Win10 - prosta obsługa, komputer rodzinny i do gier
#1
Cześć, 
Potrzebuję pomocy w doborze zabezpieczeń do nowego komputera. 

Na początek kilka szczegółów :
System: Windows 10 home 64 bit PL. 
Użytkownik: żona i ja = na co dzień wspólne konto zwykłe, przy aktualizacjach albo instalacji softu wyskakuje monit o hasło dla konta administratora. 
Zastosowanie: Internet, YouTube, MS Office 2010, rodzinne dokumenty i zdjęcia, rozrywka - gry i filmy. 

- cały soft mam legalny, nie instaluję dodatkowych programów, nie testuję niczego, 
- korzystam też z platformy PortableApps - to co się da to wolę mieć portable niż instalować, np. Gimp, 
- Żona wchodzi czasem na pudelki itp.,
- ja czasem wchodzę na mniej bezpieczne strony..., 
- zdarzają się obce pendrive, 
- czasem pliki PDF i Office przesyłane mailem od znajomych i współpracowników, 
- czasem filmy i seriale z zatoki, 
- gry ze Steam, GoG, Origin, UPlay - tylko legalne,
- w Excelu korzystam z makr VBA, 
- przeglądarka to Chrome i Firefox, obie portable, różne profile użytkowników, czasem Edge na szybko,
- portable i gry na innej partycji niż Windows i ProgramFiles, tak samo dokumenty na osobnej partycji.

Kiedyś przerabiałem różne konfiguracji, ale teraz zależy mi na prostocie i jak najmniejszej konieczności konfigurowania i ingerencji użytkownika. 
Chcę, by gry uruchamiały się bez błędów, by Office działał dobrze i by pobrane pliki nie znikały.
Zależy mi, by ewentualne komunikaty były jasne dla żony.
Dotychczas nie mieliśmy żadnej infekcji, bo usługa Common Sense działa jeszcze sprawnie Wink 

Z płatnych programów mam licencje na:
- MalwareBytes AntiMalware dożywotnia,
- Sandboxie dożywotnia,
- AppGuard, ostatnio instalowania v.4.0,
- Windows Firewall Control dożywotnia, 


1. Jaki prosty układ polecacie, czy może coś dokupić? 
2. Czy i jak wyłączyć telemetrię, ale żeby Windows 10 był aktualizowany na bieżąco? 
3. Czy warto dokupić NVTERP? Widzę, że jest już nierozwijany, ale podobno beta działa na W10. Czy nie dubluje on np. funkcji AG? A może lepiej zadziała darmowa wersja Voodoo Shield - ale czy w Voodoo free dodam np. Steam do wyjątków?
4. Czy Sandboxie nie ma jakiś zgrzytów ze Steam, bo podobno jest wykorzystywany do multi-kont i gryzie się ze Steam - klik1, klik2. Czy to znaczy, że nie uruchomię gier ze Steam jeżeli mam zainstalowane Sandboxie, czy też nie uruchomię gier w piaskownicy? Ktoś z Was to przerabiał?
5. Czy stosować jakieś osobne narzędzie do zabezpieczenia przed zakażeniem poprzez USB?
6. Patrzyłem na różne wątki tu i tam. 

6a. ssj100's Security Setup
6b. Sandboxie - omówienie i konfiguracja Quassar
6c. An Introduction and a Quick Guide to Sandboxie Gizmos 
6d. Hard_Configurator - polska wersja - co to jest?? 
6e. WFC - czasami sprawiał mi problemy i jego reakcja na zgłoszenia była powolna, to znaczy zanim przetworzył żądanie dostępu to program który się właśnie aktualizował zgłaszał problem z siecią itp., to może lepiej TinyWall - podobno lekki interface i mało opcji? Albo może Windows 10 nie potrzebuje już firewalla?
6f. AppGuard vs. Voodooshield or NoVirusThanks EXE Radar Pro z roku 2015 Wilders
6g. świeży w miarę wątek z forum
6h. starszy wątek
6i. Application Whitelisting / Anti-Executable Wilders
6j. tu ciekawy wątek z fukcjonalnościa Sandboxie - File Access Exceptions 


Podsumowanie:
Myślałem o Sandboxie (dla przeglądarek www, pdf, office, media Playera) + MBAM. Ewentualnie jeszcze TinyWall.
Jeżeli polecacie to samo to podajcie jakieś uwagi by to dobrze skonfigurować.


