Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

SRP und AppData

Mitglied: UserUW

UserUW (Level 1) - Jetzt verbinden

22.01.2020 um 19:51 Uhr, 652 Aufrufe, 8 Kommentare

Aus Sicherheitsaspekten wäre es optimal, wenn Verzeichnisse, in denen ausführbare Programme liegen, für normale User schreibgeschützt wären, und in allen Verzeichnissen, in die der User hineinschreiben kann, die Ausführung von Programmen gesperrt wäre.

Das wird einem aus mehreren Gründen praktisch unmöglich gemacht:

1. Es gibt im Windows-Verzeichnis Unterverzeichnisse, die nicht schreibgeschützt sind.
2. Viele Programme installieren sich (oder Teile) in das Verzeichnis appdata/..., selbst Microsoft tut das.

Ad 1: Dies wäre lösbar, wenn man die betroffenen Verzeichnisse mit einem Schreibschutz für normale User versehen dürfte. Meine Frage: Darf man? (Wenn man darf: Warum sind sie dann nicht von Haus aus schreibgeschützt?)

(Hinweis: ich habe das jetzt nicht erneut überprüft. Ist das ggf. inzwischen behoben?)

Ad 2: Die betroffenen AppData-Unterverzeichnisse in den Griff zu bekommen (etwa durch Whitelisting) ist extrem zeitraubend. Wir können diese Zeit nicht aufbringen.

Gibt es ggf. ein AV-artiges Programm, das Programmaufrufe aus den betroffenen Verzeichnissen überwacht und meldet und dann ein komfortables Whitelisting unterstützt? Oder irgend etwas in diese Richtung?

Oder gibt es ein besseres Patentrezept?


Vielen Dank im Voraus, Ulrich
Mitglied: DerWoWusste
22.01.2020 um 20:21 Uhr
Moin Ulrich.

Definiere Whitelisting und gut ist. Willst Du stattdessen unbedingt blacklisting, dann schau Dir https://administrator.de/wissen/application-whitelisting-umgang-systemda ... an.
Bitte warten ..
Mitglied: UserUW
22.01.2020 um 23:53 Uhr
Zitat von DerWoWusste:
Definiere Whitelisting und gut ist...

Ich erkenne nicht ganz, ob Du mich auf den Arm nehmen willst. Zu einem manuellen Whitelisting sehen wir uns zeitlich nicht in der Lage. Ich könnte mir folgende Lösung vorstellen:

1. Alle Windows-Unterverzeichnisse mit Schreibschutz für normale User versehen. (Funktioniert das? Oder läuft dann nichts mehr?)

2. Scan mit einem Programm über das Verzeichnis AppData mit Erzeugung einer Hashtabelle (= "Whitelist").

3. Warnung bei Ausführung, wenn Code ausgeführt werden soll, dessen Hash nicht vorliegt. Der Hash sollte dann komfortabel in die Hashtabelle (Whitelist) aufgenommen werden können.

Ist das naiv? Gibt es so etwas?

Ulrich
Bitte warten ..
Mitglied: mayho33
23.01.2020 um 00:32 Uhr
Was du suchst @UserUW gibt es schon. Nennt sich Avecto Defenpoint.

Wenn du so willst kannst du das Tool als Applocker Advanced betrachten.

Siehe: http://produkte.exclusive-networks.de/local/presales/avecto.html

Grüße!
Bitte warten ..
Mitglied: DerWoWusste
23.01.2020 um 08:54 Uhr
Hallo.

Nein, ich meine das Ernst. Natürlich ist das bei SRP ein ordentlicher Aufwand, aber es ist immer noch weitaus besser als Blacklisting und Verzeichnisrechte verbiegen. SRP wird nicht länger von MS supportet und wird eventuell in zukünftigen Versionen ganz entfallen, nebenbei bemerkt. Applocker hingegen ist supportet und erlaubt sogar das automatische Erstellen von Whitelisten ("erlaube alles, was Stand jetzt auf der Kiste ist") - das kann SRP leider nicht.

1. Alle Windows-Unterverzeichnisse mit Schreibschutz für normale User versehen. (Funktioniert das? Oder läuft dann nichts mehr?)
Hinterfrage doch mal, welche Verzeichnisse das sind und warum Microsoft den Nutzern dort Rechte gegeben hat. Ich habe accesschk.exe verlinkt und ein Kommando, mit dem Du die Verzeichnisse findest. Ich denke nicht, dass das läuft ohne Funktionsverlust.

2. Scan mit einem Programm über das Verzeichnis AppData mit Erzeugung einer Hashtabelle (= "Whitelist").
Das Nutzerprofil muss beschreibbar bleiben. Diese Hashtabelle wird also nicht aktuell bleiben können.

3. Warnung bei Ausführung, wenn Code ausgeführt werden soll, dessen Hash nicht vorliegt. Der Hash sollte dann komfortabel in die Hashtabelle (Whitelist) aufgenommen werden können.
Dritthersteller, siehe Mayho.
Bitte warten ..
Mitglied: UserUW
23.01.2020 um 11:01 Uhr
Zitat von DerWoWusste:
SRP wird nicht länger von MS supportet und wird eventuell in zukünftigen Versionen ganz entfallen, nebenbei bemerkt. Applocker hingegen ist supportet...

Zur Zeit gibt es Applocker ja nicht für die Pro-Version. Sollte dann aber kommen!

