8
SRP und AppData
Aus Sicherheitsaspekten wäre es optimal, wenn Verzeichnisse, in denen ausführbare Programme liegen, für normale User schreibgeschützt wären, und in allen Verzeichnissen, in die der User hineinschreiben kann, die Ausführung von Programmen gesperrt wäre.
Das wird einem aus mehreren Gründen praktisch unmöglich gemacht:
1. Es gibt im Windows-Verzeichnis Unterverzeichnisse, die nicht schreibgeschützt sind.
2. Viele Programme installieren sich (oder Teile) in das Verzeichnis appdata/..., selbst Microsoft tut das.
Ad 1: Dies wäre lösbar, wenn man die betroffenen Verzeichnisse mit einem Schreibschutz für normale User versehen dürfte. Meine Frage: Darf man? (Wenn man darf: Warum sind sie dann nicht von Haus aus schreibgeschützt?)
(Hinweis: ich habe das jetzt nicht erneut überprüft. Ist das ggf. inzwischen behoben?)
Ad 2: Die betroffenen AppData-Unterverzeichnisse in den Griff zu bekommen (etwa durch Whitelisting) ist extrem zeitraubend. Wir können diese Zeit nicht aufbringen.
Gibt es ggf. ein AV-artiges Programm, das Programmaufrufe aus den betroffenen Verzeichnissen überwacht und meldet und dann ein komfortables Whitelisting unterstützt? Oder irgend etwas in diese Richtung?
Oder gibt es ein besseres Patentrezept?
Vielen Dank im Voraus, Ulrich
Das wird einem aus mehreren Gründen praktisch unmöglich gemacht:
1. Es gibt im Windows-Verzeichnis Unterverzeichnisse, die nicht schreibgeschützt sind.
2. Viele Programme installieren sich (oder Teile) in das Verzeichnis appdata/..., selbst Microsoft tut das.
Ad 1: Dies wäre lösbar, wenn man die betroffenen Verzeichnisse mit einem Schreibschutz für normale User versehen dürfte. Meine Frage: Darf man? (Wenn man darf: Warum sind sie dann nicht von Haus aus schreibgeschützt?)
(Hinweis: ich habe das jetzt nicht erneut überprüft. Ist das ggf. inzwischen behoben?)
Ad 2: Die betroffenen AppData-Unterverzeichnisse in den Griff zu bekommen (etwa durch Whitelisting) ist extrem zeitraubend. Wir können diese Zeit nicht aufbringen.
Gibt es ggf. ein AV-artiges Programm, das Programmaufrufe aus den betroffenen Verzeichnissen überwacht und meldet und dann ein komfortables Whitelisting unterstützt? Oder irgend etwas in diese Richtung?
Oder gibt es ein besseres Patentrezept?
Vielen Dank im Voraus, Ulrich
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 538136
Url: https://administrator.de/forum/srp-und-appdata-538136.html
Ausgedruckt am: 03.04.2025 um 16:04 Uhr
8 Kommentare
Neuester Kommentar
Moin Ulrich.
Definiere Whitelisting und gut ist. Willst Du stattdessen unbedingt blacklisting, dann schau Dir Application Whitelisting - Umgang mit Systemdateien an.
Definiere Whitelisting und gut ist. Willst Du stattdessen unbedingt blacklisting, dann schau Dir Application Whitelisting - Umgang mit Systemdateien an.
Ich erkenne nicht ganz, ob Du mich auf den Arm nehmen willst. Zu einem manuellen Whitelisting sehen wir uns zeitlich nicht in der Lage. Ich könnte mir folgende Lösung vorstellen:
1. Alle Windows-Unterverzeichnisse mit Schreibschutz für normale User versehen. (Funktioniert das? Oder läuft dann nichts mehr?)
