Win7/Vista gegen DAUs absichern

[Andreas Wenzke]

Hallo NG!

Ich habe jetzt endgültig die Sch***ze voll.
Von wegen, mit Win7 wird es sicherer - in meinem nähesten Bekanntenkreis
gab es innerhalb der letzten paar Tage (!) 3 (drei!!) Virusinfektionen.
Scheint überall dasselbe zu sein, lokaler Proxy unter AppData\Roaming,
Einfall vermutlich über ein Java-Exploit.

Ein Windows XP habe ich schon wunderbar über die SAFER.reg aus dieser NG
abgesichert. Jetzt MUSS dasselbe für Win7/Vista folgen, ich habe nämlich
keinen Bock mehr, immer die Rechner reparieren zu dürfen (es nicht zu
tun, ist keine Wahl, da es teilweise engste Verwandschaft ist, die ihre
Viren dann auch schön in meinem LAN verteilen).

Gewünscht ist, dass KEINE Anwendungen mehr gestartet werden können,
abgesehen von denen, die ich explizit freigebe (mit Passwortschutz).
Gibt es noch irgendeinen Sinn für Java-Applets? Eigentlich ist Java auf
dem Desktop doch ziemlich tot, oder?
Dann muss Java entweder auch komplett weichen, oder es muss zumindest
das Browser-Plugin totgelegt werden.

Das Netzwerk möchte ich dann auch gleich etwas mehr sichern, vgl. dazu
<news:4f2827b0$0$6570$9b4e...@newsspool3.arcor-online.net>.

Danke!

Liebe Grüße,
Andreas

[Stefan Kanthak]

"Andreas Wenzke" <andreas...@gmx.de> schrieb:

> Hallo NG!
>
> Ich habe jetzt endgültig die Sch***ze voll.
> Von wegen, mit Win7 wird es sicherer - in meinem nähesten Bekanntenkreis
> gab es innerhalb der letzten paar Tage (!) 3 (drei!!) Virusinfektionen.
> Scheint überall dasselbe zu sein, lokaler Proxy unter AppData\Roaming,
> Einfall vermutlich über ein Java-Exploit.

UAC ist Sicherheitskasperltheater und hilft selbstverstaendlich nicht
gegen die Ausfuehrung irgendwelcher Schaedlinge mit Benutzerrechten.

> Ein Windows XP habe ich schon wunderbar über die SAFER.reg aus dieser NG
> abgesichert. Jetzt MUSS dasselbe für Win7/Vista folgen,

<http://home.arcor.de/skanthak/download/NT6_SAFER.INF> existiert!

> Gewünscht ist, dass KEINE Anwendungen mehr gestartet werden können,
> abgesehen von denen, die ich explizit freigebe (mit Passwortschutz).

Aktiviere das "Administrator"-Konto und richte den DAUs wie unter XP
"eingeschraenkte Benutzerkonten" ein, in denen Du UAC ggf. abschaltest.

> Gibt es noch irgendeinen Sinn für Java-Applets? Eigentlich ist Java auf
> dem Desktop doch ziemlich tot, oder?

Ja.
Installiere einfach keine ueberfluessige Software wie die Java Runtime!

Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)

[Robert Jasiek]

Andreas Wenzke wrote:
>Von wegen, mit Win7 wird es sicherer - in meinem nähesten Bekanntenkreis
>gab es innerhalb der letzten paar Tage (!) 3 (drei!!) Virusinfektionen.

Lies doch mal

http://home.snafu.de/jasiek/windows_security_concept.html

Und fange bitte bei jedem PC mit einer Windows-Neuinstallation an,
während das Netzwerkkabel / WLAN noch nicht dranhängen. Erst die PCs
absichern, dann kann man ins Netz gehen!

(Beim Thread-Titel dachte ich ja zuerst, du wolltest einen
Party-Bentzer einrichten; das wäre ein verwandtes Thema und
funktioniert analog zu meinem Konzept, wurde aber auch angedeutet vor
ein paar Monaten in c't / i'X beschrieben.)

>Scheint überall dasselbe zu sein, lokaler Proxy unter AppData\Roaming,
>Einfall vermutlich über ein Java-Exploit.

Warum? Verhalten sich alle deine Bekannten identisch? Oder tauscht ihr
alle untereinander gefährliches Zeugs aus? Dann wäre nicht die
Windows- und Browser-Konfiguration alleine ursächlich, sondern auch
das Verhalten eurer PC-Nutzung.

>Ein Windows XP habe ich schon wunderbar über die SAFER.reg aus dieser NG
>abgesichert. Jetzt MUSS dasselbe für Win7/Vista folgen,

Da wäre NT6_SAFER.INF passend oder alternativ / kombiniert mit
Aspekten aus meinem Konzept, Link s.o. *SAFER setzt ja
SoftwareRestrictionPolicies, aber für die anderen Sicherheitsaspekte
bist du immer noch selbst verantwortlich.

>da es teilweise engste Verwandschaft ist, die ihre
>Viren dann auch schön in meinem LAN verteilen).

Das ist naturgemäß gefährlicher als ohne LAN. Muss denn ein alle PCs
verbindendes LAN unbedingt sein? Wäre VLAN eine Alternative.

>Gewünscht ist, dass KEINE Anwendungen mehr gestartet werden können,
>abgesehen von denen, die ich explizit freigebe

Dann willst du mehr als *SAFER: nimm mein Konzept und erstelle eine
Liste der Anwendungen, die laufen dürfen. Du kannst auch je eine Liste
für jeden Standardbenutzer erstellen und einrichten, indem du SRPs per
Snapins unterschiedlich konfigurierst. In meinem Konzept also für
MyInternetUser und MyPrivateUser jeweils ein SRP-Snapin anlegen; lies
dazu auch all die Links zum SRP-Thema von meiner Seite durch! Bzw. bei
Bedarf habe ich hier noch irgendwo eine Kurzanleitung rumliegen.

>Gibt es noch irgendeinen Sinn für Java-Applets?

Nein. (Es sei denn, du kannst ohne sie nicht leben.)

>Eigentlich ist Java auf dem Desktop doch ziemlich tot, oder?

Es geht sicherlich auch ohne, aber prüfe erst einmal deine
essentiellen Programme. Beachte auch deines Browsers
Java/Flash-AddOns, Java-Plugins, Java und JavaScript-Optionen!

Zudem braucht man Java nicht in den SRPs freizugeben und kann es auch
ganz deinstallieren.

[Robert Jasiek]

Stefan Kanthak wrote:
>UAC ist Sicherheitskasperltheater und hilft selbstverstaendlich nicht
>gegen die Ausfuehrung irgendwelcher Schaedlinge mit Benutzerrechten.

UAC muss aber (wenn man sie nutzen will) für Integrity Levels aktiv
sein, auch wenn es, wie du uns so schön erklärt hast, in anderer
Hinsicht (nur!) teilweise Theater ist.

[Andreas Wenzke]

Stefan Kanthak schrieb:

>> Ein Windows XP habe ich schon wunderbar über die SAFER.reg aus dieser NG
>> abgesichert. Jetzt MUSS dasselbe für Win7/Vista folgen,
>
> <http://home.arcor.de/skanthak/download/NT6_SAFER.INF> existiert!

Geht das auch mit Home-Editionen?

>> Gewünscht ist, dass KEINE Anwendungen mehr gestartet werden können,
>> abgesehen von denen, die ich explizit freigebe (mit Passwortschutz).
>
> Aktiviere das "Administrator"-Konto und richte den DAUs wie unter XP
> "eingeschraenkte Benutzerkonten" ein, in denen Du UAC ggf. abschaltest.

Ist der Standardbenutzer nicht auch ein eingeschränktes Benutzerkonto?

>> Gibt es noch irgendeinen Sinn für Java-Applets? Eigentlich ist Java auf
>> dem Desktop doch ziemlich tot, oder?
>
> Ja.
> Installiere einfach keine ueberfluessige Software wie die Java Runtime!

Ok.

Liebe Grüße,
Andreas

[Andreas Wenzke]

Robert Jasiek schrieb:

> UAC muss aber (wenn man sie nutzen will) für Integrity Levels aktiv
> sein,

Wofür?

Liebe Grüße,
Andreas

[Andreas Wenzke]

Robert Jasiek schrieb:

> Lies doch mal
>
> http://home.snafu.de/jasiek/windows_security_concept.html

Sorry, nicht praktikabel.
Wir reden hier von DAUs und Kindern.
Mit "Disziplin" ist da nix, da kann ich nur lachen. (Nicht böse gemeint,
ich habe nur gerade einen ziemlichen Hals, weil es mir mal wieder
mindestens einen ganzen Abend klaut.)

> Und fange bitte bei jedem PC mit einer Windows-Neuinstallation an,
> während das Netzwerkkabel / WLAN noch nicht dranhängen. Erst die PCs
> absichern, dann kann man ins Netz gehen!

Wieso ist das so wichtig, wenn die Rechner doch hinterm NAT hängen?

> (Beim Thread-Titel dachte ich ja zuerst, du wolltest einen
> Party-Bentzer einrichten; das wäre ein verwandtes Thema und
> funktioniert analog zu meinem Konzept, wurde aber auch angedeutet vor
> ein paar Monaten in c't / i'X beschrieben.)

Was ist ein Party-Benutzer?

> Warum? Verhalten sich alle deine Bekannten identisch? Oder tauscht ihr
> alle untereinander gefährliches Zeugs aus? Dann wäre nicht die
> Windows- und Browser-Konfiguration alleine ursächlich, sondern auch
> das Verhalten eurer PC-Nutzung.

Keine Ahnung, vermute einfach, dass das ein ziemlich erfolgreicher
Schädling ist. Verbreitung bei dem einen vermutlich über Facebook, das
hat ja fast jeder.

>> Ein Windows XP habe ich schon wunderbar über die SAFER.reg aus dieser NG
>> abgesichert. Jetzt MUSS dasselbe für Win7/Vista folgen,
>
> Da wäre NT6_SAFER.INF passend oder alternativ / kombiniert mit
> Aspekten aus meinem Konzept, Link s.o. *SAFER setzt ja
> SoftwareRestrictionPolicies, aber für die anderen Sicherheitsaspekte
> bist du immer noch selbst verantwortlich.

Geht mit Home-Editionen nicht, oder?

>> da es teilweise engste Verwandschaft ist, die ihre
>> Viren dann auch schön in meinem LAN verteilen).
>
> Das ist naturgemäß gefährlicher als ohne LAN. Muss denn ein alle PCs
> verbindendes LAN unbedingt sein? Wäre VLAN eine Alternative.

Hmm, darüber hab ich noch nie nachgedacht.
Kann ein WRT54GL VLANs?
Andererseits soll z.B. Drucker-Sharing ja möglich sein. Fällt also wohl
eh flach.

>> Gewünscht ist, dass KEINE Anwendungen mehr gestartet werden können,
>> abgesehen von denen, die ich explizit freigebe
>
> Dann willst du mehr als *SAFER: nimm mein Konzept und erstelle eine
> Liste der Anwendungen, die laufen dürfen.

Nee, das kann SAFER ja:
Nur Anwendungen unter C:\Programme dürfen gestartet werden.
Und dahin darf nur der Admin schreiben. Voilà.

>> Gibt es noch irgendeinen Sinn für Java-Applets?
>
> Nein. (Es sei denn, du kannst ohne sie nicht leben.)

Nein, deswegen fragte ich ja...

>> Eigentlich ist Java auf dem Desktop doch ziemlich tot, oder?
>
> Es geht sicherlich auch ohne, aber prüfe erst einmal deine
> essentiellen Programme.

Surfen, Mails und Skype wird gewünscht. Und Office.
Erkenne so keinen Java-Bedarf.

> Beachte auch deines Browsers
> Java/Flash-AddOns, Java-Plugins, Java

Hä? Plugins stellen ja wohl keinen Bedarf dar...

> und JavaScript-Optionen!

Java != JavaScript

> Zudem braucht man Java nicht in den SRPs freizugeben und kann es auch
> ganz deinstallieren.

Wird dann wohl ganz fliegen.

Liebe Grüße,
Andreas

[Robert Jasiek]

Andreas Wenzke wrote:
>> UAC muss aber (wenn man sie nutzen will) für Integrity Levels aktiv
>> sein,
>
>Wofür?

Weil beides aneinander gekoppelt ist, aber frage jetzt nicht, warum.
Weil MS es eben so haben wollte.

[Robert Jasiek]

Andreas Wenzke wrote:
>Geht das auch mit Home-Editionen?

Ja. Da ich nun annehme, dass du sowas hast: Der Einsatz von NT6_SAFER
nimmt an, dass im Programm-Verzeichnis nur gute Programme installiert
sind. Dafür, dass das so ist, ist der PC-Nutzer weiterhin selbst
verantwortlich! Bei den Kindern im Haushalt heißt das: Sie sollten das
Passwort des Admins nicht kennen, um dort keine neue Software
installieren zu können, die sie sich per Email oder USB-Stick haben
von Freunden geben lassen. Bei besonders aufgeweckten Kindern muss man
außerdem sicherstellen, dass Live-Betriebssysteme nicht dazu
eingesetzt werden, Windows Dinge unterzuschieben, etwa indem das
Dateisystem für Drittsysteme unsichtbar ist (geht das mit
Verschlüsselung der ganzen Partition?) oder man die vorhandenen
Programme in deren Verzeichnis oder \Windows des öfteren mal prüft.

Beachte ferner die Scriptsprachen, welche zB vom Browser oder
PDF-Reader ausgeführt werden könnten, wenn man solcherart Programme
hat, die überhaupt Scriptsprachen a la JavaScript ausführen. Das wird
von NT6_SAFER nicht gut unterbunden. Der Einsatz der richtigen
Software ist bei mangelnder Disziplin (Kinder!) um so wichtiger.

[Robert Jasiek]

Andreas Wenzke wrote:
>Wir reden hier von DAUs und Kindern.

Ich dachte, du richtest deren PCs ein?

>Mit "Disziplin" ist da nix, da kann ich nur lachen.

Also ein Wechsel zwischen zwei verschienden Standardbenutzern würde
sie überfordern? Das musst du wissen. Da du also wohl davon ausgehen
musst, dass überall rumgeklickt wird, ist es besser, wenn ein Programm
gar nicht erst JavaScript & Konsorten anbietet. Ob es betreffend
schlanke Browser und Emailclients gibt, weiß ich nicht ad hoc.

>> Und fange bitte bei jedem PC mit einer Windows-Neuinstallation an,
>> während das Netzwerkkabel / WLAN noch nicht dranhängen. Erst die PCs
>> absichern, dann kann man ins Netz gehen!
>
>Wieso ist das so wichtig, wenn die Rechner doch hinterm NAT hängen?

Du schriebst, dass es schon mehrfach Virenbefall gegeben hätte. Die
einzig sichere Lösung ist die Neuinstallation ohne sofortigen Internet
/ LAN-Anschluss.

>Was ist ein Party-Benutzer?

Ein Benutzerkonto, dass du aufrufst, wenn du 100 fragwürdige Gäste im
Haus hast. Sinn: die können dann nichts Privates sehen / ändern.

>vermute einfach, dass das ein ziemlich erfolgreicher
>Schädling ist.

Auch so einer braucht fast immer die Fahrlässigkeit der User.

>Verbreitung bei dem einen vermutlich über Facebook, das
>hat ja fast jeder.

Ich nicht, denn es basiert auf JavaScript.

>Geht mit Home-Editionen nicht, oder?

Mit Home geht alles außer SRPs im Gruppenrichtlinieneditor
konfiguriert. NT6_SAFER aber umgeht den Gruppenrichtlinieneditor,
indem es sich wie ein Gerätetreiber selbst installiert. Daher die
INF-Endung.

Meine andere Sicherheitskonzepte gehen auch unter Home.

>Kann ein WRT54GL VLANs?

Ich kenne mich bei VLANs gar nicht aus, weiß nur um die prinzipielle
Möglichkeit.

>Nee, das kann SAFER ja:
>Nur Anwendungen unter C:\Programme dürfen gestartet werden.

Sie oben / andere Antwort: Entscheidend ist, wer dahin schreiben kann.

>Erkenne so keinen Java-Bedarf.

Aber Bedarf für JavaScript scheinst du zu haben.

>Hä? Plugins stellen ja wohl keinen Bedarf dar...

Immerhin ein Anfang.

>Java != JavaScript

Ja, aber leider ähnlich gefährlich.

>Wird dann wohl ganz fliegen.

Ggf. in beiden Bitvarianten:)

[Andreas Wenzke]

Robert Jasiek schrieb:

>> Wir reden hier von DAUs und Kindern.
>
> Ich dachte, du richtest deren PCs ein?

Ja.

>> Mit "Disziplin" ist da nix, da kann ich nur lachen.
>
> Also ein Wechsel zwischen zwei verschienden Standardbenutzern würde
> sie überfordern?

Ja, genau das meinte ich oben.
Das ist einfach nicht praktikabel.

> Das musst du wissen. Da du also wohl davon ausgehen
> musst, dass überall rumgeklickt wird, ist es besser, wenn ein Programm
> gar nicht erst JavaScript & Konsorten anbietet. Ob es betreffend
> schlanke Browser und Emailclients gibt, weiß ich nicht ad hoc.

JavaScript kann AFAIK nicht groß böse Sachen machen, Plugins (Java,
Flash, ...) und ActiveX sind da viel gefährlicher.

>>> Und fange bitte bei jedem PC mit einer Windows-Neuinstallation an,
>>> während das Netzwerkkabel / WLAN noch nicht dranhängen. Erst die PCs
>>> absichern, dann kann man ins Netz gehen!
>> Wieso ist das so wichtig, wenn die Rechner doch hinterm NAT hängen?
>
> Du schriebst, dass es schon mehrfach Virenbefall gegeben hätte. Die
> einzig sichere Lösung ist die Neuinstallation ohne sofortigen Internet
> / LAN-Anschluss.

Ja, bei Benutzung.
Wenn der Junge z.B. sich irgendwelche Cheats/Trainer für seine Spiele
runterlädt...

>> Was ist ein Party-Benutzer?
>
> Ein Benutzerkonto, dass du aufrufst, wenn du 100 fragwürdige Gäste im
> Haus hast. Sinn: die können dann nichts Privates sehen / ändern.

Ah. Na ja, nee, es soll ja schon gespeichert werden können usw.

>> vermute einfach, dass das ein ziemlich erfolgreicher
>> Schädling ist.
>
> Auch so einer braucht fast immer die Fahrlässigkeit der User.

Ist ja richtig, die User lassen sich aber schwer ändern.
Auch wenn gerade die Kinder schon wirklich vorsichtig sind und bei
Unsicherheiten lieber nachfragen, kann man es halt nicht komplett
verhindern.

>> Geht mit Home-Editionen nicht, oder?
>
> Mit Home geht alles außer SRPs im Gruppenrichtlinieneditor
> konfiguriert. NT6_SAFER aber umgeht den Gruppenrichtlinieneditor,
> indem es sich wie ein Gerätetreiber selbst installiert. Daher die
> INF-Endung.

Perfekt.

> Ich kenne mich bei VLANs gar nicht aus, weiß nur um die prinzipielle
> Möglichkeit.

Ok.

>> Nee, das kann SAFER ja:
>> Nur Anwendungen unter C:\Programme dürfen gestartet werden.
>
> Sie oben / andere Antwort: Entscheidend ist, wer dahin schreiben kann.

Die Kinder/DAUs logischerweise nicht...

>> Erkenne so keinen Java-Bedarf.
>
> Aber Bedarf für JavaScript scheinst du zu haben.

Ja, natürlich. Ist ja auch etwas völlig Anderes.

>> Hä? Plugins stellen ja wohl keinen Bedarf dar...
>
> Immerhin ein Anfang.

Ich meinte, dass ein Plugin ja keinen Bedarf an sich darstellt, sondern
höchstens eingesetzt wird, um einen Bedarf zu decken.

>> Java != JavaScript
>
> Ja, aber leider ähnlich gefährlich.

Kann Dir nicht folgen.
Wäre mir neu, dass im JS-DOM großartig irgendwelche Gefährlichkeiten
enthalten wären.
Wenn, dann sind Sicherheitslücken vorhanden, die man dann aber auch mit
ganz normalem HTML ausnutzen könnte.
Aber vielleicht täusche ich mich ja auch, klär mich doch bitte mal auf.

>> Wird dann wohl ganz fliegen.
>
> Ggf. in beiden Bitvarianten:)

Java wird einfach gar nicht erst installiert.

