20.09.2012, 08:30
Możliwe, że będę nudny w tym, co teraz będę pisał, bo będą to rzeczy od dawna wiadome, sprawdzone i przy tym wszystkim przydatne...chodzi o obniżanie uprawnień dla aplikacji i dla użytkowników , co związane jest z mało lubianym i stosowanym rozwiązaniem czyli kontem użytkownika z ograniczonymi uprawnieniami. Jak dobrze wiemy znakomita część użytkowników systemów Windows pracuje na koncie z uprawnieniami Administratora, co z pewnością wygodne i mniej kłopotliwe jest, aczkolwiek niesie ze sobą spore ryzyko, o którym większość niestety zapomina...a systemowe rozwiązania lub bazujące na ich idei osobne programy mogą stanowić...i stanowią...często znakomite i pomocne rozwiązanie podnoszące znacznie bezpieczeństwo naszych komputerów i zgromadzonych na nich danych.
Nieco to obco może brzmi i pewnie części z Was od razu ciśnie się w głowie pytanie "no dobra...niech będzie, że to jest ważne...ale w sumie, to z jakiego powodu?...a w ogóle, to o co chodzi?" . Pytanie słuszne, a odpowiedź może być krótka i jasna chyba – program/proces powinien pracować z jak najmniejszymi koniecznymi uprawnieniami do wykonywania swoich zwyczajowej zadań…im mniej uprawnień, tym ewentualnie wyrządzone szkody będą mniejsze. To jedna z naczelnych zasad zachowania bezpieczeństwa!Jak pokazuje codzienna praktyka, wcale nie tak trudno być z tymi zasadami „na bakier”
ponieważ niepotrzebnie pracując na prawach Administratora możemy umożliwić malware jedną z takich rzeczy na przykład:
- tworzenie i uruchamianie potem nowych plików w ważnych systemowych lokalizacjach (np. System32, Documents&Settings użytkownika, jego Moje Dokumenty)
- zamykanie procesów/usług i instalowanie nowych własnych
- dokonywanie modyfikacji w rejestrze systemowym (HKLM, HKCU)
- niekontrolowane pobieranie danych z sieci
co z kolei może doprowadzić do:
- zainstalowania keyloggerów przechwytujących nasze dane
- całkowitego zablokowanie systemu i tym samym dostęp do naszych danych
- braku możliwości uruchomienia urządzeń komputera
- modyfikowanie listy startujących z systemem programów/usług
- wyłączenia/zdezaktywowania systemowej lub zainstalowanej dodatkowo zapory
- wyłączenia/zdezaktywowania programu antywirusowego
- podmiany plików systemowych lub innych programów na pliki własne malware
- zainstalowania kontrolek ActiveX, podmianę stron startowych w przeglądarkach
- ukrycia własnych plików/procesów przed użytkownikiem, programem zabezpieczającym, podglądem/zapisem zdarzeń
- dostępu do danych innych użytkowników systemu
- jeśli komputer jest w sieci, to również dostępu do innych użytkowników sieci i ich danych, przejęcie nad nimi kontroli.
No i teraz nareszcie zmierzamy do celu… DropMyRights(czyli w wolnym tłumaczeniu „porzuć moje uprawnienia” ) jest aplikacją, która użytkownikom na prawach Administratora pozwala uruchamiać wybrane aplikacje z ograniczonymi uprawnieniami. Tak, tak…nie brzmi to specjalnie obco i znamy takie funkcje/możliwości zaimplementowane do niektórych programów zabezpieczających np. tryb RunSafer w Online Amor , podobny tryb pod nazwą Restricted/Reduced/Limited Rights w Privatefirewall , Restricted Rights w SpyShelter czy podobne funkcje oferowane przez DefenseWall czy Sandboxie . Problem jednak w tym, że nie każdy musi/chce od razu instalować jakąś bardziej rozbudowaną aplikację, żeby mieć takie możliwości…nie każdy pewne rozwiązania lubi czy preferuje…nie zawsze instalowany program dobrze pracuje na naszym konkretnym systemie. Wtedy właśnie z pomocą przyjść może takie „maleństwo” jak DropMyRights – sprytna i prosta aplikacja stworzona już…uwaga!…8 lat temu! W 2004roku właśnie Michael Howardjako pracownik Microsoft Security Engineeringopublikował na blogu msdn.microsoft.com artykuł na temat swojego programu. OK…jak to więc działa w praktyce? Bardzo prosto…można rzec nawet, że zadziwiająco prosto… modyfikując ścieżkę dostępu do skrótu programu, który chcemy by działał w ograniczonym trybie, powodujemy, że tak naprawdę uruchamiamy ten program poprzez DropMyRights . DMR staje się procesem nadrzędnym dla uruchamianego programu i narzuca mu takie same ograniczenia, jakie znajdziemy w trybie ograniczonego użytkownika.
