OS Windows
- Základy bezpečnosti
- OS Windows
- OS Linux
- FAQ – chytrá zařízení (chytré telefony, IoT)
- FAQ pro pokročilé
- Changelog
Windows se jakožto nejrozšířenější desktopový OS těší velké pozornosti hackerů, jeho dostatečné zabezpečení je proto nezbytné.
Tato část příručky počítá s tím, že jste pročetli kapitolu OS Windows pro méně pokročilé a máte minimálně znalosti v kapitole rozebírané.
Windows v základu integrují Windows Defender Firewall (WDF) pro blokování příchozí komunikace. Co se blokování odchozí komunikace týče, Windows Defender Firewall tuto funkci podporuje, ovšem její nastavení se v nových verzích OS limitně blíží k úrovni nemožného.
wf.msc
Úspěch
Nyní WDF blokuje veškerou odchozí komunikaci, která není specificky povolena. Dále je třeba nastavit allowlist.
# sitove sluzby OS
%SystemRoot%\System32\svchost.exe
# nastaveni
%SystemRoot%\ImmersiveControlPanel\SystemSettings.exe
# Defender
%ProgramFiles%\Windows Defender\MsMpEng.exe
%ProgramFiles%\Windows Defender\MpCmdRun.exe
%ProgramFiles%\Windows Defender\NisSrv.exe
%ProgramData%\Microsoft\Windows Defender\Platform\*\MsMpEng.exe
%ProgramData%\Microsoft\Windows Defender\Platform\*\MpCmdRun.exe
%ProgramData%\Microsoft\Windows Defender\Platform\*\MpDlpCmd.exe
%ProgramData%\Microsoft\Windows Defender\Platform\*\NisSrv.exe
# OpenSSH
%SystemRoot%\System32\OpenSSH\ssh-agent.exe
Excubits MemProtect je drobný ovladač určující které procesy mají přístup k jakým procesům v RAM. Jedná se o špičkové řešení mitigace proti exploitům, jehož konfigurace je triviální.
Existuje bezplatná demo verze, která je po nějakou dobu plně funkční, s omezením velikosti konfigurační souboru na 2 kB, což není dostatek pro pokročilé nastavení, investice do plné verze je tedy žádoucí.
Příklad: Zablokování přístupu všem nesystémovým procesům k procesům VoodooShield – jednoduché ztížení exploitace.
[LETHAL]
[LOGGING]
[DEFAULTALLOW]
[WHITELIST]
!C:\Program Files\VoodooShield\*>C:\Program Files\VoodooShield\*
!C:\Windows\explorer.exe>C:\Program Files\VoodooShield\*
!C:\Windows\System32\*>C:\Program Files\VoodooShield\*
!C:\Windows\SystemApps\*>C:\Program Files\VoodooShield\*
!C:\Program Files\Windows Defender\*>C:\Program Files\VoodooShield\*
[BLACKLIST]
*>C:\Program Files\VoodooShield\*
[EOF]
Excubits FIDES je drobný ovladač určující které procesy mají k jakým souborům/složkám přístup. Jedná se o špičkové řešení mitigace proti exploitům, jehož konfigurace je triviální.
Existuje bezplatná demo verze, která je po nějakou dobu plně funkční, s omezením velikosti konfigurační souboru na 2 kB, což není dostatek pro pokročilé nastavení, investice do plné verze je tedy žádoucí.
Excubits Bouncer je drobný ovladač umožňující pokročilý allowlist spustitelných souborů. Jedná se o špičkové řešení mitigace proti exploitům, jehož konfigurace je triviální.
Existuje bezplatná demo verze, která je po nějakou dobu plně funkční, s omezením velikosti konfigurační souboru na 5 kB, což není dostatek pro pokročilé nastavení, investice do plné verze je tedy žádoucí.
Access Control List je součást bezpečnostního modelu OS, jež v důsledku pro koncového uživatele umožňuje např. spuštění aplikací v určité složce.
ACL je seznam záznamů (jednotlivý záznam je nazýván ACE) určujících, který subjekt má jaké pravomoce pro manipulaci se zabezpečeným objektem (konkrétně se budeme bavit pouze o DACL). Při přihlášení je uživateli přiřazen přístupový token, který následně přebírají všechny aplikace spuštěné daným uživatelem. Pokud proces chce operovat se zabezpečeným objektem, kontrola přístupu se podívá na jeho token a na deskriptor zabezpečení u objektu.
Token obsahuje mnoho věcí, pro nás je ale aktuálně důležitá jedna položka: SID.
SID je unikátní hodnota určená k identifikaci vlastníka – uživatelského účtu nebo uživatelské skupiny. Např.: S-1-5-32-544.
Kontrola přístupu z tokenu aplikace získá jeho SID a následně v ACL seznamu vyhledá veškeré záznamy (ACE), ve kterých je daný SID. Následně všechny nalezené ACE sekvenčně prozkoumá, dokud nenalezne ACE, který přístup k objektu explicitně zakáže/povolí. ACE zakazující přístup jsou zkoumány přednostně.
ACL lze využít následovně: můžeme zakázat spouštění spustitelných souborů v uživatelských složkách a složce pro dočasné soubory. Běžný uživatel by neměl potřebovat spouštět ve svých složkách spustitelné soubory – a pokud ano, vždy lze nastavit výjimka.
icacls "(cesta k uživatelské složce)" /c /deny "Everyone:(OI)(CI)(X)"
# např.: icacls "C:\Users\Uzivatel" /c /deny "Everyone:(OI)(CI)(X)"
icacls "(cesta k uživatelské složce)\AppData\Local\Microsoft\WindowsApps" /inheritance:d
icacls "(cesta k uživatelské složce)\AppData\Local\Microsoft\WindowsApps" /remove:d Everyone /t
Info
Stejný postup proveďte pro globální složku dočasných souborů.
Pomocí integritní politiky je možné např. omezit přístup aplikacím s nízkou úrovní integrity do osobních složek. Pro komplexní konfiguraci přístupu aplikací k disku je doporučeno použít FIDES. Ochranu proti ransomware poskytuje Windows Defender. Tato sekce již nemá příliš praktické využití.
Integrovaný nástroj icacls neumožňuje nastavení integritní politiky, je proto nutné použít drobný nástroj třetí strany.
SHA-256: 59aa55d2eac6b295d42ef2aadc607b759f034f4557a66dec0214a4cc032ecc17
chml
chml "(cesta k uživatelské složce)\Documents" -i:m -nw -nx
chml "(cesta k uživatelské složce)\Pictures" -i:m -nw -nx
chml "(cesta k uživatelské složce)\Music" -i:m -nw -nx
chml "(cesta k uživatelské složce)\Videos" -i:m -nw -nx
# -i:l (nízká úroveň integrity)
# -i:m (střední úroveň integrity)
# -i:h (vysoká úroveň integrity)
# -nw (NO_WRITE_UP)
# -nx (NO_EXECUTE_UP)
# -nr (NO_READ_UP)
Handbook 0.5.1 (09.06.2020):
Starší změny:
Handbook 0.5 (01.06.2020):
FAQ 0.3 (17.11.2018):
FAQ 0.2.2 (18.02.2018):
FAQ 0.2.1 (04.12.2017):
FAQ 0.2 (12.08.2017):
Nižší verze: