хитрая настройка NTFS permissions :: Microsoft Windows :: Компьютерный форум Ru.Board

Перейти из форума на сайт.

Новости • Файловые архивы
Поиск • Активные темы • Топ лист
Правила • Кто в on-line?

Вход • Забыли пароль? • Первый раз на этом сайте? • Регистрация

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » хитрая настройка NTFS permissions

Модерирует : KLASS, IFkO
Версия для печати • Подписаться • Добавить в закладки

Открыть новую тему

Написать ответ в эту тему

sdr77

Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

настройка нужна такая: чтобы простой пользователь не смог запустить ничего (включая любые скрипты) из тех директорий, где он имеет право на запись файлов. прежде всего это юзерский профиль.

чего я уже добился:

1) от имени SYSTEM выполняется такой скрипт:
@echo off
set pd=c:\Users
set uu=user1
set pu=%pd%\%pu%

echo Y|takeown.exe /F %pu% /R /D Y
:: владелец owner всех файлов и директорий в юзерском профиле SYSTEM

icacls.exe %pu% /grant:r SYSTEM:F %uu%:M /inheritance:r /T /C /L /Q
:: упростить права на профиль и никакого наследования.

icacls.exe %pu% /deny Everyone

X) /T /C /L /Q
:: собственно запретить выполнение

2) после обработки скриптом п.1. профиля уже лежащие скрипты user1 запустить не может.
но если он от себя создаст допустим Documents\test.cmd - то запустить может.

похоже я поторопился с блокировкой наследования. надо чтобы создаваемые юзером файлы (в т.ч в созаваемых юзером поддиректориях) откуда-то наследовали "deny Everyone

X)". откуда и а как это сделать ?

Добавлено:
похоже я поторопился с блокировкой наследования еще раз.
вновь создаваемые user1 поддиректории имеют права "user1:F" и владельца "user1"
т.е. внутри user1 имеет право творить что захочет.

Добавлено:
пока получилось вот чего:

echo off
set pd=c:\Users
set uu=user1
set pu=%pd%\%uu%
echo Y|takeown /F %pu% /R /D Y > nul

icacls.exe %pu% /reset /T /C /L /Q > nul
icacls.exe %pu% /grant:r SYSTEM:F %uu%:M /inheritance:r
icacls.exe %pu% /grant:r SYSTEM

OI)(CI)(F) %uu%

OI)(CI)(M)
icacls.exe %pu% /deny Everyone

OI)(CI)(X)

Всего записей: 386 | Зарегистр. 22-07-2005 | Отправлено: 12:05 29-05-2023 | Исправлено: sdr77, 12:06 29-05-2023

Dm5 Newbie	Редактировать \| Профиль \| Сообщение \| Цитировать \| Сообщить модератору А к чему эти извращения, если есть встроенный функционал белых список приложений?
	Всего записей: 9 \| Зарегистр. 06-10-2003 \| Отправлено: 06:40 20-06-2023

sdr77

Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Dm5
> встроенный функционал белых список приложений?

этих "встроенных функционалов" было несколько
1) старая. по именам exe. смешно и обходится очевидно.
2) новые: SRP, AppLocker: learn.microsoft.com/en-us/windows/security/application-security/application-control/windows-defender-application-control/applocker/using-software-restriction-policies-and-applocker-policies
ресурожрущие, по белому списку работать невозможно, AppLocker требует рабочего дефендера, от которого я и хотел избавиться.

хочу что-то легкое, быстрое, простое и очевидное. казалось бы что может быть проще эвристики W^X (W xor X) ?

я недавно вернулся к этой теме: http://forum.ru-board.com/topic.cgi?forum=62&topic=31417&start=1680#2

с подкруткой ntfs permissions все плохо. owner не наследуется, новые юзерские профили с нуля создаются со слабыми разрешениями, если закрутить - то не воспринимаются как профили и юзерам выдаются временные.

надо писать свой фильтр или вешать свой хук в ядро на запуск процесса, как это делать неизвестно.

Всего записей: 386 | Зарегистр. 22-07-2005 | Отправлено: 23:39 27-10-2023

danetz

Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Оин ззнакомый человек в давние времена схватил шифровальщик. Там было расширение dat. А запускался он легитимным rundll32 или нечто подобное. Да и элементарно - файл lnk. cmd /c и все ваши правила лесом идут. Не изобретайте велосипед.