1.Przystępując do pracy z DMRPo pierwsze należy pobrać program…niestety podany w macierzystym artykule link do pliku nie działa już, więc podaję inny ze strony GRC, który prowadzi bezpośrednio do instalatora DMR
3.Kiedy mamy już zainstalowany program przystępujemy do pracy z programem, a możemy to zrobić na dwa sposoby (na przykładzie Firefoxa):
* Pierwszy – poprzez utworzenie nowego skrótu na pulpicie z menu kontekstowego myszki„Nowy/skrót” . Otwiera się okno kreatora, dalej lokalizujemy wybrany program, wskazujemy plik Firefox.exea w polu edycji ścieżki dopisujemy lokalizację DropMyRights.exe– jeśli instalowaliśmy na C:\Program Files , to dodajemy na początku
„C:\Program Files\DropMyRights\DropMyRights.exe”
wpisane w cudzysłów jak ścieżka do Firefoxa i oddzielona jedną spacją…to ważne żeby tylko jedną!Otrzymujemy więc pełną ścieżkę w takiej postaci
„C:\Program Files\DropMyRights\DropMyRights.exe” „C:\Program Files\Mozilla Firefox\firefox.exe”
Następnie nazywamy po swojemu nowy skrót – najlepiej tak byśmy wiedzieli, że dotyczy uruchamiania z ograniczonymi uprawnieniami np. „retricted/ograniczony/DMR/non-admin Firefox”i kończymy kreatora.
* Drugi – jest nieco szybszy wg mnie i polega na tym, że istniejącego skrótu do Firefoxa robimy kopię np. na pulpicie – zwyczajnie z menu kontekstowego myszki – lub tworzymy go na nowo z ikonki programu Firefox.exe. Klikamy na ten nowy skrót z i menu kontekstowego wybieramy polecenie „Właściwości”– tu interesuje nas tylko zakładka „Skrót”i pole "Element docelowy"do edycji ścieżki. W normalnej wersji będzie tam ścieżka do Firefoxa
„C:\Program Files\Mozilla Firefox\firefox.exe”
a my dodamy do niej na początku ścieżkę do DMR i otrzymamy (jak w porzedniej metodzie) pełną w postaci
„C:\Program Files\DropMyRights\DropMyRights.exe” „C:\Program Files\Mozilla Firefox\firefox.exe”
Tu należy teraz dodać pewne informacje, ponieważ mnie samego w tym miejscu naszły wątpliwości…w znalezionych w sieci poradnikach na temat DMR znalazłem dwie „szkoły” na temat tego, co wpisywać w polu „Rozpocznij w” :
- według jednej zostawiamy domyślną ścieżkę do Firefoxa
- wg innej wpisujemy ścieżkę do folderu DMR czyli C:\Program Files\DropMyRights
Nie ma to znaczenia dla działania programu! ...wszystko działa dokładnie tak samo, jedyne różnice jakie znalazłem to w opisie procesu Firefox.exe w panelu szczegółów w programie Process Explorer. Tu warto dodać, że DMR nie uruchamia się z systemem, nie pracuje stale w tle...działa tylko na żądanie po uruchomieniu wybranej aplikacji ze zmodyfikowanego skrótu - nie zauważyłem przy tym żadnych zmian w zużyciu zasobów systemowych. Podobnie ma się sprawa z polem "Uruchom"- w poradnikach jest zalecane by uruchamiać jako "Zminimalizowane" ...w sumie nie wiem, czemu to ma służyć, ponieważ o ile udało mi się sprawdzić i ustalić, to równie dobrze można uruchamiać jako "Normalne okno"i nie ma to wpływu na działanie DMR, ograniczonego programu i skuteczność całego zabiegu.
W tym też programie możemy stwierdzić, czy DropMyRights rzeczywiście działa i ogranicza żądaną aplikację . Klikając w tym programie na proces i wywołując jego właściwości, przechodzimy w nich do zakładki „Security” …
* jeśli działamy na koncie z uprawnieniami Administratorato w linii użytkowników BUILTIN\Administratorzyw kolumnie „Flags”mamy adnotację „Owner”
* jeśli aplikacja działa w trybie ograniczonymdla tej samej grupy mamy adnotację „Deny, Owner” …i to jest to czego oczekiwaliśmy.
I to właściwie wszystko poza jednym jeszcze aspektem…program poza niewątpliwymi zaletami ma również pewne może nie wady, ale ograniczenia. O tym wszystkim w krótkim podsumowaniu poniżej:
- DropMyRights używać można (należy) nie tylko w przypadku przeglądarek, ale również w przypadku wszystkich innych programów korzystających z sieci – komunikatory, programy pocztowe, menadżery pobierań
- w ten sam sposób można potraktować każdy inny program pracujący na plikach multimedialnych – odtwarzacze, przeglądarki – przeglądarki dokumentów PDF, nawet edytory tekstów jak MS Word
- DMR uruchamia z ograniczeniami nie tylko wybraną aplikację – z ograniczeniami uruchamiany jest także każdy następny proces potomny wywołany przez nią
- z drugiej strony każdy inny program/sposób uruchamiania przeznaczonej do ochrony aplikacji (launchery, link w e-mailu, itp.) powoduje, że ta aplikacja nie podlega restrykcjom DMR
- z tego powodu najlepiej jest ustawić w przeglądarkach uruchamianie w nowych kartach, a nie w nowych oknach – co prawda kolejny działający proces przeglądarki będzie działał z ograniczeniami, ale są malware, które na tak uruchomionej przeglądarce wymuszają łącze otwierające kolejne okno/kopię przeglądarki tym razem jednak bez stosowanych ograniczeń
- jeśli jakiś program uruchomiony jest bez restrykcji, to uruchomienie go nawet poprzez DMR spowoduje, że kolejne okno/proces i tak uruchomi się bez ograniczeń…jak otwarte już okno/proces
- jeśli chcemy otworzyć jakiś załącznik otrzymany pocztą, na przykład dokument Word, pobieramy go, a potem przeciągamy go bezpośrednio do okna programu MS Word uruchomionego z ograniczeniami
- metoda restrykcji stanowi prostą i skuteczną barierę dla ogromnej ilości infekcji krążących po sieci i wśród użytkowników (napędy przenośne wszelkiego rodzaju – pędraki, pamięci w telefonach, aparatach fotograficznych, itp.) – jest właściwie metodą „bierną” i nie angażującą na bieżąco użytkownika, a w związku z tym nie kłopotliwą i właściwie komfortową
- ale możliwości DropMyRights nie chronią przed atakami wykorzystującymi np. techniki socjotechniczne, gdzie to sam użytkownik decyduje się (świadomie lub nie) na wykonanie czynności potrzebnych do pobrania i uruchomiania malware…są również malware skutecznie obchodzące tego typu mechanizmy restrykcji, dlatego…
- DMR nie powinno być jedyną naszą bronią przeciw infekcjom – w myśl zasady, że najskuteczniejsza jest ochrona wielowarstwowa, może stanowić co najwyżej jedną z takich warstw.
