stefankittel
Goto Top

Fragen zu SRP im allgemeinen und speziellen

Hallo,

SRP ist ja eine feine Sache.
Damit lassen sich nur noch vorher festgelegte Programme ausführen.

Dazu habe ich mal Fragen an die Jungs mit der Praxis.

1. Wie sieht das mit Sub-Prozessen aus?
Ich starte ein Programm XYZ.exe
Dieses startet wiederum ein Unterprogramm XYTsub1.exe mit CreateProzess. Nicht über ShellExec.
Muss XYZsub1.exe in der Liste der erlaubten Anwendungen sein oder reicht es wenn XYZ.exe erlaubt ist.

2. Wie sieht es mit Makros aus?
Eine PDF die ein Word-Makro enthält.
Das Word-Makro erstellt eine VBS-Datei und startet diese.
Alle Programme (PDF, Word, VBS) sind erlaubt. Also dürfte hier SRP keine Vorteile bringen oder?

3. Was ist mit den neuen In-Memory-Programmen?
Hier wird das Programm direkt im Speicher erstellt und gestartet.
Es gibt keine Datei im Dateisystem.
Was bringt SRP hier?

Danke und viele Grüße

Stefan

Content-Key: 340757

Url: https://administrator.de/contentid/340757

Ausgedruckt am: 29.03.2024 um 08:03 Uhr

Mitglied: DerWoWusste
DerWoWusste 15.06.2017 aktualisiert um 19:47:33 Uhr
Goto Top
Hi.

1 Ich denke es reicht. Aber testen müsste man es eh.
2 keine Vorteile
3 kein Schutz

Ich hoffe, ich stelle es nicht zu pauschal dar. Lies auch mal https://www.sysadmins.lv/blog-en/powershell-50-and-applocker-when-securi ... - da zitiert jemand allen Ernstes das Microsoft Security response team mit dem Satz
Applocker is not a security feature. This feature was never designed as a security boundary. Instead, it was designed for compliance – to help organizations control which application are in use in their environments, reduce helpdesk calls regarding unauthorized software, etc. As such, MSRC does not consider methods that bypass this feature to be security vulnerabilities.
Wie geil... auch der Rest des Artikels samt Teil 2 ist lesenswert.

Applocker Design Guide Noch als Zusatz
Mitglied: C.R.S.
C.R.S. 17.06.2017 um 07:22:21 Uhr
Goto Top
Hallo Stefan,

Zitat von @StefanKittel:

1. Wie sieht das mit Sub-Prozessen aus?
Ich starte ein Programm XYZ.exe
Dieses startet wiederum ein Unterprogramm XYTsub1.exe mit CreateProzess. Nicht über ShellExec.
Muss XYZsub1.exe in der Liste der erlaubten Anwendungen sein oder reicht es wenn XYZ.exe erlaubt ist.

Bei SRP reicht es, bei Applocker nicht (jeweils für Standardnutzer-Prozesse).

2. Wie sieht es mit Makros aus?
Eine PDF die ein Word-Makro enthält.
Das Word-Makro erstellt eine VBS-Datei und startet diese.

Das Makro wird nicht von Applocker oder SRP kontrolliert, die veranlasste Ausführung des VBS durch den WSH hingegen schon. Ein Problem sind nicht kompatible, erlaubte Script-Hosts auf dem System.

3. Was ist mit den neuen In-Memory-Programmen?
Hier wird das Programm direkt im Speicher erstellt und gestartet.

Der existierender bösartiger Prozess, der so vorgeht, würde SRP sinnigerweise nicht implementieren und somit umgehen. Für Applocker würde es jedoch keinen Unterschied machen. Die Kontrollpunkte von Applocker sind die Erzeugung eines Prozesses, das Laden einer DLL oder Anfragen kompatibler Script-Hosts. Das ist nicht zu verwechseln mit der Überprüfungsweise der Berechtigung. Applocker fängt insbesondere nicht das Lesen/Ausführen aus dem Dateisystem ab, wie vielleicht die Regeln suggerieren. In dem Beispiel würde die Ausführung mangels eines überprüfbaren Dateisystemobjekts blockiert.

Grüße
Richard