Windows hardening

[Battle_Angel_Alita]

Quote:

Originariamente inviato da mariade

Ciao Battle_Angel_Alita, ho riletto la guida, ma l'unico modo per farsi' che funzioni il p2p e' delesezionando nelle proprieta' del firewall i filtri All Ip Traffic e All IMCP Traffic, che sono quelli che bloccano. Ma se li deseleziono, e lascio selezionato solo il traffico permesso, e' come se quest'ultimo fosse deselezionato giusto? Quindi non ho risolto niente cosi', giusto?

Devi aver applicato male qualche regola di base, ho provato la configurazione e funziona.

[Battle_Angel_Alita]

Quote:

Originariamente inviato da mariade

Non riuscendo a risolvere il problema, ho installato comodo. Quindi volevo ringraziarti Battle_Angel_Alita per il supporto!

Se cercavi una soluzione firewall semplice e gratuita questa discussione non faceva per te dall'inizio

[dimmi]

Ma ExtRunAs di Retalv non l'ha provato nessuno?

[cloutz]

link?

[dimmi]

Quote:

Originariamente inviato da cloutz

link?

Qui .. post 28

ciao!

[Pentothal2]

ciao a tutti sono nuovo dl forum..
Ho letto con molta attenzione il thread di windows built-in, almeno fino al firewall, ed applicato tutti passaggi spiegati...ma ...con il firewall attivo non riesco a navigare su internet...
premetto che nn ho abilitato l'ipsec... anche xkè nn so cm si fa e nn so nemmeno se è quello il problema...
se qlcn me lo spiegasse gli sarei grato..

un grosso grazie a sisupoika x il lavoro fatto... io con un amd1200 cn winxp sento proprio la differenza senza firewall!

P.S. anche scaricando il file nn risolvo niente..anche se nn sn sicuro che me lo carichi, mi sembra piuttosto la mia configurazione...

[medus@]

Quote:

Originariamente inviato da Pentothal2

ciao a tutti sono nuovo dl forum..
Ho letto con molta attenzione il thread di windows built-in, almeno fino al firewall, ed applicato tutti passaggi spiegati...ma ...con il firewall attivo non riesco a navigare su internet...
premetto che nn ho abilitato l'ipsec... anche xkè nn so cm si fa e nn so nemmeno se è quello il problema...
se qlcn me lo spiegasse gli sarei grato..

un grosso grazie a sisupoika x il lavoro fatto... io con un amd1200 cn winxp sento proprio la differenza senza firewall!

P.S. anche scaricando il file nn risolvo niente..anche se nn sn sicuro che me lo carichi, mi sembra piuttosto la mia configurazione...

ciao
scusa ma...non sn sicura di aver capito il problema:
...con il firewall attivo non riesco a navigare su internet...
se hai attivato l'IPSec senza abilitare correttamente i filtri tutto il traffico è bloccato.
devi seguire con attenzione sopratutto il primo post (e gli screenshot) dell'autore del 3d sisupoika.

inoltre:
'premetto che nn ho abilitato l'ipsec...anche xkè nn so cm si fa...'
quindi con quale firewall attivo nn riesci a navigare?

...P.S. anche scaricando il file nn risolvo niente...
ti riferisci al file "pappa-pronta" per IPSec linkato dall'autore per importare una config predefinita?

prova a seguire nuovamente tutti i passaggi del primo post con attenzione, io al secondo tentativo (eseguiti prima in virtual PC) sn riuscita a configurare tutto a dovere e da oltre 1 anno mai avuto problemi

unica accortezza aggiuntiva alla configurazione originale del 3D: utilizzo un soft della microsoft stessa (con il benestare di sisupoika ) utilizzato di solito negli internet-point o similari: Windows SteadyState. ad ogni riavvio del PC o, se si preferisce, ad ogni disconnesione dell'account, ripristina l'intera partizione di sistema pre-...prove d'install o pre-navigazione web o pre-...qualsiasi altro cosa!
comunque se hai problemi con IPSec e utilizzi un solo pc senza LAN o altro, secondo me poi utilizzare anche il windows firewall di XP avendo xò l'accortezza di modificare con attenzione le impostazioni predefinite se configuri accessi...ciao

[medus@]

ciao
volevo sapere se qualcuno può confermarmi se questo Howto della Microsoft...
http://support.microsoft.com/kb/811832/it
è un articolo ancora valido da seguire come guida su IPSec
ci sono dei settaggi da abilitare nel registro di sistema ma nn riesco a capire se sono ancora corretti.
l'articolo infatti ha data di revisione del 2008 (quindi in teoria le info dovrebbero essere aggiornate) ma ci sono dei riferimenti anche su ICF (internet connection firewall) che credo sia il predecessore del windows firewall pre SP2....o forse l'articolo si riferisce semplicemente al nome del servizio attivo col Windows firewall?!?
grazie a chiunque può rispondermi
ciao med

[ghelmer]

Scusate la domanda cretina ma non ho avuto tempo di leggere tutto il post: avete già preso in considerazione queste vulnerabilità di ipsec:
http://support.microsoft.com/default...b;en-us;811832.

[str4ng3r]

COMPLIMENTI.
Sono thread come questi che mi incentivano a cercare di capire "cio' che le finestre di Windows nascondono"...
ma come cavolo io uso un qualcosa (Windows) e no so nemmeno quelli che sono gli strumenti a disposizione...non è possibile!...vorreicapire/scoprire/imparare...e grazie a te ho fatto un passo in più in questa direzione...sarà pure un millimetro ma l'ho fatto!!!
Bravo SISU!
Ah e un altra cosa,io uso Home...chi vuole imparare si arrangia con cio' che ha!
Saluti a tutti.




