Odpoved z inej temy pre:
caRrrnifex. píše:
@ KEO: SmartScreen ve Windows XP se vztahoval pouze k IE, od Windows 8 je to vestavěná funkce OS - pleteš jabka a hrušky; Tvoje custom řešení opravdu neznám, ale trochu mě děsí - jak zalepíš díry v kódu Windows XP? pokud odkazuješ na téma, tak doporučení typu spouštějte něco pod jiným účtem je neúčinné - většina virů získává práva účtu System; používání RAM disku je k čemu? je to jen další oddíl s rychlým přístupem, jak to ale řeší bezpečnost? mazat tempy můžeš i skripty po spuštění, v čem je bonus navíc? jak mi pomůže, když mám od všeho zálohy, když dojde ke krádeži firemního know-how při využití děr OS, to řešíš jak? tipy v tématu se určitě dají využít a při jejich kombinování se systém stává bezpečnějším, ale pořád je to Tvoje iluze o bezpečnosti starého OS promiň, jestli jsem hloupý, ale bez konkrétních tipů Ti moc nevěřím a radši bych svěřil data záplatovanému OS s pár úpravami v zabezpečení než podnikat (pro mě) krkolomné variace na bezpečnost ve starém OS, ale třeba se pletu
-----------------
Takze znovu napisem - uplne konkretny byt nemozem. Hovorit vsetko o svojom zabezpeceni je ako, ukazat navod, mapu a zaroven poskytnut moznost vytvorenia konkretneho utoku.
Preto budem len navadzat sposoby, ktorymi je to mozne urobit bezpecne. Pojem bezpecne je vsak relativny. Pre mna znamena bezpecne to, ze su minimalizovane dopady a skody.
ad smartscreen - zistovanie nebezpecnych pripon fungovalo ako lokalne, tak aj na subory spustane zo siete. Ze to zabezpecoval samotny IE, ktory bol v tych casoch sucast systemu, je jedno.
jak zalepíš díry v kódu Windows XP?
- su diery o ktorych vieme a tie o ktorych nevieme. Kym bol WinXP podporovany, dali sa vyuzivat aktualizacie, ale platilo detto. Diery o ktorych nevieme byvaju najvacsie hrozby. Preto spoliehanie sa na aktualizacie, riesi problem iba ciastocne.
- diery v systeme su z nejakeho dovodu /pretoze je nieco zle nastavene, alebo chybne/. Ale system ma tolko vela casti, ze na istej urovni staci urobit zmenu a instalacia, alebo prienik nebude zdareny.
- ked uzivatel pouziva USERS ucty s nizkymi opravneniami a zaroven pouziva read only profil, alebo osekane NTFS opravnenia v zlozkach, kde si aplikacie ukladaju svoje data / i docasne/, tak bez pristupoveho prava v NTFS na execute, neni mozne ich bezne spustit /pokial tam neni nejake zranitelnost/. Vacsina malware sa dnes riesi socialnym inzinierstvom.
- detto, ak pouzivame k tomu GroupPolicy na zablokovanie software, tak mozeme mat velmi vela toho, co nepojde ani spustit, ani instalovat.
- podobne metody vytvara aj napr. Kaspersky client na staniciach /alebo iny SW/, kde je zoznam povoleneho SW, ciastocne povoleneho napr. na aktualizacie, alebo vsetko zakazane. Blacklisty, whitelisty.
vo firmach sa da robit naviac este:
- antivirova ochrana u providera
- antivirova ochrana na postovom serveri a internetovej brane
a potom uz klasicky -
- antivirova ochrana koncovej stanice
- antivirova ochrana postoveho klienta, webu, realtime
Pri osekanych opravneniach uzivatelskeho profilu, mozeme mat tiez osekane opravnenia aplikacii.
Tu su moznosti ako:
- virtualizacia aplikacie vo vlastnom systeme
- virtualizacia aplikacie v cudzom systeme a streaming aplikacie na desktop /napr. Terminalove sluzby servera alias Remote Desktop, alebo VNC server, alebo ine stremovanie aplikacii napr. z Linucu/. V takom pripade sa prenasa len obrazovka a neni mozne infikovat realny system.
