Security Professionals - ipfw add deny all from eindgebruikers to any

[Verwijderd]

15-06-2012, 17:15 door [Account Verwijderd], 15 reacties
[Verwijderd]
Reacties (15)
15-06-2012, 17:50 door regenpijp
Het hangt van een programma af of deze voor alle gebruikers of alleen voor 1 account te gebruiken is, daarin zit variatie en vaak bij de installatie te bepalen.

Verder kan een programma ook nog administratortoegang nodig hebben als het bijvoorbeeld dingen in het registry moet veranderen, etc.

Nu moet ik zeggen dat een apart account voor internetbankieren een wassen neus is wanneer je een banking trojan op je systeem hebt.
15-06-2012, 18:12 door Anoniem
Ik denk dat je voor internetbankieren het beste een VM (virtual machine) kan gebruiken.

En wil je windows een beetje dicht timmeren kan je altijd gebruik maken van permissions.

link: http://www.windowsecurity.com/articles/Understanding-Windows-NTFS-Permissions.html
15-06-2012, 18:36 door choi
In alle 3 accounts kan ik alle bestanden openen die op mijn computer staan. Bestanden zijn dus niet gekoppeld aan een bepaald account?

Accounts met beheerdersrechten kunnen in principe alles, dus ook data van andere accounts inzien en wijzigen. Accounts met beperkte rechten kunnen alles zien maar niet alles wijzigen. Je kan wel per map e.e.a aanpasen wat betreft schrijfrechten e.d : Rechtsklikken>Eigenschappen>Delen
http://askville.amazon.com/make-vista-folder-accessible-user/AnswerViewer.do?requestId=7439741

- Wanneer ik een programma installeer waarvoor admin rechten nodig zijn klopt het dan dat dit programma in alle accounts wordt geinstaleerd (is bij mij namelijk wel zo...)
Hangt van de applicatie af. Sommige applicaties geven je de keuze om zich alleen voor de huidige gebruiker te installeren. Ik ken zo uit mijn hoofd geen manier om dit te forceren, maar wellicht is een registertweak om te bepalen wie de applicatie mag gebruiken.

Nu dacht ik altijd dat elk account een op zichzelf staande gebruikersomgeving zou zijn, en dat programma's geinstaleerd in het ene account niet ook altijd in het andere account komen te staan?
Nee dus, tenzij een applicatie expliciet voor een bepaalde gebruiker is geïnstalleerd en je zelf e.e.a hebt geconfigureerd (zie boven).

Het werken onder een account met beperkte rechten ontneemt nog steeds het overgrote deel van de bestaande malware de mogelijkheid om zich-volledig-te kunnen installeren; de meeste malware is dom, er hoeft maar een parameter niet te kloppen en het werkt niet meer.

Een beperkte account is echter niet meer dan een van de-belangrijkste-drempels die je opwerpt om malware te voorkomen . Er bestaat ook malware die zich niets van de toegekende rechten aantrekt, daar dien je weer andere maatregelen tegen te treffen.
15-06-2012, 18:46 door Bitwiper
Door astip: - In alle 3 accounts kan ik alle bestanden openen die op mijn computer staan.
Dat is niet zo. Standaard heb je, als gewone gebruiker, geen leesrechten in de "home directory" van andere gebruikers (o.a. mappen zoals "Mijn documenten" en "Bureaublad" van anderen).

De kern van de beveiliging bestaat eruit dat je uitvoerbare bestanden, waarvan het voor de hand ligt dat anderen ze starten, vooral als dat automatisch gebeurt (bijv. tijdens inloggen) niet kunt wijzigen of toevoegen. Overigens geldt dit niet alleen voor Windows, maar ook voor Linux, BSD etcetera.

Nb. indien een gewone gebruiker schrijfrechten zou hebben in "All Users\Start Menu\Programs\Startup\" of in de registersleutel "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\", dan zou malware die hij start het systeem zo kunnen aanpassen dat iedereen die voortaan inlogt meteen ook "gehack" wordt. Zodra een admin inlogt is het dan natuurlijk helemaal "game over".

Geen enkele levende gebruiker kan trouwens in de map C:\System Volume Information\ kijken (je ziet hem waarschijnlijk niet eens staan, maar hij is er echt). Alleen de "gebruiker" SYSTEM kan hierin lezen en schrijven.

Bestanden zijn dus niet gekoppeld aan een bepaald account?
Ja en nee.

Een bestand (of map) heeft altijd een eigenaar, normaal gesproken degene die het bestand of map op de schijf heeft gezet. Een bijzondere situatie bestaat bij alle Windows versies (behalve XP): als een lid van de groep Administrators een map of bestand maakt, wordt de groep Administrators (en daarmee alle leden) eigenaar van het bestand. Dat zorgt ervoor dat als 1 admin software installeert, andere admins die software kunnen wijzigen (bijv. updaten) of deïnstalleren.

Side-note: XP zuigt op dit gebied (zie onderste onderwerp op http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/windows_security_differences.mspx?mfr=true, maar dit stomme gedrag kun je fixen, zie http://support.microsoft.com/kb/318825).

