21 ответов в этой теме

[Guest346]

Имеем такую конфигурацию: есть ограниченный пользователь, в котором пользователь логинится и работает, и есть браузер, который запускается с ярлыка под другим ограниченным пользователем.

 

Вопрос следующий - помогут ли в таком случае разрешения ntfs от шифраторов при эксплуатации уязвимости в браузере, флеше, яве при работе в интернете?

Быть может есть такие которые смогут шифровать, а какие то нет?

Насколько такая конфигурация эффективна?

[Dmitry_rus]

Ну, уязвимости разные бывают... Но если рассматривать случай, когда браузер запускается в контексте текущего (ограниченного) пользователя, то по идее, до файлов другого пользователя дотянуться не должен, если, конечно, нет механизма элевации.

Наиболее эффективная конфигурация - регулярный бэкап на другие физические носители, хранящиеся в разных местах. Всё остальное - от лукавого...

[Guest346]

Ну, уязвимости разные бывают... Но если рассматривать случай, когда браузер запускается в контексте текущего (ограниченного) пользователя, то по идее, до файлов другого пользователя дотянуться не должен, если, конечно, нет механизма элевации.

Наиболее эффективная конфигурация - регулярный бэкап на другие физические носители, хранящиеся в разных местах. Всё остальное - от лукавого...

Регулярный бекап хорошо, но как быть если нужно терабайты забекапить? Или часто изменяемые или добавляемые данные?

[v.martyanov]

А что будет если юзер скачает EXE от ограниченного пользователя, а запустит его от админа (под которым он и сидит)?

[Guest346]

а запустит его от админа (под которым он и сидит)?

Не сидит он под админом, исходя из условия задачи.

[mrbelyash]

ну под админом и пошифрует вам все.

[VVS]

Guest346, я пока что не встречал шифровальщика, который умел бы повышать права (особенно на Vista+ с включенным UAC).

Так что пока что в такой ситуации шифровальщик пошифрует только то, что доступно запустившему его пользователю (включая и шары).

[mrbelyash]

VVS

читай...есть

И много таких есть.

Подымают права.

Сообщение было изменено mrbelyash: 27 Апрель 2015 - 20:50

[Guest346]

VVS

читай...есть

И много таких есть.

Подымают права.

И вот тут вопрос - насколько много, приблизительная доля?

[VVS]

Guest346, пока что не встречал ни одного.

[Guest346]

Так что пока что в такой ситуации шифровальщик пошифрует только то, что доступно запустившему его пользователю (включая и шары).

У запустившего пользователя нет шар, он создан специально для запуска браузера. Ну может только профиль доступен для записи...

[mrbelyash]

как минимум http://mrbelyash.blogspot.com/2012/01/sandboxie.html

 

но там можно поставить другую плюху,но там сложно с дровами и восстановлением оси...

Смотрите сами...фломастеры разные.

[VVS]

 

Так что пока что в такой ситуации шифровальщик пошифрует только то, что доступно запустившему его пользователю (включая и шары).

У запустившего пользователя нет шар, он создан специально для запуска браузера. Ну может только профиль доступен для записи...

 

Шифровальщики приходят, в основном, по почте...

[Guest346]

 

 

Так что пока что в такой ситуации шифровальщик пошифрует только то, что доступно запустившему его пользователю (включая и шары).

У запустившего пользователя нет шар, он создан специально для запуска браузера. Ну может только профиль доступен для записи...

 

Шифровальщики приходят, в основном, по почте...

 

Пользуемся почтовой программой, там блокируется запуск исполняемых полностью. Но конечно можно сохранить и запустить.. Впрочем и тут сделано так, чтобы там где принимали - не запускалось ничего, а только сохранялось. От неизвестных адресатов без человеческой темы не принимают, стирают сразу, по крайней мере стараются.

[VVS]

 

 

 

Так что пока что в такой ситуации шифровальщик пошифрует только то, что доступно запустившему его пользователю (включая и шары).

У запустившего пользователя нет шар, он создан специально для запуска браузера. Ну может только профиль доступен для записи...

 

Шифровальщики приходят, в основном, по почте...

 

Пользуемся почтовой программой, там блокируется запуск исполняемых полностью.

Что понимаете под исполняемыми?

js, cmd, bat, scr... всё подобное тоже блокировано?

А если оно в архиве?

[Guest346]

Что понимаете под исполняемыми?

js, cmd, bat, scr... всё подобное тоже блокировано?

А если оно в архиве?

 

Блокированы, а если в архиве то там диалог обычно предлагает "да", а это значит "сохранить на диск". Несколько шагов защиты, но как правило все ищут своих адресатов и неизвестных не трогают, потому что приходит и спам и чужие чертежи, а приём осуществляется одной программой.

[brisyo]

Ох, не защитите вы от социальной инженерии)

Пользователи будут открывать все архивы со скриптами, и не каждый антивирь поймет, что это плохой файл.

Был недавно случай: позвонила мне как-то сотрудница, сказала: "Ты меня предупреждал и я не открываю...". Я сказал "молодец", залез на вирус тотал с этим архивом - там все молчат (включая мой любимый веб), но в сведениях у видел "что-то там.bat" и сказал "перешли мне письмо на домашнюю почту" и удалил письмецо с рабочей почты. Подождал 2-3 дня - проверил вебом домашним. Опа!!! trojan.proxy. какой-то. 

Так что рассылайте предупреждающие письма внутри компании. Иногда помогает

[Guest346]

Ох, не защитите вы от социальной инженерии)

Пользователи будут открывать все архивы со скриптами, и не каждый антивирь поймет, что это плохой файл.

Был недавно случай: позвонила мне как-то сотрудница, сказала: "Ты меня предупреждал и я не открываю...". Я сказал "молодец", залез на вирус тотал с этим архивом - там все молчат (включая мой любимый веб), но в сведениях у видел "что-то там.bat" и сказал "перешли мне письмо на домашнюю почту" и удалил письмецо с рабочей почты. Подождал 2-3 дня - проверил вебом домашним. Опа!!! trojan.proxy. какой-то. 

Так что рассылайте предупреждающие письма внутри компании. Иногда помогает

За 10 лет это первый такой случай, на удивление... Но пользователи вполне тренированные, бывают конечно сбои но редко.

[Guest346]

Вобщем.. однозначного ответа нет, но в принципе понятно, что современные шифровальщики редко бывают с повышением привилегий и прямым доступом к диску не пользуются, что делает эффективным их ограничение с пом. разрешений ntfs.

Также почти не используется заражение через эксплуатации браузеров и их плагинов..

Спасибо за ответы.

[mrbelyash]

Вобщем.. однозначного ответа нет, но в принципе понятно, что современные шифровальщики редко бывают с повышением привилегий и прямым доступом к диску не пользуются, что делает эффективным их ограничение с пом. разрешений ntfs.

Также почти не используется заражение через эксплуатации браузеров и их плагинов..

Спасибо за ответы.

да как бы сказать...сидите под админом-получите доступ ко всему.

А сделать даже на барсике не проблема.

Там можно столько плюх налепить

Могу расписать,но боюсь начнут внедрять.