Zatočte s malwarem pomocí technologie SRP nebo AppLocker

I nejnovějšímu malwaru se můžete poměrně snadno ubránit pomocí nástrojů, které jsou nedílnou součástí vašeho operačního systému, jen o tom možná nevíte.

Konkrétně se jedná o zásady omezení softwaru (Software Restriction Policies, zkr. SRP), které je součástí MS Windows XP Professional a Vista, nebo pomocí technologie AppLocker, která se ve Windows nachází od verze 7 a umožňuje definovat, které programy se mohou spouštět. Rozdíl mezi SRP a AppLocker je uveden zde.

V zásadě je možné spouštění všech programů povolit, což je výchozí nastavení nebo naopak spouštění všech programů zakázat a povolit spuštění jen těch, co splňují určitá pravidla. Je nasnadě, že druhá varianta poskytuje vyšší úroveň bezpečnosti, ale zároveň přináší určitá omezení.

Pokud SRP zavedete, tak před každým spuštěním programu může být kontrolováno, zda jeho otisk odpovídá hashi uloženému v systému (hash rule), nebo zda je podepsán klíčem s příslušným certifikátem (certificate rule), nebo zda je program spouštěn z určitého adresáře (path rule). Tato pravidla jsou uložena v registrech a je možné je vytvářet pomocí Group Policy Object editoru nebo v Local Security Settings.

Na Windows můžete přístup k programům řídit pomocí místních zásad zabezpečení, kdy stačí spustit secpol.msc a v něm vytvořit příslušná pravidla, která běžnému uživateli (podmínkou je tedy nepracovat pod administrátorským účtem) umožní spouštět pouze programy, které jsou nainstalovány administrátorem. Princip, na jakém tato pravidla fungují, je velice jednoduchý.

V okamžiku, kdy uživatel zavítá na stránku, na které se nachází škodlivý kód zneužívající nějaké zranitelnosti v aplikaci Java, Flash, Adobe, nebo samotného prohlížeče, tak se sice stáhne do složky, do které má uživatel právo zápisu, ale už se z ní nespustí.

Toto omezení platí samozřejmě i pro soubor, který by uživateli přišel jako příloha v mailu, protože ten se též nenachází ve složce, ze které je spouštění programů povoleno. Toto nastavení vás tak ochrání před spuštěním souborů, které se navenek tváří jako PDF dokument, ale ve skutečnosti se jedná o spustitelný soubor, ostatně tak se v posledních měsících šířil např. bankovní malware.

Vzhledem k tomu, že uživatel musí mít právo zápisu do určitých adresářů, protože jinak by nemohl na počítači normálně pracovat, je třeba počítat s tím, že může dojít ke stažení malwaru do jakéhokoliv adresáře, do kterého má uživatel právo zapisovat. Obvykle se jedná o adresáře %appdata%, %localappdata%, %userprofile%, %programdata%, %temp% nebo Recycle Bin, do kterých se malware stáhne a odkud se pak pokouší i spustit.

Na stránkách společnosti Microsoft je tato technika obrany před škodlivým kódem poměrně detailně popsána a je zde uvedeno i pravidlo, které když zavedete, tak budete před většinou malware ochráněni.

  • Default Security Level: Disallowed (Toto výchozí bezpečnostní nastavení říká, že spouštění jakýchkoliv programů bude až na výjimky zakázáno.)
  • Apply software restriction policies to the following users: All users except administrators (toto pravidlo se bude aplikovat na všechny uživatele kromě administrátora daného počítače)
  • Path Rules: %WINDIR% a %PROGRAMFILES% – Unrestricted (toto nastavení znamená, že je možné spouštět pouze programy, které se nachází v těchto složkách)

Závěr: Pokud nebudete pracovat pod účtem administrátor, a zavedete výše uvedené pravidlo, budete poměrně dobře chráněni, protože pod účtem s omezenými právy do systémových adresářů nezapíšete a z adresářů, do kterých máte právo zápisu, zase nic nespustíte.

Pro citování tohoto článku ve své vlastní práci můžete použít následující odkaz:
ČERMÁK, Miroslav, 2013. Zatočte s malwarem pomocí technologie SRP nebo AppLocker. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/zatocte-s-malwarem-pomoci-technologie-srp-nebo-applocker/. [citováno 07.12.2024].

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Zatočte s malwarem pomocí technologie SRP nebo AppLocker” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: