FAQ – Velká příručka bezpečnosti logo

OS Windows


► Obsah

OS Windows pro pokročilé

Windows se jakožto nejrozšířenější desktopový OS těší velké pozornosti hackerů, jeho dostatečné zabezpečení je proto nezbytné.

Tato část příručky počítá s tím, že jste pročetli kapitolu OS Windows pro méně pokročilé a máte minimálně znalosti v kapitole rozebírané.

Sekce kapitoly:


Bezpečnostní aplikace:

Firewall:

Windows v základu integrují Windows Defender Firewall (WDF) pro blokování příchozí komunikace. Co se blokování odchozí komunikace týče, Windows Defender Firewall tuto funkci podporuje, ovšem její nastavení se v nových verzích OS limitně blíží k úrovni nemožného.

► Konfigurace WDF pro blokování odchozí komunikace
  • Otevřete si hledání Windows, do vyhledávacího pole zadejte:
  • wf.msc
  • Na nalezenou položku klikněte pravým tlačítkem a zvolte možnost: admin Spustit jako správce.
  • wdf
  • Otevře se pokročilé nastavení Windows Firewall. V prostředním sloupci zvolte možnost Vlastnosti brány Firewall v programu Windows Defender.
  • V horním panelu si otevřete záložku Privátní profil. U položky Odchozí připojení zvolte možnost Blokovat.
  • wdf1
  • Postup zopakujte pro záložku Veřejný profil.
  • Klikněte na OK.
  • wdf2

Úspěch
Nyní WDF blokuje veškerou odchozí komunikaci, která není specificky povolena. Dále je třeba nastavit allowlist.

► Allowlist odchozí komunikace
# sitove sluzby OS
%SystemRoot%\System32\svchost.exe

# nastaveni
%SystemRoot%\ImmersiveControlPanel\SystemSettings.exe

# Defender
%ProgramFiles%\Windows Defender\MsMpEng.exe
%ProgramFiles%\Windows Defender\MpCmdRun.exe
%ProgramFiles%\Windows Defender\NisSrv.exe
%ProgramData%\Microsoft\Windows Defender\Platform\*\MsMpEng.exe
%ProgramData%\Microsoft\Windows Defender\Platform\*\MpCmdRun.exe
%ProgramData%\Microsoft\Windows Defender\Platform\*\MpDlpCmd.exe
%ProgramData%\Microsoft\Windows Defender\Platform\*\NisSrv.exe

# OpenSSH
%SystemRoot%\System32\OpenSSH\ssh-agent.exe

MemProtect:

Excubits MemProtect je drobný ovladač určující které procesy mají přístup k jakým procesům v RAM. Jedná se o špičkové řešení mitigace proti exploitům, jehož konfigurace je triviální.

Existuje bezplatná demo verze, která je po nějakou dobu plně funkční, s omezením velikosti konfigurační souboru na 2 kB, což není dostatek pro pokročilé nastavení, investice do plné verze je tedy žádoucí.

► Instalace MemProtect
  • Stáhněte si demo verzi ze stránek výrobce, soubor spusťte a aplikaci vybalte.
  • Otevřete složku 64-bit.
  • Klikněte pravým tlačítkem na INF soubor a zvolte Install.
  • RTFM, který je ve složce Tools.
► Ukázka syntaxe konfiguračního souboru

Příklad: Zablokování přístupu všem nesystémovým procesům k procesům VoodooShield – jednoduché ztížení exploitace.

[LETHAL]
[LOGGING]
[DEFAULTALLOW]
[WHITELIST]
!C:\Program Files\VoodooShield\*>C:\Program Files\VoodooShield\*
!C:\Windows\explorer.exe>C:\Program Files\VoodooShield\*
!C:\Windows\System32\*>C:\Program Files\VoodooShield\*
!C:\Windows\SystemApps\*>C:\Program Files\VoodooShield\*
!C:\Program Files\Windows Defender\*>C:\Program Files\VoodooShield\*
[BLACKLIST]
*>C:\Program Files\VoodooShield\*
[EOF]

FIDES:

Excubits FIDES je drobný ovladač určující které procesy mají k jakým souborům/složkám přístup. Jedná se o špičkové řešení mitigace proti exploitům, jehož konfigurace je triviální.

Existuje bezplatná demo verze, která je po nějakou dobu plně funkční, s omezením velikosti konfigurační souboru na 2 kB, což není dostatek pro pokročilé nastavení, investice do plné verze je tedy žádoucí.

► Instalace FIDES
  • Stáhněte si demo verzi ze stránek výrobce, soubor spusťte a aplikaci vybalte.
  • Otevřete složku 64-bit.
  • Klikněte pravým tlačítkem na INF soubor a zvolte Install.
  • RTFM, který je ve složce Tools.

Bouncer:

Excubits Bouncer je drobný ovladač umožňující pokročilý allowlist spustitelných souborů. Jedná se o špičkové řešení mitigace proti exploitům, jehož konfigurace je triviální.

Existuje bezplatná demo verze, která je po nějakou dobu plně funkční, s omezením velikosti konfigurační souboru na 5 kB, což není dostatek pro pokročilé nastavení, investice do plné verze je tedy žádoucí.





ACL:

Access Control List je součást bezpečnostního modelu OS, jež v důsledku pro koncového uživatele umožňuje např. spuštění aplikací v určité složce.

► Nutná teorie k ACL

ACL je seznam záznamů (jednotlivý záznam je nazýván ACE) určujících, který subjekt má jaké pravomoce pro manipulaci se zabezpečeným objektem (konkrétně se budeme bavit pouze o DACL). Při přihlášení je uživateli přiřazen přístupový token, který následně přebírají všechny aplikace spuštěné daným uživatelem. Pokud proces chce operovat se zabezpečeným objektem, kontrola přístupu se podívá na jeho token a na deskriptor zabezpečení u objektu.

Token obsahuje mnoho věcí, pro nás je ale aktuálně důležitá jedna položka: SID.

SID je unikátní hodnota určená k identifikaci vlastníka – uživatelského účtu nebo uživatelské skupiny. Např.: S-1-5-32-544.

Kontrola přístupu z tokenu aplikace získá jeho SID a následně v ACL seznamu vyhledá veškeré záznamy (ACE), ve kterých je daný SID. Následně všechny nalezené ACE sekvenčně prozkoumá, dokud nenalezne ACE, který přístup k objektu explicitně zakáže/povolí. ACE zakazující přístup jsou zkoumány přednostně.

ACL lze využít následovně: můžeme zakázat spouštění spustitelných souborů v uživatelských složkách a složce pro dočasné soubory. Běžný uživatel by neměl potřebovat spouštět ve svých složkách spustitelné soubory – a pokud ano, vždy lze nastavit výjimka.

► Konfigurace exekuce v uživatelské složce
  • Stiskněte kláv. zkratku win + X a z nabídky vyberte Windows PowerShell (správce).
  • wx
  • Do příkazové řádky zadejte následující příkazy (cestu ke složce uživatele patřičně upravte):
  • icacls "(cesta k uživatelské složce)" /c /deny "Everyone:(OI)(CI)(X)"
    # např.: icacls "C:\Users\Uzivatel" /c /deny "Everyone:(OI)(CI)(X)"
    icacls "(cesta k uživatelské složce)\AppData\Local\Microsoft\WindowsApps" /inheritance:d
    icacls "(cesta k uživatelské složce)\AppData\Local\Microsoft\WindowsApps" /remove:d Everyone /t

Info
Stejný postup proveďte pro globální složku dočasných souborů.


Integritní politika:

Pomocí integritní politiky je možné např. omezit přístup aplikacím s nízkou úrovní integrity do osobních složek. Pro komplexní konfiguraci přístupu aplikací k disku je doporučeno použít FIDES. Ochranu proti ransomware poskytuje Windows Defender. Tato sekce již nemá příliš praktické využití.