Daarnaast heeft elke map en bestand (ook o.a. devices en registersleutels) normaal gesproken een zogenaamde DACL = Discretionary Access Control List. In die lijst kunnen personen of groepen worden opgenomen die iets mogen of juist iets niet mogen met die map of dat bestand. Dit noemen we normaal gesproken de permissies op een map of bestand.

Standaard is het zo dat submappen en bestanden de permissies van een bovenliggende map erven, maar er bestaan verschillende (lastig uit te leggen) trucs om dat gedrag te blokkeren.

Standaard in Windows is dat elke gebruiker in "C:\Program Files\" in submappen mag kijken en bestanden zowel mag openen (lezen) als uitvoeren. Echter, alleen leden van de groep Administrators mogen mappen aanmaken of verwijderen, en bestanden aanmaken en wijzigen. Stel een admin installeert 7-Zip. Tijdens de installatie zal dan een map "C:\Program Files\7-Zip\" worden aangemaakt. Als het installatieprogramma niets speciaals doet zal die nieuwe map de rechten erven van "C:\Program Files\" waardoor ze hetzelfde zijn. D.w.z. gewone gebruikers kunnen kijken in die submap "7-Zip\" en bestanden daarin lezen en uitvoeren, maar niets wijzigen, verwijderen of toevoegen.

- Wanneer ik een programma installeer waarvoor admin rechten nodig zijn klopt het dan dat dit programma in alle accounts wordt geinstaleerd (is bij mij namelijk wel zo...)
Meestal wel, maar niet noodzakelijkerwijs. Om een programma werkend te maken zijn namelijk een aantal stappen nodig:

- Submap maken en de software bestanden daarnaartoe kopiëren;

- Soms moeten gegevens in het register worden bijgewerkt, bijv. om het programma autostartend te maken als je inlogt of het programma te laten starten op het moment dat je op een bestand met een specifieke bestandsnaamextensie dubbelklikt (bijv. .bmp in het nieuwe programma te laten openen i.p.v. in Paint);

- Meestal wordt er een snelkoppeling in het Start menu gezet. Het Start menu wordt echter samengesteld uit twee mappen, 1 van de ingelogde gebruiker en 1 van "All Users". Als er een snelkoppeling in die laatste map wordt gezet zal elke ingelogde gebruiker die snelkoppeling kunnen terugvinden in zijn/haar Start menu. Exact hetzelfde geldt voor het Bureaublad: ook dit is een samenstelling van je privé map "Desktop" en "All Users\Desktop". Om die reden kun je, als gewone gebruiker, sommige bestanden die op "jouw bureaublad" staan niet weggooien - die staan namelijk onder All Users en daar heb je alleen leesrechten. Sommige programma's geven je tijdens de installatie overigens de keuzemogelijkheid of je ze alleen voor jezelf wilt of voor elke gebruiker op de betreffende PC.

Nu dacht ik altijd dat elk account een op zichzelf staande gebruikersomgeving zou zijn
Deels is dat zo. De meeste programma's slaan instellingen op in het Windows Register (Registry). Ook dat register bestaat uit een soort "All Users" deel (feitelijk het systeemdeel) en een deel dat wordt geladen op het moment dat jij inlogt. Vaak staat een basisinstelling in het systeemdeel, bijv. de achtergondkleur van een programma is blauw. Als jij dat wijzigt, wordt niet de algemene instelling gewijizgd (dat kan niet want je hebt daar geen schrijfrechten), maar er wordt in jouw persoonlijke deel van het register een waarde toegevoegd die, voor het betreffende programma, prioriteit heeft boven de standaard instelling. Daardoor kun jij de achtergrondkleur van dat programma wijzigen zonder dat dit effect heeft op de instellingen van andere gebruikers.
15-06-2012, 20:00 door choi
Zoals Bitwiper omschrijft is de manier waarop applicaties zich onder Windows installeren behoorlijk complex, op je vragen is daarom eigenlijk geen eenduidig antwoord te geven. In het algemeen denk ik dat je kunt stellen dat Windows zich er niet goed voor leent om data en applicaties te scheiden d.m.v gebruikersaccounts (in ieder geval niet out-of-the-box en in de mate waarvan ik denk dat jij dat zou willen).

Wil je een op zichzelf staande omgeving waarin je kan internetbankieren, dan zou je in de richting van een virtuele machine of aan Linux op een draagbaar medium moeten denken. Linux is heel goed te booten vanaf een USB-stick (en ook lekker snel vergeleken met een CD). Gebruik wel bij voorkeur een USB-stick die je tegen schrijven kan beschermen (haast niet meer te vinden) of gebruik een CD.

Maken meerdere mensen gebruik van je computer en wil je beperken wat men kan doen op je computer, dan kan je, zoals eerder aangegeven, de rechten per map instellen. Misschien is met parental control e.e.a nog verder beperken zonder je te hoeven te begeven in het register of andere potentieel gevaarlijke toeren uit te halen.

Je geeft niet aan onder welke Windows-versie je werkt maar Windows7 heeft parental control ingebakken.
http://windows.microsoft.com/en-US/windows7/products/features/parental-controls
15-06-2012, 20:22 door choi
oops
16-06-2012, 09:09 door Anoniem
Fat32 !?
16-06-2012, 15:40 door Bitwiper
Door regenpijp: Nu moet ik zeggen dat een apart account voor internetbankieren een wassen neus is wanneer je een banking trojan op je systeem hebt.
Er bestaan 2 soorten malware "op je systeem": malware die actief is als jij bent ingelogt (en bijv. internetbankiert) en één die dan niet actief is.

Als je zoveel mogelijk gebruik maakt van "unprivileged" (gewone user-) accounts is de kans klein dat malware die één account gecompromitteerd heeft, invloed heeft op andere accounts.

Door choi: Er bestaat ook malware die zich niets van de toegekende rechten aantrekt
Dat is complete onzin. Sinds NT heeft Windows een oerdegelijk fundament voor het handhaven van permissies (het enige mankement erin is dat als je geen execute recht hebt, in een aantal gevallen een leesrecht volstaat). Als je met een account geen schrijfrechten hebt, dan werk je daar niet zomaar even omheen.

Eventuele problemen op dit vlak hebben niets met "toegekende permissies" te maken. De oorzaak kan zijn dat er sprake is van verkeerd geconfigureerde permissies of van mogelijkheden (voor de malware) tot privilege escalation (dwz bijv. SYSTEM rechten verkrijgen).

Door choi: Maken meerdere mensen gebruik van je computer en wil je beperken wat men kan doen op je computer, dan kan je, zoals eerder aangegeven, de rechten per map instellen. Misschien is met parental control e.e.a nog verder beperken zonder je te hoeven te begeven in het register of andere potentieel gevaarlijke toeren uit te halen.
Bij grotere bedrijven, organisaties en overheid zijn flexplekken met roaming profiles heel normaal, en daar hebben ze echt geen parental controls. Out of the box biedt Windows al uitstekende scheiding van gebruikersgegevens (maar je kunt dit wel verder verbeteren, bijv. door schrijfrechten in de root van drivers te verwijderen). Parental controls gaan je niet helpen tegen malware.
16-06-2012, 16:36 door choi
door choiEr bestaat ook malware die zich niets van de toegekende rechten aantrekt

door BitwiperEventuele problemen op dit vlak hebben niets met "toegekende permissies" te maken. De oorzaak kan zijn dat er sprake is van verkeerd geconfigureerde permissies of van mogelijkheden (voor de malware) tot privilege escalation (dwz bijv. SYSTEM rechten verkrijgen).

Het woord 'malware' is hier inderdaad ongelukkig gekozen. Ik had aanvallen als CSRF in gedachten die lokaal niks hoeven uit te installeren/uitvoeren en waar het beperken van rechten weinig uitmaakt.

door BitwiperParental controls gaan je niet helpen tegen malware.
Als je de zin goed leest beweer ik nergens dat parental control een middel is tegen malware. In het geval dat de computer van de OP door meerdere mensen wordt gebruikt, denk ik dat parental control een gebruiksvriendelijke manier is om te kunnen bepalen wat een individuele (gast)gebruiker kan doen op de machine.
16-06-2012, 17:11 door sjonniev
- 1 standaardaccount zonder admin rechten voor dagelijks gebruik
- 1 adminstrator account met alle rechten
- 1 standaardaccount speciaal voor internet bankieren

Leuk maar als dat op XP met een FAT file system is, is dat lood om oud ijzer, qua toegangsrechten op bestanden.

OS?

UAC helpt wel tegen het uitvoeren van gewenste en ongewenste software...
16-06-2012, 17:38 door [Account Verwijderd]
[Verwijderd]
16-06-2012, 23:57 door Bitwiper
Door sjonniev: Leuk maar als dat op XP met een FAT file system is, is dat lood om oud ijzer, qua toegangsrechten op bestanden.
Ja duh.....

Maar welke malloot gaat op beetje moderne schijf nog FAT32 partities maken die je alleen met third party tools groter krijgt dan 32Gb, sowieso met 2GB bestandsgroottelimiet en belachelijk grote clusters, het risico op flinke corruptie bij een stroomstoring en gaat dan ook nog verschillende accounts maken om te kunnen internetbankieren?

Zie ook http://www.allensmith.net/Storage/HDDlimit/FAT32.htm en http://support.microsoft.com/kb/314463.
17-06-2012, 11:52 door sjonniev
Door Bitwiper:
Door sjonniev: Leuk maar als dat op XP met een FAT file system is, is dat lood om oud ijzer, qua toegangsrechten op bestanden.
Ja duh.....

Maar welke malloot gaat op beetje moderne schijf nog FAT32 partities maken <heel veel knip>?

Kom ze nog regelmatig tegen... Wordt gelukkig minder.
17-06-2012, 21:45 door [Account Verwijderd]
[Verwijderd]
17-06-2012, 21:49 door sjonniev
Door astip: Bedankt allemaal! Nog een vraag:

- als ik een virusscanner gebruik voor een on-demand virusscan worden dan alleen de bestanden e.d. gescand in het beuwste gebruikersaccount waarin ik op dat moment de virusscan draai?

Hangt van de scanner af. Bij een goeie: nee.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.