Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

SRP und AppData

Mitglied: UserUW

UserUW (Level 1) - Jetzt verbinden

22.01.2020 um 19:51 Uhr, 278 Aufrufe, 8 Kommentare

Aus Sicherheitsaspekten wäre es optimal, wenn Verzeichnisse, in denen ausführbare Programme liegen, für normale User schreibgeschützt wären, und in allen Verzeichnissen, in die der User hineinschreiben kann, die Ausführung von Programmen gesperrt wäre.

Das wird einem aus mehreren Gründen praktisch unmöglich gemacht:

1. Es gibt im Windows-Verzeichnis Unterverzeichnisse, die nicht schreibgeschützt sind.
2. Viele Programme installieren sich (oder Teile) in das Verzeichnis appdata/..., selbst Microsoft tut das.

Ad 1: Dies wäre lösbar, wenn man die betroffenen Verzeichnisse mit einem Schreibschutz für normale User versehen dürfte. Meine Frage: Darf man? (Wenn man darf: Warum sind sie dann nicht von Haus aus schreibgeschützt?)

(Hinweis: ich habe das jetzt nicht erneut überprüft. Ist das ggf. inzwischen behoben?)

Ad 2: Die betroffenen AppData-Unterverzeichnisse in den Griff zu bekommen (etwa durch Whitelisting) ist extrem zeitraubend. Wir können diese Zeit nicht aufbringen.

Gibt es ggf. ein AV-artiges Programm, das Programmaufrufe aus den betroffenen Verzeichnissen überwacht und meldet und dann ein komfortables Whitelisting unterstützt? Oder irgend etwas in diese Richtung?

Oder gibt es ein besseres Patentrezept?


Vielen Dank im Voraus, Ulrich
Mitglied: DerWoWusste
22.01.2020 um 20:21 Uhr
Moin Ulrich.

Definiere Whitelisting und gut ist. Willst Du stattdessen unbedingt blacklisting, dann schau Dir https://administrator.de/wissen/application-whitelisting-umgang-systemda ... an.
Bitte warten ..
Mitglied: UserUW
22.01.2020 um 23:53 Uhr
Zitat von DerWoWusste:
Definiere Whitelisting und gut ist...

Ich erkenne nicht ganz, ob Du mich auf den Arm nehmen willst. Zu einem manuellen Whitelisting sehen wir uns zeitlich nicht in der Lage. Ich könnte mir folgende Lösung vorstellen:

1. Alle Windows-Unterverzeichnisse mit Schreibschutz für normale User versehen. (Funktioniert das? Oder läuft dann nichts mehr?)

2. Scan mit einem Programm über das Verzeichnis AppData mit Erzeugung einer Hashtabelle (= "Whitelist").

3. Warnung bei Ausführung, wenn Code ausgeführt werden soll, dessen Hash nicht vorliegt. Der Hash sollte dann komfortabel in die Hashtabelle (Whitelist) aufgenommen werden können.

Ist das naiv? Gibt es so etwas?

Ulrich
Bitte warten ..
Mitglied: mayho33
23.01.2020 um 00:32 Uhr
Was du suchst @UserUW gibt es schon. Nennt sich Avecto Defenpoint.

Wenn du so willst kannst du das Tool als Applocker Advanced betrachten.

Siehe: http://produkte.exclusive-networks.de/local/presales/avecto.html

Grüße!
Bitte warten ..
Mitglied: DerWoWusste
23.01.2020 um 08:54 Uhr
Hallo.

Nein, ich meine das Ernst. Natürlich ist das bei SRP ein ordentlicher Aufwand, aber es ist immer noch weitaus besser als Blacklisting und Verzeichnisrechte verbiegen. SRP wird nicht länger von MS supportet und wird eventuell in zukünftigen Versionen ganz entfallen, nebenbei bemerkt. Applocker hingegen ist supportet und erlaubt sogar das automatische Erstellen von Whitelisten ("erlaube alles, was Stand jetzt auf der Kiste ist") - das kann SRP leider nicht.

1. Alle Windows-Unterverzeichnisse mit Schreibschutz für normale User versehen. (Funktioniert das? Oder läuft dann nichts mehr?)
Hinterfrage doch mal, welche Verzeichnisse das sind und warum Microsoft den Nutzern dort Rechte gegeben hat. Ich habe accesschk.exe verlinkt und ein Kommando, mit dem Du die Verzeichnisse findest. Ich denke nicht, dass das läuft ohne Funktionsverlust.

2. Scan mit einem Programm über das Verzeichnis AppData mit Erzeugung einer Hashtabelle (= "Whitelist").
Das Nutzerprofil muss beschreibbar bleiben. Diese Hashtabelle wird also nicht aktuell bleiben können.

3. Warnung bei Ausführung, wenn Code ausgeführt werden soll, dessen Hash nicht vorliegt. Der Hash sollte dann komfortabel in die Hashtabelle (Whitelist) aufgenommen werden können.
Dritthersteller, siehe Mayho.
Bitte warten ..
Mitglied: UserUW
23.01.2020 um 11:01 Uhr
Zitat von DerWoWusste:
SRP wird nicht länger von MS supportet und wird eventuell in zukünftigen Versionen ganz entfallen, nebenbei bemerkt. Applocker hingegen ist supportet...