► Instalace CHML

Integrovaný nástroj icacls neumožňuje nastavení integritní politiky, je proto nutné použít drobný nástroj třetí strany.

  • Stáhněte si chml (by Mark Minasi) a uložte jej na Plochu.
  • Zkontrolujte checksum aplikace:
  • SHA-256: 59aa55d2eac6b295d42ef2aadc607b759f034f4557a66dec0214a4cc032ecc17
  • Aplikaci zkopírujte do umístění: %SystemRoot%\System32
  • Smažte chml z původní lokace.
  • Stiskněte kláv. zkratku win + X a z nabídky vyberte Windows PowerShell (správce).
  • wx
  • Do příkazové řádky zadejte následující příkaz pro validaci úspěšné instalace aplikace:
  • chml
► Nastavení integritní politiky osobních složek
  • Do příkazové řádky zadejte následující příkazy:
  • chml "(cesta k uživatelské složce)\Documents" -i:m -nw -nx
    chml "(cesta k uživatelské složce)\Pictures" -i:m -nw -nx
    chml "(cesta k uživatelské složce)\Music" -i:m -nw -nx
    chml "(cesta k uživatelské složce)\Videos" -i:m -nw -nx
    
    # -i:l (nízká úroveň integrity)
    # -i:m (střední úroveň integrity)
    # -i:h (vysoká úroveň integrity)
    # -nw (NO_WRITE_UP)
    # -nx (NO_EXECUTE_UP)
    # -nr (NO_READ_UP)
  • Analogicky lze nastavit integritní politiku pro libovolnou složku/soubor. Úroveň integrity a integritní politika jsou ve výchozím nastavení dědičné atributy.



To je vše. Stay safe! smile


Changelog



Handbook 0.5.1 (09.06.2020):

► Seznam změn
  • přepsány úvody pro konzistenci
  • Základy – zkrácení, zjednodušení
  • Internetové prohlížeče – aktualizace Mozilla Firefox
  • OS Windows
    • opravy v sekci Windows Defender
    • odebrán návod pro HitmanPro.Alert
  • OS Linux
    • přidána sekce Práce pod Běžným uživatelem
    • úpravy pro konzistenci
  • OS Android – úpravy pro konzistenci

Starší změny:

► Seznam změn

Handbook 0.5 (01.06.2020):

  • Internetové prohlížeče
    • odebrán WNT Internet Explorer, Chromium
    • nová verze MS Edge
  • OS Windows
    • restrukturalizace
    • aktualizováno pro May 2020 Update
    • odstraněny postupy pro nepodporované verze OS
    • nový konfigurační skript
    • odebrán EOL Kaspersky Software Updater, EMET
    • přepracována sekce Ochrana proti malware
    • návod pro VMware Workstation Player
  • OS Linux
    • aktualizováno pro F32 a GNOME 3.36
    • přepracována sekce Flathub
  • OS Android
    • restrukturalizace
    • aktualizováno pro Q
    • odebrána teorie
    • odebrán účet hosta
    • přidána sekce Bezpečné ROM
  • OS Windows pro pokročilé
    • přepracována sekce ACL
    • odebrána sekce AppContainer
    • odebrán Smart Object Blocker a OSArmor
  • OS Linux pro pokročilé
    • přidána sekce Základní bezpečnostní nastavení
    • rozšířena sekce Hardened alokátor

FAQ 0.3 (17.11.2018):

  • Základní informace
    • přidána sekce Bezpečné používání mobilních zařízení
    • Bitwarden v sekci Doporučené klíčenky
  • Internetové prohlížeče
    • přidán prohlížeč Brave
    • aktualizace pro Firefox
  • OS Windows
    • restrukturalizace
    • aktualizováno pro September 2018 Update
    • rozšířena sekce Virtualizace
    • Heimdal Free vyměněn za Kaspersky Software Updater
    • návod na VirtualBox a Unchecky
  • OS Windows pro pokročilé
    • přepracována sekce Bezpečnostní aplikace
  • OS Linux
    • aktualizováno pro GNOME 3.30
    • návod na vytváření snapshotů v GNOME Boxes
  • OS Linux pro pokročilé
    • odebrána sekce Ostatní doporučení
    • odebrán linux-hardened
  • OS Android
    • restrukturalizace
    • rozšířena sekce Bezpečná zařízení
    • odebrán CopperheadOS

FAQ 0.2.2 (18.02.2018):

  • OS Windows
    • srovnání úrovně podpory aktuální a starší verze OS
    • nová verze SafeSVC
    • rozšířena sekce Bezpečné nastavení sítě
    • rozšířena sekce Antivirus / Antimalware
  • OS Android – rozšíření sekce Bezpečné nastavení OS

FAQ 0.2.1 (04.12.2017):

  • Základní informace – revize bezpečnostních doporučení
  • OS Windows
    • poznámka o podporovaných verzích OS
    • přidáno upozornění k NVT Anti-AutoExec
    • rozšířena sekce Anti-exploit
  • OS Linux
    • přepracováno pro GNOME 3.26 a Fedora 27
    • rozšířena sekce Virtualizace, návod na GNOME Boxes
    • revize sekce Flatpak
  • Internetové prohlížeče
    • přidán prohlížeč Epiphany (GNOME Web)
    • aktualizace pro Firefox 57
  • OS Android
    • přepracováno pro 8.1
    • Blokada v sekci Blokování reklamy

FAQ 0.2 (12.08.2017):

  • WWW – změna URL
  • Základní informace – nová sekce doporučené klíčenky
  • OS Windows
    • přepracováno pro Fall Creators Update
    • nová verze skriptu SafeSVC
    • návod na Heimdal Free a HashTab
    • návod na zakázání AutoPlay
  • OS Windows pro pokročilé
    • přepracováno pro Fall Creators Update
    • restrukturalizace, odebrány zbytečné sekce
  • OS Linux – aktualizace/rozšíření sekce Flatpak, odebrána sekce firejail
  • OS Linux pro pokročilé – odebráno/nahrazeno grsecurity, aktualizace příkazů
  • Internetové prohlížeče
    • návod na používání Chromium na Windows
    • návod na omezení JS ve Chromium / Google Chrome
    • stabilní blokování reklamy pro MS Edge
    • částečná aktualizace nastavení Mozilla Firefox
  • OS Android – přepracováno pro O

Nižší verze:

  • 16.04.2017 – FAQ v0.1.2 dokončeno
    • WWW – upraven design
    • OS Windows – revize, nyní primárně soustředěno na nejnovější verzi OS (W10 CU)
    • OS Linux – revize, přidáno openSUSE a Flatpak
    • OS Windows pro pokročilé – revize pro W10 CU, rozšířena sekce FW, přidány sekce AppContainer, FIDES, MemProtect
    • OS Linux pro pokročilé – overhaul
  • 15.04.2017 – FAQ pro pokročilé – OS Windows – dokončeno
  • 14.04.2017 – započat přechod na FAQ v0.1.2 (chybí FAQ pro pokročilé)
  • 12.11.2016 – aktualizace FAQ dokončena
  • 15.10.2016
    • OS Windows – započata revize sekce, chybí konfigurace pro pokročilé
    • OS Linux – přidán návod na bezpečné nastavení Chromium
  • 27.07.2016
    • OS Linux – dokončeno
    • OS Windows – zrevidována sekce Anti-exploit
    • OS Windows – odebrán audit ovladačů kvůli nízké účinnosti
    • návod na uBlock Origin přepsán do češtiny
  • 14.04.2016 – OS Windows – dokončeno
  • 16.11.2015 – započat převod na stable release včetně Linuxu
  • 02.07.2015 – uvedena beta verze – chybí Linux
  • 21.03.2015 – uvedena alfa verze
Top