SRP und AppData

Aus Sicherheitsaspekten wäre es optimal, wenn Verzeichnisse, in denen ausführbare Programme liegen, für normale User schreibgeschützt wären, und in allen Verzeichnissen, in die der User hineinschreiben kann, die Ausführung von Programmen gesperrt wäre.

Das wird einem aus mehreren Gründen praktisch unmöglich gemacht:

1. Es gibt im Windows-Verzeichnis Unterverzeichnisse, die nicht schreibgeschützt sind.
2. Viele Programme installieren sich (oder Teile) in das Verzeichnis appdata/..., selbst Microsoft tut das.

Ad 1: Dies wäre lösbar, wenn man die betroffenen Verzeichnisse mit einem Schreibschutz für normale User versehen dürfte. Meine Frage: Darf man? (Wenn man darf: Warum sind sie dann nicht von Haus aus schreibgeschützt?)

(Hinweis: ich habe das jetzt nicht erneut überprüft. Ist das ggf. inzwischen behoben?)

Ad 2: Die betroffenen AppData-Unterverzeichnisse in den Griff zu bekommen (etwa durch Whitelisting) ist extrem zeitraubend. Wir können diese Zeit nicht aufbringen.

Gibt es ggf. ein AV-artiges Programm, das Programmaufrufe aus den betroffenen Verzeichnissen überwacht und meldet und dann ein komfortables Whitelisting unterstützt? Oder irgend etwas in diese Richtung?

Oder gibt es ein besseres Patentrezept?


Vielen Dank im Voraus, Ulrich

Content-Key: 538136

Url: https://administrator.de/contentid/538136

Ausgedruckt am: 16.09.2021 um 10:09 Uhr

Mitglied: DerWoWusste
DerWoWusste 22.01.2020 um 20:21:52 Uhr
Goto Top
Moin Ulrich.

Definiere Whitelisting und gut ist. Willst Du stattdessen unbedingt blacklisting, dann schau Dir https://administrator.de/wissen/application-whitelisting-umgang-systemda ... an.
Mitglied: UserUW
UserUW 22.01.2020 um 23:53:06 Uhr
Goto Top
Zitat von @DerWoWusste:
Definiere Whitelisting und gut ist...

Ich erkenne nicht ganz, ob Du mich auf den Arm nehmen willst. Zu einem manuellen Whitelisting sehen wir uns zeitlich nicht in der Lage. Ich könnte mir folgende Lösung vorstellen:

1. Alle Windows-Unterverzeichnisse mit Schreibschutz für normale User versehen. (Funktioniert das? Oder läuft dann nichts mehr?)

2. Scan mit einem Programm über das Verzeichnis AppData mit Erzeugung einer Hashtabelle (= "Whitelist").

3. Warnung bei Ausführung, wenn Code ausgeführt werden soll, dessen Hash nicht vorliegt. Der Hash sollte dann komfortabel in die Hashtabelle (Whitelist) aufgenommen werden können.

Ist das naiv? Gibt es so etwas?

Ulrich
Mitglied: mayho33
mayho33 23.01.2020 um 00:32:07 Uhr
Goto Top
Was du suchst @UserUW gibt es schon. Nennt sich Avecto Defenpoint.

Wenn du so willst kannst du das Tool als Applocker Advanced betrachten.

Siehe: http://produkte.exclusive-networks.de/local/presales/avecto.html

Grüße!
Mitglied: DerWoWusste
DerWoWusste 23.01.2020 um 08:54:04 Uhr
Goto Top
Hallo.

Nein, ich meine das Ernst. Natürlich ist das bei SRP ein ordentlicher Aufwand, aber es ist immer noch weitaus besser als Blacklisting und Verzeichnisrechte verbiegen. SRP wird nicht länger von MS supportet und wird eventuell in zukünftigen Versionen ganz entfallen, nebenbei bemerkt. Applocker hingegen ist supportet und erlaubt sogar das automatische Erstellen von Whitelisten ("erlaube alles, was Stand jetzt auf der Kiste ist") - das kann SRP leider nicht.

1. Alle Windows-Unterverzeichnisse mit Schreibschutz für normale User versehen. (Funktioniert das? Oder läuft dann nichts mehr?)
Hinterfrage doch mal, welche Verzeichnisse das sind und warum Microsoft den Nutzern dort Rechte gegeben hat. Ich habe accesschk.exe verlinkt und ein Kommando, mit dem Du die Verzeichnisse findest. Ich denke nicht, dass das läuft ohne Funktionsverlust.

2. Scan mit einem Programm über das Verzeichnis AppData mit Erzeugung einer Hashtabelle (= "Whitelist").
Das Nutzerprofil muss beschreibbar bleiben. Diese Hashtabelle wird also nicht aktuell bleiben können.