- alebo sa tieto metody este daju kombinovat so systemom bleskovej obnovy zo zaloh
- pripadne sa pouziva varianta, kde sa nove zmeny neulozia
- alebo sa pouzije read only system /napr. z liveCD, alebo flash/
- alebo sa pouzije jednorazovy system - napr. 1x pouzitie systemu a ten je na CF karte a tie sa striedaju/a prepisuju/
- alebo nie su data vobec v stanici a vsetko je na serveroch
- alebo PC nema ani HDD a vyuziva sa PXE boot po sieti.
V dalsich kombinaciach zase sa extra dolezite data, alebo zariadenia mozu prevadzkovat v oddelenej VLANe, pripadne este moze byt PC na VLANe iba ako predvoj a k nemu je nepristupna dualna siet, z ktorej PC nemoze ist nikde, ani na internet a nemoze ho nic ohrozit, maximalne tak to jedno PC pred nim. Ale ani to nie, ak sa tam pouzivaju podobne metody a kombinuju sa na vsetkych PC.
No a data ? Je uplne jedno, ake mate privilegia, ak uzivatel povoluje a klika na cokolvek a potvrdi to.
Lenze degradovanim uzivatelskych opravneni mozete zabezpecit napr. to, ze tam, kde sa spustaju subory z browserov, posty atd... tam si uzivatel klikne a da instalovat a nic sa nestane. Proste to bude system ignorovat.
Ochrana pred ransomware zase moze byt riesena viacnasobnymi zalhami, kde prve pre rychlost su v pocitaci lokalne /pre ochranu sifrovane/. Kde cast dat je pristupna a archivne kopie su v nepristupnej casti, kde ma pristup len jeden uzivatel a trebars aj syste uctu su su tam odoprete opravnenia... Zaroven si moze zalohovaci server vyberat tieto data a ukladat ich dalej do nepristupnych zloziek. To je ochrana pred znicenim /sifrovanie pred odcudzenim/. Samozrejme vo viac variantach, aby sa zachovavali rozne verzie suborov.
Takze suma sumarum, ak sa nieco nezname dostane do systemu, nespusti sa. Ak sa spusti, neuskodi. Ak chce skodit a pacha skody, tak naprava je trivialna. Ak sa to dostane do systemu, tak systemom filtrovania, zase sa mu nemusi vobec podarit komunikovat von. A ak aj ano, je niekde bud vo virtualnej aplikacii, vo virtualnej ci realnej masine - ale vobec nemusi byt v tej, ktorej chcel byt. Je v nejakom chranenom karantnennom priestore.
Pri velkej ochrane, ak je naviac v dedikovanej sieti - ta moze byt premostena povedzme iba na aktualizacie antiviru a na nic ine.
Pri tychto postupoch je potom uplne jedno, ci mate aj nezname viry. Ak sa pouzivaju postupy, ze kazde spustenie aplikacie, alebo systemu znamena cisto, nemate zavislost na aktualizaciach systemu a neohrozuju vas ani zero day zranitelnosti /ani tie o ktorych neviete/.
Plus cele to moze byt pre uzivatela jednoduche, ze sa nemusi ani extra nic nove ucit. System mu moze dovolit skoro vsetko, alebo takmer nic a tak isto po nom moze pozametat a dat vsetko do povodneho stavu.
Co sa tyka ochrany bank transferov - tak tam je zase vhodne mat jednorazove kody, nezavisle a nepripojovane k PC, z ktoreho sa robi transakcia. Napr. bezpecnostne tokeny su schopne overovat cez PIN a generovat jednorazove kody a mat bezpecne transakcie aj pri infikovanom systeme. Tie lepsie zvazuju napr. cislo uctu prijemcu a sumu, takze neni mozne ani podvrhnut trasakciu a falosne ju overit.