Negentig procent minder malware met verminderde rechten
De meeste gebruikers, zelfs op Security.NL, kiezen ervoor om in te loggen met administrator rechten, toch heeft het verschillende voordelen om minder rechten te hebben. Roger Grimes, die laatst nog uithaalde naar de beschermende werking van Windows Vista's UAC, noemt nu vier voordelen om met verminderde rechten te werken. Het eerste voordeel is dat het tenminste tegen negentig procent van de hedendaagse malware bescherming biedt. "Virusschrijvers kunnen hier eenvoudig omheen programmeren als ze moeten, maar het zorgt voor een behoorlijke vermindering van de schadelijke software die vandaag de dag in omloop is."
Het tweede voordeel is dat het voor malware veel lastiger is om systeemonderdelen aan te passen. Zelfs in user-mode kan malware veel schade veroorzaken, maar het niet manipuleren van het systeem biedt toch een bescherming die mensen met administrator rechten moeten missen. Als derde punt noemt Grimes dat het lastiger is voor malware om zich te verstoppen voor anti-malware software en forensische experts. "Malware met systeemtoegang kan zichzelf als rootkit installeren, eenvoudiger verbergen in het geheugen, of andere obfuscatie technieken toepassen." Daarnaast is het ook handig dat eindgebruikers met verminderde rechten zelf geen software kunnen installeren.
Als laatste zorgt verminderde rechten ervoor dat de verdedigers hun aandacht beter kunnen richten op de bescherming van de overige punten, en dat is meteen de reden waarom deze manier van werken wenselijk en nodig is. "Stel je voor dat je een kasteel met vier toegangspunten over de slotgracht hebt. Als je zoveel toegangspunten hebt, moet je je verdediging hierover uitspreiden. Door het aantal toegangspunten te verminderen, hoeft de verdediging minder geld uit te geven en kan het de resterende onderdelen beter beschermen."
om de standaard beveiligingsinstellingen uit te zetten.
Volgens mij is dat de belangrijkste, de rest is puur
technisch. Een beetje computeraar blijft ver van dergelijke
extreme bedreigingen, dus hoe fraai ook al die technische
uitleg, die gaat alleen over de extremen. Probeer eerst maar
te voorkomen dat de bulk aan rotzooi gewoon niet binnenkomt.
rechten en ben nog geen één keer geïnfecteerd terwijl ik
veel surf.
Het werken in een beperkt account heeft wel bepaalde nadelen
, maar de voordelen (zoals in het artikel beschreven) zijn
groter.
rechten draait.
Het punt moet zijn dat de 'applicatie' met minder rechten
draait, als het kan met 'minimale' rechten ofwel 'least
priviledge' (POLA).
Met het root/user onderscheid alleen kom je echt nergens in
de meeste gevallen.
Als immers al je privacy gevoelige documenten met de zelfde
user id aangemaakt zijn, en al je internet software draait
met die zelfde user id, dan
heb je dus helemaal NIETS aan het feit dat die user id geen
root is, het voegt
in z'n eentje dus niets toe.
Pas als je aanvullende maatregelen neemt (AppArmor,
Plash,MinorFs etc) kun je applicaties draaien met minder
privileges, en kom je een stapje dichter in de buurt van
POLA.
het niet manipuleren van het systeem biedt toch een
bescherming die mensen met administrator rechten moeten missen.
aan 'het systeem' als de malware al de beschikking heeft
over alle data van de gebruiker, en ook nog eens de
mogelijkheid om deze te wijzigen, verwijderen etc?
Je moet goed bedenken WAT je wilt beschermen, de unieke,
privacy gevoelige en onvervangbare gebruikers data of het
systeem spul dat gewoon
op de instalatie CD/DVD staat en je na een uurtje of 2 weer
prima op orde hebt? Het antwoord lijkt me volledig duidelijk
toch?
Het gaat er niet om welke rechten de GEBRUIKER heeft, maar
welke rechten de APPLICATIE heeft. Als root met je internet
aps in AppArmor ben je feitelijk zelfs nog veiliger dan als
unpriviledged user. Het beste is natuurlijk een combinatie
van de twee, of het draaien van je inet aps via SSH en X
forwarding op een virtual machine waar geen gevoelige data
op staat.
Security Template voor Windows XP van het TuDelft.
http://www.dto.tudelft.nl/security/aanbevelingen/configuratie/securitytemplatexp.htm
Ook te downloaden...
Bertus Bierbuik
van beide..?
Als de gebruiker teveel rechten heeft kan deze de rechten
van de applicatie aanpassen. Daar lijkt het nog te gaan over
Windows.
In je tweede alinea schrijf je ook over een Windows config.
Maar in je derde alinea ga je over op een Linux
configuratie.... DUH..?
Dat gezegd hebbende,
Op mijn Linuxboxen zijn alleen de /home partities
versleuteld en niet de systeem partities omdat ik daar dan
probleemloos een herstel image op kan schrijven indien dat
nodig is (zeer zeldzaam).
Mijn Windows installatie draait volledig in een virtuele
omgeving op een TuxBox en staat dan automatisch op de
versleutelde partitie.
Bertus Bierbuik
toch een
bescherming die mensen met administrator rechten moeten
missen.
aan 'het systeem' als de malware al de beschikking heeft
over alle data van de gebruiker, en ook nog eens de
mogelijkheid om deze te wijzigen, verwijderen etc?
De meeste virussen doen dingen die alleen kunnen met
Administrator-rechten, dus als je zonder die rechten werkt,
werken de meeste virussen al niet meer. De run-key onder
HKLM kan bijvoorbeeld niet veranderd worden, zodat de
malware niet automatisch start na het rebooten van je pc.
Als je op je pc een beperkt account gebruikt voor
prive-zaken, zoals bankieren enz., en een ander beperkt
account om ranzige sites te bekijken, dan kan het beperkte
account voor de ranzige sites niet bij de prive-gegevens.
Als je met Administrator of root-rechten werkt, kan je
overal bij en heeft het geen zin om verschillende accounts
te maken.
Door niet als Administrator/root te werken, blijft de schade
beperkt tot het account dat je gebruikt. Dat is makkelijker
op te lossen dan het hele systeem te moeten scannen en
repareren.
Het heeft dus wel degelijk zin om met beperkte rechten te
werken.
feitelijk zelfs nog veiliger dan als unpriviledged user
Als je op je pc een beperkt account gebruikt voor
prive-zaken, zoals bankieren enz., en een ander beperkt
account om ranzige sites te bekijken, dan kan het beperkte
account voor de ranzige sites niet bij de prive-gegevens.
Als je met Administrator of root-rechten werkt, kan je
overal bij en heeft het geen zin om verschillende accounts
te maken.
Door niet als Administrator/root te werken, blijft de schade
beperkt tot het account dat je gebruikt. Dat is makkelijker
op te lossen dan het hele systeem te moeten scannen en
repareren.
Het heeft dus wel degelijk zin om met beperkte rechten te
werken.
Juist, zodra je het concept 'gebruiker' een klein beetje
geweld aan doet, en een bepaalde toepassing aan een pseudo
gebruiker koppelt, DAN heeft het zin om alles als non
priviledged gebruiker te doen.
Maar waar het dan op neer komt is dat je een user based
beveiligingsmodel
gebruikt om een ander MODEL mee te implementeren waar de
scheiding der machten wel op een zinnige manier is ingevuld.
Echter in de situatie dat je als maar een gebruiker al je
werkzaamheden doet, haal je niet veel winst uit de inperking
van de rechten van die gebruiker. Dat veel van de huidige
malware programeurs blijkbaar niet echt veel verstand van
zaken hebben staat daar denk ik los van.
Pas als zoals je doet je users gebruikt om te
compartimenteren tussen diverse toepassingsfebieden heeft
het zin dat die compartimenten beperkte rechten hebben,
omdat dan je e-mail client niet bij je bankzaken en je
browser niet bij je documenten kan komen.
administrator en dat lukt ook wel. Het vervelende is wel dat
je dan niet mag downloaden en dat vind ik toch een gemis.
Weet iemand hoe ik dit kan oplossen? Installeren is geen
probleem, dat doe ik met Administrator of met run as. Maar
downloaden lukt niet eens als limited user.
Maar daarom gebruik ik wel een zwaar geknevelde en getweakte
firefox..
Voor allen:
Security Template voor Windows XP van het TuDelft.
http://www.dto.tudelft.nl/security/aanbevelingen/configuratie/securitytemplatexp.htm
Ook te downloaden...
Bertus Bierbuik
hmmm,
op zicht niet slecht, het lijkt aardig op wat we bij de Universiteit Twente
hebben.
Ik mis alleen nog wat firewall en ipsec poortfiltering/blokkering.
Ik neem toch aan dat hier ook het een en ander voor geregeld is?
effe on topic:
Werken met een standaard user i.p.v. een local admin account scheelt
inderdaad gigantisch aan rommel maar ook aan benodigde
herinstallaties, storingen e.d. (mede door geknoei van gebruikers).
Het security bewust zijn van de klanten (en collega's) is momenteel nog
steeds het grootste probleem.
werkzaamheden doet, haal je niet veel winst uit de inperking
van de rechten van die gebruiker. Dat veel van de huidige
malware programeurs blijkbaar niet echt veel verstand van
zaken hebben staat daar denk ik los van.
goed kunnen werken zonder die Administrator-rechten.
Daarnaast kan ik me voorstellen (!) dat sommige malware
bepaalde systeemfuncties ook nodig heeft.
Malware die op gebruikersniveau werkt, kan inderdaad b.v. de
data van die gebruiker vernietigen of via internet verspreiden.
Om ueberhaupt iets te kunnen doen, moet die malware wel
eerst gestart worden. Een systeem dat niet zomaar alles laat
uitvoeren, kan een onervaren gebruiker helpen voorkomen die
malware per ongeluk te starten.
compartimenteren tussen diverse toepassingsfebieden heeft
het zin dat die compartimenten beperkte rechten hebben,
omdat dan je e-mail client niet bij je bankzaken en je
browser niet bij je documenten kan komen.
elk onder een eigen beperkt account draaien. Net als de
gebruiker zelf, zodat eventueel door hem/haar gestarte
malware b.v. niet zomaar de beschermingssoftware kan
uitschakelen of veranderen.
Ik denk dat het model niet zoveel terzake doet, maar dat het
gaat om de kwaliteit van de implementatie.
enorm moeilijk ;-):
http://www.google.com/search?q=DropMyRights
Op mijn Linuxboxen zijn alleen de /home partities versleuteld en niet de systeem partities omdat ik daar dan probleemloos een herstel image op kan schrijven indien dat nodig is (zeer zeldzaam).
beveiligt het "offline" aanvallen, het voorkomt dat bijv. een gestolen systeem bekeken kan worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