Добавлено:
Кстати как бы не смешно было, линукс как вариант. Там из коробки прям ваш вариант идет

Всего записей: 400 | Зарегистр. 25-02-2012 | Отправлено: 00:20 28-10-2023

sdr77

Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

danetz
стандартных скриптовых интерпретаторов на винде мне известно 4:
cmd.exe, vbscript.exe, cscript.exe, powershell.exe (кажется command.com уже все).
все их запуски могут быть точно так же перехвачены и проанализированы: что они там запускают.
либо если лень, то все эти интерпретаторы могут быть убиты. я как админ могу использовать кое-что иное, а юзера обойдутся без.

rundll32 просто так убивать нельзя. придется анализировать - что он пытается запустить
и какие на это "что" эффективные права.

> Не изобретайте велосипед.

не велосипед. W^X на винде на юзерские файлы никто не делал с вероятностью 99% (1% - я этого не нашел хотя искал упорно).

ps: посмотрите сценарии реальных атак:

http://web.archive.org/web/20231005214741/https://habr.com/ru/companies/angarasecurity/articles/765406/

https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/ironpython-na-storone-zla/ и там по ссылкам.

все начинается с загрузки от юзера "чего-то" и запуска этого "чего-то". антивирусы на "что-то" не реагируют, хаксоры не дураки и проверяют свои самоходные программы по базам.

Всего записей: 386 | Зарегистр. 22-07-2005 | Отправлено: 00:37 28-10-2023

Skif_off

Gold Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

sdr77
Не проще проактивкой какой заблокировать, всё равно что-то антивирусное стоит обычно?
Фаером Comodo , помнится, неплохо огораживался, там и белые списки по имени/пути, там и папки прикрывал (чтение - как угодно, изменение содержимого файлов и каталогов - отлуп)..Для rundll32 тоже что-то подкручивал вроде, не помню.

Всего записей: 6490 | Зарегистр. 28-01-2008 | Отправлено: 10:00 28-10-2023

sdr77

Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Skif_off
все антивирусное обычно жырнющее, а сигнатурное еще и бесполезное.
но спасибо, я посмотрю Comodo что он умеет. и буду рад наводкам на аналоги.

> (чтение - как угодно, изменение содержимого файлов и каталогов - отлуп)

если это юзерские файлы внтури юзерского профиля, то юзер имеет полное право создавать, изменять и удалять как угодно (а вот выполнить - отлуп).

ps: и regsvr32 тоже.

Всего записей: 386 | Зарегистр. 22-07-2005 | Отправлено: 10:28 28-10-2023 | Исправлено: sdr77, 10:28 28-10-2023

danetz

Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

у вас иницаитором действия может служить файл пдф например. Или офисный файл с макросами. И запускаться может все из темпа. Или из папки на диске С. Варантов куча. Даже через калькулятор виндовый запускали чето недавно хацкеры...

Если пользователь вобще деревянный и не обучаемый, сделайте чтоб просто по циклу в пару секунд из загрузок удалялось все кроме jpg с котами.

Всего записей: 400 | Зарегистр. 25-02-2012 | Отправлено: 10:49 28-10-2023

sdr77

Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

danetz
> иницаитором действия может служить файл пдф например. Или офисный файл с макросами

pdf или xlsm или ttf - вообще неважно. юзер от которого запускается - не админ и не система ?
значит анализировать права и разрещать/обламывать само действие.
а чтобы меньше анализировать - запретить юзеру стандартные интерпретаторы скриптов вообще.

> И запускаться может все из темпа.

из юзерского или системного ? это важно. там права разные,
и юзер в системный темп просто так записать ничего не сможет.

> Или из папки на диске С.

хорошо. какие эффективные права у юзера на папку и на сам запускаемый файл ? это важно

> Варантов куча.

в том-то и сила W^X, что все варианты быстро разбираются и 1значно запрещаются или разрешаются.
и ничего вы против не придумаете, кроме rundll32/regsvr32, о которых мало кто знает
и которые придется специально обрабатывать (скорее всего просто запрещать для юзеров).

Добавлено:
я пока оставлю это здесь, а потом что-нибудь еще придумаю:
https://habr.com/ru/articles/544456/
https://github.com/diversenok/ExecutionMaster

Всего записей: 386 | Зарегистр. 22-07-2005 | Отправлено: 11:29 28-10-2023 | Исправлено: sdr77, 12:00 28-10-2023

Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

sdr77
Как вариант https://www.it-lines.ru/blogs/security/srp-luchshaya-besplatnaya-zashhita-ot-virusov

Вроде идея как раз в том, чтобы запретить запуск оттуда, где есть права на запись.

Вот тут ещё: https://www.sysadmins.lv/blog-ru/software-restriction-policies-podvedenie-itogov.aspx

Всего записей: 354 | Зарегистр. 01-08-2003 | Отправлено: 07:34 30-10-2023 | Исправлено: Rushmore, 07:37 30-10-2023

sdr77

Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Rushmore
как-то все слишком сложно:

"Помимо SCF добавьте ещё тип файлов WCF - это файл
сценария Windows, сегодня я словил такой вирус."

"В этом посте детально рассказано о непростом порядке
сортировки и применения множества правил SRP"

"решение, которое позволяет защитить SRP от подстановки ложных сертификатов"

"ещё один метод обхода политик SRP через шорткаты и обнаружение второй
достаточно серьёзной уязвимости SRP, которую закрыть достаточно сложно"

Всего записей: 386 | Зарегистр. 22-07-2005 | Отправлено: 13:26 30-10-2023

danetz

Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Мне кажется вы не оценили мой вариант с удаленим. Вобще гениальный. Дополню этот великий костыль) Чтоб пользователь мог качать архивы- вы убираете ассцоциацию с архивов, чтоб окрыть было нельзя кликом, но оставляете в меню возмжность распаковать через меню. И тогда скрипт и изунтри архива все вредонсы вычситит. Варант заразиться у поьзователя один - запустить файл быстрее, чем его удалит скрипт. Но вы можете повесить скрипт на файл мон. И тогда уже не успеете запустить даже вы, а не только ваша бабушка.

Ведь мы для ба это все делаем? Потому что я хз для кого делать такой комп-" консервную банку". На котором ниче не запустить и игруху не поставить.

Всего записей: 400 | Зарегистр. 25-02-2012 | Отправлено: 18:49 30-10-2023

Skif_off

Gold Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

sdr77

Цитата:

все антивирусное обычно жырнющее, а сигнатурное еще и бесполезное.
но спасибо, я посмотрю Comodo что он умеет. и буду рад наводкам на аналоги.

Это да, но про антивирусники и сигнатуры не говорил, привёл пример с Comodo, т.е. фаервол + проактивка.

Цитата:

если это юзерские файлы внтури юзерского профиля, то юзер имеет полное право создавать, изменять и удалять как угодно (а вот выполнить - отлуп).

Это был пример радикального подхода, в том случае, опасаясь шифровщиков, прикрыл папку с фотоархивом и некоторыми документами (типа статьи с PubMed в PDF: редактировать такие файлы ведь незачем).
Вообще, юзерский профиль с готовыми папками по категориям для своих файлов не использую очень давно и файлы там могут появляться только временно..

Всего записей: 6490 | Зарегистр. 28-01-2008 | Отправлено: 22:56 30-10-2023

sdr77

Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

danetz
предлагаю вам прекратить думать в терминах "архивы, документы, скрипты, линки, ...", вместо этого начать думать в терминах "процесс, его эффективный UID, запуск процесса, owner и права ntfs для файла из которого родился процесс". все резко упростится и понимание вас настигнет, я гарантирую это.

Skif_off
> юзерский профиль с готовыми папками по категориям для своих файлов не использую очень давно

радикально. если кто-то или что-то (доменная политика, локальная политика, secedit) начнет энфорсить ntfs права, что будет с вашими директориями ? а профили точно останутся.

Добавлено:
danetz
вдогонку:
> Потому что я хз для кого делать такой комп-" консервную банку".
> На котором ниче не запустить и игруху не поставить.

кому надо перелогинится от админа и поставит (кстати рекоимендация
"не работать от админа" наконец-то обретет настоящий смысл и пользу).

если не дурак - перелогинится от юзера и только тогда запустит.

у кого нет полномочий админа, пусть сидит в конс.банке и запускает то что дали.

Всего записей: 386 | Зарегистр. 22-07-2005 | Отправлено: 08:36 01-11-2023

danetz

Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Не надо учить мыслить, вы позавчера про ранддл ничего не знали)) И перелогиниваетесь до сих пор вместо ранэуса)))
Выкатывате давайте ваше решения - сравним с моим. Или вы дальше создания подпапки не продвинулись?

Всего записей: 400 | Зарегистр. 25-02-2012 | Отправлено: 17:10 01-11-2023

Открыть новую тему

Написать ответ в эту тему

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » хитрая настройка NTFS permissions

Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC