Binários assinados no Windows

1

Existe uma maneira de impedir que o Windows execute um binário não assinado? Eu percebo que isso seria uma grande dor do ponto de vista de um usuário, mas existe tal mecanismo no Windows que manteria essa política?

    
por monksy 11.04.2012 / 17:51

1 resposta

4

Não é possível restringir a binários assinados em geral, até onde eu sei. No entanto, se você quiser definir binários e / ou editores específicos (ou seja, binários assinados de um fornecedor específico), isso é possível. Isso pode ser feito por meio do AppLocker . Aparentemente, ele é aplicado apenas no Windows 7 Enterprise e Ultimate e no Windows Server 2008.

While you can create AppLocker rules on computers running Windows 7 Professional, they will not be enforced on those computers. However, you can create the rules on a computer running Windows 7 Professional and then export the policy for implementation on computer running an edition of Windows that does support AppLocker rule enforcement.

Basicamente, é definido através da Política de Grupo. Vou te guiar por uma configuração relativamente simples aqui.

  1. Abra o editor de Diretiva de Grupo (requer Professional, Enterprise ou Ultimate). gpedit.msc no menu iniciar serve.

  2. Expanda e navegue até Local Computer Policy > Computer Configuration > Windows Settings > Security Settings > Application Control Policies > AppLocker à esquerda.

  3. Crie uma nova regra através do menu Action ou do botão direito. Primeiro, você desejará criar regras padrão. Todos os arquivos executáveis no Windows e Arquivos de Programas são permitidos por padrão, use permissões NTFS para garantir que somente administradores (e sistema, etc, não apenas usuários normais) tenham permissões gravação para aqueles pastas, caso contrário, os usuários poderiam despejar seus executáveis não assinados lá e executá-los. Temos que permitir tudo o que já está lá, senão seu sistema operacional irá quebrar.

    The default rule action is to run only those applications that are specifically allowed in the AppLocker rule collection. While there is no setting to configure the default rule behavior, you can use AppLocker's default rule collection to override the default rule behavior. To do this, create an allow rule with a path condition set to *. This configuration will allow all files to run. You can then create deny rules to block specific files.

  4. Crie uma nova regra. Use-o para permitir um editor ou um hash de arquivo. Você precisa de um exemplo para qualquer um desses.

    Citando o FAQ do artigo da Microsoft:

    • Publisher rule conditions can only be used for files that are digitally signed by a software publisher. This condition type uses the digital certificate (publisher name and product name) and properties of the file (file name and file version). This type of rule can be created for an entire product suite, which allows the rule in most cases to still be applicable when the application is updated.

    • Path rule conditions are based on the file or folder installation path of specific applications.

    • File hash rule conditions are based on the unique file hash that Windows cryptographically computes for each file. This condition type is unique, so each time that a publisher updates a file, you must create a new rule.

    • Eu não usaria o caminho, a menos que o acesso de gravação seja negado àqueles que você está tentando bloquear.
  5. Eu não tenho uma instalação atual do Enterprise ou Ultimate para verificar, mas acredito que você tenha que habilitar o AppLocker, acima das Regras executáveis (Configurar o AppLocker Enfocement?).

Um método alternativo é permitir que apenas executáveis não assinados sejam executados como usuário básico, ou seja, desabilitar a elevação do UAC para arquivos não assinados. Isso também é feito por meio da política de grupo, Controle de conta de usuário: somente elevar os executáveis assinados e validados .

Isso tem a fraqueza inerente dos usuários poderem assinar seus próprios arquivos. O malware também pode ser assinado com um certificado genérico, e é por isso que o AppLocker (e a Política de restrição de software para versões anteriores a 7) é muito mais seguro.

    
por 11.04.2012 / 18:34