OS Windows

Bezpečnostní aplikace
ACL

► Obsah

Základy bezpečnosti
OS Windows
OS Linux
FAQ – chytrá zařízení (chytré telefony, IoT)
- OS Android
FAQ pro pokročilé
- OS Windows
- OS Linux
Changelog

OS Windows pro pokročilé

Windows se jakožto nejrozšířenější desktopový OS těší velké pozornosti hackerů, jeho dostatečné zabezpečení je proto nezbytné.

Tato část příručky počítá s tím, že jste pročetli kapitolu OS Windows pro méně pokročilé a máte minimálně znalosti v kapitole rozebírané.

Bezpečnostní aplikace:

Firewall:

Windows v základu integrují Windows Defender Firewall (WDF) pro blokování příchozí komunikace. Co se blokování odchozí komunikace týče, Windows Defender Firewall tuto funkci podporuje, ovšem její nastavení se v nových verzích OS limitně blíží k úrovni nemožného.

► Konfigurace WDF pro blokování odchozí komunikace

Otevřete si hledání Windows, do vyhledávacího pole zadejte:
```
wf.msc
```
Na nalezenou položku klikněte pravým tlačítkem a zvolte možnost: Spustit jako správce.
Otevře se pokročilé nastavení Windows Firewall. V prostředním sloupci zvolte možnost Vlastnosti brány Firewall v programu Windows Defender.
V horním panelu si otevřete záložku Privátní profil. U položky Odchozí připojení zvolte možnost Blokovat.
Postup zopakujte pro záložku Veřejný profil.
Klikněte na OK.

Úspěch
Nyní WDF blokuje veškerou odchozí komunikaci, která není specificky povolena. Dále je třeba nastavit allowlist.

► Allowlist odchozí komunikace

# sitove sluzby OS
%SystemRoot%\System32\svchost.exe

# nastaveni
%SystemRoot%\ImmersiveControlPanel\SystemSettings.exe

# Defender
%ProgramFiles%\Windows Defender\MsMpEng.exe
%ProgramFiles%\Windows Defender\MpCmdRun.exe
%ProgramFiles%\Windows Defender\NisSrv.exe
%ProgramData%\Microsoft\Windows Defender\Platform\*\MsMpEng.exe
%ProgramData%\Microsoft\Windows Defender\Platform\*\MpCmdRun.exe
%ProgramData%\Microsoft\Windows Defender\Platform\*\MpDlpCmd.exe
%ProgramData%\Microsoft\Windows Defender\Platform\*\NisSrv.exe

# OpenSSH
%SystemRoot%\System32\OpenSSH\ssh-agent.exe

MemProtect:

Excubits MemProtect je drobný ovladač určující které procesy mají přístup k jakým procesům v RAM. Jedná se o špičkové řešení mitigace proti exploitům, jehož konfigurace je triviální.

Existuje bezplatná demo verze, která je po nějakou dobu plně funkční, s omezením velikosti konfigurační souboru na 2 kB, což není dostatek pro pokročilé nastavení, investice do plné verze je tedy žádoucí.

► Instalace MemProtect

Stáhněte si demo verzi ze stránek výrobce, soubor spusťte a aplikaci vybalte.
Otevřete složku 64-bit.
Klikněte pravým tlačítkem na INF soubor a zvolte Install.
RTFM, který je ve složce Tools.

► Ukázka syntaxe konfiguračního souboru

Příklad: Zablokování přístupu všem nesystémovým procesům k procesům VoodooShield – jednoduché ztížení exploitace.

[LETHAL]
[LOGGING]
[DEFAULTALLOW]
[WHITELIST]
!C:\Program Files\VoodooShield\*>C:\Program Files\VoodooShield\*
!C:\Windows\explorer.exe>C:\Program Files\VoodooShield\*
!C:\Windows\System32\*>C:\Program Files\VoodooShield\*
!C:\Windows\SystemApps\*>C:\Program Files\VoodooShield\*
!C:\Program Files\Windows Defender\*>C:\Program Files\VoodooShield\*
[BLACKLIST]
*>C:\Program Files\VoodooShield\*
[EOF]

FIDES:

Excubits FIDES je drobný ovladač určující které procesy mají k jakým souborům/složkám přístup. Jedná se o špičkové řešení mitigace proti exploitům, jehož konfigurace je triviální.

► Instalace FIDES

Stáhněte si demo verzi ze stránek výrobce, soubor spusťte a aplikaci vybalte.
Otevřete složku 64-bit.
Klikněte pravým tlačítkem na INF soubor a zvolte Install.
RTFM, který je ve složce Tools.

Bouncer:

Excubits Bouncer je drobný ovladač umožňující pokročilý allowlist spustitelných souborů. Jedná se o špičkové řešení mitigace proti exploitům, jehož konfigurace je triviální.

Existuje bezplatná demo verze, která je po nějakou dobu plně funkční, s omezením velikosti konfigurační souboru na 5 kB, což není dostatek pro pokročilé nastavení, investice do plné verze je tedy žádoucí.

