Давайте предположим некоторые вещи:

  • Резервные копии запускаются каждые X минут, но все, что я сохраняю, должно быть постоянным.

  • Там есть брандмауэр и антивирусный сканер, но на меня случается атака нулевого дня.

  • Я использую Windows. (Хотя не стесняйтесь добавлять части Linux / OS X к вашему ответу)

Вот проблема

  • Любое программное обеспечение может изменить что-либо в моей пользовательской папке.

  • Подделка файлов может стоить мне жизни, будь то доступ к ним, их изменение или удаление.

Итак, я хочу спросить:

  • Существует ли основанный на разрешении способ запретить программам доступ к моим файлам по умолчанию?

  • Продолжая предыдущий вопрос, могу ли я обеспечить доступ определенных программ только к определенным папкам?

  • Есть ли другие менее навязчивые способы, чем использование Comodo? Или я могу сделать Comodo менее навязчивым?

Например, решение должно быть доказательством против (НЕ ЗАПУСКАТЬ):

del /F /S /Q %USERPROFILE%

4 ответа4

2

Вы можете поместить все ваши важные данные в папку, к которой имеет доступ только запись 1 « Administrators ». Любая программа, которая хочет записать / удалить эти данные, должна быть повышена до уровня UAC, что обеспечит вам некоторую защиту от взлома.

Развивая эту идею, вы можете сохранить все файлы во временном местоположении и вручную скопировать / переместить их в эту защищенную папку через проводник Windows (или аналогичный), уменьшив количество программ, которые необходимо повысить, и предоставив доступ к этой папке. Сам файл explorer.exe ограничивает доступ на запись к TrustedInstaller , что обеспечивает дополнительную защиту от взлома.

Все это при условии, что вредоносная программа не может обойти безопасность Windows ACL. И это также предполагает, что вы очень осторожны в отношении того, какие программы вы повышаете.

Хотя это не совсем так ограничительная как ограничивающие каждую программу в набор папок, и не будет остановить большую часть вашего профиля пользователя вытираясь, он будет защищать эти файлы , которые вы сочтете достаточно важны , чтобы защитить.

Является ли это более безопасным или менее трудным, чем обычное резервное копирование, это совсем другой вопрос.


1 Доступ для чтения также должен быть ограничен, если это конфиденциальные данные, где вы хотите удалить потенциальную угрозу для вредоносного ПО для загрузки злоумышленнику.

1

Вы должны использовать программный подход белого списка в сочетании с каталогами, которые доступны для записи, не будет исполняемым стилем управления. На практике это означает Политики ограниченного использования программ и устанавливать только те программы, которые, как вы знаете, заслуживают доверия.

белый список: пользователь является ограниченным (стандартным) пользователем. Программное обеспечение устанавливается только как администратор в непользовательский каталог; т.е. программные файлы и т. д.

Доступные для записи, но не исполняемые расположения. Любой каталог, в который пользователь может записать, помечается через SRP, чтобы не допустить запуска файлов .dll или .exe. Вы можете скопировать их туда, но они не будут работать. Тот факт, что пользователь не является администратором, гарантирует это. Директории браузера highjack to temp больше не работают. Скачать вирусы для удовольствия; не имеет значения.

1

Том, ты думал об использовании виртуальной машины и разделении двух ОС для тестирования программного обеспечения?

Может быть, что-то вроде VMWare Player (это бесплатно)..

1

Вы можете запускать приложения под разными учетными записями пользователей. Например, настройте учетную запись вторичного пользователя для просмотра веб-страниц, а затем используйте функции "Запуск от имени" для запуска этой программы от имени этого пользователя. Это можно сделать с помощью пакетных файлов или скриптов PowerShell, чтобы сделать его более прозрачным. Это не будет столь же безопасно, как изоляция, обеспечиваемая виртуализацией, но в большинстве случаев это означает, что должно произойти два эксплойта (вредоносное ПО попадает во вторичную учетную запись первым и повышение привилегий до администратора или LOCAL_SYSTEM для второго).

Также могут быть введены в действие политики ограниченного использования программ (http://technet.microsoft.com/en-us/library/bb457006.aspx), которые запрещают несанкционированные программы или снижают привилегии для авторизованных, но ненадежных программ. Я использовал эту тактику еще тогда, когда работал в Windows XP для своих веб-браузеров и почтовых программ, чтобы они отбрасывали права администратора, но она также могла переносить программу на тот же доступ, что и учетная запись "Гость". Это довольно сложная вещь для настройки и требует значительного опыта работы с групповыми политиками, но она может автоматически обеспечивать такую же изоляцию, что и метод "запуск от имени", при каждом запуске данного исполняемого файла.

В общем и целом, предложение @ indifferentDrum о виртуальных машинах будет самым простым подходом для большинства ситуаций и, вероятно, будет более безопасным при небольшом снижении производительности, но стоит рассмотреть комбинацию различных подходов для различных угроз - вы Возможно, стоит рассмотреть возможность настройки учетных записей «песочницы» и ярлыков запуска для просмотра веб-страниц при одновременном запуске совершенно ненадежного программного обеспечения на виртуальных машинах и предотвращении случайного выполнения из папки загрузок с помощью политики ограниченного использования программ, которая не позволяет запускать что-либо из этой папки.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .