Ochrana Windowsu nastaveniami Windowsu a ine moznosti

[Tatry03]

K teme som nasiel aj toto:

http://www.cleverandsmart.cz/vite-jak-m ... asi-firme/

[Tatry03]

Nemuselo by ist ani o velke zasahy, len s pomocou NTFS zakazat tomu uzivatelov write zapis vsade, okrem svojho domovskeho adresara/profilu. V danom profile mozne este zrusit aj prikaz na EXECUTE. Ak aj nieco stiahne, tak si to nespusti....

Ako by sa toto realizovalo prakticky?
Ktory je "domovsky adresar/profil" ?

A nie je to tak uz "od vyroby" ? Napriklad ulozit obrazok nemozno len tak do zlozky Windows.

[KEO]

Nemuselo by ist ani o velke zasahy, len s pomocou NTFS zakazat tomu uzivatelov write zapis vsade, okrem svojho domovskeho adresara/profilu. V danom profile mozne este zrusit aj prikaz na EXECUTE. Ak aj nieco stiahne, tak si to nespusti....

Ako by sa toto realizovalo prakticky?
Ktory je "domovsky adresar/profil" ?

A nie je to tak uz "od vyroby" ? Napriklad ulozit obrazok nemozno len tak do zlozky Windows.

Ide o adresar pouzivatela: Documents and settings/meno vo WinXP a v novsich adresar Users.

Defaultne je nieco obmedzene, ale nie dost.

[Tatry03]

Tieto nastavenia, teda znizenie prav uctu, sami o sebe nedokazu navodit stav "uplneho bezpecia".
To by bo asi bolo prilis jednoduche.
Novsie Winy maju funkcionalitu - "Rodicovska kontrola", ktora umoznuje nastavit napr. filtrovanie webov, casu povoleneho pristupu a povolenie pouzivania len urcitych programov. To je zaujimave, mohla by byt aj toto cesta? Dokaze tato funkcia zabranit spusteniu nejakeho "smejda"?

[KEO]

Tieto nastavenia, teda znizenie prav uctu, sami o sebe nedokazu navodit stav "uplneho bezpecia".
To by bo asi bolo prilis jednoduche.
Novsie Winy maju funkcionalitu - "Rodicovska kontrola", ktora umoznuje nastavit napr. filtrovanie webov, casu povoleneho pristupu a povolenie pouzivania len urcitych programov. To je zaujimave, mohla by byt aj toto cesta? Dokaze tato funkcia zabranit spusteniu nejakeho "smejda"?

Stav "uplneho bezpecia" sa navodzuje inak. Tam je zakladom zaloha a hodnota RTO /recovery time objective/, virtualizacia aplikacie alebo jej streaming, virtualizacia celeho systemu - alebo len virtualizacia zmien v systeme. Dolezite je, za aky cas je PC schopne dostat sa zo stavu nebezpecneho /zavireneho/, do stavu bezpecneho /nezavireneho/. Ciest, ako to urobit je viacero. Kedze vsak dnesne systemy su dynamicke a neustale sa menia, je problem zistit, kedy je system OK a kedy nie. Preto tvrdim, ze ak je system bezpecny v urcitom stave, je treba ho do takeho stavu vratit, aby bolo garantovane, ze vsetko je, ako ma byt. Potom mame bezpecny system a zaroven sa tolko nemusi uzivatel obmedzovat.

Okrem toho PC nemusi byt jediny problem. Skrz taketo chyby v prehliadacoch:

http://www.dsl.sk/article.php?article=16114

bolo, ci je mozne, este modifikovat SSL certifikaty a vytvarat falosne. V kombinacii s napadnutim routera a pozmenenim DNS serverov, je tak mozne presmerovat pristup niekde inde a komplet odchytavat hesla napr. do internetbankingu. SSL certifikat pritom bude sa tvarit, ze je dobry a nikto nebude mat ziadne podozrenie. Malware sa prihlasi tak ako nejake proxy a skrz hesla uzivatela, do realneho internetbankingu. Vsetky zadavane autentifikacie tak budu odhalene a bez podozrenia. Potom uz si staci pockat len na to, aby sa analyzovalo, kedy ide trebars platba, nechat si vygenerovat inu platbu a tvarit sa, ze je to povodna platba. Uzivatel by tak mohol overit inu platbu, nez chcel.