3. Warnung bei Ausführung, wenn Code ausgeführt werden soll, dessen Hash nicht vorliegt. Der Hash sollte dann komfortabel in die Hashtabelle (Whitelist) aufgenommen werden können.
Dritthersteller, siehe Mayho.
Mitglied: UserUW
UserUW 23.01.2020 um 11:01:14 Uhr
Goto Top
Zitat von @DerWoWusste:
SRP wird nicht länger von MS supportet und wird eventuell in zukünftigen Versionen ganz entfallen, nebenbei bemerkt. Applocker hingegen ist supportet...

Zur Zeit gibt es Applocker ja nicht für die Pro-Version. Sollte dann aber kommen!

Ich habe accesschk.exe verlinkt und ein Kommando, mit dem Du die Verzeichnisse findest. Ich denke nicht, dass das läuft ohne Funktionsverlust.

Danke, habe aber keinen Link o.ä. gefunden.

Ulrich
Mitglied: DerWoWusste
DerWoWusste 23.01.2020 um 11:33:21 Uhr
Goto Top
Du hast keinen Link gefunden? In meinem ersten Kommentar steht er doch.
Mitglied: UserUW
UserUW 23.01.2020 um 22:57:17 Uhr
Goto Top
Zitat von @DerWoWusste:
Du hast keinen Link gefunden? In meinem ersten Kommentar steht er doch.

War etwas kryptisch formuliert! Aber Danke, Ulrich
Mitglied: UserUW
UserUW 23.01.2020 um 23:01:12 Uhr
Goto Top
Zitat von @mayho33:
Was du suchst @UserUW gibt es schon. Nennt sich Avecto Defenpoint.

Ist nicht unsere Liga. Die reden nur mit einem, wenn man mindestens 500 Arbeitsplätze bestücken will...

"Die reden nur..." ist dabei vielleicht irreführend. Das Gespräch war sehr kompetent und sehr freundlich, aber eben nix für uns.
Heiß diskutierte Beiträge
question
235 Prozent gelöscht! Panik!erikroVor 1 TagFrageHumor (lol)9 Kommentare

Moin, der Moment, in dem das Herz stehen bleibt, wenn man auf dem Server ein altes Profil löscht und diese Anzeige sieht: NEIN! HÖR AUF! ...

info
Israelische Sicherheitsfirma kauft im großen Stil VPN-AnbieterLochkartenstanzerVor 1 TagInformationErkennung und -Abwehr15 Kommentare

Moin, Weil viel hier meinen, sie nutzen einen VPN-Anbieter im Ausland, um sich vor den "Behörden" zu verstecken. Die israelische Sicherheitsfirma Kape Securities kauf im ...

question
CIS Härtung Server 2019BloodyRulzVor 1 TagFrageWindows Server9 Kommentare

Hallo zusammen, wie fange ich an?! So viele Fragen. Wir haben verschiedene WinServer2019 Maschinen. Diese sind alle stand-alone. Der Auftrag von unserem Kunden lautet, diese ...

question
Netzwerkstruktur für ein Unternehmen errichtennasir21Vor 1 TagFrageNetzwerke17 Kommentare

Hallo liebes Forum :) Ich habe eine Ausbildung zum Fachinformatiker für Systemintegration gestartet und nun auch meine erste, kleine Projektaufgabe erhalten. Die Aufgabenstellung lautet wie ...

question
Welcher Harddisk Typ und welches Raid in ServerMazenauerVor 23 StundenFrageServer-Hardware20 Kommentare

Grüezi zusammen Was würdet ihr - stand heute und jetzt - für einen Raid Typ erstellen und mit was für Disks? Wünschenswert wäre Ausfallsicherheit von ...

question
Drucker Gäste WLANmarkaurelVor 18 StundenFrageLAN, WAN, Wireless19 Kommentare

Hallo zusammen und bitte um eure Hilfe! Ich hab in einer kleinen Schule ein LAN aufgebaut. Mit der Zeit kam natürlich auch der Bedarf an ...

question
Virtualisierungsprojekt für die FacharbeitVentimonusVor 15 StundenFrageVirtualisierung14 Kommentare

Heyho, Ich habe mal ein paar fragen, bezüglich meines Abschlussprojektes, ob das alles überhaupt so Sinnig ist wie ich es mir denke. Kurz zur Erläuterung: ...

general
Backup "to go" für Laptops - wie macht ihr das? gelöst GrinskeksVor 1 TagAllgemeinBackup11 Kommentare

Hallo zusammen, ich frage mich gerade wie ihr das Thema Laptop und Backup angeht. Bei uns sollen nun einige Laptops angeschafft werden und ich tendiere ...