Liebe Grüße,
Andreas

[Andreas Wenzke]

Robert Jasiek schrieb:

>> Geht das auch mit Home-Editionen?
>
> Ja.

Perfekt.
Muss ich dafür einen eigenen Benutzer anlegen oder tut es der
Standardbenutzer der Windows-Installation?
Der sollte doch eigentlich auch nur eingeschränkte Rechte haben...?

> Da ich nun annehme, dass du sowas hast: Der Einsatz von NT6_SAFER
> nimmt an, dass im Programm-Verzeichnis nur gute Programme installiert
> sind. Dafür, dass das so ist, ist der PC-Nutzer weiterhin selbst
> verantwortlich! Bei den Kindern im Haushalt heißt das: Sie sollten das
> Passwort des Admins nicht kennen, um dort keine neue Software
> installieren zu können, die sie sich per Email oder USB-Stick haben
> von Freunden geben lassen.

Ja, natürlich. Darum geht es ja.

> Bei besonders aufgeweckten Kindern muss man
> außerdem sicherstellen, dass Live-Betriebssysteme nicht dazu
> eingesetzt werden, Windows Dinge unterzuschieben, etwa indem das
> Dateisystem für Drittsysteme unsichtbar ist (geht das mit
> Verschlüsselung der ganzen Partition?) oder man die vorhandenen
> Programme in deren Verzeichnis oder \Windows des öfteren mal prüft.

So alt sind die zum Glück noch nicht.

> Beachte ferner die Scriptsprachen, welche zB vom Browser oder
> PDF-Reader ausgeführt werden könnten, wenn man solcherart Programme
> hat, die überhaupt Scriptsprachen a la JavaScript ausführen. Das wird
> von NT6_SAFER nicht gut unterbunden. Der Einsatz der richtigen
> Software ist bei mangelnder Disziplin (Kinder!) um so wichtiger.

Ist klar. Mir geht es darum, erst mal das Gröbste zu verhindern.

Liebe Grüße,
Andreas

[Christoph Schneegans]

Andreas Wenzke schrieb:

>>> Ein Windows XP habe ich schon wunderbar über die SAFER.reg aus
>>> dieser NG abgesichert. Jetzt MUSS dasselbe für Win7/Vista folgen,
>>
>> <http://home.arcor.de/skanthak/download/NT6_SAFER.INF> existiert!
>
> Geht das auch mit Home-Editionen?

Ja! Die Home-Editionen unterstützen SRPs durchaus, es fehlen
lediglich die hübschen Snap-Ins für die MMC, so daß man direkt in
die Registry schreiben muß – entweder per .inf oder .reg oder eben
manuell. Die Kommentare in NT6_SAFER.INF sind dabei enorm hilfreich.

Ohne Stefans Verdienste schmälern zu wollen, möchte ich noch eine
Alternative zu NT6_SAFER.INF anbieten, und zwar
<http://schneegans.de/temp/safer-base.reg>. Dabei handelt es sich um
eine auf das Nötigste reduzierte Version von NT6_SAFER.INF, die nur
noch zwei Regeln enthält, die die Ausführung von Programmen unter
"C:\Program Files" und "C:\Windows" erlauben. (Diese Pfade müssen
angepaßt werden, wenn sie bei dir anders lauten.)

Der Vorteil ist die Übersichtlichkeit. Zwei Regeln lassen sich
einfacher erweitern als zwanzig. :-)

Sobald die entsprechenden Einstellungen in die Registry geschrieben
sind, gelten die Regeln unmittelbar für alle eingeschränkten
Benutzer.

--
<http://schneegans.de/web/xhtml/> · Klare Antworten zu XHTML

[Andreas Wenzke]

Christoph Schneegans schrieb:

> Ja! Die Home-Editionen unterstützen SRPs durchaus, es fehlen
> lediglich die hübschen Snap-Ins für die MMC, so daß man direkt in
> die Registry schreiben muß – entweder per .inf oder .reg oder eben
> manuell. Die Kommentare in NT6_SAFER.INF sind dabei enorm hilfreich.

Perfekt.

> Ohne Stefans Verdienste schmälern zu wollen, möchte ich noch eine
> Alternative zu NT6_SAFER.INF anbieten, und zwar
> <http://schneegans.de/temp/safer-base.reg>. Dabei handelt es sich um
> eine auf das Nötigste reduzierte Version von NT6_SAFER.INF, die nur
> noch zwei Regeln enthält, die die Ausführung von Programmen unter
> "C:\Program Files" und "C:\Windows" erlauben. (Diese Pfade müssen
> angepaßt werden, wenn sie bei dir anders lauten.)
>
> Der Vorteil ist die Übersichtlichkeit. Zwei Regeln lassen sich
> einfacher erweitern als zwanzig. :-)

Die Idee des Whitelistings gefällt mir sehr gut.
Muss ich mal gucken, wie ich evtl. beides kombiniere.
Das Unterbinden der Ausführung von ActiveX-Controls finde ich z.B. auch
gut, oder was bei Stefan noch so drin stand...

> Sobald die entsprechenden Einstellungen in die Registry geschrieben
> sind, gelten die Regeln unmittelbar für alle eingeschränkten
> Benutzer.

Fällt der bei der Installation angelegte Benutzer auch darunter?
Das ist doch kein Admin-Benutzer, oder?

Liebe Grüße,
Andreas

[Andreas Wenzke]

Christoph Schneegans schrieb:

> Ohne Stefans Verdienste schmälern zu wollen, möchte ich noch eine
> Alternative zu NT6_SAFER.INF anbieten, und zwar
> <http://schneegans.de/temp/safer-base.reg>. Dabei handelt es sich um
> eine auf das Nötigste reduzierte Version von NT6_SAFER.INF, die nur
> noch zwei Regeln enthält, die die Ausführung von Programmen unter
> "C:\Program Files" und "C:\Windows" erlauben. (Diese Pfade müssen
> angepaßt werden, wenn sie bei dir anders lauten.)

@Stefan:
Warum verwendest Du eigentlich Blacklisting, anstatt einfach auch nur
die zwei Ordner als "gut" zu markieren?

Liebe Grüße,
Andreas

[Robert Jasiek]

Andreas Wenzke wrote:
>Muss ich dafür einen eigenen Benutzer anlegen oder tut es der
>Standardbenutzer der Windows-Installation?

Was du "Standardbenutzer" der Windows-Installation nennst ist
Administrator. Damit geht rein gar nichts, denn NT6_SAFER regelt die
Softwarenutzung unter echten Standardbenutzerkonten, d.i. da steht in
der Systemsteuerung "Standardbenutzer" unter dem Benutzernamen. Hast
du so einen noch nicht, musst du einen anlegen und dann konsequent für
die Alltagsarbeit / durch deine Kinder benutzen lassen!

>Mir geht es darum, erst mal das Gröbste zu verhindern.

Einen Standardbenutzer einzurichten gehört dazu! Ebenso eine Kontrolle
der Einstellungen und Freigaben in deiner Netzwerkverbindung und eine
Durchsicht der sicherheitsrelevanten Optionen deiner (Kinder)
Programme.

[Andreas Wenzke]

Robert Jasiek schrieb:

>> Muss ich dafür einen eigenen Benutzer anlegen oder tut es der
>> Standardbenutzer der Windows-Installation?
>
> Was du "Standardbenutzer" der Windows-Installation nennst ist
> Administrator.

Von XP kenne ich das noch so - ich dachte, mit Vista/Win7 hätte sich da
etwas geändert...?

> Damit geht rein gar nichts, denn NT6_SAFER regelt die
> Softwarenutzung unter echten Standardbenutzerkonten, d.i. da steht in
> der Systemsteuerung "Standardbenutzer" unter dem Benutzernamen. Hast
> du so einen noch nicht, musst du einen anlegen und dann konsequent für
> die Alltagsarbeit / durch deine Kinder benutzen lassen!

Ja, ja, klar, so kenn ich das ja von XP.

>> Mir geht es darum, erst mal das Gröbste zu verhindern.
>
> Einen Standardbenutzer einzurichten gehört dazu! Ebenso eine Kontrolle
> der Einstellungen und Freigaben in deiner Netzwerkverbindung und eine
> Durchsicht der sicherheitsrelevanten Optionen deiner (Kinder)
> Programme.

Ja, klar.

Liebe Grüße,
Andreas

[Robert Jasiek]

Andreas Wenzke wrote:
>@Stefan:
>Warum verwendest Du eigentlich Blacklisting, anstatt einfach auch nur
>die zwei Ordner als "gut" zu markieren?

Stefan macht beides. Doppelt hält besser. Zusätzlich zu den üblichen
(bei 64bit kommt noch mehr dazu) Pauschal-Whitelisting-Regeln gibt es
bei ihm noch ne Reihe Blacklistregeln, u.A. da Manches Mitgelieferte
auch nicht astrein ist. Es fallen die schwarzen Regeln nur auf den
ersten Blick schneller auf, weil's mehr Regeln sind. Wichtiger aber
sind die weißen.

[Robert Jasiek]

Andreas Wenzke wrote:
>Ja, genau das meinte ich oben. Das ist einfach nicht praktikabel.

Du hast aber für deinen PC zu entscheiden, ob du genauso "lax"
vorgehen willst oder nicht doch mehr Aufwand treibst, da du ja weißt,
dass Heckenschützen aus dem Kinderzimmer im LAN aus Versehen Unfug
treiben könnten.

>JavaScript kann AFAIK nicht groß böse Sachen machen, Plugins (Java,
>Flash, ...) und ActiveX sind da viel gefährlicher.

Relativ stimmt das wohl, aber absolut kann JavaScript iB beim
Ausnutzen eines Programmbugs jeden Schaden bei den privaten Daten
anrichten, besonders da SRP die Scripts nicht aufhalten, du keine
Zugriffsrechte nutzst und du bisher auch keine Integrity Levels nutzen
willst. Wenn es dir egal ist, dass zB jemand die Gewohnheiten deiner
Kinder ausspäht...

>Na ja, nee, es soll ja schon gespeichert werden können usw.

Kann ja. Dafür legte man dann ein Verzeichnis an, das man für so einen
Party-Benutzer freigäbe.

>Wenn, dann sind Sicherheitslücken vorhanden, die man dann aber auch mit
>ganz normalem HTML ausnutzen könnte.

Mit ganz normalem HTML ist das schon deutlich schwieriger (und ich
weiß nicht, ob es prinzipiell überhaupt geht, denn i.W. sind es
Markup-Tags). Es ist eher so, dass <input>, <hidden> und JavaScript
kombiniert schaden können.

[Robert Jasiek]

Andreas Wenzke wrote:
>Von XP kenne ich das noch so - ich dachte, mit Vista/Win7 hätte sich da
>etwas geändert...?

XP hatte etwas andere Bezeichnungen; da kann man schon mal
durcheinander kommen. Gucke einfach in Systemsteuerung |
Benutzerkonten nach und dann weißt du es!

[Stefan Kanthak]

"Andreas Wenzke" <andreas...@gmx.de> schrieb:

> Christoph Schneegans schrieb:

[...]

> Die Idee des Whitelistings gefällt mir sehr gut.
> Muss ich mal gucken, wie ich evtl. beides kombiniere.
> Das Unterbinden der Ausführung von ActiveX-Controls finde ich z.B. auch
> gut, oder was bei Stefan noch so drin stand...

Dafuer gibt's <http://home.arcor.de/skanthak/download/IE_SAFER.REG>.

>> Sobald die entsprechenden Einstellungen in die Registry geschrieben
>> sind, gelten die Regeln unmittelbar für alle eingeschränkten
>> Benutzer.
>
> Fällt der bei der Installation angelegte Benutzer auch darunter?

Ja und nein.

> Das ist doch kein Admin-Benutzer, oder?

Das ist ein Administrator mit Narrenkappe!
Den Wechsel vom "eingeschraenkten Benutzer" zum "Administrator" erfolgt
mit der UAC, und wird bei etwa 70 Microsoft-Programmen OHNE Nachfrage
beim Benutzer gemacht.

In <news:4f2835e8$0$7611$9b4e...@newsspool1.arcor-online.net> schrieb
ich deshalb: aktiviere den eingebauten "Administrator", lege neue
eingeschraenkte Benutzer an (und entsorge die bei der Installation
angelegten Benutzer).

[Andreas Wenzke]

Robert Jasiek schrieb:

>> JavaScript kann AFAIK nicht groß böse Sachen machen, Plugins (Java,
>> Flash, ...) und ActiveX sind da viel gefährlicher.
>
> Relativ stimmt das wohl, aber absolut kann JavaScript iB beim
> Ausnutzen eines Programmbugs jeden Schaden bei den privaten Daten
> anrichten, besonders da SRP die Scripts nicht aufhalten, du keine
> Zugriffsrechte nutzst und du bisher auch keine Integrity Levels nutzen
> willst. Wenn es dir egal ist, dass zB jemand die Gewohnheiten deiner
> Kinder ausspäht...

Wie soll er per DOM irgendwen ausspähen?

> Mit ganz normalem HTML ist das schon deutlich schwieriger (und ich
> weiß nicht, ob es prinzipiell überhaupt geht, denn i.W. sind es
> Markup-Tags).

Natürlich geht es, Buffer-Overflows etc.
Oder fehler in JPEG-Bibliotheken, ist alles auch schon ausgenutzt
worden, PDF sowieso (gut, da gibt es ja wohl auch Skripting).

> Es ist eher so, dass <input>, <hidden> und JavaScript
> kombiniert schaden können.

Verstehe immer noch nicht, wie man damit nennenswerten Schaden anrichten
soll.

Liebe Grüße,
Andreas

[Andreas Wenzke]

Stefan Kanthak schrieb:

> Dafuer gibt's <http://home.arcor.de/skanthak/download/IE_SAFER.REG>.

Ach ja.

[Bei Installation angelegter Benutzer]

> Das ist ein Administrator mit Narrenkappe!
> Den Wechsel vom "eingeschraenkten Benutzer" zum "Administrator" erfolgt
> mit der UAC, und wird bei etwa 70 Microsoft-Programmen OHNE Nachfrage
> beim Benutzer gemacht.

Oh.

> In <news:4f2835e8$0$7611$9b4e...@newsspool1.arcor-online.net> schrieb
> ich deshalb: aktiviere den eingebauten "Administrator", lege neue
> eingeschraenkte Benutzer an (und entsorge die bei der Installation
> angelegten Benutzer).

Ok, danke.
Muss ich UAC wirklich deaktivieren?
Kann ich UAC nicht anlassen, nur eben mit Passwortschutz (Wechsel auf
Adminuser)?

Liebe Grüße,
Andreas

[Stefan Kanthak]

"Andreas Wenzke" <andreas...@gmx.de> schrieb:

> @Stefan:
> Warum verwendest Du eigentlich Blacklisting, anstatt einfach auch nur
> die zwei Ordner als "gut" zu markieren?

Fuer eine sichere Konfiguration sind sowohl "Allow"- als auch "Deny"-
Regeln noetig: unterhalb von %SystemRoot% gibt's einige Verzeichnisse,
in denen Normalbenutzer Schreibzugriff haben, und andere, in denen
veraltete Dateien, aber auch Dateien nicht^Wdeinstallierter oder
unerwuenschter Komponenten (Flash Player) stehen, zudem solche ohne
ausfuehrbare Dateien (nicht nur dort muesste Microsoft eigentlich mit
ACLs ohne "execute" arbeiten; aber MOFT ist ja schlampig...). Ausserdem
muss der Aufruf von "RUNAS.EXE /TrustLevel:..." unterbunden werden.
Siehe auch <http://home.arcor.de/skanthak/safer.html>

Und fuer den Fall, dass ein Spielkind den Default-SAFER-Level von "Deny"
auf "Unrestricted" zuruecksetzt, existieren die anderen "Deny"-Regeln.

[Christoph Schneegans]

Stefan Kanthak schrieb:

> Fuer eine sichere Konfiguration sind sowohl "Allow"- als auch

> "Deny"-Regeln noetig: unterhalb von %SystemRoot% gibt's einige

> Verzeichnisse, in denen Normalbenutzer Schreibzugriff haben, und
> andere, in denen veraltete Dateien, aber auch Dateien
> nicht^Wdeinstallierter oder unerwuenschter Komponenten (Flash
> Player) stehen, zudem solche ohne ausfuehrbare Dateien (nicht nur
> dort muesste Microsoft eigentlich mit ACLs ohne "execute"
> arbeiten; aber MOFT ist ja schlampig...).

Jetzt wollte ich es mal ganz genau wissen.

Auf einem nagelneuen Windows 7 (Ultimate, x86, Service Pack 1) ohne
SRPs konnte ich mit Benutzerrechten in folgenden Ordnern eine .cmd-
Datei ablegen und zur Ausführung bringen:

C:\Windows\Tasks\
C:\Windows\Temp\
C:\Windows\debug\WIA\
C:\Windows\System32\Tasks\
C:\Windows\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\
C:\Windows\System32\spool\drivers\color\

NT6_SAFER.INF blockiert davon aber nur die ersten beiden
Verzeichnisse! (Mit Benutzerrechten kann man sogar noch in mehr
Ordner schreiben, aber dort verhindern ACLs die Ausführung.)
In %ProgramFiles% gibt es übrigens keine derartigen Probleme.

Auf meinem betagt^Wbewährten XP ist es aber viel schlimmer; dort
gibt es unter %windir% und %ProgramFiles% hunderte Verzeichnisse,
in die man mit Benutzerrechten schreiben darf. Ist sowas nach vier
Jahren normal? Ich dachte bis eben, daß ich ein einigermaßen gut
gepflegtes System hätte...

> Ausserdem muss der Aufruf von "RUNAS.EXE /TrustLevel:..."
> unterbunden werden.

Hm?! In der Firma (XP, x64, Domäne) unterliegt

runas.exe /TrustLevel:Unrestricted foo.cmd

denselben Regeln wie der unmittelbare Aufruf von foo.cmd, d.h. die
Ausführung wird unterbunden. Zu Hause (XP, x86, keine Domäne) wird
foo.cmd per runas.exe blöderweise anstandslos ausgeführt. Kann man
das wirklich nur vermeiden, indem man runas.exe komplett blockiert?

> Siehe auch <http://home.arcor.de/skanthak/safer.html>

Die wollen, daß du bei Gelegenheit
<http://www.arcor.de/mps/hp/hpinfo.jsp> "anklickst".

--
“Mittlerweile bekommen auch die letzten XP-Fans zu spüren, daß an
Windows 7 auf Dauer kein Weg vorbeiführt.”

— c't-Propaganda, http://www.heise.de/ct/inhalt/2011/11/162/

[Robert Jasiek]

Christoph Schneegans wrote:
>Auf einem nagelneuen Windows 7 (Ultimate, x86, Service Pack 1) ohne
>SRPs konnte ich mit Benutzerrechten in folgenden Ordnern eine .cmd-
>Datei ablegen und zur Ausführung bringen:
>
>C:\Windows\Tasks\

Die effektiven Berechtigungen für Authentifizierte Benutzer sind
- Ordner durchsuchen / Datei ausführen
- Ordner auflisten / Datei lesen
- Attribute lesen
- Erweiterte Attribute lesen
- Dateien erstellen / Daten schreiben
- Berechtigungen lesen

Ich habe als MyOnlineUser mal notepad.exe dahin kopiert. Es bekommt im
Explorer ein Schlosssymbol. Was bedeutet das? Wenn ich dort
doppelklicke, dann läuft C:\Windows\Tasks\notepad.exe, denn bei mir
ist generell \Windows gewhitelistet. Das gefällt mir ja gar nicht!
Augenscheinlich empfiehlt es sich, die Zugriffsrechte zu ändern und /
oder Blacklisting-SRP dafür anzulegen.

>C:\Windows\Temp\
>C:\Windows\debug\WIA\
>C:\Windows\System32\Tasks\
>C:\Windows\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\
>C:\Windows\System32\spool\drivers\color\

Danke! Wie hast du denn die Ordner gefunden?

>Die wollen, daß du bei Gelegenheit
><http://www.arcor.de/mps/hp/hpinfo.jsp> "anklickst".

Ein Limit von mutmaßlich 1 Gigabyte Traffic im Monat ist auch arg
bescheiden... Jedenfalls wäre das ein Anlass mehr, auf einen
JavaScript-freien Anbieter zu wechseln.

