Anmerkung: zuerst hatte ich das zwar als Antwort für
WinApi Registry
erstellt, allerdings sollte es hier doch besser aufgehoben sein:
ZielOS: Windows
Da es doch bestimmt interessantere Wege geben muss um seinen Rechner zu schützen als die allgemeinen bekannten Tools AV/FW.
Jep - strenge Rechtevergabe und Non-Admin-Userkonto Benutzung.
Ok, man bekommt dann keine schönen Meldungen, dass irgendwas abgewehrt wurde (obwohl - bestimmt kann man mit ein wenig Aufwand das loggen lassen und mit ein wenig VBS kenntnissen sogar anzeigen) - Ereignisanzeige->Sicherheit sollte per Script auslesbar sein
Bsp: man legt einen Surf-User an, dessen Rechte sehr eingeschränkt sind.
Dazu setzt man auf den genzen Laufwerken für diesen User ein komplettes Lese/Schreibeverbot oder alternativ Schreiben/Ausführen verbieten. Nur die "Eigenen" Dateien des Users sind für ihn schreibend erreichbar (hier sollte man in den erweiterten Sicherheitseinstellungen des Ordners "Ordner durchsuchen,Datei ausführen" verbieten) sowie Browserordner lesend freigegeben (verboten: Dateien anlegen, ändern usw). Also im Prinzip nur darauf achten: wenn man in einem Ordner Programme ausführen möchte, so darf der User in diesem Ordner nicht schreiben/ändern. Darf ein User in einen Ordner schreiben, so soll ihm verboten werden, in diesem Ordner etwas auszuführen. Zusätzlich kann man ja auch für "Normaluser" ein Ausführverbot auf den einen (vom Surf-User beschreibbaren Ordner) setzen, um nicht ungewollt doch etwas aus dieser "Quelle" auszuführen.
Auch mal unter Verwaltung->lokale Sicherheitseinstellungen->lokale Richtlinien->zuweisen von Benutzerrechten vorbeischauen.
Das ganze nimmt je nach Größe der Festplatte (vorausgesetzt,diese ist mit NTFS formatiert) und eigenen Kenntnissen 1-2 Stunden in Anspruch . Für XP Home User empfielt es sich das Programm FajoXP, um den Sicherheitsdialog "freizuschalten".
Sollte jetzt irgendeine Lücke im Browser auftreten und ausgenutzt werden, kann der Schadcode weder in die Autoruns,Systemordner noch in andere Programmordner wechseln und auch keine anderen Prozesse hijacken. Er kann sich nur in die zum schreiben freigegebene Ordner eintragen - allerdings wurde da für diesen User ein striktes Ausführen-Verbot erteilt - eine Executable zum infizieren gibt es da nicht (sollte man schon vorher dafür sorgen - schließlich kann der Surf-User diese eher nicht ausführen) und eine frisch erstelle fällt ziemlich schnell auf (und kann vom Surf-User eher nicht ausgeführt werden). Um den Rechner zu infizieren, muss also der Code noch eine zweite Lücke ausnutzen, die ihm höhere Privelegien/Ausführung unter SYSTEM/Adminkonto erlaubt. Und zwei "passende", ungepatche Lücken zusammen mit einem passenden Code sind doch um einiges unwahrscheinlicher.
So kann man z.B seinen Browser im Kontext dieses Surf-Users starten, ohne irgendwelche "Qualitätseinbußen" beim Arbeiten zu bemerken. Das Konzept lässt sich auch für "Normale" Userkonten anwenden, allerdings scheitert es bei manchen Programmen an unsauberer Programmierung - manche Programmierer öffnen z.B (System)Registryschlüssel direkt mit "ALL_ACCESS" obwohl sie diese nur lesen wollen - ein eingeschränkter User hat aber keinen Schreibzugriff darauf und der Aufruf scheitert zurecht. Andere Programme legen Einstellungen/Daten im eigenen Ordner ab, obwohl (afaik) die Rechte für X:\Programme per Default auf "Lesen,Ausführen" eingestellt sind und das Ganze schon etwas _länger_ bekannt ist - Programme solten Userdaten im Userordner ablgegen und Einstellungen auch entweder da oder in der Registry speichern. Es gibt da noch einiges an negativen Beispielen.
Allerdings kann man z.B seinem "Standardkonto" die Zugriffsrechte aufs Internet entziehen und alle Programme, die das Internet nutzen sollten mit einem "Internetuser" (so ähnlich wie das Surf-Konto bzw einfach das Surfkonto etwas angepasst/erweitert) gestartet werden. Damit macht man auch eine Applikationfirewall überflüssig (bei diesen erlaubt man ja auch nur die vertrauenswürdigen Programme
). Hier findet man eine schöne Liste der "NeztwerkDLLs"
http://www.ndis.com/papers/winpktfilter.htm
Aber achtung: man sollte bei der Rechtevergabe sehr aufpassen, dass man das SYSTEM-Konto nicht aussperrt, sonst bootet der Rechner nämlich nicht mehr (allerdings sollte ein Booten von CD und neusetzen der Rechte wieder Abhilfe schaffen).
Durch diese Maßnahme sollte also zumindest kein Programm "nach Hause telefonieren" können. Inwieweit es zuverlässig ist, müsste man austesten. Ich denke aber, dass es durchaus mit PFWs mithalten kann. Man könnte ja auch einen von den Leak-Testern nehmen (z.B wie hier:
http://www.matousec.com/projects/wi...ak-testing.php#description-leak-test-software)
laufen lassen und schauen.
Alternativ funktioniert auch das Freigeben der Internetverbindung nur für bestimmte User (unter Netzwerkverbindungen). Habe aber leider zur Zeit keine Möglichkeit, es zu testen.
Und wenn man sich
http://www.ntsvcfg.de/ anschaut und durchgeht, hat man auch alle unnötigen Dienste abgeschaltet - also braucht man (je nach dem) auch keine PFW auf dem Rechner oder höchstens einen schlichten Packetfilter, wie ihn 2000/ XP schon mitbringen.
Insgesamt kann man also schon mit Bordmitteln und ohne Zusatztreiber einiges erreichen, ohne gleich das System zuzumüllen. Unterstützend kann man natürlich immer noch einen AV nutzen oder für nichtvertrauenswürdige Programme "Sandboxie"/VM.
![[HaBo]](/styles/default/logoklein.png){kind=small}