R.
Odpowiedz
#2
Exe Radar Pro jest rozwijany i już szykuje sie nowa wersja a od dłuższego czasu można korzystać z pełnej funkcjonalnej wersji bety 3.1
Tutaj masz link do głównego wątku z linkiem do pobrania:
https://www.wilderssecurity.com/threads/...st-2615734

Osobiście to polecam jakiś solidny HIPS albo anty Exe ale to raczej programy co wymagają czujnej ingerencji a sam napisałeś że nie chcesz tego typu programu. I żona raczej nie będzie wiedziała co zrobić z danym komunikatem.

Jako uzupełnienie do ochroni sieci możesz dodać do pliku HOSTS: http://winhelp2002.mvps.org/hosts.htm do automatycznej aktualizacji możesz użyć programu HostsMan.
Oraz jakiś bloker na reklamy m.in Adguard i dodać malware domains do listy filtrów jako kolejne uzupełnienie.
MBAM coś kluje ostatnio z wykrywalnością polecam dodać Zemane tu masz promo na rok wklep ten klucz: ZAM-PCPRO
Na telemetrie to Spybot Anti-Beacon i Zapora
Gier ze steama w sandboxie nie uruchamiaj żeby nie było QQ z VAC potem Tongue
Sandboxie USB masz jak zastosujesz ssj100's Security Setup o którym sam pisałeś a tak po prostu wystarczy jak normalny człowiek w systemie wyłączyć autor-rozruch dla nośników zewnętrznych.
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#3
(02.07.2017, 22:08)rafi84tek napisał(a): Cześć, 
Potrzebuję pomocy w doborze zabezpieczeń do nowego komputera.
Masz takie pełnowartościowe "cuda" do ewentualnego użycia, że nie ma potrzeby dokładać czegokolwiek...lepiej ograniczyć. Wg mnie na tym systemie wystarczy
- systemowe zabezpieczenia - konto zwykłego użytkownika, wbudowane mechanizmy EMET, WD
- do tego AppGuard i Sbie...MBAM jako skaner na żądanie tylko.
- nie wiem, jak TinyWall na W10, ale to całkiem dobra propozycja.
AG - to rozszerzona wersja SRP plus ochrona pamięci...NVT ERP to klasyczne anty-exe, ale wystarczająco skuteczne (nie wiem, co w końcu pokaże anonsowana od dawna nowa wersja)...VS to anty-exe, restrykcje na aplikacje (piaskownica własna i zewnętrzna), obszary plus system reputacji na bazie chmury. Nie wiem, co bym wybrał na Twoim miejscu...AG to bardzo solidny soft, ale mało go znam...ERP to solidna i prosta w swoich zasadach baza...VS jest rozbudowany i bardziej "wyrafinowany"...lubię ten soft i śledzę jego rozwój od lat, ale nie mam go na stałe w swoich zestawach.
Co do platformy Portable Apps - może i faktycznie wygodnie mieć jest jeden launczer do zarządzania aplikacjami portable, ale to w końcu kolejna aplikacja w tle. Używam programów portable maksymalnie dużo...tyle, ile jest dostępnych takich wersji...ale to aplikacje osobne, pobierane jako jeden plik do odpalenia albo archiwum do rozpakowania. Takie wersje sa na stronach producentów albo do znalezienia w sieci. Jest niezła polska strona, która je oferuje...miałem stąd sporo aplikacji
http://portable.info.pl/
"bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
https://technet.microsoft.com/library/cc722487.aspx
Odpowiedz
#4
(02.07.2017, 22:08)rafi84tek napisał(a): - Żona wchodzi czasem na pudelki itp.,
- ja czasem wchodzę na mniej bezpieczne strony...,

uBlock Origin i solidne filtry - szybsze wczytywanie stron i pewność, że serwisy reklamowe nie będą rozpowszechniać malware.
W przeglądarce Adobe Flash na żądanie - w większości przypadków duże serwisy, Netflix, YouTube itp. już nie korzystają z Flasha.
Jeśli używacie Firefox albo Internet Explorer wtyczkę Silverlight dajcie na żądanie, albo usuńcie w ogóle Silverlight z systemu - to stara technologia, porzucana przez wszystkich, a Microsoft daje tylko poprawki bezpieczeństwa. prawdopodobieństwo natrafienia na stronę, która go wymaga, bliska zeru. Chrome i Edge chyba w ogóle nie wspierają.

(02.07.2017, 22:08)rafi84tek napisał(a): - zdarzają się obce pendrive,

Wyłącz autoodtwarzanie pendrive'ów w systemie, pewndrajwy od mniej technicznych znajomych można zawsze przeskanować przed odpaleniem.

