"fu.exe — утилита командной строки, которая позволяет скрыть любой выполняющийся процесс, поменять его хозяина либо уровень привилегий. Эти несанкционированные действия выполняются при помощи драйвера msdirectx.sys, код которого выполняется в нулевом кольце защиты.".
предполагается, что драйвер будет установлен именно под рутом, т.к. именно под ним возможна установка любых дров, виртуальных машин, а также получения ring0. fu.exe сработает лишь ПОСЛЕ успешной установки msdirectx.sys. я уже запускал проги получающие ring0 и во всех случаях программа вылетала с ошибкой. в winxp professional без SP2 наблюдалось выпадение в BSOD.
а мы с вами говорим о локальных уязвимостях в непривилегированном пользователе.
если ты учишься в этой школе - это еще не значит, что все будут делать как ты хочешь. я тебе ответил с т.з. администратора, который следит за !БЕЗОПАСНОЙ! работой компов! а тебе нужно, чтоб каждый имел полный доступ к ПК, игрался в КС и катал порнуху на переменах. ты хоть бы на минуту представил себя на месте администратора, а потом уже вел дискуссию.
ЗЫ поводу безопасности сервера есть оч много литературы, так что не ленись:) - юзай гугл.
я б как админ именно так и поступил. это ж гемору от всякой дряни потом будет... уж0с! а администрация школы потом выговор сделает, т.к. половина компов не пашет, только потому что админ устроил школьникам сладкую жизнь! Вот так вот! Политика кнута и пряника! ггг >:D
"у системы безопасности windows достаточно локальных уязвимостей" - сейчас это уже уязвимости мелкософтвоских служб и в большинстве своем они связаны с работой в сети, а данный метод никаким образом не связан со службами и завязан на уровне ядра, так что вы немного не туды пошли :).
если вирус попадет в такую песочницу, то он сможет напартачить лишь в той среде в которой находится, но закрепиться в такой среде он НЕ СМОЖЕТ, а это главное для любого виря.
антивирусы ловят того кого знают, а если не знают, то толку от него нет никакого. я лучше потрачу неделю на разработку системы безопасности, чем каждую неделю качать кучу метров антивирусного хлама (это я так обновления баз называю :) ) в надежде на то что моя система наконец станет безопаснее. это ж развод!
я тоже работаю в линуксе. но неужели вы оставите тех кто всю свою жизнь посвятил ворду, экселю и вообще виндовсу в целом? неужели вы бы решились переубедить толпу сотрудников, что линух - рулит!? не думаю. поэтому здесь обсуждаются исключительно проблемы windows-платформы. так что в конфетках разберемся потом (это я про линух ;) ), а в говно окунёмся сейчас (эт канешн про вЫндоу3)...
ЗЫ Предложите свою схему защиты в виндоуз без подручных средств.
да вообще нужно отключить все USB-интерфейсы, флоппи- и CD- приводы! зачем скажите мне админу лишняя головная боль (если канешн он не мазохист :) )? Обрубил лишнее и все! а кто хочет может через админа попросить закатать все что нужно. тогда будет полная уверенность, что флешка, диск, дискета и т.д. прошли контроль вшивости.
канешн в идеале над такой защитой должны работать админ и программист. админ готовит ОС для работы в строжайшем режиме, а программист делает прогу для оптимальной работы непривилегированных юзеров "без вопросов" и это вполне нормально. я довольно много раз встречал людей которые писали небольшие виндозные службы для работы системы "под себя", т.к. лицензионное ПО они позволить себе пока не могли.
канешн, я хоть и написал этот топик, но признаюсь, что раз в полгода сканю себя антивирем, чисто из любопытности :), т.к. кроме меня за компом работает еще и брат.
я каждый месяц вытягиваю с мелкософтовского сайта хотфиксы, так что эксплоит исключен. ктстати файрвол я не выкидывал на помойку. :) т.к. защититься от внешнего мира в винде её средствами невозможно.
ну и мы опять вернулись к тому с чего начинали - юзер всему виной. канешн если пользователь скачал кряк зараженный вирем, то необходимо позаботиться о его ликвидации без последствий. опять же можно запустить его в минимальной среде и это возможно! я сам проверял на себе разного рода вири и запускал их под минимальными правами, но даже если он и запускался, то прописать себя нигде не мог и выйти в сеть тоже, т.к. фаер регистировал активность неизвестной мне проги (логично преположить, что если ты скачал кейген, то общаться с инетом он никак не должен).
если твоя система это позволяет (с т.з. производительности) и ты не боишься никаких spyware, adware, backdoor, DoS и всякого рода другой нечисти - флаг тебе в руки. :)
Этот топик для тех кто любит дочитывать до конца ;)
ггг. интересная система безопасности (особенно в школе), если я могу пользоваться флешкой или любыми другими внешними интерфейсами (эх... хотел бы я в вашу школу :) )
Вот именно от вашей системы безопасности - никакого толку.
канешн если ващще забить на безопасность, то можно и коряво-написанный бэкдор случайно подкинутый студентом-двоечником 1-го курса успешно культивировать у себя в системе и ни о чем не догадываться :D.
непривилегированный пользователь сможет работать с аутглюком, IE (сохранять, вести историю, разрешать/запрещать куки), т.к. для каждого юзверя создается свой профиль. канешн вирусы могут нагадить, НО ТОЛЬКО в том пользователе в котором находитесь, а т.к. в нашем случае это САМЫЙ непривилегированный пользователь (ему можно работать, например, только с IE), то выяснить почему заглючил IE оч просто :)
есть много других способов. можно использовать прогу Sandboxie, которая работает как буфер между программой и диском перехватывая все что пытается писать на диск данная прога.
"мы обсуждали обычный домашний компьютер который специально никто не ломает" - совершенно верно. соответственно особой опасности сетевые атаки для домашнего ПК не представляют. а по поводу программы которая сидит и сканирует на предмет уязвимостей - это как раз нацелено непосредственно к серверу. т.к. мы говорим про клиентскую машину, то тут думаю лучше юзать сниффер, чем непосредственно ломать машину.
опять же все зависит от того какого рода информация хранится на машине. если это обычная клиентская машина, то не думаю, что кому-то прийдет в голову хакать именно ее.
ЗЫ а вообще, физическая защита сети всецело ложится на плечи админов.
согласен, что данная модель не идеальна, но я лишь показал КАК можно защитить данные. в идеальном случае нужно запретить на запись текущему пользователю в особо опасные места, также идеальным случаем является создание нескольких учетных записей пользователей (НЕИНТЕРАКТИВНЫХ!) для каждой из уязвимых программ (для каждой программы получается своя среда).
предполагается, что драйвер будет установлен именно под рутом, т.к. именно под ним возможна установка любых дров, виртуальных машин, а также получения ring0. fu.exe сработает лишь ПОСЛЕ успешной установки msdirectx.sys. я уже запускал проги получающие ring0 и во всех случаях программа вылетала с ошибкой. в winxp professional без SP2 наблюдалось выпадение в BSOD.
а мы с вами говорим о локальных уязвимостях в непривилегированном пользователе.
ЗЫ поводу безопасности сервера есть оч много литературы, так что не ленись:) - юзай гугл.
если вирус попадет в такую песочницу, то он сможет напартачить лишь в той среде в которой находится, но закрепиться в такой среде он НЕ СМОЖЕТ, а это главное для любого виря.
ЗЫ Предложите свою схему защиты в виндоуз без подручных средств.
канешн, я хоть и написал этот топик, но признаюсь, что раз в полгода сканю себя антивирем, чисто из любопытности :), т.к. кроме меня за компом работает еще и брат.
ну и мы опять вернулись к тому с чего начинали - юзер всему виной. канешн если пользователь скачал кряк зараженный вирем, то необходимо позаботиться о его ликвидации без последствий. опять же можно запустить его в минимальной среде и это возможно! я сам проверял на себе разного рода вири и запускал их под минимальными правами, но даже если он и запускался, то прописать себя нигде не мог и выйти в сеть тоже, т.к. фаер регистировал активность неизвестной мне проги (логично преположить, что если ты скачал кейген, то общаться с инетом он никак не должен).
Этот топик для тех кто любит дочитывать до конца ;)
Вот именно от вашей системы безопасности - никакого толку.
ЗЫ а вообще, физическая защита сети всецело ложится на плечи админов.