Ich habe accesschk.exe verlinkt und ein Kommando, mit dem Du die Verzeichnisse findest. Ich denke nicht, dass das läuft ohne Funktionsverlust.

Danke, habe aber keinen Link o.ä. gefunden.

Ulrich
Bitte warten ..
Mitglied: DerWoWusste
23.01.2020 um 11:33 Uhr
Du hast keinen Link gefunden? In meinem ersten Kommentar steht er doch.
Bitte warten ..
Mitglied: UserUW
23.01.2020 um 22:57 Uhr
Zitat von DerWoWusste:
Du hast keinen Link gefunden? In meinem ersten Kommentar steht er doch.

War etwas kryptisch formuliert! Aber Danke, Ulrich
Bitte warten ..
Mitglied: UserUW
23.01.2020 um 23:01 Uhr
Zitat von mayho33:
Was du suchst @UserUW gibt es schon. Nennt sich Avecto Defenpoint.

Ist nicht unsere Liga. Die reden nur mit einem, wenn man mindestens 500 Arbeitsplätze bestücken will...

"Die reden nur..." ist dabei vielleicht irreführend. Das Gespräch war sehr kompetent und sehr freundlich, aber eben nix für uns.
Bitte warten ..
Ähnliche Inhalte
Backup

Verzeichnisse AppData Roaming und AppData Local automatisch sichern

Frage von imebroBackup33 Kommentare

Ich würde gerne die Verzeichnisse "C:\Users\xxxx\AppData\Roaming" und "C:\Users\xxxx\AppData\Local" mit meiner täglichen automatischen Sicherung sichern. Die Sicherung läuft mit dem ...

Windows Userverwaltung

SRP wird nicht mehr aktiv Weiterentwickelt

Frage von geocastWindows Userverwaltung4 Kommentare

Guten Abend zusammen Beim durchfliegen der Featureliste von Windows 10 1803 ist mir der Punkt aufgefallen Feature no longer ...

Windows Userverwaltung

APPDATA auf Terminal-Server

Frage von UnderhillWindows Userverwaltung4 Kommentare

Hallo liebe Community, sicherlich gibt es zu meinem Anliegen schon zahlreiche Forenbeiträge. Leider habe ich allerdings noch nicht die ...

Sicherheitsgrundlagen

Fragen zu SRP im allgemeinen und speziellen

Frage von StefanKittelSicherheitsgrundlagen2 Kommentare

Hallo, SRP ist ja eine feine Sache. Damit lassen sich nur noch vorher festgelegte Programme ausführen. Dazu habe ich ...

Neue Wissensbeiträge
Monitoring

Unabhängiger Ansatz - IoT (frei von Cloud- oder Appzwang) - Hier mit Schaltsteckdosen

Anleitung von beidermachtvongreyscull vor 1 TagMonitoring1 Kommentar

Tach Kollegen, ich erzähle Euch mal von meiner Ausgangslage und den/m Problem(chen) Ich benutze ein NAS zur Lagerung meiner ...

Microsoft
Microsoft Advanced Threat Protection for Linux
Information von Dani vor 3 TagenMicrosoft

Microsoft Defender Advanced Threat Protection (MD ATP) support for Linux with kernel version 3.10.0-327 or later, including the following ...

Humor (lol)
! ! Today ist SysAdmin-Day ! !
Information von VGem-e vor 5 TagenHumor (lol)5 Kommentare

Moin, "Happy Birthday" an alle Systemadministratoren, Mausschubser, System-/EDV-Betreuer, SysOps etc!! Siehe auch. Edit (Video hinzugefügt): Gruß VGem-e

Exchange Server
Basic Authentication and Exchange Online
Information von Dani vor 7 TagenExchange Server

Today we are pleased to announce some new changes to Modern Authentication controls in the Microsoft 365 Admin Center, ...

Heiß diskutierte Inhalte
Google Android
Handy gehackt ? - Gegemassnahmen
Frage von hushpuppiesGoogle Android26 Kommentare

Hallo zusammen, folgendes Szenario: Kollegin kommt heute zu mir und erzählt, dass ihre Tochter gestern über WhatsApp von einem ...

Ausbildung
Wie wird man zum Systemadministrator?
gelöst Frage von DavidHergAusbildung25 Kommentare

Guten Abend zusammen, Ich hatte hier schon ein paar Fragen gestellt, und mir wurde super weiter geholfen! Ich mache ...

Windows Server
DCPromo bleibt bei Migration Server 2008R2 auf 2016 hängen
gelöst Frage von Leo-leWindows Server20 Kommentare

Hallo Forum, wir sind gerade dabei, unsere beiden DCs auf Server 2016 zu migrieren. Aktuell hängt der zusätzlich ins ...

Windows Server
Windows-NAS zum sekundären DNS-Server machen?
Frage von DanielG1974Windows Server18 Kommentare

Moin. Wer so ein bissel meine Situation meiner Arbeitsstelle kennt Mein Chef hat immer noch keinen neuen ESXi-Server angeschafft. ...

Weniger Werbung?
Administrator Magazin
07 | 2020 In der Juli-Ausgabe beleuchtet das IT-Administrator Magazin den Themenschwerpunkt "Monitoring & Support". Darin zeigt die Redaktion unter anderem, wie Sie die Leistung von Terminalservern im Blick behalten und welche Neuerungen das Ticketsystem OTRS 8 mitbringt. Auch die Überwachung von USV-Anlagen darf nicht fehlen. In ...