(02.07.2017, 22:08)rafi84tek napisał(a): - czasem filmy i seriale z zatoki,

Nie ściągaj czegoś, co pojawiło się wczoraj i nikt nie miał szansy wejść na minę morską przed Tobą - zdrowy rozsądek Wink

(02.07.2017, 22:08)rafi84tek napisał(a): - w Excelu korzystam z makr VBA,

Zazwyczaj proponuje ubicie makr, bo to najprostsze rozwiązanie dla nietechnicznych, ale tu nie zadziała. Pozostaje zostawić 'na żądanie ' i szkolenie żony czego ma nie klikać. Ostatnio to popularne medium ataku, jako załącznik w spamie plik docm z makrem z downloadrerem.

Ewentualnie wyłącz na stałe w Wordzie i Power Point, jak nie korzystasz.

(02.07.2017, 22:08)rafi84tek napisał(a): 2. Czy i jak wyłączyć telemetrię, ale żeby Windows 10 był aktualizowany na bieżąco?

Trudna sprawa, bo Microsoft w tym miesza na bieżąco... i między innymi dlatego trzymam się starszych wersji tak długo jak się da. Proste rozwiązanie dał @Quassar, średnio trudne ma Woody Leonhard i aktualizuje je na bieżąco, wersja paranoidalna oferowana jest przez Noela Carboniego, ale to ostatnie jako ciekawostka do poczytania w wolnych chwilach, bo raczej Cię nie kręci ciągła walka z Microsoftem.

Z drugiej strony, warto zadać sobie pytanie, czy jeżeli korzystacie z Google'a/smartfonów/portali społecznościowych/karty płatniczej/numeru PESEL, to czy blokowanie tego jednego szpiega, o którym było trochę bardziej głośno, ma sens. Ja próbuje z tym walczyć, ale nie powiem, żebym był blisko zwycięstwa.
(02.07.2017, 22:08)rafi84tek napisał(a): 3. Czy warto dokupić NVTERP? Widzę, że jest już nierozwijany, ale podobno beta działa na W10. Czy nie dubluje on np. funkcji AG? A może lepiej zadziała darmowa wersja Voodoo Shield - ale czy w Voodoo free dodam np. Steam do wyjątków?

Odpowiem trochę naokoło - za co przepraszam, ale gdzieś muszę zahaczyć. I widzę też że patrzyłeś też Hard Configurator.
Którymś z tych programów (Chyba HC, przed dostęp do SRP i miał taką opcję i tak pamiętam z opisu) powinno dać się wyłączyć uruchamianie skrótów do Powershella lub uruchamiania PS jako takiego - ta zaawansowana powłoka w Windowsie coraz częściej jest wykorzystywana jako downloader plików z malware, a jeśli ktoś nie jest w sieci firmowej i nie wie, że potrzebuje używać tych skryptów, to prawdopodobnie nie potrzebuje Wink

Podkreślam - chyba. Za dużo rzeczy już odłożyłem do zrobienia lub sprawdzenia na później ... Wink
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Odpowiedz
#5
Dziękuję za odpowiedzi.

Zapoznałem się z Waszymi propozycjami i postanowiłem przetestować różne konfiguracje w środowisku wirtualnym (teraz mogę tylko w XP, ale potem muszę też w W10, bo na XP to już np. TinyWall nie działa...).

Na testy poszły:
- Sandboxie - dawno nie używałem, muszę sobie przypomnieć co i jak,
- NVTERP (teraz beta, ale może skuszę się na licencję, skoro i tak ma być v.4...), chcę zobaczyć jak wygląda praca z tym programem,
- TinyWall, też muszę sprawdzić jak działa idea bez pop-upów.

Po pierwszej selekcji konfiguracja będzie wyglądała mniej więcej tak:
- konto zwykły użytkownik,
- USB - na pewno wyłączone auto-odtwarzanie, może dodatkowo w Sandboxie,
- makra VBA - tylko w Excelu i tylko na żądanie,
- telemetria zostaje,
- gry na 100% poza Sandboxie,
- Sandboxie - dla przeglądarek WWW, czytnik PDF, MS Office, media playera,
- może AppGuard / NVTERP,
- MBAM lub Zemane AntiMalware,
- może EMET,
- może dodatek do FireWalla - WindowsFirewallControl lub TinyWall,
- może Adguard.


Dodatkowy zestaw pytań:
7) Czy warto dopłacać do Adguard jeśli stosuje się uBlock? Czy może lepiej zastosować darmowego Ad Muncher?
8) Czy Hard_Configurator nie przyczyni się do utrudnień w działaniu gier (np. w sytuacji gdy jakaś gra potrzebuje zrobić aktualizację)?
9) Na Chromie są: uBlock Origin, Flashcontrol, Disconnect; na FireFox też jest jakiś bloker (ale nie pamiętam co, bo to głównie żona z niego korzysta...) - więc chyba jest OK?
10) Czy dodatkowa ochrona poprzez edycję HOSTS i jego aktualizacja (np. wspomnianym HostsMan) może przyczynić się do słabego ładowania stron WWW? Czy takie filtrowanie połączeń niesie ze sobą jakieś dodatkowe ryzyko? Czy w przypadku korzystania z programu HostsMan muszę wpierw postępować z podaną na stronie instrukcją dla Win8, czy wystarczy sam program HostsMan?
11) Czy naprawdę warto porzucić MBAM na rzecz Zemane AntiMalware? Co złego dzieje się z MBAM?
12) Czy do Windows 10 należy doinstalować EMET, czy jest to z automatu w tym systemie? Czytałem coś niedawno, że EMET ma być rozwijany przez MS do roku 2018. A co potem? Jeżeli zalecacie go dodać, to podajcie proszę jakieś namiary jak to zrobić tak, by system działał sprawnie. Na poprzednim systemie (Win7) miałem EMET i niestety uniemożliwiał mi otwieranie plików PDF w Adobe Reader, a było to koniecznie do wypełnienia zeznania PIT w e-deklaracjach... Koniec końców musiałem wyłączyć EMET.
13) Trochę korzystam z PowerShell, to znaczy w wolnych chwilach uczę się Pythona, a tam działam w PS. Znalazłem taki poradnik - może wystarczy jak ustawię regułę RemoteSigned?

Czekam na Wasze sugestie i w międzyczasie testuję wygląd i przystępność wspomnianych programów w VirtualBoxie...


R.


ps. Wspomniana przeze mnie platforma PortableApps.com nie różni się praktycznie od portable.info.pl. Zastosowany launcher oprócz odpalania i segregacji programów na kategorie czuwa nad aktualnością oprogramowania. Gdy wykryje nowszą wersję to proponuje jej pobranie. Dodatkowo do jego katalogu można wrzucać inne programy typu portable, nie będące w jego ofercie, a doda on je do swojego menu na naszym komputerze.
Nie ma żadnych dodatkowych wodotrysków w stylu edycji linii poleceń, jak np. LiberKey.
Odpowiedz
#6
(04.07.2017, 19:47)rafi84tek napisał(a): Dodatkowy zestaw pytań:
7) Czy warto dopłacać do Adguard jeśli stosuje się uBlock? Czy może lepiej zastosować darmowego Ad Muncher?
9) Na Chromie są: uBlock Origin, Flashcontrol, Disconnect; na FireFox też jest jakiś bloker (ale nie pamiętam co, bo to głównie żona z niego korzysta...) - więc chyba jest OK?
11) Czy naprawdę warto porzucić MBAM na rzecz Zemane AntiMalware? Co złego dzieje się z MBAM? 
Nie warto dopłacać, ale warto zainstalować. Sam jadę na ZAL (skoro nie mam już SSFW to przynajmniej chcę mieć szyfrowanie klawki), a ZAL czy ZAM skanowania stron nie ma. Co prawda mam antywira, ale w Adguard jest kilka dodatkowych opcji: tryb niewidzialności, skuteczne zestawy filtrów blokowania reklam, filtrowania ruchu seciowego wszystkich przeglądarek + aplikacje np. steam, kilka fajnych opcji w trybie niewidzialności, kontrolę rodzicielską, bloker wyskakujących okienek i możliwość dodania własnych rozszerzeń. W kwestii płatności - ja jadę na półrocznych wersjach z comms.ru, linka znajdziesz na forum. Sam jakiegoś niedawno wrzucałem. Od promocji do promocji da się wyciągnąć przez spory szmat czasu.
Z rozszerzeń przeglądarek to można dodać jeszcze "https everywhere" i "noscript".
Co do MBAM. Program zaliczył chyba ze dwa lata temu wtopę - chodziło o to, że łączył się ze swoimi serwerami niezabezpieczonym połączeniem, bez szyfrowania w celu pobrania paczek aktualizacyjnych. Pewnie nie on jeden, ale o nim było głośno. Konkluzja była taka, że można było ruch przechwycić i w ten sposób zapakować szkodnika. Do tego dochodziły słabe wyniki w testach na wykrywalność. Tyle, że teraz Malwarebytes 3 to trochę inny program, doszły nowe moduły. Spodziewam się, że znacznie podskoczy mu wykrywalność w testach. W odróżnieniu od ZAM ma skanowanie stron, co już stanowi dodatkową ochronę, a tych modułów ochrony ma w sumie ze 4. Zresztą sam możesz poczytać tutaj:https://pl.malwarebytes.com/support/rele...es-premium
Zemana AntiLogger+SS Premium+Shadow Defender+Dashlane+StartupStar+Keriver 1-Click Restore Free
Odpowiedz
#7
(04.07.2017, 19:47)rafi84tek napisał(a): 7) Czy warto dopłacać do Adguard jeśli stosuje się uBlock? Czy może lepiej zastosować darmowego Ad Muncher?