[Robert Jasiek]

Unter W7 64b Pro ergeben sich laut AccessEnum diese erlaubten
Write-Zugriffe unter C:\Windows:

Authentifizierte Benutzer:

C:\Windows\debug\WIA\

C:\Windows\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}

C:\Windows\System32\Tasks
C:\Windows\SysWOW64\Tasks
C:\Windows\Tasks\

Benutzer:

C:\Windows\registration\CRMLog
C:\Windows\Temp\
C:\Windows\Temp\Cookies
C:\Windows\Temp\History
C:\Windows\Temp\Temporary Internet Files
C:\Windows\tracing

Christoph, hast du da vielleicht auch noch solche?

Von AccessEnum ist allerdings dies übersehen worden:

C:\Windows\System32\spool\drivers\color\

**************************************************************************

Bevor man jetzt wild Rechte ändert, sollte man erst einmal nachdenken.
Z.B. C:\Windows\System32\Tasks macht Sinn; dort kann der
Authentifizierte Benutzer eine Aufgabenplanungs-Aufgabe speichern. Das
Write-Recht zu verwehren ist da wohl der falsche Ansatz. Was genau bei
einer SRP-Blacklisting-Pfad-Regel passiert, wäre jeweils noch zu
untersuchen.

[Hans-Reginald Ernst]

Am Tue, 31 Jan 2012 19:36:42 +0100 schrieb Stefan Kanthak:

> "Andreas Wenzke" <andreas...@gmx.de> schrieb:
>
>> Hallo NG!
>>
>> Ich habe jetzt endgültig die Sch***ze voll.

>> Von wegen, mit Win7 wird es sicherer - in meinem nähesten Bekanntenkreis
>> gab es innerhalb der letzten paar Tage (!) 3 (drei!!) Virusinfektionen.

>> Scheint überall dasselbe zu sein, lokaler Proxy unter AppData\Roaming,
>> Einfall vermutlich über ein Java-Exploit.
>

> UAC ist Sicherheitskasperltheater und hilft selbstverstaendlich nicht
> gegen die Ausfuehrung irgendwelcher Schaedlinge mit Benutzerrechten.
>

>> Ein Windows XP habe ich schon wunderbar über die SAFER.reg aus dieser NG
>> abgesichert. Jetzt MUSS dasselbe für Win7/Vista folgen,
>
> <http://home.arcor.de/skanthak/download/NT6_SAFER.INF> existiert!
>

[...]

@Stefan:
Hast du dich schon an dem Blog (http://blogs.msdn.com/b/b8/) für Windows 8
mit deinem SAFER.ini-Konzept beteiligt? Und wenn nicht, warum nicht?

Ich habe gerade erst von diesem Blog über einen Computerbild-Artikel
erfahren.

Dort könntest du m.E. etwas sehr Sinnvolles für "alle" Windows-Nutzer tun.

--
Gruß

Hans-Reginald

[Christoph Schneegans]

Robert Jasiek schrieb:

>> Auf einem nagelneuen Windows 7 (Ultimate, x86, Service Pack 1) ohne
>> SRPs konnte ich mit Benutzerrechten in folgenden Ordnern eine .cmd-
>> Datei ablegen und zur Ausführung bringen:
>>

>> (...)

>> C:\Windows\debug\WIA\
>> C:\Windows\System32\Tasks\
>> C:\Windows\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\
>> C:\Windows\System32\spool\drivers\color\
>
> Danke! Wie hast du denn die Ordner gefunden?

Mit einem PowerShell-Skript, das über alle Unterverzeichnisse von
'C:\Windows' und 'C:\Program Files' iteriert und jeweils versucht,
eine .cmd-Datei mit Inhalt "@echo off" zu erstellen und diese
aufzurufen. Dabei können offenbar folgende Fälle auftreten:

• Die Datei kann gar nicht erst erstellt werden. OK.
• Die Datei kann erstellt werden, aber wegen ACLs nicht ausgeführt
werden. OK.
• Die Datei kann erstellt werden, aber wegen SRPs nicht ausgeführt
werden. OK.
• Die Datei kann erstellt und ausgeführt werden. _Nicht_ OK. Bei mir
waren das gerade die o.g. Verzeichnisse.
• Die Datei kann erstellt, aber vom Skript nicht wieder gelöscht
werden. Egal, da muß ein Administrator hinterher aufräumen.

Den Quellcode habe ich gerade nicht zur Hand, erste heute Abend.

--
<http://schneegans.de/lv/> · Validator für BCP 47

[Robert Jasiek]

Christoph Schneegans wrote:
>Den Quellcode habe ich gerade nicht zur Hand, erste heute Abend.

Gerne, danke!

[Stefan Rauter]

Andreas Wenzke schrieb am Di 31.01.12 | 23:09:

> Robert Jasiek schrieb:
>>> Wir reden hier von DAUs und Kindern.
>>
>> Ich dachte, du richtest deren PCs ein?
>
> Ja.
>
>>> Mit "Disziplin" ist da nix, da kann ich nur lachen.
>>
>> Also ein Wechsel zwischen zwei verschienden Standardbenutzern würde
>> sie überfordern?
>
> Ja, genau das meinte ich oben.
> Das ist einfach nicht praktikabel.

Dein Problem ist, dass du versuchst, ein soziales Problem technisch zu
lösen. Gegen DAUs wirkt UAC iVm einer kurzen Einweisung inkl. einer klaren
Ansage über do's und don'ts Wunder. Win7 muss zwar noch auf den gleichen
Level wie Vista gebracht werden, aber dann ist es mehr als angemessen und
eine Wohltat gegenüber dem XP-Schrott. Been there, done that.

Wer hat eigentlich bei der Erziehung der Kinder so eklatant versagt, dass
ein System mit SAFER.inf gegen kriminelle Energie gesichert werden muss?

Tschüss,
Stefan
--
You never get a second chance to make the first impression.

[Hans-Peter Matthess]

Stefan Rauter:

> Wer hat eigentlich bei der Erziehung der Kinder so eklatant versagt, dass
> ein System mit SAFER.inf gegen kriminelle Energie gesichert werden muss?

Na na, Schorsch, du übertreibst. Die haben keine kriminelle Energie,
die wollen nur spielen. Kinder eben. <eg>

--
Scheinsicherheit und System-Zerstörung durch Virenscanner:
http://www.soehnitz.de/itsicherheit/virenscannersinnoderunsinn/index.html
Darum: http://www.soehnitz.de/itsicherheit/wassiewirklichbrauchen/index.html
Konfiguration einfach gemacht: http://home.arcor.de/skanthak/safer.html

[Andreas Wenzke]

Stefan Rauter schrieb:

> Dein Problem ist, dass du versuchst, ein soziales Problem technisch zu
> lösen.

Java-Exploits, die beim Aufrufen einer Webseite unbemerkt Dienste auf
dem Rechner installieren, sind ein soziales Problem?

> Gegen DAUs wirkt UAC iVm einer kurzen Einweisung inkl. einer klaren
> Ansage über do's und don'ts Wunder.

Dann waren es keine *DA*Us.

> Wer hat eigentlich bei der Erziehung der Kinder so eklatant versagt, dass
> ein System mit SAFER.inf gegen kriminelle Energie gesichert werden muss?

Sind nicht meine Kinder, aber Du disqualifizierst Dich hier selbst.

Liebe Grüße,
Andreas

[Andreas Wenzke]

Noch eine andere Frage:
Was ist denn mit "Java.Exploit.CVE-2010-0840.E" hier?
http://www.gdata.de/virenforschung/statistiken/top10-malware.html

"Dadurch, dass das Applet die Sandbox austrickst, kann es eine .dll
Datei herunterladen. Diese wird nicht direkt ausgeführt, sondern mit
Hilfe des Microsoft Register Server (regsvr32) als Dienst in der Windows
Registry eingetragen und somit beim Systemstart automatisch gestartet."

Kann es sein, dass SAFER das nicht verhindern könnte?
Schreibrechte für %AppData% o.ä. sind ja vorhanden, und regsvr32 darf
der Benutzer ja wahrscheinlich starten...
Falls regsvr32 Admin-Rechte voraussetzt, gut, dann stellen wir uns
irgendwas Anderes vor, was die DLL nur im Benutzerkontext lädt...

Liebe Grüße,
Andreas

[Robert Jasiek]

Andreas Wenzke wrote:
>regsvr32 darf der Benutzer ja wahrscheinlich starten...

Die Frage ist: wie der Benutzer es starten können sollte. Per
Kommandozeile? Lässt sich (bei passender W7-Version) in
Gruppenrichtlinien dekativieren. Per Startmenü oder Win R? Dito. Per
Browser? Wenn der auf Integrity Level LOW NW NR NX läuft, dann darf er
regsvr32 mit MEDIUM Level nicht aufrufen. Pech nur für dich, dass du
diese Sicherheitsmaßnahmen nicht nutzst, aber das ist ein anderes
Thema:) Natürlich kannst du in SAFER manuell rumhacken und regsvr32
verbieten (Ich weiß aber nicht, ob das Nebenwirkungen hat.).

[Robert Jasiek]

Andreas Wenzke wrote:
>Java-Exploits, die beim Aufrufen einer Webseite unbemerkt Dienste auf
>dem Rechner installieren

Dafür bedarf es mehr als Java-Exploits: auch Admin-Token-Rechte müssen
erworben werden. (Wer online Java-Sachen bei Admin-Passwort-Eingabe
installiert ist selbst schuld.)

[Andreas Wenzke]

Robert Jasiek schrieb:

> Die Frage ist: wie der Benutzer es starten können sollte. Per
> Kommandozeile? Lässt sich (bei passender W7-Version) in
> Gruppenrichtlinien dekativieren. Per Startmenü oder Win R? Dito. Per
> Browser? Wenn der auf Integrity Level LOW NW NR NX läuft, dann darf er
> regsvr32 mit MEDIUM Level nicht aufrufen. Pech nur für dich, dass du
> diese Sicherheitsmaßnahmen nicht nutzst, aber das ist ein anderes
> Thema:) Natürlich kannst du in SAFER manuell rumhacken und regsvr32
> verbieten (Ich weiß aber nicht, ob das Nebenwirkungen hat.).

Na, ich will ja gerade ein sicheres System aufsetzen!
Insofern bin ich an allem interessiert, was hilft, Integrity-Levels
kenne ich nicht, geht das mit Win 7 Home?