Materiały źródłowe do wątku
Materiały dodatkowe
lista wątków na Wildersach
Nieco to obco może brzmi i pewnie części z Was od razu ciśnie się w głowie pytanie "no dobra...niech będzie, że to jest ważne...ale w sumie, to z jakiego powodu?...a w ogóle, to o co chodzi?" . Pytanie słuszne, a odpowiedź może być krótka i jasna chyba – program/proces powinien pracować z jak najmniejszymi koniecznymi uprawnieniami do wykonywania swoich zwyczajowej zadań…im mniej uprawnień, tym ewentualnie wyrządzone szkody będą mniejsze. To jedna z naczelnych zasad zachowania bezpieczeństwa!Jak pokazuje codzienna praktyka, wcale nie tak trudno być z tymi zasadami „na bakier”
ponieważ niepotrzebnie pracując na prawach Administratora możemy umożliwić malware jedną z takich rzeczy na przykład:- tworzenie i uruchamianie potem nowych plików w ważnych systemowych lokalizacjach (np. System32, Documents&Settings użytkownika, jego Moje Dokumenty)
- zamykanie procesów/usług i instalowanie nowych własnych
- dokonywanie modyfikacji w rejestrze systemowym (HKLM, HKCU)
- niekontrolowane pobieranie danych z sieci
co z kolei może doprowadzić do:
- zainstalowania keyloggerów przechwytujących nasze dane
- całkowitego zablokowanie systemu i tym samym dostęp do naszych danych
- braku możliwości uruchomienia urządzeń komputera
- modyfikowanie listy startujących z systemem programów/usług
- wyłączenia/zdezaktywowania systemowej lub zainstalowanej dodatkowo zapory
- wyłączenia/zdezaktywowania programu antywirusowego
- podmiany plików systemowych lub innych programów na pliki własne malware
- zainstalowania kontrolek ActiveX, podmianę stron startowych w przeglądarkach
- ukrycia własnych plików/procesów przed użytkownikiem, programem zabezpieczającym, podglądem/zapisem zdarzeń
- dostępu do danych innych użytkowników systemu
- jeśli komputer jest w sieci, to również dostępu do innych użytkowników sieci i ich danych, przejęcie nad nimi kontroli.
No i teraz nareszcie zmierzamy do celu… DropMyRights(czyli w wolnym tłumaczeniu „porzuć moje uprawnienia” ) jest aplikacją, która użytkownikom na prawach Administratora pozwala uruchamiać wybrane aplikacje z ograniczonymi uprawnieniami. Tak, tak…nie brzmi to specjalnie obco i znamy takie funkcje/możliwości zaimplementowane do niektórych programów zabezpieczających np. tryb RunSafer w Online Amor , podobny tryb pod nazwą Restricted/Reduced/Limited Rights w Privatefirewall , Restricted Rights w SpyShelter czy podobne funkcje oferowane przez DefenseWall czy Sandboxie . Problem jednak w tym, że nie każdy musi/chce od razu instalować jakąś bardziej rozbudowaną aplikację, żeby mieć takie możliwości…nie każdy pewne rozwiązania lubi czy preferuje…nie zawsze instalowany program dobrze pracuje na naszym konkretnym systemie. Wtedy właśnie z pomocą przyjść może takie „maleństwo” jak DropMyRights – sprytna i prosta aplikacja stworzona już…uwaga!…8 lat temu! W 2004roku właśnie Michael Howardjako pracownik Microsoft Security Engineeringopublikował na blogu msdn.microsoft.com artykuł na temat swojego programu. OK…jak to więc działa w praktyce? Bardzo prosto…można rzec nawet, że zadziwiająco prosto… modyfikując ścieżkę dostępu do skrótu programu, który chcemy by działał w ograniczonym trybie, powodujemy, że tak naprawdę uruchamiamy ten program poprzez DropMyRights . DMR staje się procesem nadrzędnym dla uruchamianego programu i narzuca mu takie same ograniczenia, jakie znajdziemy w trybie ograniczonego użytkownika.
1.Przystępując do pracy z DMRPo pierwsze należy pobrać program…niestety podany w macierzystym artykule link do pliku nie działa już, więc podaję inny ze strony GRC, który prowadzi bezpośrednio do instalatora DMR
[Aby zobaczyć linki, zarejestruj się tutaj]
2.Następnie instalujemy program – tu trzeba chwilę skupienia…bardzo istotne jest aby dobrze pamiętać ścieżkę dostępu do zainstalowanego programu, ponieważ ta ścieżka będzie parametrem, którym posługiwać się w dalszej pracy z programem (można tę ścieżkę sobie skopiować i zapisać jeszcze podczas działania instalatora lub zrobić to potem z systemowego menadżera dysków lub jakiegoś menadżera plików). Nie wiem czemu u mnie program chciał się zainstalować w folderze Moje Dokumenty na dysku D, ale możliwe, że istotne dla programu jest położenie tego folderu – jakby nie było systemowego.[Aby zobaczyć linki, zarejestruj się tutaj]
3.Kiedy mamy już zainstalowany program przystępujemy do pracy z programem, a możemy to zrobić na dwa sposoby (na przykładzie Firefoxa):
* Pierwszy – poprzez utworzenie nowego skrótu na pulpicie z menu kontekstowego myszki„Nowy/skrót” . Otwiera się okno kreatora, dalej lokalizujemy wybrany program, wskazujemy plik Firefox.exea w polu edycji ścieżki dopisujemy lokalizację DropMyRights.exe– jeśli instalowaliśmy na C:\Program Files , to dodajemy na początku
„C:\Program Files\DropMyRights\DropMyRights.exe”
wpisane w cudzysłów jak ścieżka do Firefoxa i oddzielona jedną spacją…to ważne żeby tylko jedną!Otrzymujemy więc pełną ścieżkę w takiej postaci
„C:\Program Files\DropMyRights\DropMyRights.exe” „C:\Program Files\Mozilla Firefox\firefox.exe”
Następnie nazywamy po swojemu nowy skrót – najlepiej tak byśmy wiedzieli, że dotyczy uruchamiania z ograniczonymi uprawnieniami np. „retricted/ograniczony/DMR/non-admin Firefox”i kończymy kreatora.
[Aby zobaczyć linki, zarejestruj się tutaj]
* Drugi – jest nieco szybszy wg mnie i polega na tym, że istniejącego skrótu do Firefoxa robimy kopię np. na pulpicie – zwyczajnie z menu kontekstowego myszki – lub tworzymy go na nowo z ikonki programu Firefox.exe. Klikamy na ten nowy skrót z i menu kontekstowego wybieramy polecenie „Właściwości”– tu interesuje nas tylko zakładka „Skrót”i pole "Element docelowy"do edycji ścieżki. W normalnej wersji będzie tam ścieżka do Firefoxa
„C:\Program Files\Mozilla Firefox\firefox.exe”
a my dodamy do niej na początku ścieżkę do DMR i otrzymamy (jak w porzedniej metodzie) pełną w postaci
„C:\Program Files\DropMyRights\DropMyRights.exe” „C:\Program Files\Mozilla Firefox\firefox.exe”
[Aby zobaczyć linki, zarejestruj się tutaj]
Tu należy teraz dodać pewne informacje, ponieważ mnie samego w tym miejscu naszły wątpliwości…w znalezionych w sieci poradnikach na temat DMR znalazłem dwie „szkoły” na temat tego, co wpisywać w polu „Rozpocznij w” :
- według jednej zostawiamy domyślną ścieżkę do Firefoxa
- wg innej wpisujemy ścieżkę do folderu DMR czyli C:\Program Files\DropMyRights
Nie ma to znaczenia dla działania programu! ...wszystko działa dokładnie tak samo, jedyne różnice jakie znalazłem to w opisie procesu Firefox.exe w panelu szczegółów w programie Process Explorer. Tu warto dodać, że DMR nie uruchamia się z systemem, nie pracuje stale w tle...działa tylko na żądanie po uruchomieniu wybranej aplikacji ze zmodyfikowanego skrótu - nie zauważyłem przy tym żadnych zmian w zużyciu zasobów systemowych. Podobnie ma się sprawa z polem "Uruchom"- w poradnikach jest zalecane by uruchamiać jako "Zminimalizowane" ...w sumie nie wiem, czemu to ma służyć, ponieważ o ile udało mi się sprawdzić i ustalić, to równie dobrze można uruchamiać jako "Normalne okno"i nie ma to wpływu na działanie DMR, ograniczonego programu i skuteczność całego zabiegu.