Nie. uBlock jest mega skuteczny i ma masę różniastych filtrów. przy dobrej konfiguracji i ogarnięciu jego UI nie potrzeba nic innego.

Żonie też o ustaw, jeśli ma mniejsza tolerancję na konfiguracje daj po prostu bardziej liberalne filtry Suspicious

(04.07.2017, 19:47)rafi84tek napisał(a): 8) Czy Hard_Configurator nie przyczyni się do utrudnień w działaniu gier (np. w sytuacji gdy jakaś gra potrzebuje zrobić aktualizację)?

Zależy od konfiguracji. Możliwości HC, tak jak i Windowsowych mechanizmów, dla których jest interfejsem, są bardzo duże.

(04.07.2017, 19:47)rafi84tek napisał(a): 10) Czy dodatkowa ochrona poprzez edycję HOSTS i jego aktualizacja (np. wspomnianym HostsMan) może przyczynić się do słabego ładowania stron WWW?

Nie. Wspomniany już przeze mnie Noel twierdzi, że to kwestia milisekund przy pełnej blokadzie adresów z MVPS Hosts (dziesiątki tysięcy wpisów).

(04.07.2017, 19:47)rafi84tek napisał(a): 12) Czy do Windows 10 należy doinstalować EMET, czy jest to z automatu w tym systemie? Czytałem coś niedawno, że EMET ma być rozwijany przez MS do roku 2018. A co potem? Jeżeli zalecacie go dodać, to podajcie proszę jakieś namiary jak to zrobić tak, by system działał sprawnie. Na poprzednim systemie (Win7) miałem EMET i niestety uniemożliwiał mi otwieranie plików PDF w Adobe Reader, a było to koniecznie do wypełnienia zeznania PIT w e-deklaracjach... Koniec końców musiałem wyłączyć EMET.

EMET jaki taki się kończy, ale jego elementy są wbudowane w Win 10. Szczegółów nie znam.

(04.07.2017, 19:47)rafi84tek napisał(a): 13) Trochę korzystam z PowerShell, to znaczy w wolnych chwilach uczę się Pythona, a tam działam w PS. Znalazłem taki poradnik - może wystarczy jak ustawię regułę RemoteSigned?

Nie. Sporo ataków ransomware odbywa się przez wpisanie pełnej komendy poweshella jako parametru do skrótu i oddzielania linii średnikami. W 255 znakach ściągniesz downloader i go odpalisz.

Zablokowanie skrótów do PS pobranych z internetu i zagnieżdżonych w dokumentach office powinno być rozwiązaniem. Ale to sprawa na sam koniec. Ty się raczej nie złapiesz, żonie krótkie szkolenie czego unikać i wystarczy, chyba, że masz nadmiar czasu.

Jakbyś chciał przykład takiego skryptu, to PW, mam próbkę takiego jednolinijkowca sprzed roku.
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Odpowiedz
#8
Cześć,
testy cały czas trwają.

