Kullanıcı klasörümün kötü amaçlı yazılım tarafından değiştirilmesini önlemek için ne yapabilirim?

Bazı şeyleri varsayalım:

• Yedekler her X dakikada bir çalışır, ancak kaydettiğim şeyler kalıcı olmalıdır.

• Bir güvenlik duvarı ve virüs tarayıcısı var, ancak bana sıfır günlük bir saldırı yaşanıyor.

• Windows kullanıyorum (Yanıtınıza Linux / OS X bölümlerini eklemekten çekinmeyin)

İşte sorun

• Herhangi bir yazılım kullanıcı klasörümdeki her şeyi değiştirebilir.

• Dosyalara müdahale etmek, bana erişmesi / üzerinde değişiklik yapılması ya da silinmesi gibi, hayatımı etkileyebilir.

Yani, sormak istediğim şey:

• Programların dosyalarıma varsayılan olarak herhangi bir şekilde dosyalara erişmesini engellemenin izin tabanlı bir yolu var mı?

• Önceki soruyu genişleterek, belirli programların yalnızca belirli klasörlere erişebilmesini sağlayabilir miyim?

• Comodo'yu kullanmaktan başka daha az rahatsız edici yollar var mı? Yoksa Comodo'yu daha az rahatsız edici yapabilir miyim?

Örneğin, çözüm karşı kanıt olmalıdır ( KOŞMA ):

del /F /S /Q %USERPROFILE%

Tüm önemli verilerinizi sadece klasöre koyabilirsiniz. Administrators grupta yazma erişimi var ¹ için. Bu verileri yazmak / silmek isteyen herhangi bir program, kurcalamaya karşı biraz güvenlik sağlamak için UAC aracılığıyla yükseltilmelidir.

Bu fikri genişleterek, tüm dosyaları geçici bir yere kaydedebilir ve bu güvenli klasöre Windows Gezgini (veya benzeri) ile manuel olarak kopyalayabilir / taşıyabilir, yükseltilmesi ve bu klasöre erişim verilmesi gereken program sayısını azaltabilirsiniz. explorer.exe kendisi yazma erişimini kısıtlar TrustedInstallerkurcalamaya karşı daha fazla koruma sağlar.

Bunların hepsi, kötü amaçlı yazılımın, Windows ACL güvenliğini geçemediğini varsayar. Ayrıca, hangi programları yükselteceğiniz konusunda çok dikkatli olduğunuzu varsaymaktadır.

Her programı bir klasör dizisiyle sınırlandırmak kadar kısıtlayıcı olmasa da, kullanıcı profilinizin çoğunun silinmesini engellemez. irade korumak için yeterince önemli olduğunu düşündüğünüz bu dosyaları koruyun.

Düzenli yedeklemelerden daha güvenli ya da daha az sorun olması tamamen başka bir konudur.

¹ Kötü amaçlı yazılımın saldırgana yükleme olasılığını kaldırmak istediğiniz hassas verilerde okuma erişimi de kısıtlanmalıdır.

Almalısın beyaz liste ile birlikte yazılım yaklaşımı yazılabilir dizinler çalıştırılamaz kontrol tarzı. Uygulamada bunun anlamı Yazılım Kısıtlama Politikaları ve yalnızca güvenilir olduğunu bildiğiniz yazılımı yükleyin.

beyaz liste: Kullanıcı sınırlı (standart) bir kullanıcıdır. Yazılım sadece kullanıcı olmayan dizine Yönetici olarak yüklenir; yani program dosyaları vb.

Yazılabilir ancak çalıştırılamaz yerler: Kullanıcının yazabileceği herhangi bir dizin, .dll veya .exe dosyalarının çalışmasına izin vermemek için SRP aracılığıyla işaretlenir. Onları oraya kopyalayabilirsin, ama kaçmayacaklar. Kullanıcının yönetici olmadığı gerçeği bunu sağlar. Tarayıcı highjack's temp dizinleri artık çalışmıyor. Virüsleri eğlence için indirin; önemli değil.

Tom, yazılımı test etmek için sanal bir makine kullanmayı ve iki işletim sistemini tamamen ayırmayı düşündün mü?

VMWare Player gibi bir şey belki (ki bu ücretsizdir) ..

Uygulamaları farklı kullanıcı hesapları altında çalıştırabilirsiniz. Örneğin, web'de gezinmek için ikincil bir kullanıcı hesabınız olsun ve ardından bu programı o kullanıcı olarak çalıştırmak için "farklı çalıştır" işlevlerini kullanın. Bu, daha şeffaf hale getirmek için toplu iş dosyaları veya PowerShell scriptleri ile yapılabilir. Bu, sanallaştırma tarafından sağlanan yalıtım kadar güvenli olmayacak, ancak çoğu durumda iki istismarın gerçekleşmesi gerektiği anlamına gelir (bir ikincil olarak ikincil hesaba kötü amaçlı yazılım girmesi ve ikincisi için Yönetici veya LOCAL_SYSTEM için ayrıcalık yükselmesi).

Yazılım kısıtlama politikaları da yürürlüğe girebilir ( http://technet.microsoft.com/en-us/library/bb457006.aspx izinsiz programları inkar edecek veya yetkili fakat güvenilmeyen programlar için daha düşük ayrıcalıklara sahip olacaktır. Bu taktiği, web tarayıcılarım ve e-posta programlarım için Windows XP’de yönetici haklarını bırakmaları için kullandım, ancak bir programı Konuk hesabıyla aynı erişime bırakabilir. Bu, kurulması oldukça karmaşık bir şeydir ve grup politikalarıyla çalışma konusunda oldukça fazla deneyime ihtiyaç duyar, ancak belirli bir çalıştırılabilir başlatıldığında otomatik olarak "çalıştır" yöntemiyle aynı yalıtımı sağlayabilir.

Sonuçta, @ indifferentDrum'un sanal makineleri önerisi çoğu durumda en kolay yaklaşım olacak ve küçük bir performans cezasında muhtemelen daha güvenli olacak, ancak farklı yaklaşımların bir kombinasyonu farklı tehditlere bakmaya değer - sanal makinelerde tamamen güvenilmeyen yazılımı başlatırken ve bu klasörde yaşayan bir şeyi çalıştırma yeteneğini reddeden bir yazılım kısıtlama ilkesiyle indirilenler klasörünüzde yanlışlıkla yürütmeyi önlerken, sanal alan hesaplarını ve runas kısayollarını web'de gezinmek için kısayollar oluşturmayı düşünebilirsiniz.