ACL:

Access Control List je součást bezpečnostního modelu OS, jež v důsledku pro koncového uživatele umožňuje např. spuštění aplikací v určité složce.

► Nutná teorie k ACL

ACL je seznam záznamů (jednotlivý záznam je nazýván ACE) určujících, který subjekt má jaké pravomoce pro manipulaci se zabezpečeným objektem (konkrétně se budeme bavit pouze o DACL). Při přihlášení je uživateli přiřazen přístupový token, který následně přebírají všechny aplikace spuštěné daným uživatelem. Pokud proces chce operovat se zabezpečeným objektem, kontrola přístupu se podívá na jeho token a na deskriptor zabezpečení u objektu.

Token obsahuje mnoho věcí, pro nás je ale aktuálně důležitá jedna položka: SID.

SID je unikátní hodnota určená k identifikaci vlastníka – uživatelského účtu nebo uživatelské skupiny. Např.: S-1-5-32-544.

Kontrola přístupu z tokenu aplikace získá jeho SID a následně v ACL seznamu vyhledá veškeré záznamy (ACE), ve kterých je daný SID. Následně všechny nalezené ACE sekvenčně prozkoumá, dokud nenalezne ACE, který přístup k objektu explicitně zakáže/povolí. ACE zakazující přístup jsou zkoumány přednostně.

ACL lze využít následovně: můžeme zakázat spouštění spustitelných souborů v uživatelských složkách a složce pro dočasné soubory. Běžný uživatel by neměl potřebovat spouštět ve svých složkách spustitelné soubory – a pokud ano, vždy lze nastavit výjimka.

► Konfigurace exekuce v uživatelské složce

Stiskněte kláv. zkratku + X a z nabídky vyberte Windows PowerShell (správce).
Do příkazové řádky zadejte následující příkazy (cestu ke složce uživatele patřičně upravte):

icacls "(cesta k uživatelské složce)" /c /deny "Everyone:(OI)(CI)(X)"
# např.: icacls "C:\Users\Uzivatel" /c /deny "Everyone:(OI)(CI)(X)"
icacls "(cesta k uživatelské složce)\AppData\Local\Microsoft\WindowsApps" /inheritance:d
icacls "(cesta k uživatelské složce)\AppData\Local\Microsoft\WindowsApps" /remove:d Everyone /t

Info
Stejný postup proveďte pro globální složku dočasných souborů.

Integritní politika:

Pomocí integritní politiky je možné např. omezit přístup aplikacím s nízkou úrovní integrity do osobních složek. Pro komplexní konfiguraci přístupu aplikací k disku je doporučeno použít FIDES. Ochranu proti ransomware poskytuje Windows Defender. Tato sekce již nemá příliš praktické využití.

► Instalace CHML

Integrovaný nástroj icacls neumožňuje nastavení integritní politiky, je proto nutné použít drobný nástroj třetí strany.

Stáhněte si chml (by Mark Minasi) a uložte jej na Plochu.
Zkontrolujte checksum aplikace:

SHA-256: 59aa55d2eac6b295d42ef2aadc607b759f034f4557a66dec0214a4cc032ecc17

Aplikaci zkopírujte do umístění: %SystemRoot%\System32
Smažte chml z původní lokace.
Stiskněte kláv. zkratku + X a z nabídky vyberte Windows PowerShell (správce).
Do příkazové řádky zadejte následující příkaz pro validaci úspěšné instalace aplikace:
```
chml
```

► Nastavení integritní politiky osobních složek

Do příkazové řádky zadejte následující příkazy:

chml "(cesta k uživatelské složce)\Documents" -i:m -nw -nx
chml "(cesta k uživatelské složce)\Pictures" -i:m -nw -nx
chml "(cesta k uživatelské složce)\Music" -i:m -nw -nx
chml "(cesta k uživatelské složce)\Videos" -i:m -nw -nx

# -i:l (nízká úroveň integrity)
# -i:m (střední úroveň integrity)
# -i:h (vysoká úroveň integrity)
# -nw (NO_WRITE_UP)
# -nx (NO_EXECUTE_UP)
# -nr (NO_READ_UP)

Analogicky lze nastavit integritní politiku pro libovolnou složku/soubor. Úroveň integrity a integritní politika jsou ve výchozím nastavení dědičné atributy.

To je vše. Stay safe!