Liebe Grüße,
Andreas

[Stefan Kanthak]

"Hans-Reginald Ernst" <bueroor...@web.de> schrieb:

[...]

> @Stefan:
> Hast du dich schon an dem Blog (http://blogs.msdn.com/b/b8/) für Windows 8
> mit deinem SAFER.ini-Konzept beteiligt? Und wenn nicht, warum nicht?

Wieso sollte ich?
Denkst Du MOFT habe keine Mitarbeiter, die das von MOFT selbst vor ueber
10 Jahren entwickelte SAFER verstuenden?
Sieh Dir einfach mal die Standard-Regeln an, nachdem Du SAFER in den
"Lokalen Sicherheitsrichtlinien" aktiviert hast.
Ausserdem mag ich keine Einbahnstrassen!

> Ich habe gerade erst von diesem Blog über einen Computerbild-Artikel
> erfahren.

Dein Pech.

> Dort könntest du m.E. etwas sehr Sinnvolles für "alle" Windows-Nutzer tun.

<http://home.arcor.de/skanthak/download/XP_FIXIT.INF> ist so etwas
Sinnvolles.
(Nicht nur) diese mehr als 3000 Anfaengerfehler prangere ich bei MOFT
seit ueber 10 Jahren an.
Immerhin drei dieser Fehler haben sie schon beseitigt,
siehe <http://technet.microsoft.com/en-us/security/bulletin/ms11-071>
und <http://technet.microsoft.com/en-us/security/bulletin/ms12-002>.

<http://technet.microsoft.com/en-us/security/advisory/2269637> zeigt
das grundlegende Problem, das selbst bei MOFT mindestens seit 10 Jahren
bekannt ist, mehrfach dokumentiert und in Bruchstuecken geflickt wurde:
siehe <http://support.microsoft.com/kb/269049/en-us> alias MS00-052
und <http://support.microsoft.com/kb/327522/en-us> alias MS02-064

JFTR: in <http://support.microsoft.com/kb/249321/en-us> empfehlen sie,
die in MS00-052 dokumentierte Luecke wieder aufzureissen.

Ein Jahr nach MS00-052 wurde "SafeDLLSearchMode" eingefuehrt sowie
"StartRunNoHOMEPATH" dokumentiert: siehe
<http://support.microsoft.com/kb/306850/en-us>

Nur 4 weitere Jahre spaeter "entdecken" sie unter Windows XP und 2003
eine weitere Auspraegung des Problems und fuehren "SafeProcessSearchMode"
ein: siehe <http://support.microsoft.com/kb/905890/en-us>

Zur Erinnerung: "Trustworthy Computing" wurde 2001 gestartet, das
erste Resultat war XP SP2 in 2004.

Und wieder 4 Jahre spaeter stolpert Microsoft ueber MS09-015 alias
<http://support.microsoft.com/kb/959426/en-us> ...

"honi soit qui mal y pense"

Stefan

PS: wer mag, kann^Wsollte mal unter Windows 2000 und neueren Versionen
den folgenden Registry-Eintrag

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Font Drivers]
"Adobe Type Manager"="atmfd.dll"

durch diesen ersetzen:

--- ATMFD.REG ---
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Font Drivers]
;"Adobe Type
Manager"=expand:"%SystemRoot%\\System32\\atmfd.dll"
"Adobe Type Manager"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,32,5c,61,74,6d,66,64,2e,64,6c,6c,00

--- EOF ---

und dann eine weitere Instanz von CSRSS.EXE starten. OOPS^WBSOD!
In Windows 8 will MOFT den Anfaengerfehler endlich beseitigen.

[Stefan Kanthak]

"Christoph Schneegans" <Chri...@Schneegans.de> schrieb:

> Stefan Kanthak schrieb:
>
>> Fuer eine sichere Konfiguration sind sowohl "Allow"- als auch
>> "Deny"-Regeln noetig: unterhalb von %SystemRoot% gibt's einige
>> Verzeichnisse, in denen Normalbenutzer Schreibzugriff haben, und
>> andere, in denen veraltete Dateien, aber auch Dateien
>> nicht^Wdeinstallierter oder unerwuenschter Komponenten (Flash
>> Player) stehen, zudem solche ohne ausfuehrbare Dateien (nicht nur
>> dort muesste Microsoft eigentlich mit ACLs ohne "execute"
>> arbeiten; aber MOFT ist ja schlampig...).
>
> Jetzt wollte ich es mal ganz genau wissen.

Gut!

> Auf einem nagelneuen Windows 7 (Ultimate, x86, Service Pack 1) ohne
> SRPs konnte ich mit Benutzerrechten in folgenden Ordnern eine .cmd-
> Datei ablegen und zur Ausführung bringen:
>
> C:\Windows\Tasks\

Dagegen setze ich die Regel {C7AC2154-25AA-4993-9290-6609A76C03F1} ein.

> C:\Windows\Temp\

Dagegen setze ich die Regel {C7AD2E44-65DA-4361-817E-90D80F1CF631} ein.

> C:\Windows\debug\WIA\

Dagegen setze ich bisher keine Regel ein (unter XP haben Benutzer nur
in %SystemRoot%\Debug\UserMode\ Schreibrechte, ...\WIA existiert dort
nicht).

> C:\Windows\System32\Tasks\

Dagegen setze ich bisher keine Regel ein (der richtige "Tasks"-Ordner
ist %SystemRoot%\Tasks).

> C:\Windows\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\

Sollte fuer Benutzer nicht schreibbar sein.

> C:\Windows\System32\spool\drivers\color\

Sollte fuer Benutzer nicht schreibbar sein.
(Fuer %SystemRoot%\System32\Spool\Printers\ gibt's die Regeln
{C7AB32D0-7400-45F8-9646-7C954FC2B8FB} und
{C7A2CBA7-6952-4E63-AD95-89F1397A0091}).

> NT6_SAFER.INF blockiert davon aber nur die ersten beiden
> Verzeichnisse! (Mit Benutzerrechten kann man sogar noch in mehr
> Ordner schreiben, aber dort verhindern ACLs die Ausführung.)

Dann werde ich nach Pruefung wohl noch einige "Deny"-Regeln mehr
einbauen.

> In %ProgramFiles% gibt es übrigens keine derartigen Probleme.
>
> Auf meinem betagt^Wbewährten XP ist es aber viel schlimmer; dort
> gibt es unter %windir% und %ProgramFiles% hunderte Verzeichnisse,
> in die man mit Benutzerrechten schreiben darf. Ist sowas nach vier
> Jahren normal? Ich dachte bis eben, daß ich ein einigermaßen gut
> gepflegtes System hätte...

"hunderte" sollten es definitiv nicht sein.
Mach doch die Gegenprobe mit der *.VHD des XP-Modus von Windows 7,
oder mit der IE App Compat VHD
<http://www.microsoft.com/downloads/en/details.aspx?FamilyID=21eabb90-958f-4b64-b5f1-73d0a413c8ef>

>> Ausserdem muss der Aufruf von "RUNAS.EXE /TrustLevel:..."
>> unterbunden werden.
>
> Hm?! In der Firma (XP, x64, Domäne) unterliegt

~~~~~~~
Das ist Windows 2003, nicht XP.-P
Microsoft hat dort einige Fehler der SRP behoben, die es in XP gibt.

> runas.exe /TrustLevel:Unrestricted foo.cmd
>
> denselben Regeln wie der unmittelbare Aufruf von foo.cmd, d.h. die
> Ausführung wird unterbunden. Zu Hause (XP, x86, keine Domäne) wird
> foo.cmd per runas.exe blöderweise anstandslos ausgeführt. Kann man
> das wirklich nur vermeiden, indem man runas.exe komplett blockiert?

Der Parameter "/TrustLevel:" laesst sich nicht einzeln wegsperren,
also bleibt nur die unschoene Loesung, RUNAS.EXE komplett zu blockieren.

>> Siehe auch <http://home.arcor.de/skanthak/safer.html>
>
> Die wollen, daß du bei Gelegenheit
> <http://www.arcor.de/mps/hp/hpinfo.jsp> "anklickst".

"Die spinnen, die Roemer"! Heute ist der 02.02.2012, und das einzige
Limit, bei dessen Ueberschreitung die Meldung

| Die Website, die Sie besuchen wollen, hat den eingeräumten
| Leistungsumfang überschritten und ist vorübergehend nicht erreichbar.

Sinn macht, ist das Transfervolumen von 1GB je Monat.
Derzeit steht der Zaehler auf 5.5MB.

[Robert Jasiek]

Andreas Wenzke wrote:
>Insofern bin ich an allem interessiert, was hilft, Integrity-Levels
>kenne ich nicht, geht das mit Win 7 Home?

Wie ich sagte, alles außer im Gruppenrichtlinieneditor eingestellte
Software Restriction Policies auf der Seite
http://home.snafu.de/jasiek/windows_security_concept.html
geht auch mit Vista oder W7 Home.

Das Einrichten von Integrity Levels erfordert allerdings Verständnis
(was auf meiner Seite steht, könnte aber durchaus schon ausreichen),
Aufwand, den Einsatz von Tools und Geduld, da man ggf. herausfinden
muss, wohin die Programme so ihre Daten schreiben (und manche
besonders schlecht programmierten Programme wird man nie mittels ILs
in den Griff kriegen). Im anschließenden Dauerbetrieb hingegen gibt es
keine Probleme (sondern die auf LOW eingerichteten Programme
funktionieren einfach), solange man nicht irgendwann mal eine weitere
Online-Software einsetzen will, die man dann auch erst einrichten
muss.

MAW, DAUs und Kinder müssen nur Zweierlei beachten: Aus / in welchem/s
Verzeichnis sie ihre Online-Dateien hoch- und runterladen dürfen.
Welche Dateitypen sie nicht speichern und ohne Nachbehandlung
(Scriptfreimachung) verwenden dürfen; so wie man auch nicht jeden
Emailanhang YouHaveWon$5Mio oder GetYourFreeCasinoCashEUR500 öffnen
darf.

[Hans-Peter Matthess]

Andreas Wenzke:

> Na, ich will ja gerade ein sicheres System aufsetzen!

Das ist nicht erreichbar. Deshalb also: Backups, Backups, Backups....
Zusätzlich vielleicht noch "Steady State" oder Ähnliches
einsetzen, das wird die Opfer freuen. <eg>

[Stefan Kanthak]

"Andreas Wenzke" <andreas...@gmx.de> schrieb:

> Noch eine andere Frage:
> Was ist denn mit "Java.Exploit.CVE-2010-0840.E" hier?
> http://www.gdata.de/virenforschung/statistiken/top10-malware.html

Harmlos.

> "Dadurch, dass das Applet die Sandbox austrickst, kann es eine .dll
> Datei herunterladen. Diese wird nicht direkt ausgeführt, sondern mit
> Hilfe des Microsoft Register Server (regsvr32) als Dienst in der Windows
> Registry eingetragen und somit beim Systemstart automatisch gestartet."
>
> Kann es sein, dass SAFER das nicht verhindern könnte?

REGSVR32.EXE laedt die DLL per LoadLibrary(), und das wird von SAFER
verhindert.

> Schreibrechte für %AppData% o.ä. sind ja vorhanden, und regsvr32 darf
> der Benutzer ja wahrscheinlich starten...
> Falls regsvr32 Admin-Rechte voraussetzt, gut, dann stellen wir uns
> irgendwas Anderes vor, was die DLL nur im Benutzerkontext lädt...

[Stefan Kanthak]

"Robert Jasiek" <jas...@snafu.de> schrieb:

> Unter W7 64b Pro ergeben sich laut AccessEnum diese erlaubten
> Write-Zugriffe unter C:\Windows:

[...]

> C:\Windows\Temp\Cookies
> C:\Windows\Temp\History
> C:\Windows\Temp\Temporary Internet Files

AUTSCH!
Welcher "Benutzer" hat denn diese 3 Ordner angelegt?
Sieh mal in der KOMPLETTEN Registry, d.h. auch allen
%USERPROFILE%\NTUSER.DAT nach!
Dann korrigierst Du in den Internet-Optionen des betreffenden Benutzers
den falschen Pfad zu dessen "Temporary Internet Files" und entsorgst
diese 3 Ordner.

[Andreas Wenzke]

Stefan Kanthak schrieb:

> REGSVR32.EXE laedt die DLL per LoadLibrary(), und das wird von SAFER
> verhindert.

Perfekt!!

Liebe Grüße,
Andreas

[Andreas Wenzke]

Robert Jasiek schrieb:

> Wie ich sagte, alles außer im Gruppenrichtlinieneditor eingestellte
> Software Restriction Policies auf der Seite
> http://home.snafu.de/jasiek/windows_security_concept.html
> geht auch mit Vista oder W7 Home.
>
> Das Einrichten von Integrity Levels erfordert allerdings Verständnis
> (was auf meiner Seite steht, könnte aber durchaus schon ausreichen),
> Aufwand, den Einsatz von Tools und Geduld, da man ggf. herausfinden
> muss, wohin die Programme so ihre Daten schreiben (und manche
> besonders schlecht programmierten Programme wird man nie mittels ILs
> in den Griff kriegen). Im anschließenden Dauerbetrieb hingegen gibt es
> keine Probleme (sondern die auf LOW eingerichteten Programme
> funktionieren einfach), solange man nicht irgendwann mal eine weitere
> Online-Software einsetzen will, die man dann auch erst einrichten
> muss.

Puh. Klingt nach viel Arbeit.

Stefan, was denkst Du denn über Integrity-Levels?

Liebe Grüße,
Andreas

[Andreas Wenzke]

Stefan Kanthak schrieb:

> Dann werde ich nach Pruefung wohl noch einige "Deny"-Regeln mehr
> einbauen.

Kann man das dann problemlos über die Systemsteuerung aktualisieren
(Installation der neuen INF-Datei)?

Liebe Grüße,
Andreas

[Robert Jasiek]

Stefan Kanthak wrote:
>> C:\Windows\Temp\Cookies
>> C:\Windows\Temp\History
>> C:\Windows\Temp\Temporary Internet Files

>Welcher "Benutzer" hat denn diese 3 Ordner angelegt?

Das lässt sich nicht mehr feststellen, denn es gibt in der Registry
keinen Verweis auf einen dieser Ordner. Der Benutzer Verweise zeigen
auf deren Userprofilpfade. In den drei Ordnern gibt es nur
Defaultdateien index.dat, desktop.ini & Co sowie IE5-Ordnernamen. Da
ich den IE nie benutze, ist es mutmaßlich Windows' eigene
Glanzleistung, die sinnfreien Unterordner mit schlechten Rechten
anzulegen und die index.dat dort ab und zu zu ändern.

>und entsorgst diese 3 Ordner.

Löschen kann nichts schaden, obwohl die letzte index.dat-Änderung vom
31.1. ist? In alten Windows-Versionen hatte ich ja durchaus solche
Brutalmethoden eingesetzt. Hier dachte ich, die Datenträgerbereinigung
täte genug.

Im Netz geistern übrigens Vorschläge, ggf. nicht vorhandenen
C:\Windows\Temp\Temporary Internet Files anzulegen. (Glaube ich
natürlich nicht.)

[Robert Jasiek]

Andreas Wenzke wrote:
>Puh. Klingt nach viel Arbeit.

Du beginnst zu begreifen. Hohe Sicherheit erfordert Arbeit.

>Stefan, was denkst Du denn über Integrity-Levels?

Er nutzt immer noch XP, also ein OS weitgehend ohne Integrity
Levels...

***

Probiere es doch einmal mal aus: Besorge dir chml.exe und tue es ins
\System32, kopiere notepad.exe in ein Testverzeichnis, starte per
Rechtscklick eine administrative cmd.exe, gehe ins Testverzeichnis,
wende dort

chml notepad.exe -i:l -nw -nr -nx

an, starte Notepad aus diesem Testverzeichnis und versuche damit deine
privaten, selbst angelegten Ordner und Dateien zu öffnen. Verboten!
(Oder du müsstest dein Admin-Passwort eingeben, um es zuzulassen.)

Wäre es eine malware.exe oder browser.exe, hätte die auch keinen
Erfolg gehabt.

Beantworte dir nun deine Frage selbst: Findest du es gut, dass dein
Browser, selbst wenn er gerade von Dritten zB durch eine Webseite mit
Drive-by-Exloit manipuliert wird, deine privaten Dateien nicht lesen
und Nicht-Internetprogramme (die meist MEDIUM oder höher sind) nicht
starten kann? Eine LOW browser.exe mit NX-Flag kann dann schon deshalb
nicht cmd.exe oder was auch immer als Tochterprozess starten; ist eben
verboten. Im Unterschied zum manuell klickenden Benutzer im Explorer
oder der Explorer-Shell; ein MEDIUM-Prozess.

[Christoph Schneegans]

Robert Jasiek schrieb:

>> Den Quellcode habe ich gerade nicht zur Hand, erste heute Abend.
>
> Gerne, danke!

Als .ps1 speichern:

$rootFolder = 'C:\Windows';
$executableFilename = 'psancxtqkbgfomb.cmd';

Get-ChildItem $rootFolder -Recurse -Force -ErrorAction SilentlyContinue | Where-Object { $_.PSIsContainer } | ForEach-Object {
$currentFolder = $_.Fullname;
$executableFilepath = (Join-Path $currentFolder $executableFilename);
New-Item -Path $executableFilepath -ItemType file -Value "@echo off" -ErrorAction SilentlyContinue | Out-Null;
if ($?) {
& $executableFilepath;
if ($?) {
Write-Host $currentFolder -BackgroundColor Red;
}
else {
# Durch ACL oder SRP blockiert.
Write-Host $currentFolder -BackgroundColor DarkGreen;
}
Remove-Item -Path $executableFilepath;
}
}

Verzeichnisse, die mit grünem Hintergrund ausgegeben werden, sind
unbedenklich, mit rotem Hintergrund anfällig. Bei den grünen steht
der Grund der Blockade _davor_.

Das Skript versucht, seine Dateien ("psancxtqkbgfomb.cmd") wieder
zu löschen, aber das klappt nicht überall. Die Überbleibsel muß ein
Administrator entfernen.

[Robert Jasiek]

Christoph Schneegans wrote:
>Das Skript versucht, seine Dateien ("psancxtqkbgfomb.cmd") wieder
>zu löschen, aber das klappt nicht überall.

Auch wenn ich nicht meckern sollte, weil deine PowerShell-Fähigkeiten
meine bei weitem übersteigen, frage ich mich doch, warum du einen
Quick&Dirty-Ansatz verwendest, d.i. eine *.cmd allüberall
hinschreibst. Wäre es nicht angebrachter, die relevanten Flags der
ACLs auszulesen oder zumindest Ausgaben von icacls auszuwerten? Die
Abhängigkeit von SAFER ließe sich dann noch extra anhand von
Testverzeichnissen mit verschiedenen Rechten evaluieren.

[Christoph Schneegans]

Robert Jasiek schrieb:

>> Das Skript versucht, seine Dateien ("psancxtqkbgfomb.cmd") wieder
>> zu löschen, aber das klappt nicht überall.
>
> Auch wenn ich nicht meckern sollte, weil deine PowerShell-
> Fähigkeiten meine bei weitem übersteigen, frage ich mich doch,
> warum du einen Quick&Dirty-Ansatz verwendest, d.i. eine *.cmd
> allüberall hinschreibst. Wäre es nicht angebrachter, die
> relevanten Flags der ACLs auszulesen oder zumindest Ausgaben von
> icacls auszuwerten?

Ich will nichts auswerten, sondern testen, wie sich Windows "unterm
Strich" praktisch und effektiv verhält.

> Die Abhängigkeit von SAFER ließe sich dann noch extra anhand von
> Testverzeichnissen mit verschiedenen Rechten evaluieren.

Ich habe das Skript einmal laufen lassen, dann NT6_SAFER.INF
installiert und das Skript nochmal laufen lassen. Nur

C:\Windows\Tasks\
C:\Windows\Temp\

haben dadurch ihre Farbe verändert.

--
<http://schneegans.de/web/kanonische-adressen/> · Gute URLs

[Christoph Schneegans]

Stefan Kanthak schrieb:

>> Auf einem nagelneuen Windows 7 (Ultimate, x86, Service Pack 1) ohne
>> SRPs konnte ich mit Benutzerrechten in folgenden Ordnern eine .cmd-
>> Datei ablegen und zur Ausführung bringen:
>>

>> (...)

>>
>> C:\Windows\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\
>
> Sollte fuer Benutzer nicht schreibbar sein.
>
>> C:\Windows\System32\spool\drivers\color\
>
> Sollte fuer Benutzer nicht schreibbar sein.

Okay, so ganz nagelneu war meine Installation doch nicht, denn ich
hatte bereits die Virtual Machine Additions von Virtual PC sowie
Opera installiert. Aber auf einem _wirklich_ frischen Windows 7 ist
das Ergebnis exakt dasselbe, sogar die UUID im Pfad stimmt überein.

Für die beiden o.g. Ordner habe ich mit einem Standardbenutzer
manuell mit Notepad eine .cmd-Datei erzeugt und erfolgreich zur
Ausführung gebracht. Die vier Ordner

C:\Windows\debug\WIA\
C:\Windows\System32\Tasks\

C:\Windows\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\

C:\Windows\System32\spool\drivers\color\

sind also unter Windows 7 definitiv anfällig.

> Der Parameter "/TrustLevel:" laesst sich nicht einzeln wegsperren,
> also bleibt nur die unschoene Loesung, RUNAS.EXE komplett zu
> blockieren.

Mist. Dann ist ja irgendwie mein ganzes Sicherheitskonzept
hinfällig.

--
<http://schneegans.de/frontpage/faq/> · FrontPage-FAQ

[Robert Jasiek]

Christoph Schneegans wrote:
>Ich will nichts auswerten, sondern testen, wie sich Windows "unterm
>Strich" praktisch und effektiv verhält.

>Ich habe das Skript einmal laufen lassen, dann NT6_SAFER.INF
>installiert und das Skript nochmal laufen lassen. Nur
>C:\Windows\Tasks\
>C:\Windows\Temp\
>haben dadurch ihre Farbe verändert.

Schön geschildert! :)

Hier gibt es eine ähnliche Untersuchung fragwürdiger Verzeichnisse:

http://www.wilderssecurity.com/showpost.php?s=5705c2939cc674ac8ea5d2775464b981&p=1658968&postcount=30

[Robert Jasiek]

Robert Jasiek wrote:
>Von AccessEnum ist allerdings dies übersehen worden:

>C:\Windows\System32\spool\drivers\color\

Auch das hat MrBrian schon erklärt:

http://www.wilderssecurity.com/showpost.php?s=5705c2939cc674ac8ea5d2775464b981&p=1680803&postcount=36

[Robert Jasiek]

Christoph Schneegans wrote:
>sogar die UUID im Pfad stimmt überein.

Ist offenbar standardmäßig vorgegeben, denn sonst wäre sie bei Wilders
und mir jeweils anders.

> Die vier Ordner
>
>C:\Windows\debug\WIA\
>C:\Windows\System32\Tasks\
>C:\Windows\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\
>C:\Windows\System32\spool\drivers\color\
>
>sind also unter Windows 7 definitiv anfällig.

Und offenbar noch ein paar mehr... Dein Verfahren scheint nicht
mächtig genug zu sein; vergleiche die anderen Quellen.

>Mist. Dann ist ja irgendwie mein ganzes Sicherheitskonzept
>hinfällig.

Macht nichts, denn du bist nicht der Erste mit dem REG-Ansatz (den ich
in seiner SRP-Anwendung übrigens gerade eben erst von dir neu gelernt
habe):

http://www.wilderssecurity.com/attachment.php?s=5705c2939cc674ac8ea5d2775464b981&attachmentid=214784&d=1263242875
http://www.wilderssecurity.com/showpost.php?s=5705c2939cc674ac8ea5d2775464b981&p=1604525&postcount=1

[Christoph Schneegans]

Robert Jasiek schrieb:

> Hier gibt es eine ähnliche Untersuchung fragwürdiger Verzeichnisse:
>
> http://www.wilderssecurity.com/showpost.php?s=5705c2939cc674ac8ea5d2775464b981&p=1658968&postcount=30

Na, ein paar Übereinstimmungen gibt es ja. :-) Ich hatte natürlich
weniger Treffer, weil meine Testumgebung 32-bittig ist und mein
Skript auch nicht versucht, sich Rechte zu verschaffen.

--
<http://schneegans.de/sv/> · Schema-Validator für XML

[Robert Jasiek]

Christoph Schneegans wrote:
>Ich hatte natürlich weniger Treffer, weil meine Testumgebung 32-bittig ist

Und weil du (so wie ich) nach Write gesucht hast. Dass du

C:\Windows\registration\CRMLog
C:\Windows\tracing

nicht gefunden hast, finde ich aber schon komisch (das scheint mir
bitunabhängig zu sein). Werden die Verzeichnisse vielleicht erst bei
Bedarf von Windows angelegt?

[Juergen]

Am 03.02.2012 06:27, schrieb Robert Jasiek:
> C:\Windows\registration\CRMLog
> C:\Windows\tracing
>
> nicht gefunden hast, finde ich aber schon komisch (das scheint mir
> bitunabhängig zu sein). Werden die Verzeichnisse vielleicht erst bei
> Bedarf von Windows angelegt?

Bei mir (Win7, 64bit) tragen beide Ordner das Erstellungsdatum
14.7.2009, Laptop aber erst Okt 2010 gekauft.

Unter Vorgängerversionen sieht es so aus, als wenn beide Ordner pi mal
Daumen 1x die Woche benutzt werden (wozu?), zumindest gibts etliche
Vorgängerversionen.

Was macht Windows mit diesen Ordnern?

Jürgen

[Stefan Kanthak]

"Christoph Schneegans" <Chri...@Schneegans.de> schrieb:

> Stefan Kanthak schrieb:
>
>>> Auf einem nagelneuen Windows 7 (Ultimate, x86, Service Pack 1) ohne
>>> SRPs konnte ich mit Benutzerrechten in folgenden Ordnern eine .cmd-
>>> Datei ablegen und zur Ausführung bringen:
>>>
>>> (...)
>>>
>>> C:\Windows\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\
>>
>> Sollte fuer Benutzer nicht schreibbar sein.
>>
>>> C:\Windows\System32\spool\drivers\color\
>>
>> Sollte fuer Benutzer nicht schreibbar sein.
>
> Okay, so ganz nagelneu war meine Installation doch nicht, denn ich
> hatte bereits die Virtual Machine Additions von Virtual PC sowie
> Opera installiert. Aber auf einem _wirklich_ frischen Windows 7 ist
> das Ergebnis exakt dasselbe, sogar die UUID im Pfad stimmt überein.

Mit "sollte" meinte ich nicht den "Ist"-, sondern den "Soll"-Zustand,
den Microsoft haette herstellen muessen.

Fuer "%SystemRoot%\System32\CatRoot2\{...}", "%SystemRoot%\Debug\WIA"
sowie "%SystemRoot%\System32\Tasks" und "%SystemRoot%\SysWoW64\Tasks"
habe ich SAFER-Regeln in die NT6_SAFER.INF eingebaut.

Fuer "%SystemRoot%\System32\Spool\Drivers\Color" empfehle ich dagegen:

CACLS.EXE "%SystemRoot%\System32\Spool\Drivers" /T /E /R Jeder

> Für die beiden o.g. Ordner habe ich mit einem Standardbenutzer
> manuell mit Notepad eine .cmd-Datei erzeugt und erfolgreich zur
> Ausführung gebracht. Die vier Ordner
>
> C:\Windows\debug\WIA\
> C:\Windows\System32\Tasks\
> C:\Windows\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\
> C:\Windows\System32\spool\drivers\color\
>
> sind also unter Windows 7 definitiv anfällig.
>
>> Der Parameter "/TrustLevel:" laesst sich nicht einzeln wegsperren,
>> also bleibt nur die unschoene Loesung, RUNAS.EXE komplett zu
>> blockieren.
>
> Mist. Dann ist ja irgendwie mein ganzes Sicherheitskonzept
> hinfällig.

D.h. Du verwendest RUNAS.EXE in Verknuepfungen und Batch-Dateien,
die Deine Benutzer ausfuehren (koennen sollen)?

Dann muesstest Du RUNAS.EXE ... entweder durch einen "Geplanten Task"
ersetzen, oder ein VBScript, das die Verknuepfungen/Batch-Dateien per
"RunAs"-Verb aufruft.

WScript.CreateObject("Shell.Application").NameSpace(...).Self.InvokeVerb "Ausfue&hren als"

[Christoph Schneegans]

Robert Jasiek schrieb:

> Dass du
>
> C:\Windows\registration\CRMLog
> C:\Windows\tracing
>
> nicht gefunden hast, finde ich aber schon komisch (das scheint mir
> bitunabhängig zu sein).

Exakt diese beiden Ordner findet das Skript zusätzlich, wenn es
außerdem versucht, jeder neu erstellten Datei mehr Rechte zu
verpassen:

New-Object System.Security.AccessControl.FileSystemAccessRule ("BUILTIN\Users", "ExecuteFile", "Allow")

[Christoph Schneegans]

Stefan Kanthak schrieb:

>>> Der Parameter "/TrustLevel:" laesst sich nicht einzeln wegsperren,
>>> also bleibt nur die unschoene Loesung, RUNAS.EXE komplett zu
>>> blockieren.
>>
>> Mist. Dann ist ja irgendwie mein ganzes Sicherheitskonzept
>> hinfällig.
>
> D.h. Du verwendest RUNAS.EXE in Verknuepfungen und Batch-Dateien,
> die Deine Benutzer ausfuehren (koennen sollen)?

Ach, Unsinn. Ich brauche nur eine Methode, um Prozesse als
Administrator zu starten. Das mache ich aber gar nicht mit
runas.exe, sondern fast immer mit "Run as..." auf einer
Verknüpfung. Gut, dann kann ich runas.exe ja einfach sperren.

--
<http://schneegans.de/usenet/microsoft-umzug/> · Auf nach de.*!

[Stefan Kanthak]

"Andreas Wenzke" <andreas...@gmx.de> schrieb:

Selbstverstaendlich! Die *_SAFER.INF sind (wie Service Packs) kumulativ.

Ich habe <http://home.arcor.de/skanthak/download/XP_SAFER.INF> sowie
<http://home.arcor.de/skanthak/download/NT6_SAFER.INF> aktualisiert
und einige weitere "Deny"-Regeln eingebaut.

Rueckmeldungen jeder Art sind ausdruecklich erwuenscht, meine hier
verwendeten und die auf der Arcor-Homepage sowie in den Skripten
angegebenen Mail-Adressen funktionieren.