2. Scan mit einem Programm über das Verzeichnis AppData mit Erzeugung einer Hashtabelle (= "Whitelist").
3. Warnung bei Ausführung, wenn Code ausgeführt werden soll, dessen Hash nicht vorliegt. Der Hash sollte dann komfortabel in die Hashtabelle (Whitelist) aufgenommen werden können.
Ist das naiv? Gibt es so etwas?
Ulrich
Was du suchst @UserUW gibt es schon. Nennt sich Avecto Defenpoint.
Wenn du so willst kannst du das Tool als Applocker Advanced betrachten.
Siehe: http://produkte.exclusive-networks.de/local/presales/avecto.html
Grüße!
Wenn du so willst kannst du das Tool als Applocker Advanced betrachten.
Siehe: http://produkte.exclusive-networks.de/local/presales/avecto.html
Grüße!
Hallo.
Nein, ich meine das Ernst. Natürlich ist das bei SRP ein ordentlicher Aufwand, aber es ist immer noch weitaus besser als Blacklisting und Verzeichnisrechte verbiegen. SRP wird nicht länger von MS supportet und wird eventuell in zukünftigen Versionen ganz entfallen, nebenbei bemerkt. Applocker hingegen ist supportet und erlaubt sogar das automatische Erstellen von Whitelisten ("erlaube alles, was Stand jetzt auf der Kiste ist") - das kann SRP leider nicht.
Nein, ich meine das Ernst. Natürlich ist das bei SRP ein ordentlicher Aufwand, aber es ist immer noch weitaus besser als Blacklisting und Verzeichnisrechte verbiegen. SRP wird nicht länger von MS supportet und wird eventuell in zukünftigen Versionen ganz entfallen, nebenbei bemerkt. Applocker hingegen ist supportet und erlaubt sogar das automatische Erstellen von Whitelisten ("erlaube alles, was Stand jetzt auf der Kiste ist") - das kann SRP leider nicht.
1. Alle Windows-Unterverzeichnisse mit Schreibschutz für normale User versehen. (Funktioniert das? Oder läuft dann nichts mehr?)
Hinterfrage doch mal, welche Verzeichnisse das sind und warum Microsoft den Nutzern dort Rechte gegeben hat. Ich habe accesschk.exe verlinkt und ein Kommando, mit dem Du die Verzeichnisse findest. Ich denke nicht, dass das läuft ohne Funktionsverlust.2. Scan mit einem Programm über das Verzeichnis AppData mit Erzeugung einer Hashtabelle (= "Whitelist").
Das Nutzerprofil muss beschreibbar bleiben. Diese Hashtabelle wird also nicht aktuell bleiben können.3. Warnung bei Ausführung, wenn Code ausgeführt werden soll, dessen Hash nicht vorliegt. Der Hash sollte dann komfortabel in die Hashtabelle (Whitelist) aufgenommen werden können.
Dritthersteller, siehe Mayho.Zitat von @DerWoWusste:
SRP wird nicht länger von MS supportet und wird eventuell in zukünftigen Versionen ganz entfallen, nebenbei bemerkt. Applocker hingegen ist supportet...
SRP wird nicht länger von MS supportet und wird eventuell in zukünftigen Versionen ganz entfallen, nebenbei bemerkt. Applocker hingegen ist supportet...
Zur Zeit gibt es Applocker ja nicht für die Pro-Version. Sollte dann aber kommen!
Ich habe accesschk.exe verlinkt und ein Kommando, mit dem Du die Verzeichnisse findest. Ich denke nicht, dass das läuft ohne Funktionsverlust.
Danke, habe aber keinen Link o.ä. gefunden.
Ulrich
Du hast keinen Link gefunden? In meinem ersten Kommentar steht er doch.
War etwas kryptisch formuliert! Aber Danke, Ulrich
Ist nicht unsere Liga. Die reden nur mit einem, wenn man mindestens 500 Arbeitsplätze bestücken will...
"Die reden nur..." ist dabei vielleicht irreführend. Das Gespräch war sehr kompetent und sehr freundlich, aber eben nix für uns.
