O que posso fazer para impedir que minha pasta de usuário seja adulterada por software malicioso?

Navegue suas respostas
0

Vamos supor algumas coisas:

  • As cópias de segurança são executadas a cada X minutos, mas as coisas que salvo são permanentes.

  • Há um firewall e um verificador de vírus no lugar, mas parece que houve um ataque de dia zero em mim.

  • Estou usando o Windows. (Embora sinta-se à vontade para anexar partes do Linux / OS X à sua resposta)

Aqui está o problema

  • Qualquer software pode alterar qualquer coisa dentro da minha pasta de usuário.

  • A adulteração dos arquivos pode me custar minha vida, seja acessando / modificando ou limpando-os.

Então, o que eu quero perguntar é:

  • Existe uma maneira baseada em permissão para impedir que os programas acessem meus arquivos de qualquer forma por padrão?

  • Estendendo a questão anterior, posso garantir que determinados programas só podem acessar determinadas pastas?

  • Existem outras maneiras menos intrusivas do que usar o Comodo? Ou posso tornar a Comodo menos intrusiva?

Por exemplo, a solução deve ser comprovada ( NÃO EXECUTE ): 

del /F /S /Q %USERPROFILE%
    
por Tom Wijsman 16.06.2012 / 03:54

4 respostas

2

Você pode colocar todos os seus dados importantes em uma pasta em que somente o grupo Administrators tem acesso de gravação 1 . Qualquer programa que deseje gravar / excluir esses dados teria que ser elevado por meio do UAC, fornecendo-lhe alguma segurança contra adulteração.

Expandindo essa ideia, você pode salvar todos os arquivos em um local temporário e copiar / mover manualmente para essa pasta protegida pelo Windows Explorer (ou similar), reduzindo o número de programas que precisam ser elevados e com acesso a essa pasta . explorer.exe limita o acesso de gravação a TrustedInstaller , o que fornece mais proteção contra adulteração.

Isso tudo presume que o malware não pode ignorar a segurança da ACL do Windows. E também pressupõe que você é muito cuidadoso com os programas que você eleva.

Embora não seja tão restritivo quanto limitar cada programa a um conjunto de pastas, nem impedir que a maior parte do seu perfil seja apagada, irá proteger os arquivos que considera importantes o suficiente para proteger.

Seja mais seguro ou menos problemático do que backups regulares é outra questão.

1 O acesso de leitura também deve ser restrito se forem dados sigilosos, onde você deseja remover o potencial de envio de malware para o invasor.

    
por 16.06.2012 / 04:46
1

Você deve adotar uma abordagem de software white listing em combinação com um diretório que seja gravável e não seja executável de controle. Na prática, isso significa Políticas de Restrição de Software e apenas instala software que você sabe que é digno de confiança.

lista branca: O usuário é um usuário limitado (padrão). O software é instalado apenas como Admin no diretório não-usuário; ou seja, arquivos de programas, etc.

Locais graváveis, mas não executáveis: Qualquer diretório para o qual o usuário possa gravar é marcado, via SRP, para não permitir que os arquivos .dll ou .exe sejam executados. Você pode copiá-los lá, mas eles não serão executados. O fato de o usuário não ser administrador garante isso. O highjack do navegador para diretórios temporários não funciona mais. Baixe vírus por diversão; não importa.

    
por 16.06.2012 / 05:21
1

Tom, você pensou em usar uma máquina virtual e separar os dois sistemas operacionais completamente para testar o software?

Algo como o VMWare Player talvez (que é gratuito) ...

    
por 16.06.2012 / 06:28
1

Você pode executar aplicativos em diferentes contas de usuário. Por exemplo, tenha uma conta de usuário secundária configurada para navegação na Web e, em seguida, use as funções "executar como" para executar esse programa como esse usuário. Isso pode ser feito com arquivos em lotes ou scripts do PowerShell, para torná-lo mais transparente. Isso não será tão seguro quanto o isolamento fornecido pela virtualização, mas na maioria dos casos isso significa que duas explorações têm que acontecer (malware entrando na conta secundária primeiro e escalonamento de privilégios para Administrador ou LOCAL_SYSTEM para a segunda). / p>

As políticas de restrição de software também podem ser implementadas ( link ), que negarão programas não autorizados ou privilégios inferiores para programas autorizados, mas não confiáveis. Eu usei essa tática de volta quando eu estava no Windows XP para os meus navegadores e programas de e-mail para que eles deixassem cair os direitos de administrador, mas também pode deixar um programa com o mesmo acesso que a conta de convidado. Isso é uma coisa bastante complicada de configurar, e precisa de uma boa quantidade de experiência no trabalho com políticas de grupo, mas pode fornecer o mesmo isolamento do método "executar como" automaticamente sempre que um determinado executável for iniciado.

Apesar de tudo, a sugestão de máquinas virtuais do indiferenteDrum será a abordagem mais fácil para a maioria das situações, e provavelmente será mais segura com uma pequena penalidade de desempenho, mas uma combinação de várias abordagens vale a pena olhar para os diferentes ameaças - talvez seja bom considerar a configuração de contas do sandbox e atalhos do runas para navegação na Web, ao iniciar software completamente não confiável em máquinas virtuais e impedir a execução acidental da sua pasta de downloads com uma diretiva de restrição de software que nega a capacidade de executar algo pasta.

    
por 16.06.2012 / 12:55

Tags

Todos os comandos do terminal (como ls, cd, edit, open) estão retornando erros no meu Mac [duplicado] Como reproduzir filmes em 3D no PC (Windows)