Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Речь идет о *защите* 05.12.05 14:20 Число просмотров: 3616
Автор: amirul <Serge> Статус: The Elderman
|
> Во первых. Пользователю SYSTEM можно раздавать права и > привилегии так же как и остальныма другим. Правда > стандартная консоль раздачи прав этого не умеет, но это не > значит что это не возможно. > Во вторых. Системный процесс (сервис я так понимаю вы > имеете ввиду) можно запускать не только от имени > пользователя SYSTEM. Надо всего ничего указать логин и > пароль под которым он будет работать в его настройкахю
Если бы защита ограничивалась только стойкостью пароля, то никаких антивирусов с файрволами в помине не было бы. К сожалению в реальном мире в программах существуют ошибки, и эти ошибки иногда приводят к компроментированию безопасности (срыв стека в системном процессе - удаленное исполнение - удаленный шелл). Вот здесь то и возникает вопрос, а на фига ДАННОМУ системному процессу делать ВСЕ, что должны уметь другие процессы того же пользователя.
Пример: в IE открывается картинка, эксплоитирующая старую уязвимость с отображением bmp. В контексте IE запускается код злоумышленника. Это вводная.
Развитие событий при наиболее частом варианте:
Пользователь работает под административным аккаунтом и с его компьютером происходит ВСЕ, что заблагорассудится злоумышленнику
Развитие событий при правильной (но очень трудоемкой) настройке прав стандартными средствами:
Злоумышленник получает права пользователя. Если пользователю нужна работа с офисными приложениями - злоумышленник получает доступ ко всем документам (потому как тот же word будет запускаться от имени того же пользователя и соответствующие права будут этому пользователю выданы), если пользователь работает с почтовым клиентом, то аналогично с предыдущим случаем, злоумышленник получит полный доступ к архиву переписки, кроме того - полный доступ в HKCU (в том числе и ветку Run). Словом слегка ограниченный доступ, но все равно весьма большой
Развитие событий при назначении процессу iexplore.exe прав на запись ТОЛЬКО на временный каталог с кешем, куки и историю страниц, и на чтение из СВОЕЙ ветки реестра и системного каталога (dll-ки то нужны всем):
В лучшем случае злоумышленник сможет только просмотреть кеш и историю самого эксплорера. Ни оставить бекдор, ни заразить компьютер какой либо другой заразой он не может
Это просто принцип минимума прав. Если процессы друг от друга не отличаются (как субъекты при распределении прав), то права никак не являются минимальными: это суперпозиция ВСЕХ прав ВСЕХ процессов, которые будет запускать данный пользователь.
Идея здравая, но уж больно мне режет глаз апелляции к патентам. Тьфу
|
|
|