Kolejne etapy eliminacji i pytania / uwagi:
14) Sandboxie - w miarę przypomniałem sobie co i jak. Będzie zabezpieczał przeglądarki WWW (ale będzie dostęp bezpośredni do plików zakładek i bazy uBlock - tylko muszę znaleźć które to pliki), odtwarzacze multimedialne, czytnik PDF.
15) NVTERP - jak włączyłem to sobie przypomniałem, że kiedyś go testowałem. To jednak nie dla mnie. Przez sposób w jaki trzeba wszystkie nowe procesy zatwierdzać, część komunikatów jest niejasna.
16) TinyWall / WFC - zostaję jednak na czystym FW z Windowsa. TinyWall ma nawet przyjemny interfejs. Przy okazji okazało się, że problem który miałem z IE na W7 spowodowany był blokadą przez WFC. Ale nie było żadnego komunikatu, nic - tylko ta przeglądarka nie działała. Zapomniałem wtedy o WFC i sądziłem, że to jakiś inny problem. A że IE nie był mi potrzebny, to zignorowałem to. A teraz, przypadkiem wyszło co było przyczyną problemu.
17) AppGuard - będę korzystał (BRN potwierdziło, że mam ważną licencję na aktualną wersję 4), pozostaje jedynie kwestia dokładnej konfiguracji. Teraz już np. cały katalog Steam dodałem do User Space z opcją NO i te gry, które dotychczas odpaliłem (Wolfenstein TNO, ARMA3, Assetto Corsa) działają. Ale z GTA5 (które mam kupione przez stronę RockStarGames) już tak różowo nie jest. Gra wymaga do działania programu SocialClub, który to wymaga modyfikacji rejestru. I w ten oto sposób pliki EXE gry, launchera i SocialClubu musiałem dodać Power Application, bo inaczej gra się nie uruchamiała...
18) HOSTS - zainstalowałem HostsMan i ustawiłem Enable Hosts z wybranymi kilkoma źródłami. Internet działa póki co normalnie.
19) Hard_Configuration - przetestowałem. Jest tam wspomniana opcja "Ochrona PowerShell" / "No PowerShell Exec.", którą docelowo włączę. Które inne opcje zalecacie włączyć, mając na uwadze granie w gry (które to pewnie agresywnie ingerują w różne miejsca systemu...)?
20) EMET - odpada, skoro i tak ma być wygaszony.

Czyli teraz konfiguracja będzie wyglądała mniej więcej tak:
- konto zwykły użytkownik,
- USB - na pewno wyłączone auto-odtwarzanie (w Hard_Configuration jest też opcja "Ochrona Dysów Zewn." / "No Removable Disks Exec."), może dodatkowo w Sandboxie,
- makra VBA - tylko w Excelu i tylko na żądanie,
- Sandboxie - dla przeglądarek WWW, czytnika PDF, media playera,
- AppGuard - gry nie monitorowane całkowicie, PortableApps jako UserSpace (Guarded),
- MBAM z aktywną ochroną,
- aktywny i aktualizowany plik HOSTS programem HostsMan,
- przeglądarki - uBlock Origin, HTTPS Everywhere, Disconnect, coś na Flasha,
- brak dodatków do systemowego FireWalla,
- brak EMET,
- brak NVTERP,
- brak AdGuard, Ad Muncher - tylko uBlock Origin w przeglądarkach.

Dalej będę testował ustawienia (głównie AppGuard i Sandboxie) i stabilność pracy takiego systemu. Jeżeli macie jeszcze jakieś uwagi / porady to chętnie ich wysłucham.


R.
Odpowiedz
Podziękowania
#9
Solidna konfiguracja

Ja bym jednak próbował tego NVT ERP przygarnąć. Żeby był jednak jakiś solidny HIPS albo anty-exe na systemie.
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#10
To ja nic więcej nie mam do dodania. Konfigurację masz chyba lepszą od mojej Suspicious
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Odpowiedz
#11
Opcjonalnie jak chcesz tak dopieszczać ochrone to możesz zmienić adress DNS
DNSCrypt albo DNS z Adguard ręcznie lub za pomocą tego softu
https://simplednscrypt.org/
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#12
"aktywny i aktualizowany plik HOSTS programem HostsMan," Panowie warto w ogóle w to wchodzić? jakaś Wasza opinia co do tego i co to daje. Przy Win 10 i samym Appguard to już dość mocne zabezpieczenie.
Odpowiedz
#13
(15.07.2017, 17:30)neon napisał(a): Panowie warto w ogóle w to wchodzić? jakaś Wasza opinia co do tego i co to daje. Przy Win 10 i samym Appguard to już dość mocne zabezpieczenie.

Pracy przy tym z twojej strony zero, procesor też się nie przemęcza, a ochronę zwiększa.
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Odpowiedz
Podziękowania
#14
Hej, miałem dziś chwilę, więc dalej testowałem.

21) Dałem się namówić na trzecie podejście do NVT-ERP, ale tym razem na rzeczywistym komputerze, a nie na maszynie wirtualnej. I po około 30 minutach program nie pluł już żadnymi komunikatami tylko działał. W sumie prosta sprawa. Zobaczymy jak się sprawdzi na komputerze z grami...
22) Nie słyszałem wcześniej o DNSCrypt. Pamiętam, że kiedyś były afery z routerami od operatorów na których ktoś zdalnie zmieniał adresy DNS i przekierowywał na fałszywe strony banków itp. Nigdy wcześniej sam żadnych DNSów nie ustawiałem, czyli mój ISP sam je ustalał. Poczytałem, że mój router (działa na Gargoyle) wspiera ustawienie na nim usługi DNSCrypt. Stosując się do instrukcji na eko.one.pl oraz morfitronik.pl skonfigurowałem sobie urządzenie tak, by to router decydował o adresie DNS a nie ISP, a komputery lokalne mają ustawione automatyczne DNS (czyli pobierają z routera). Przed zmianami na stronie testowej OpenDNS wyświetlał się komunikat, że nie mam OpenDNS. Po zmianie ustawień w routerze weryfikacja przebiegła pomyślnie.

Muszę jeszcze przysiąść nad Sandboxie, żeby było użytecznie i bezpiecznie.


R.
Odpowiedz
#15
Zrobiłem krótki test. Hard_Configurator przy no Powershell exec ustawionym na on ustawia na sztywno execution policy i nie pozwala zmienić w żaden prosty sposób, ani ominąć przez parametr przy uruchomieniu PS. Niestety, wciąż można umieścić komendę jako wartość skrótu i odpalić w ten sposób komendę. Prosty eksperyment:
1. Zrób na pulpicie skrót do powershella.
2. Edytuj właściwości skrótu i dodaj za ścieżką jakąś prostą komendę, np. write-host czesc; start-sleep 5
3. Odpal skrót Suspicious
Jeśli masz jakiś skrypt profilu Powershella, wyświetli ci się dużo czerwonego tekstu i czesc. Jak nie, samo czesc.

Jak widzę w starych debatach, AppGuard miał to blokować:
https://safegroup.pl/showthread.php?tid=...#pid206052
Gwarancji nie daję, że to w AppGuardzie działa, nie korzystam z programu Suspicious

I jeszcze raz zwracam uwagę, że to, o czym rozprawiam, to detal.
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Odpowiedz
#16
(16.07.2017, 13:30)M napisał(a): Zrobiłem krótki test. Hard_Configurator przy no Powershell exec ustawionym na on ustawia na sztywno execution policy i nie pozwala zmienić w żaden prosty sposób, ani ominąć przez parametr przy uruchomieniu PS. Niestety, wciąż można umieścić komendę jako wartość skrótu i odpalić w ten sposób komendę. 
...

1. Czerwone znaczki oznaczają, że próba uruchomienia skryptu Powershell została w rzeczywistości zablokowana! Opcja <No Powershell Exec.> nie blokuje Powershell, blokuje tylko uruchamianie skryptów poza konsolą Powershell. Oznacza to, że malware nie może wykorzystać komend, skrótów itp. z plikami wykonywalnymi Powershell (tj.: powershell.exe lub powershell_ise.exe). Natomiast użytkownik może wykorzystywać nadal konsolę Powershell jeśli wpisuje komendy ręcznie.

2. Jeśli ktoś używa Hard_Configuratora z aktywnymi SRP (Software Restriction Policies) w Windows 10, to większość skryptów będzie blokowana nawet gdy opcja <No PowerShell Exec> jest wyłączona. Wtedy domyślnie są włączone :
ExecutionPolicy = Restricted (domyślne ustawienie Windows 10, łatwo je ominąć)
Constrained Language mode (SRP włącza je domyślnie w PowerShell 5.0+).

3. Hard_Configurator w domyślnych ustawieniach, pozwala na odpalanie skrótów tylko w kilku wybranych katalogach (m.inn. w katalogu 'Pulpit'). W pozostałych katalogach, np. w katalogu 'Pobrane' dowolny skrót zostanie zablokowany. Oczywiście jeśli ktoś chce, to może ustawić SRP aby wszędzie blokowały uruchamianie skrótów .
Pozdrawiam. Smile

P.S.
Jeśli jesteś zainteresowany testowaniem zabezpieczeń PowerShell, to pomocny będzie wątek, który otworzyłem swojego czasu na forum Malwaretips:
https://malwaretips.com/threads/how-do-y...ell.70981/
Testowałem tam m.inn. zabezpieczenia programu VoodooShield.
Smile
Odpowiedz
#17
(22.07.2017, 00:07)@andybear napisał(a): 1. Czerwone znaczki oznaczają, że próba uruchomienia skryptu Powershell została w rzeczywistości zablokowana! Opcja <No Powershell Exec.> nie blokuje Powershell, blokuje tylko uruchamianie skryptów poza konsolą Powershell. Oznacza to, że malware nie może wykorzystać komend, skrótów itp. z plikami wykonywalnymi Powershell (tj.: powershell.exe lub powershell_ise.exe). Natomiast użytkownik może wykorzystywać nadal konsolę Powershell jeśli wpisuje komendy ręcznie.

Przepraszam, byłem mało precyzyjny Suspicious
Po pierwsze - mam wyłączone UAC. Wiem że to wpływa na działanie HC/SRP i powinienem o tym napisać, moja wina.
Wyłączyłem dawno temu bo dublował komunikaty z HIPSem Komodo, a tu chciałem sprawdzić na szybkości bez przekonfigurowania zabezpieczeń całego systemu Suspicious
SRP też miałęłm wtedy ustawione na unrestricted. Tylko No PowerShell Exec było włączone.
Tak zrozumiałem autora wątku, że miał SRP i UAC wyłączone, a jedyne No Powershell Exec włączone.
Testowałem z konta admina oraz bez.

Czerwony tekst się pojawiał, bo zablokowany miałem skrypt profilu powershella (chyba tylko set-location tam jest Suspicious). A zaraz po tym, pojawiał się na biało komunikat, który wrzuciłem w write-host.

Podsumowując, jeśli UAC i SRP są wyłączone, użytkownik ma uprawnienia admina a z poziomu HC włączone jest tylko No Powershell Exec, funkcje w skrócie wykonają się. Skrót do powershell.exe odpalany z pulpitu.
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Odpowiedz
#18
(22.07.2017, 11:55)M napisał(a): Po pierwsze - mam wyłączone UAC. Wiem że to wpływa na działanie HC/SRP i powinienem o tym napisać, moja wina.
Wyłączyłem dawno temu bo dublował komunikaty z HIPSem Komodo, a tu chciałem sprawdzić na szybkości bez przekonfigurowania zabezpieczeń całego systemu Suspicious
SRP też miałęłm wtedy ustawione na unrestricted. Tylko No PowerShell Exec było włączone.
Tak zrozumiałem autora wątku, że miał SRP i UAC wyłączone, a jedyne No Powershell Exec włączone.
Testowałem z konta admina oraz bez.

Czerwony tekst się pojawiał, bo zablokowany miałem skrypt profilu powershella (chyba tylko set-location tam jest Suspicious). A zaraz po tym, pojawiał się na biało komunikat, który wrzuciłem w write-host.

Podsumowując, jeśli UAC i SRP są wyłączone, użytkownik ma uprawnienia admina a z poziomu HC włączone jest tylko No Powershell Exec, funkcje w skrócie wykonają się. Skrót do powershell.exe odpalany z pulpitu.

Dzięki za wyjaśnienie szczegółów i przeprowadzenie testu. Smile

Jeśli użyjemy skrótu z pulpitu zawierającego ciąg komend, np. z twojego wcześniejszego postu:
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe write-host czesc; start-sleep 5
to komendy te nie zostaną zablokowane przez <No PowerShell Exec.>. 
Ustawienia UAC mogą być dowolne, a SRP są również omijane, gdyż jak wspomniałem, skróty w kilku folderach nie są celowo blokowane przez ustawienia SRP (dla wygody użytkownika) - są one dodane do Białej Listy SRP za pomocą reguły 'Ścieżka_do_Folderu\*.lnk'. Ten manewr nie przejdzie we wszystkich pozostałych folderach, np. w folderze 'Pobrane', 'Dokumenty', itp., ponieważ są one blokowane przez globalną regułę Nie Zezwalaj: '*.lnk'.
W Windows 10 mamy dodatkowe zabezpieczenie, gdyż przy aktywnych SRP, PowerShell jest uruchamiany w trybie Constrained Language (blokuje 99% złośliwych skryptów).
Oczywiście SRP mogą być ominięte, jeśli uda się uruchomić skrót z podniesionymi uprawnieniami (domyślne ustawienia Hard_Configuratora celowo nie blokują takich procesów).

Natomiast <No PowerShell Exec.> zablokuje podobne uruchomienie skrótu z komendą odnoszącą się do skryptu ps1, np.:
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe d:\helloworld.ps1

niezależnie od folderu w którym jest skrót i niezależnie od uprawnień użytkownika.

Uff. To w skrócie tyle, by nie zamęczyć forumowiczów. Wall
Odpowiedz
#19
Teraz by się zgadzało Suspicious
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości