20.09.2015, 09:33
Nie pisze się posta pod swoim postem, ale rzecz dotyczy innego zagadnienia, niż powyżej...a mianowicie restrykcji, które nadaje SS na programy uruchamiane w trybie ograniczonym (funkcja SandBox).
Wziąłem za przykład Firefoxa, którego usunąłem z listy ograniczonych...przy ponownym uruchomieniu SS od razu wykrył kilka nowych akcji, które były maskowane/nieużywane w związku z nałożonymi restrykcjami - poniżej log z uruchomienia Ff, akcja pogrubione to te nowe właśnie
2015-09-20 09:50:17,C:\Windows\explorer.exe,53,Allowed ;Uruchamianie aplikacji ("C:\Program Files\Mozilla Firefox\firefox.exe" )
2015-09-20 09:50:18,C:\Windows\System32\svchost.exe,53,Allowed ;Uruchamianie aplikacji (C:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding)
2015-09-20 09:50:22,C:\Program Files\Mozilla Firefox\firefox.exe,54,Allowed ;Odbieranie przychodzących pakietów sieciowych
2015-09-20 09:50:25,C:\Program Files\Mozilla Firefox\firefox.exe,48,Allowed ;Dostęp do sieci
2015-09-20 09:50:28,C:\Program Files\Mozilla Firefox\firefox.exe,51,Allowed ;Komunikacja między procesami (Svchost.OLE.BackgroundCopyManager)
2015-09-20 09:50:29,C:\Program Files\Mozilla Firefox\firefox.exe,50,Allowed ;Uzyskanie dostępu do sieci przez usługę DNSResolver
2015-09-20 09:50:29,C:\Program Files\Mozilla Firefox\firefox.exe,50,Allowed ;Uzyskanie dostępu do sieci przez usługę DNSResolver
To zrozumiałe oczywiście, bo z definicji ograniczone aplikacje mają mniej możliwości...widać więc chyba, że SS działa tu zgodnie z założeniem. Poniżej natomiast obrazek, który mnie zaskoczył - to zrzuty z właściwości procesu Ff w Process Explorer, gdzie widać przywileje procesu dla grup użytkowników
1- dla Firefoxa uruchamianego na koncie administratora z kontrolą konta użytkownika
2- dla Firefoxa na koncie jw i z ograniczeniami funkcji SandBox w SS
3 - a to właściwości procesu Ff dopisanego do SandBox, ale uruchomionego jako "bez ograniczeń" (polecenie z ppm)...znaczy się nic nie widać...
Sądziłem, że SS w przypadku 3 odpuszcza swoje ograniczenia i zostawia uprawnienia ogólne konta aktualnego użytkownika - spodziewałbym się wyniku jak na obrazku 1...ale wychodzi na to, że SS wciąż chyba w jakiś sposób po swojemu filtruje uprawnienia procesu i nie pokazuje tych rzeczywistych.
Nie wiem, czy to dobrze, czy źle....
Wziąłem za przykład Firefoxa, którego usunąłem z listy ograniczonych...przy ponownym uruchomieniu SS od razu wykrył kilka nowych akcji, które były maskowane/nieużywane w związku z nałożonymi restrykcjami - poniżej log z uruchomienia Ff, akcja pogrubione to te nowe właśnie
2015-09-20 09:50:17,C:\Windows\explorer.exe,53,Allowed ;Uruchamianie aplikacji ("C:\Program Files\Mozilla Firefox\firefox.exe" )
2015-09-20 09:50:18,C:\Windows\System32\svchost.exe,53,Allowed ;Uruchamianie aplikacji (C:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding)
2015-09-20 09:50:22,C:\Program Files\Mozilla Firefox\firefox.exe,54,Allowed ;Odbieranie przychodzących pakietów sieciowych
2015-09-20 09:50:25,C:\Program Files\Mozilla Firefox\firefox.exe,48,Allowed ;Dostęp do sieci
2015-09-20 09:50:28,C:\Program Files\Mozilla Firefox\firefox.exe,51,Allowed ;Komunikacja między procesami (Svchost.OLE.BackgroundCopyManager)
2015-09-20 09:50:29,C:\Program Files\Mozilla Firefox\firefox.exe,50,Allowed ;Uzyskanie dostępu do sieci przez usługę DNSResolver
2015-09-20 09:50:29,C:\Program Files\Mozilla Firefox\firefox.exe,50,Allowed ;Uzyskanie dostępu do sieci przez usługę DNSResolver
To zrozumiałe oczywiście, bo z definicji ograniczone aplikacje mają mniej możliwości...widać więc chyba, że SS działa tu zgodnie z założeniem. Poniżej natomiast obrazek, który mnie zaskoczył - to zrzuty z właściwości procesu Ff w Process Explorer, gdzie widać przywileje procesu dla grup użytkowników
1- dla Firefoxa uruchamianego na koncie administratora z kontrolą konta użytkownika
2- dla Firefoxa na koncie jw i z ograniczeniami funkcji SandBox w SS
3 - a to właściwości procesu Ff dopisanego do SandBox, ale uruchomionego jako "bez ograniczeń" (polecenie z ppm)...znaczy się nic nie widać...
Sądziłem, że SS w przypadku 3 odpuszcza swoje ograniczenia i zostawia uprawnienia ogólne konta aktualnego użytkownika - spodziewałbym się wyniku jak na obrazku 1...ale wychodzi na to, że SS wciąż chyba w jakiś sposób po swojemu filtruje uprawnienia procesu i nie pokazuje tych rzeczywistych.
Nie wiem, czy to dobrze, czy źle....
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"