Kör program säkrare i Windows XP


JoWa

Recommended Posts

Att vara inloggad som administratör har många praktiska fördelar, som att man kan installera och uppdatera program, ändra inställningar i Windows, använda städ- och defragmenteringsprogram m.m. Är man inloggad som begränsad användare och t.ex. försöker att defragmentera disken med Piriform Defraggler (en helt ofarlig åtgärd, förstås), visas ett felmeddelande:

NPOeLKIgS.png

Nackdelen med att vara inloggad som administratör är att alla program har oinskränkta rättigheter (administratörsrättigheter). Detta innebär förstås en säkerhetsrisk, då alla program, inklusive skadliga sådana, kan göra registerändringar, lägga filer i system32-mappen (där det mesta skräpet hamnar) eller undermappen drivers, ladda drivrutiner m.m.

Det är således betydligt säkrare att vara inloggad som begränsad användare, men som benämningen antyder, begränsar det också användarens rättigheter.

Hur kan man undvika att begränsa användaren och samtidigt begränsa programs möjlighet att påverka systemet? Enkelt: man är inloggad som administratör, men kör vissa program som begränsad användare, eller rättare uttryckt: som den inloggade användaren (administratören) men med begränsade rättigheter!

Tyvärr finns det inget sätt i Windows att komma åt denna möjlighet, även om själva möjligheten finns där. Dock finns det två program från Microsoft/Sysinternals som öppnar denna möjlighet: Process Explorer och PsExec.

Om vi börjar med Process Explorer, som är den enklaste lösningen, är det bara att ladda ned programmet, packa upp det ur zip-filen, starta programmet och gå till File, Run as Limited User och bläddra till programmet som skall köras med begränsade rättigheter. Klart! Denna metod är lämplig om man någon enstaka gång vill köra ett program säkrare.

yQaOivPDt.png

tGfEgpCHV.png

För program som används dagligen, och som standard skall köras med begränsade rättigheter, erbjuder PsExec en lösning. Ladda ned programmet och packa upp psexec.exe. Lägg programfilen i t.ex. C:\Program\PsExec. För att starta t.ex. Internet Explorer med begränsade rättigheter via PsExec, skapar man en genväg till psexec.exe, och lägger till kommandon som anger vad PsExec skall starta, och hur det skall startas. För Internet Explorer blir genvägens Mål:

C:\Program\PsExec\psexec.exe -l -d "C:\Program\Internet Explorer\iexplore.exe"

-l är kommandot för begränsad användare och -d för att PsExec skall avsluta sig självt innan Internet Explorer avslutas (så snart det har startat).

CdMsyLzQv.png

För att få rätt ikon, tryck på Byt ikon och bläddra till (i det här fallet) C:\Program\Internet Explorer\iexplore.exe.

Att köra ett program med begränsade rättigheter, begränsar även de program (och tillägg) som startas inifrån det begränsade programmet. Detsamma gäller då en mediafil öppnas med ett externt program. Nedladdade installationsprogram bör således inte startas inifrån webbläsaren, utan i nedladdningsmappen.

Om ett program har begränsade eller administratörsrättigheter kan verifieras med Process Explorer, egenskaper för en process, fliken Security.

QWfSLnyMM.pngTChEnwUBK.png

Vilka program bör man då köra med begränsade rättigheter? I första hand uppkopplade program:

  • webbläsare
  • e-postprogram
  • snabbmeddelandeprogram
  • fildelningsprogram

I Windows finns en möjlighet att köra program än säkrare, genom att högerklicka på programmet eller dess genväg, Kör som, Aktuell användare, med alternativet Skydda min dator och mina filer från otillåtna programfunktioner. Problemet är att många program inte fungerar med så begränsade rättigheter. Det kan dock vara ett alternativ då man vill köra program som man inte borde köra

RxNKeytwW.png

Nu skall man dock inte tro att systemet blir osårbart av att webbläsaren körs med begränsade rättigheter det finns fortfarande svaga punkter , men många vägar in i systemet stängs effektivt med denna enkla åtgärd.

Av de 34 testen i Comodo Leaktests, är dessa 24 skyddade, då programmet körs begränsat:

1. RootkitInstallation: MissingDriverLoad Protected

2. RootkitInstallation: LoadAndCallImage Protected

3. RootkitInstallation: DriverSupersede Protected

4. RootkitInstallation: ChangeDrvPath Protected

6. Invasion: RawDisk Protected

7. Invasion: PhysicalMemory Protected

8. Invasion: FileDrop Protected

9. Invasion: DebugControl Protected

13. Injection: Services Protected

14. Injection: ProcessInject Protected

15. Injection: KnownDlls Protected

16. Injection: DupHandles Protected

17. Injection: CreateRemoteThread Protected

18. Injection: APC dll injection Protected

19. Injection: AdvancedProcessTermination Protected

20. InfoSend: ICMP Test Protected

22. Impersonation: OLE automation Protected

26. Impersonation: BITS Protected

27. Hijacking: WinlogonNotify Protected

28. Hijacking: Userinit Protected

29. Hijacking: UIHost Protected

30. Hijacking: SupersedeServiceDll Protected

31. Hijacking: StartupPrograms Protected

32. Hijacking: ChangeDebuggerPath Protected

Och dessa 10 är sårbara:

5. Invasion: Runner Vulnerable

10. Injection: SetWinEventHook Vulnerable

11. Injection: SetWindowsHookEx Vulnerable

12. Injection: SetThreadContext Vulnerable

21. InfoSend: DNS Test Vulnerable

23. Impersonation: ExplorerAsParent Vulnerable

24. Impersonation: DDE Vulnerable

25. Impersonation: Coat Vulnerable

33. Hijacking: AppinitDlls Vulnerable

34. Hijacking: ActiveDesktop Vulnerable

Kör som, Aktuell användare, med alternativet Skydda min dator och mina filer från otillåtna programfunktioner lämnar tre punkter sårbara:

10. Injection: SetWinEventHook Vulnerable

11. Injection: SetWindowsHookEx Vulnerable

21. InfoSend: DNS Test Vulnerable

Länk till inlägg
Dela på andra webbplatser

Detta är helt kompatibelt med säkerhetsprogram av olika slag. De som använder Windows-brandväggen och ett traditionellt antivirusprogram har förstås mer att vinna på att följa guiden, än de som använder ett säkerhetspaket/en brandvägg med kraftfullt HIPS ;)

Länk till inlägg
Dela på andra webbplatser

Saknas info om vilka/vilket OS detta gäller.

Löser inte UAC delar av detta problem redan? för program får ju inte automatiskt elevated rights.

Och det är väl faktist skillnad på att vara inloggad som "Administratör" och en användare som är medlem i gruppen "Administratörer" iaf i Vista och 7!!? (där för övrigt "Administratör" är dolt i de flesta fall)

Länk till inlägg
Dela på andra webbplatser

haha vilket jag helt missade, och detta gjorde mina frågeställningar inrelevanta.

Men skriv gärna för tydlighetens skull xp när du refererar till Windows i inlägget.

Men om du går lite offtopic, jag ställer mina frågor igen :)

Länk till inlägg
Dela på andra webbplatser

Det här fungerar tvärtemot hur UAC fungerar: Jag väljer vilka program som skall ha begränsade rättigheter, och program som de begränsade programmen startar körs också begränsade. Jag väljer förstås inte att köra t.ex. CCleaner och Defraggler begränsade, då jag vet att de behöver förhöjda rättigheter (och att de är säkra). I Vista och 7 måste dessa program beviljas administratörsrättigheter varje gång de skall användas. För mig skulle det vara en mycket sämre lösning (jag tål inte tjat ;)).

Länk till inlägg
Dela på andra webbplatser

Arkiverat

Detta ämne är nu arkiverat och det går inte längre svara i det.