Ale aj proti napadnutiu routera su postupy, ako sa takemuto utoku chranit, alebo vyhnut, ak bol aktivovany.

Novsie funkcie windows, nie su ziadne novinky z pohladu bezpecnosti. Rodicovska kontrola je pre kontrolu rodicov, malware ju bude moct obchadzat. Aby bola ucinna, tak tieto funkcie by mal skor riesit pristupovy bod na internet, teda router. Potom z PC nebude mozne obchadzat tak lahko to, co je zakazane.

Povolenia pouzivania len urcitych programov, je urcita cesta, ale hodne obmedzena. Zakaze sa vsetko a povoli len to, co sa potrebuje. Smejdi tak maju obmedzene pole na instalaciu. Naviac z mojej skusenosti, cim viac sa toho zakazuje, tym viac sa uzivatelia to snazia obchadzat - ci uz vrtanim sa do systemu, alebo nepouzivanim daneho PC a pouzivanim vlastnych zariadeni. Plus sa tym obmedzi pole posobnosti aj legitimnemu software, lebo kazdu chvilu bude treba robit vynimky.

[Tatry03]

Rozumiem tomu, ze uzivatelia sa mozu citit obmedzeny, ak im PC nedovoli spustit hocijaku "ftakovinu" .

Otazne potom moze byt, ci vobec ma zmysel nejako rozoberat nastavenia a opatrenia, ked viac menej jedinou cestou je, neustale sa vracanie k "bezpecnemu stavu PC". Teda pri neznalosti toho, kedy je pocitac infiltrovany/nakazeny, je potrebne sa vratit k stavu, kedy vieme, ze nebol....

[KEO]

Rozumiem tomu, ze uzivatelia sa mozu citit obmedzeny, ak im PC nedovoli spustit hocijaku "ftakovinu" .

Otazne potom moze byt, ci vobec ma zmysel nejako rozoberat nastavenia a opatrenia, ked viac menej jedinou cestou je, neustale sa vracanie k "bezpecnemu stavu PC". Teda pri neznalosti toho, kedy je pocitac infiltrovany/nakazeny, je potrebne sa vratit k stavu, kedy vieme, ze nebol....

Lenze s kazdym pouzitim PC moze byt to vracanie sa do cisteho stavu.... pokial sa to stiha rychlo.

[radek178]

1) Nepoužívejte bezpečnostní programy (antimalware, firewally)
a) Nepoužívejte antimalware včetně antivirů. Nepoužívejte všelijaké internet security balíky. Defendera zakažte v nouzovém režimu.
b) Nepoužívejte firewall třetí strany, windows firewall na blokování síťové komunikace stačí.

Super rada. Takze jednoduse. I kdyby AV zachytil pouze polovicku ze smejdu, smerujicich do konkretniho PC, tak je to vyrazny posileni bezpecnosti a ty o to uzivatele, ktery ma problem rozeznat prilohu .pdf od .exe, pripravujes jen tim, ze si jaksi s AV netykas. Par takovych supermachru znam. Kolikrat se nekteri z nich pak divi, ze maji ze svyho PC botnet nebo maji confickery, rootkity a jiny libustky, od kterych by je AV mohl ochranit. Minimalne od velke vetsiny techto smejdu. Docela me zarazi tva registrace pred nedavnem a zda se, ze jen kvuli tomuto tematu.

"Malware již několik let nepotřebuje proto, aby se uhnízdil v systému, účet administrátora" Tak jednak to není pravda, pokud se systémem myslí systém a ne to co patří uživatelskému účtu, a jednak kdy tomu bylo jinak? A je jasné, že pokud něco běží pod uživatelským účtem tak to obecně má vliv na onoho uživatele,

Tak ty ses asi fakt srandista nebo blazen. Takze pokud uzivatel bude slepe nasledovat rad nekterych cvoku jako ses ty, kteri doporucuji pouzit user ucet a nedoporucuji pouzivat zadny AV, tak si zaviruji svuj ucet, ale muzou si zatleskat, protoze si nezaviruji system. Tohle je nejhorsi rada, kterou muzou dostat, protoze pokud si zaviruji ucet (a user ucet jde bez problemu zavirovat), tak muzou byt treba okradeni, ale hlavne, ze jim system zustane neinfikovanej a muzou si zalozit dalsi user ucet.... Uz te vubec nekdy napadlo, ze i ty AV a treba nektere antimalware muzou klidne zachytit pres 90% smejdu z urcite oblasti? I kdyby to bylo jen 40%, tak je to skoro polovicni zvyseni bezpecnosti v jedne oblasti. Takze pokud by AV uzivatel pouzil na svym user uctu, velice silne tim snizuje riziko nakazeni.