[Aby zobaczyć linki, zarejestruj się tutaj]
W tym też programie możemy stwierdzić, czy DropMyRights rzeczywiście działa i ogranicza żądaną aplikację . Klikając w tym programie na proces i wywołując jego właściwości, przechodzimy w nich do zakładki „Security” …
* jeśli działamy na koncie z uprawnieniami Administratorato w linii użytkowników BUILTIN\Administratorzyw kolumnie „Flags”mamy adnotację „Owner”
* jeśli aplikacja działa w trybie ograniczonymdla tej samej grupy mamy adnotację „Deny, Owner” …i to jest to czego oczekiwaliśmy.
[Aby zobaczyć linki, zarejestruj się tutaj]
I to właściwie wszystko poza jednym jeszcze aspektem…program poza niewątpliwymi zaletami ma również pewne może nie wady, ale ograniczenia. O tym wszystkim w krótkim podsumowaniu poniżej:
- DropMyRights używać można (należy) nie tylko w przypadku przeglądarek, ale również w przypadku wszystkich innych programów korzystających z sieci – komunikatory, programy pocztowe, menadżery pobierań
- w ten sam sposób można potraktować każdy inny program pracujący na plikach multimedialnych – odtwarzacze, przeglądarki – przeglądarki dokumentów PDF, nawet edytory tekstów jak MS Word
- DMR uruchamia z ograniczeniami nie tylko wybraną aplikację – z ograniczeniami uruchamiany jest także każdy następny proces potomny wywołany przez nią
- z drugiej strony każdy inny program/sposób uruchamiania przeznaczonej do ochrony aplikacji (launchery, link w e-mailu, itp.) powoduje, że ta aplikacja nie podlega restrykcjom DMR
- z tego powodu najlepiej jest ustawić w przeglądarkach uruchamianie w nowych kartach, a nie w nowych oknach – co prawda kolejny działający proces przeglądarki będzie działał z ograniczeniami, ale są malware, które na tak uruchomionej przeglądarce wymuszają łącze otwierające kolejne okno/kopię przeglądarki tym razem jednak bez stosowanych ograniczeń
- jeśli jakiś program uruchomiony jest bez restrykcji, to uruchomienie go nawet poprzez DMR spowoduje, że kolejne okno/proces i tak uruchomi się bez ograniczeń…jak otwarte już okno/proces
- jeśli chcemy otworzyć jakiś załącznik otrzymany pocztą, na przykład dokument Word, pobieramy go, a potem przeciągamy go bezpośrednio do okna programu MS Word uruchomionego z ograniczeniami
- metoda restrykcji stanowi prostą i skuteczną barierę dla ogromnej ilości infekcji krążących po sieci i wśród użytkowników (napędy przenośne wszelkiego rodzaju – pędraki, pamięci w telefonach, aparatach fotograficznych, itp.) – jest właściwie metodą „bierną” i nie angażującą na bieżąco użytkownika, a w związku z tym nie kłopotliwą i właściwie komfortową
- ale możliwości DropMyRights nie chronią przed atakami wykorzystującymi np. techniki socjotechniczne, gdzie to sam użytkownik decyduje się (świadomie lub nie) na wykonanie czynności potrzebnych do pobrania i uruchomiania malware…są również malware skutecznie obchodzące tego typu mechanizmy restrykcji, dlatego…
- DMR nie powinno być jedyną naszą bronią przeciw infekcjom – w myśl zasady, że najskuteczniejsza jest ochrona wielowarstwowa, może stanowić co najwyżej jedną z takich warstw.
Materiały źródłowe do wątku
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Materiały dodatkowe
lista wątków na Wildersach
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"