Hallo,
wer weiss wo permanente (Speicher-) Viren einsteigen?
Nach meiner bescheidenen Kenntnis:
- Bootsektor
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
- [HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]…
- GPO
- unnötige Dienste abschalten
zu:
- Fällt bei evtl. bei richtiger Bootreihenfolge aus. C only
- Wenn sich der Virus keine Adminrechte verschaffen kann, kein Problem
- ??? Vieleicht sollten die immer per GP überschrieben werden.
- wie 2.
- wie 2.
- wie 2.
NTFS-Rechte sind bereits gesetzt. (Versuch der C2 näher zu kommen)
Die einzige Schwachstelle die ich sehe: Internet.
Der User holt sich ein Programm aus dem Netz und macht ein Dump der SAM, um somit an das Adminpasswort zu gelangen.
Wer weiss ob man sich dagegen schützen kann?
Gruss Ralf
Könntest du deine Fragestellung präzisieren? Du scheinst davon auszugehen, dass Viren unter Windows administrative Rechte benötigen, um erfolgreich wirken zu können. Dem ist nicht so. Einen Windows-PC inhärent virensicher zu machen, ist ein sinnloses Unterfangen, du solltest an den Schnittstellen ansetzen (entfernen von Wechsellaufwerken aller Art, Netzwerkzugänge ausschliesslich über wohl definierte, gesicherte Wege…)
Eine C2-Zertifizierung für Windows-PC an sich gibt es ausschliesslich für Standalone Workstations, mit dem Anschluss an ein Netzwerk erlischt die Zertifizierung. Also beschäftige dich, wenn du eine C2-Zertifizierung anstrebst, mit dem Netzwerk, nicht mit der einzelnen Workstation.
Gruss,
Schorsch
Könntest du deine Fragestellung präzisieren?
JA.
Ein evtl. Virus soll nicht das System angreifen können.
Das er evtl. den aktuellen User ärgern könnte… mag sein.
Damit er nicht das OS-System angreifen kann, möchte ich das System sicher machen.
Kennst du Viren die dem aktuellen Benutzer Administrationrechte geben können?
Gruss Ralf
Ein evtl. Virus soll nicht das System angreifen können.
Das er evtl. den aktuellen User ärgern könnte… mag sein.
Damit er nicht das OS-System angreifen kann, möchte ich das
System sicher machen.
Um dies zu realisieren, musst du zunächst den User von Haupt- auf einfachen Benutzer zurückstufen. Dann kannst du sinnvoll auch über die Gruppenrichtlinien weitere Einschränkungen vornehmen. Du musst dir aber im klaren sein, dass du die Möglichkeiten des Benutzers auf diese Weise extrem einschränkst, dass bestimmte Softwareprodukte, die auf die Designmängel des nt-Kernels zurückgreifen, nicht mehr nutzbar sein werden. Dies kann in einer sicherheitskritischen Umgebung natürlich durchaus gewünscht sein.
Kennst du Viren die dem aktuellen Benutzer
Administrationrechte geben können?
Hierzu müsste, wie du bereits schriebst, Zugriff auf die SAM gegeben sein. Dies erfordert aber mindestens lokale administrative Rechte. In einem theor. Szenario müsste sich der Virus also z. B. unter …\all user\autostart einnisten, und abwarten, bis du dich als Admin an dem Rechner anmeldest. Aber warum so kompliziert: http://www.heise.de/newsticker/data/ps-02.04.02-000/
Nun, so etwas kannst du immerhin unterbinden, und wenn du ansonsten alle Patches zeitnah einspielst, kommst du auf ein ziemlich und meist wohl auch hinreichend sicheres System.
Danke
Ich sehe du befasst auch mit dem Thema.
Welche URL’s sind deine Favoriten?
Danke Ralf