Zur Zeit gibt es Applocker ja nicht für die Pro-Version. Sollte dann aber kommen!

Ich habe accesschk.exe verlinkt und ein Kommando, mit dem Du die Verzeichnisse findest. Ich denke nicht, dass das läuft ohne Funktionsverlust.

Danke, habe aber keinen Link o.ä. gefunden.

Ulrich
Bitte warten ..
Mitglied: DerWoWusste
23.01.2020 um 11:33 Uhr
Du hast keinen Link gefunden? In meinem ersten Kommentar steht er doch.
Bitte warten ..
Mitglied: UserUW
23.01.2020 um 22:57 Uhr
Zitat von DerWoWusste:
Du hast keinen Link gefunden? In meinem ersten Kommentar steht er doch.

War etwas kryptisch formuliert! Aber Danke, Ulrich
Bitte warten ..
Mitglied: UserUW
23.01.2020 um 23:01 Uhr
Zitat von mayho33:
Was du suchst @UserUW gibt es schon. Nennt sich Avecto Defenpoint.

Ist nicht unsere Liga. Die reden nur mit einem, wenn man mindestens 500 Arbeitsplätze bestücken will...

"Die reden nur..." ist dabei vielleicht irreführend. Das Gespräch war sehr kompetent und sehr freundlich, aber eben nix für uns.
Bitte warten ..
Ähnliche Inhalte
Backup

Verzeichnisse AppData Roaming und AppData Local automatisch sichern

Frage von imebroBackup33 Kommentare

Ich würde gerne die Verzeichnisse "C:\Users\xxxx\AppData\Roaming" und "C:\Users\xxxx\AppData\Local" mit meiner täglichen automatischen Sicherung sichern. Die Sicherung läuft mit dem ...

Windows Userverwaltung

SRP wird nicht mehr aktiv Weiterentwickelt

Frage von geocastWindows Userverwaltung4 Kommentare

Guten Abend zusammen Beim durchfliegen der Featureliste von Windows 10 1803 ist mir der Punkt aufgefallen Feature no longer ...

Windows Userverwaltung

APPDATA auf Terminal-Server

Frage von UnderhillWindows Userverwaltung4 Kommentare

Hallo liebe Community, sicherlich gibt es zu meinem Anliegen schon zahlreiche Forenbeiträge. Leider habe ich allerdings noch nicht die ...

Sicherheitsgrundlagen

Fragen zu SRP im allgemeinen und speziellen

Frage von StefanKittelSicherheitsgrundlagen2 Kommentare

Hallo, SRP ist ja eine feine Sache. Damit lassen sich nur noch vorher festgelegte Programme ausführen. Dazu habe ich ...

Neue Wissensbeiträge
Administrator.de Feedback
Hinweise auf Dienstleister oder auf Suchmaschinen
Information von Frank vor 2 TagenAdministrator.de Feedback71 Kommentare

Lieber User, Admins und Moderatoren, aus gegebenen Anlass möchte ich zwei Dinge endgültig klarstellen und für die Nachwelt festhalten: ...

Router & Routing

PfSense 2.4 IPSec VPN mobile Clients Phase 2 wird plötzlich nicht mehr aufgebaut - So einfach war die Lösung

Tipp von the-buccaneer vor 2 TagenRouter & Routing9 Kommentare

Moinsen! Nachdem ich mir hierbei nen Wolf gesucht habe, möchte ich doch die Welt an dieser simplen Lösung teilhaben ...

Humor (lol)
Wählscheiben Telefon
Information von brammer vor 3 TagenHumor (lol)4 Kommentare

Hallo, Mal wirkliche eine nette Spielerei brammer

Sicherheit

Zeitenwende: Mehr pot. Mac- (Heise Wortlaut) als Windowsbedrohungen

Information von certifiedit.net vor 4 TagenSicherheit4 Kommentare

Wir hatten es ja hier erst letztens, dass OS bzw Mac auch nicht der Weisheit letzter Schluss ist, nun ...

Heiß diskutierte Inhalte
Netzwerke
Instagram Fake Account
Frage von NurangnNetzwerke18 Kommentare

Hey Leute, Ich bin neu hier und hätte eine Frage. Und zwar werden mein Freund und ich von Mehreren ...

Server-Hardware
Verkaufe mein HomeLab - Hat jemand Interesse?
Frage von BirdyBServer-Hardware13 Kommentare

Hallo miteinander, auf Grund eines bald bevorstehenden Umzugs, chronischer Nichtnutzung und des sehr eingeschränkten FAF (Frauen-Akzeptanz-Faktors) möchte ich mein ...

Hyper-V
HyperV Cluster nachträglich in neue Domäne einbinden - Fehler Livemigration
Frage von bierzapferHyper-V13 Kommentare

Hallo zusammen, wir haben einen neuen HyperV Cluster implementiert und die produktive Gesamtstruktur inkl. produktiver Domäne auf neue Win2019 ...

LAN, WAN, Wireless
Wie bekomme ich die WLAN Verbindung hin
Frage von McPittyLAN, WAN, Wireless9 Kommentare

Habe eine Video Cam, Canon Legria HF G 40 welche über eine WLAN Verbindung mit einem Tablet verbunden ist. ...