Jeste maly dodatek. zkuste si nekdo Avast v agresivnim modu. Z cca 5000 souobru, ktery jeho AV databaze neoznacila jako viry selhal jen u 2. Pro BFU idealni doplnek, pokud mu to nekdo nastavi.

[potomac]

I kdyby AV zachytil pouze polovicku ze smejdu, smerujicich do konkretniho PC, tak je to vyrazny posileni bezpecnosti a ty o to uzivatele, ktery ma problem rozeznat prilohu .pdf od .exe, pripravujes jen tim, ze si jaksi s AV netykas.

Problém rozlišit pdf a exe myslím až takový není a pokud by mohl nastat, rozhodně nebude problém rozlišit pdf a exe při spuštění. Problém rozeznat pdf a exe při spuštění by mohli tak akorát naprosto slabomyslní jedinci, ale ti těžko budou mít například internetové bankovnictví nebo něco podobného, případně by s tím mohli mít problém jedinci, kteří na bezpečnost vyloženě kašlou. A podle mě máš na mysli právě tady ty jedince, kteří na bezpečnost vyloženě kašlou, jenže aby řešili bezpečnost na pc, tak ji můžou řešit jedině tak, že na ni kašlat nebudou (viz ten můj příspěvek, který cistuješ a co je smyslem a podstatou toho příspěvku), ne že si nainstalují antivir nebo jak jsi to hezky napsal: "I kdyby AV zachytil pouze polovicku ze smejdu, smerujicich do konkretniho PC, tak je to vyrazny posileni bezpecnosti" ... Jednoduše řečeno, pokud kašlou na bezpečnost a směřuje jejich chybou hromada malware na jejich pc, tak opravdu jejich bezpečnost nevyřeší antivir ale nekašlání na bezpečnost. Mám ti snad ukázat rozdíl mezi spuštěním pdf přílohy a exe přílohy aby bylo jasné, že ten rozdíl každý neslabomyslný jedinec nekašlající na bezpečnost bezpečně pozná? Klidně můžeme rozebrat i jiné způsoby toku malware na pc.
Já si tykám s bezpečností na pc, pokud chcou oni mít bezpečno na pc, tak to není o tom si tykat s antivirem nebo ne, ale o tom, co jsem psal.

Par takovych supermachru znam. Kolikrat se nekteri z nich pak divi, ze maji ze svyho PC botnet nebo maji confickery, rootkity a jiny libustky, od kterych by je AV mohl ochranit. Minimalne od velke vetsiny techto smejdu.

To je sice hezké, ale zrovna jsi uvedl příklad těch, co nedodržovali něco z toho, co jsem psal. A ty máš antivir? A ty znáš lidi, co mají antivir? Určitě ano. Mohl bys mi tu psát vždy konkrétní příklad toho, kdy antivir ochránil pc? Rozebereme si je, ano? Myslím tím i se zdrojem malwaru, konkrétní mail, soubor, web... a to hlavní, chyb, kterých se dopustil uživatel svým kašláním na bezpečnost.

Docela me zarazi tva registrace pred nedavnem a zda se, ze jen kvuli tomuto tematu.

Ano, zaregistroval jsem se kvůli tomuto tématu. Já očekával od tohoto vlákna něco bombastického, přípravy trvající měsíce a bylo z toho, no raději bez komentáře. To je něco špatného a zarážejícího? Každý tu měl určitě nějaký důvod registrace, naprostá většina proto, že si zatáhla malware na pc/notebook, to je naopak pro mě zarážející. A když už tu mám nick a zajdu sem, tak se snažím poradit s tím, co vím, z čistého altruismu.

"Malware již několik let nepotřebuje proto, aby se uhnízdil v systému, účet administrátora" Tak jednak to není pravda, pokud se systémem myslí systém a ne to co patří uživatelskému účtu, a jednak kdy tomu bylo jinak? A je jasné, že pokud něco běží pod uživatelským účtem tak to obecně má vliv na onoho uživatele,

Tak ty ses asi fakt srandista nebo blazen. Takze pokud uzivatel bude slepe nasledovat rad nekterych cvoku jako ses ty, kteri doporucuji pouzit user ucet a nedoporucuji pouzivat zadny AV, tak si zaviruji svuj ucet, ale muzou si zatleskat, protoze si nezaviruji system. Tohle je nejhorsi rada, kterou muzou dostat, protoze pokud si zaviruji ucet (a user ucet jde bez problemu zavirovat), tak muzou byt treba okradeni, ale hlavne, ze jim system zustane neinfikovanej a muzou si zalozit dalsi user ucet.... Uz te vubec nekdy napadlo, ze i ty AV a treba nektere antimalware muzou klidne zachytit pres 90% smejdu z urcite oblasti? I kdyby to bylo jen 40%, tak je to skoro polovicni zvyseni bezpecnosti v jedne oblasti. Takze pokud by AV uzivatel pouzil na svym user uctu, velice silne tim snizuje riziko nakazeni.
Jeste maly dodatek. zkuste si nekdo Avast v agresivnim modu. Z cca 5000 souobru, ktery jeho AV databaze neoznacila jako viry selhal jen u 2. Pro BFU idealni doplnek, pokud mu to nekdo nastavi.

Já obecně nedoporučoval v tomto textu user účet. To co jsi komentoval je jen můj komentář k tomu nepřesnému výroku v uvedeném odkaze citoveném hned na začátku. Takže to ohledně srandisty a blázna se spíš hodí na tebe.
Co se týče doporučení používat uživatelský účet, uvedl jsem to tu:

3) Tipy pro bezpečnější používání systému
b) Pokud máte problém s bezpečností na počítači tak nepoužívejte pro běžnou činnost administrátorský účet ale standardní účet.

Neboli například ti, kdo kašlou na bezpečnost nebo jsou slabomyslní, tak by měli používat pouze uživatelský účet. Což je naprosto logické. A důvod:

A je jasné, že pokud něco běží pod uživatelským účtem tak to obecně má vliv na onoho uživatele, co pod adminem, tak na všechno, což se tam píše, ale tak nějak divně.

A přidám ten komentář, který jsem komentoval a je z uvedeného webu:

Pokud budete surfovat pod účtem administrátor, ohrožujete především ostatní uživatele daného počítače, protože malware se pak bude moci zapsat hluboko do systému a napadnout každého, kdo se přihlásí.

Takže to, co jsem psal já, smyl dáva, zato to, co jsi mi psal ty, moc ne.
A co se týče řešení bezpečnosti, včetně oněh slabomyslných a těch, kteří na bezpečnost kašlou, jsem ti už komentoval.

[Tatry03]

Dennis technology labs opat vydali spravu o prinose aktualizacii na bezpecnost. (Precitame, spracujeme. )
http://www.dennistechnologylabs.com

Samozrejme je viac moznych pristupov k otazke zabezpecenia. Schopnosti a moznosti uzivatela vsak budu do kazdeho konceptu vstupovat vyznamnou mierou.
Napriklad odporucanie: Neotvarat neocakavane prilohy? Ak niekto dostava desiatky emailov denne, moze realne overovat u kazdeho odosielatela, poslal si mi prilohu s nazvom xyz? Keby to boli aj dva emaily denne, kto to realne bude robit?

[potomac]

Napriklad odporucanie: Neotvarat neocakavane prilohy? Ak niekto dostava desiatky emailov denne, moze realne overovat u kazdeho odosielatela, poslal si mi prilohu s nazvom xyz? Keby to boli aj dva emaily denne, kto to realne bude robit?

Co se týče konkrétně pouze onoho ověřování, platí to pouze pro neznámé nebo nestandardní maily s přílohou. Pokud se budeme bavit řádově o běžném předpokládaném počtu potřeby ověřit mail, tak se bavíme o počtu maximálně dvou mailů za rok. A tento stupeň je spíš informační, stejně se pak přistupuje k mailu podle toho, co obsahuje.

[KEO]

POTOMAC:

Já očekával od tohoto vlákna něco bombastického, přípravy trvající měsíce a bylo z toho, no raději bez komentáře.

Toto vlakno sluzi ako diskusia medzi ludmi, co ich zaujima bezpecnost. Nehybe sa to tu preto, ze vela ludi stagnuje a prichadza len na to, pasivne prijmat nejake napady, bez toho, aby sa aspon podelili o nazory na zabezpecenie. Prave opacne nazory, ako mava autor prispevku, posuvaju diskusiu vpred.

Informacie su davkovane postupne, lebo nema zmysel vybafnut hned dezert, ked sme sa nedostali ani k predjedlu.

Naviac, bolo tu nacrtnutych dost rieseni, ako sa to da urobit bezpecne, ale zda sa, ze ziadne z rieseni, skoro nikoho podrobnejsie nezaujima. Z toho vyplyva, ze bude je to kazdemu jasne a nema sa co pytat, alebo na to ludia kaslu a maju to na haku.

Ako som pisal, riesenia existuju, su nasadene aj v realnom prostredi cca 1-2 roky a zatial nebol zaznamenany jediny pripad naburania systemov. Pritom ako OS su WinXP SP3 bez dalsich aktualizacii.

[caRrrnifex.]

nápad založit toto téma byl výborný, provedení strašné, k čemu jsou uživateli mraky obecných rad, které tady dáváte?

KEO bylo by fajn diskutovat o bezpečnosti, kdyby si tady napsal, jakým způsobem Windows upravit, aby byl bezpečnější, myslím tím ale konkrétní rady typu "klikněte tam a tam, změňte tohle a tohle, dosáhnete tím toho a toho", tyhle obecné rady a teoretizování jsou pro mě k ničemu (sorry za upřímnost)

[KEO]

nápad založit toto téma byl výborný, provedení strašné, k čemu jsou uživateli mraky obecných rad, které tady dáváte?

KEO bylo by fajn diskutovat o bezpečnosti, kdyby si tady napsal, jakým způsobem Windows upravit, aby byl bezpečnější, myslím tím ale konkrétní rady typu "klikněte tam a tam, změňte tohle a tohle, dosáhnete tím toho a toho", tyhle obecné rady a teoretizování jsou pro mě k ničemu (sorry za upřímnost)

Diskusia je vhodna skor pre ludi, co o bezpecnosti nieco vedia. Povedzme, ze tu vypustim mnou pouzivane riesenia, t.j. odhalim vsetky karty a dam tak navod na to, ako utocit na takto zabezpecene systemy. Ohrozim tak ludi, ktori na ne spoliehaju.

Toto nikdy nemal byt navod, ale diskusia. Pri ktorej sa ma kazdy nieco naucit, alebo dostat iny nazor na problematiku.

Naviac, sam pouzivam OS windows dost personalizovany s osobnymi nastaveniami pre uzivatelov. Niektore nastavenia sa zas nedaju robit, na standardne instalovanom systeme, alebo su neucinne.

Mozme ist k jednotlivym temam detailnejsie, ale konkretne riesenie, navod - tu nebude nikdy. Tie riesenia totiz musi byt uzivatel schopny aj akceptovat, alebo sa daju nasadit pre isty okruh prace a pri inom style su nepouzitelne, lebo by to bolo pre uzivatela neprakticke.

Bolo tu popisane viacero moznosti, staci si nejaku vybrat a mozeme ju rozoberat viac. Kto sa pyta, ten sa dozvie.

Ziadna z moznosti, ale nefunguje - tuto kliknem, nastavim a je to bezpecne. Bezpecnost je proces a samotne zabezpecenie obsahuje mnozstvo nastaveni, ktore mozu byt pre kazdeho uzivatela, ci konfiguraciu ine. Staci nejake vynechat a uz sa to minie ucinkom.

Btw, tato diskusia nevznikla za ucelom teoretizovania. Jej vysledkom maju byt prakticke skusenosti, rady. Vsetko o com hovorim, sa realne pouziva a existuje.

[Pavuk29]

KEO
vitaj v realite