Changelog

Handbook 0.5.1 (09.06.2020):

► Seznam změn

přepsány úvody pro konzistenci
Základy – zkrácení, zjednodušení
Internetové prohlížeče – aktualizace Mozilla Firefox
OS Windows
- opravy v sekci Windows Defender
- odebrán návod pro HitmanPro.Alert
OS Linux
- přidána sekce Práce pod Běžným uživatelem
- úpravy pro konzistenci
OS Android – úpravy pro konzistenci

Starší změny:

► Seznam změn

Handbook 0.5 (01.06.2020):

Internetové prohlížeče
- odebrán WNT Internet Explorer, Chromium
- nová verze MS Edge
OS Windows
- restrukturalizace
- aktualizováno pro May 2020 Update
- odstraněny postupy pro nepodporované verze OS
- nový konfigurační skript
- odebrán EOL Kaspersky Software Updater, EMET
- přepracována sekce Ochrana proti malware
- návod pro VMware Workstation Player
OS Linux
- aktualizováno pro F32 a GNOME 3.36
- přepracována sekce Flathub
OS Android
- restrukturalizace
- aktualizováno pro Q
- odebrána teorie
- odebrán účet hosta
- přidána sekce Bezpečné ROM
OS Windows pro pokročilé
- přepracována sekce ACL
- odebrána sekce AppContainer
- odebrán Smart Object Blocker a OSArmor
OS Linux pro pokročilé
- přidána sekce Základní bezpečnostní nastavení
- rozšířena sekce Hardened alokátor

FAQ 0.3 (17.11.2018):

Základní informace
- přidána sekce Bezpečné používání mobilních zařízení
- Bitwarden v sekci Doporučené klíčenky
Internetové prohlížeče
- přidán prohlížeč Brave
- aktualizace pro Firefox
OS Windows
- restrukturalizace
- aktualizováno pro September 2018 Update
- rozšířena sekce Virtualizace
- Heimdal Free vyměněn za Kaspersky Software Updater
- návod na VirtualBox a Unchecky
OS Windows pro pokročilé
- přepracována sekce Bezpečnostní aplikace
OS Linux
- aktualizováno pro GNOME 3.30
- návod na vytváření snapshotů v GNOME Boxes
OS Linux pro pokročilé
- odebrána sekce Ostatní doporučení
- odebrán linux-hardened
OS Android
- restrukturalizace
- rozšířena sekce Bezpečná zařízení
- odebrán CopperheadOS

FAQ 0.2.2 (18.02.2018):

OS Windows
- srovnání úrovně podpory aktuální a starší verze OS
- nová verze SafeSVC
- rozšířena sekce Bezpečné nastavení sítě
- rozšířena sekce Antivirus / Antimalware
OS Android – rozšíření sekce Bezpečné nastavení OS

FAQ 0.2.1 (04.12.2017):

Základní informace – revize bezpečnostních doporučení
OS Windows
- poznámka o podporovaných verzích OS
- přidáno upozornění k NVT Anti-AutoExec
- rozšířena sekce Anti-exploit
OS Linux
- přepracováno pro GNOME 3.26 a Fedora 27
- rozšířena sekce Virtualizace, návod na GNOME Boxes
- revize sekce Flatpak
Internetové prohlížeče
- přidán prohlížeč Epiphany (GNOME Web)
- aktualizace pro Firefox 57
OS Android
- přepracováno pro 8.1
- Blokada v sekci Blokování reklamy

FAQ 0.2 (12.08.2017):

WWW – změna URL
Základní informace – nová sekce doporučené klíčenky
OS Windows
- přepracováno pro Fall Creators Update
- nová verze skriptu SafeSVC
- návod na Heimdal Free a HashTab
- návod na zakázání AutoPlay
OS Windows pro pokročilé
- přepracováno pro Fall Creators Update
- restrukturalizace, odebrány zbytečné sekce
OS Linux – aktualizace/rozšíření sekce Flatpak, odebrána sekce firejail
OS Linux pro pokročilé – odebráno/nahrazeno grsecurity, aktualizace příkazů
Internetové prohlížeče
- návod na používání Chromium na Windows
- návod na omezení JS ve Chromium / Google Chrome
- stabilní blokování reklamy pro MS Edge
- částečná aktualizace nastavení Mozilla Firefox
OS Android – přepracováno pro O

Nižší verze:

16.04.2017 – FAQ v0.1.2 dokončeno
- WWW – upraven design
- OS Windows – revize, nyní primárně soustředěno na nejnovější verzi OS (W10 CU)
- OS Linux – revize, přidáno openSUSE a Flatpak
- OS Windows pro pokročilé – revize pro W10 CU, rozšířena sekce FW, přidány sekce AppContainer, FIDES, MemProtect
- OS Linux pro pokročilé – overhaul
15.04.2017 – FAQ pro pokročilé – OS Windows – dokončeno
14.04.2017 – započat přechod na FAQ v0.1.2 (chybí FAQ pro pokročilé)
12.11.2016 – aktualizace FAQ dokončena
15.10.2016
- OS Windows – započata revize sekce, chybí konfigurace pro pokročilé
- OS Linux – přidán návod na bezpečné nastavení Chromium
27.07.2016
- OS Linux – dokončeno
- OS Windows – zrevidována sekce Anti-exploit
- OS Windows – odebrán audit ovladačů kvůli nízké účinnosti
- návod na uBlock Origin přepsán do češtiny
14.04.2016 – OS Windows – dokončeno
16.11.2015 – započat převod na stable release včetně Linuxu
02.07.2015 – uvedena beta verze – chybí Linux
21.03.2015 – uvedena alfa verze