allegri simpaticoni"
ora invece ho 1 PC sicuro che si avvia in 1 lampo, è molto più reattivo ed anche + funzionale: ogni account ha una sua funzione e un suo profilo che avvio con 2 clic.
tra l'altro, disabilitando l'accesso a runas, ho notato che IIS Lockdown Wizard lo aveva già disabilitato per determinati account (tipo internet-guest) quindi non mi è stato difficele replicare il tutto.
in finale xò devo ammettere che la protezione xfetta la ottengo anche grazie a Windows SS che blinda il disco rigido e a frequenti backup

Quote:

Certo, puoi sempre passare a Linux/BSD come passo successivo

[medus@]

btw...una tua conferma a proposito di...

http://www.hwupgrade.it/forum/showth...1608341&page=2

no?!?

[mcardini]

Prima di tutto ringrazio Sisupoika per le bellissime e molto interessanti guide.
Volevo cortesemente chiedere come adattare le policy firewall a Win Vista/7 dato che nei nuovi sistemi ms e' cambiato davvero parecchio e il post di Sisupoika mostra la procedura per WinXp.

[skazzo]

Salve a tutti!
Dopo i doverosi ringraziamenti a Sisu per la guida (che ho letto solo pochi mesi fa, e subito implementata nel pc di casa) chiedo un aiutino (perdonate se è già stato chiesto ma nemmeno la funzione di ricerca mi ha aiutato).
Ho di recente reinstallato xp sul mio macbook, mi servirà per utilizzare allplan e autocad. Per il primo non ho problemi, il secondo invece parte solo se lo eseguo come amministratore. Nello specifico è autocad 2008, windows xp sp3.

In realtà non ho bisogno di così tanta sicurezza, dato che la partizione è solo per utilizzare queste due applicazioni e cercare in internet informazioni su siti "sicuri" (tramite firefox con noscript,adblock e WOT; DNS di opendns)... mi piacerebbe comunque riuscire a far funzionare tutto come da copione

grazie in anticipo a chi mi sa aiutare!

[skazzo]

Quote:

Originariamente inviato da skazzo

Salve a tutti!
il secondo invece parte solo se lo eseguo come amministratore. Nello specifico è autocad 2008, windows xp sp3.

peccato che il thread non sia così seguito, ma forse sono fuori tempo masismo dato che sono indietro di due sistemi operativi
ho risolto passando a acad 2011, che mi è più congeniale per alcune features aggiuntive (non di certo per la pesantezza dell'interfaccia grafica).
Ho un problemino sul computer di casa alla quale ho applicato lo stesso sistema: il driver della mia stampante (canon MP560) sono in italiano per l'amminstratore e inglese per gli utenti limitati.
C'è la possibilità di capire il perché e di conseguenza intervenire?
Grazie in anticipo a chi mi può aiutare

[ezk]

ciao a tutti, riporto in auge questo thread con un paio di domande
1- con xp home credo che non sia possibile disattivare l'utente built-in Amministrator o sbaglio?
2- anche le restrizioni software non sono implementabili, giusto?

nel caso sia fattibile...... non lapidatemi.

PS per la maggior parte del tempo uso linux, quindi la mia conoscenza di xp è un "pò" limitata

[Scalk3]

Quando tento di esportare le regole IPsec ottengo questo messaggio di errore:

Quote:

Si è verificato l'errore seguente durante il salvataggio dei dati di protezione IP
Accesso negato
80070005

Conoscete una soluzione?

[Scalk3]

è possibile bloccare con IPsec un icmp-type (p.e.: echo, echo requeste, ...)?
Gli esempli che ho trovato bloccavano l'icmp nella sua interezza.
Vorrei bloccare solo i ping in entrata e permettere i ping in uscita.

[Scalk3]

Su grc.com consigliano di bloccare la porta 0.
Però se provo con IPsec le blocca tutte, agendo come carattere jolly.
Come si blocca allora?

[Spiffero44]

A voi funziona Adminshell?

[dimmi]

Quote:

Originariamente inviato da Spiffero44

A voi funziona Adminshell?

Io lo utilizzo su un pc desktop con Xp Professional e funziona benissimo. Che problemi hai?

[Sisupoika]

Quote:

Originariamente inviato da dimmi

Io lo utilizzo su un pc desktop con Xp Professional e funziona benissimo. Che problemi hai?

Cool, da ora in poi forward di tutte le richieste in proposito a te

[Spiffero44]

Quando apro l'esplora risorse con adminshell continua a dirmi che non ho i permessi per aprire un eseguibile

[Sisupoika]

Quote:

Originariamente inviato da Spiffero44

Quando apro l'esplora risorse con adminshell continua a dirmi che non ho i permessi per aprire un eseguibile

Se usi XP, vorra' dire senz'altro che non hai seguito alla lettera qualche punto

[Spiffero44]

L'unico punto al riguardo era di mettere questo file nella cartella di Windows e l'ho fatto

[dimmi]

Quote:

Originariamente inviato da Sisupoika

Cool, da ora in poi forward di tutte le richieste in proposito a te

ahahahahah guarda, se avessi le tue competenze lo farei ben volentieri ...

[dimmi]

Quote:

Originariamente inviato da Spiffero44

L'unico punto al riguardo era di mettere questo file nella cartella di Windows e l'ho fatto

Ma quando lanci Adminshell ti eleva i privilegi dell'account limitato a priviliegi amministrativi?

[usernet]

Un saluto a tutti, ho trovato la guida originale per caso, cercando di informarmi su una configurazione abbastanza idonea per evitare alcune spiacevoli situazioni a cui sono andato incontro e sono giunto a questo thread

Mi chiedevo... So che è passato molto tempo dal post originale e dall'ultimo post, infatti spero che qualcuno possa ancora rispondermi, ma... c'è la possibilità di applicare la stessa configurazione per un windows 7 64?

Più che altro ho tentato già di applicare la configurazione visto che le opzioni sono praticamente le stesse ma mi ritrovo con l'account di amministratore con le stesse limitazioni dell'account limitato e di conseguenza AdminCMD e Adminshell che mi segnalano che i programmi che vorrei far partire non posso essere eseguiti per via delle restrizioni.

Non so... i passagi gli ho rieseguiti più volte per conferma, dipende quindi da windows 7 secondo voi? Un grazie a chiunque mi saprà / vorrà rispondere.

[BrunoPerUno]

Ciao a tutti.
Sono nuovo nel forum, mi sono appena letto le due discussioni interessantissime relativamente all'hardening di windows.
Complimentissimi a Sisupoika per l'eccezionale lavoro svolto.
Peccato siano diventate leggermente obsolete vista l'evoluzione dei nuovi sistemi win7 e 8.
Ho cercato sul forum qualche topic simili a questi basati sugli ultimi SO di MS ma non mi riesce di trovarli.
Qualcuno ha delle news al riguardo?
Grazie mille!