Non saprai mai realmente fin dove potrai arrivare se non ti sarai spinto un pò oltre volevi arrivare

[Sisupoika]

Mi fa piacere che ancora - oggi dopo un bel po' di tempo - chi legge questi vecchi thread ne tragga beneficio (spesso ricevo anche pvts in proposito).
Anche se, confesso, non ricordo neanche io che cosa avevo scritto di preciso in un thread o nell'altro...LOL dovrei rileggerli io stesso per ricordare

[cloutz]

Quote:

Originariamente inviato da Sisupoika

Mi fa piacere che ancora - oggi dopo un bel po' di tempo - chi legge questi vecchi thread ne tragga beneficio (spesso ricevo anche pvts in proposito).
Anche se, confesso, non ricordo neanche io che cosa avevo scritto di preciso in un thread o nell'altro...LOL dovrei rileggerli io stesso per ricordare

e intanto uso ancora questa configurazione (AdminCMD e AdminShell) più altri software, e non riesco più ad abbandonare i diritti limitati

[Sisupoika]

Quote:

Originariamente inviato da cloutz

e intanto uso ancora questa configurazione (AdminCMD e AdminShell) più altri software, e non riesco più ad abbandonare i diritti limitati

[str4ng3r]

Sto provando a configurare il mio xp home nel modo decritto da Sisu,
non mi piace la pappa bella e pronta e quindi sto cercando di fare tutto manualmente,in Gestione account non vi era nessun account Administrator ma solo un account appartenente al gruppo administrators che è quello che utilizzo normalmente...da quel che ho capito la cosa comportava un passaggio in meno nella procedura...tuttavia in un primo momento ,credendo fosse necessario avere l'account Administrator presente ma disabilitato,tramite oppurtuna creazione di una DWORD nel registro,ho ricreato l'account Administrator;nel tentativo di loggarmi con quest'ultimo mi veniva chiesta la relativa pwd,non conoscendola mi sono loggato tramite l'account che utilizzavo normalmente,ho cambiato la pwd all'Administrator e ho seguito tutta la procedura fino alla disabilitazione di quest'ultimo.Da profano quale sono domando:l'aver fatto questi passaggi in più determina un qualche problema?
E un altra cosa Sisu:non che non mi fidi del tuo lavoro (tutt'altro!) ma per cercare di capire il tuo lavoro,che strumenti/conoscenze dovrei possedere per analizzare i due scripts?
Grazie per l'attenzione e saluti a tutti.

[dimmi]

Quote:

Originariamente inviato da cloutz

e intanto uso ancora questa configurazione (AdminCMD e AdminShell) più altri software, e non riesco più ad abbandonare i diritti limitati

Quoto

Peccato solo che su uno dei 2 pc che utilizzo ho Xp Media Center che non salva le psw e quindi devo inserirle ogni volta .... ma va bene così

[medus@]

ciao a tutti...su 'notageek.it' (link)
http://www.notageek.it/windows-xp-so...as-bypass.html

ho letto e visto (allegato all'articolo c'è un video)
un metodo banalissimo e non documentato altrove (per quello che ho potuto vedere fin'ora) riguardo una 'voragine' (IMHO) nella configurazione che attualmente utilizzo su XP, proposta qui da sisupoika.
si consiglia di disabilitare l'esecuzione di runas per evitare il bypass di ben due delle soluzioni proposte (Criteri di restrizione software e LUA) che consentono il "lockDown di windows"
ho seguito alla lettera l'articolo e sono SEMPRE riuscita ad eseguire un qualsiasi programma installato o setup d'installazione SENZA mai fornire le credenziali amministrative e senza dover neanche richiamare nessuno script.
è sufficente avviare un prompt e digitare:
runas /trustlevel:"Senza restrizioni" Programma_Bloccato.exe

per poter avviare o installare qualsiasi applicazione in barba a tutto!
qualcuno sa, x cortesia se e comè possibile rimediare?!?
tra l'altro disabilitando runas come si potrebbe continuare ad utilizzare la config proposta da sisupoika???
btw...sisupoika help!

[medus@]

ciao a tutti...su 'notageek.it' (link)
http://www.notageek.it/windows-xp-so...as-bypass.html

ho letto e visto (allegato all'articolo c'è un video)
un metodo "banalissimo" e non documentato altrove (per quello che ho potuto vedere fin'ora) riguardo una voragine (IMHO) nella configurazione che attualmente utilizzo su XP, proposta qui da sisupoika.
si consiglia di disabilitare l'esecuzione di runas per evitare il bypass di ben due delle soluzioni proposte qui:
'Criteri di restrizione software' e 'LUA' che consentono il "lockDown di windows"
ho seguito alla lettera l'articolo e sono sempre riuscita ad eseguire un qualsiasi programma installato o setup d'installazione senza mai fornire le credenziali amministrative e senza dover richiamare nessuno script.
è sufficente avviare un prompt e digitare:
runas /trustlevel:"Senza restrizioni" Programma_bloccato.exe

per poter avviare o installare qualsiasi applicazione in barba a tutto!
qualcuno sa, x cortesia se e comè possibile rimediare?!?
tra l'altro disabilitando runas come si potrebbe continuare ad utilizzare la config proposta da sisupoika???
btw...mi auguro che sisupoika faccia presto un salto qui!!!

[Sisupoika]

Quote:

Originariamente inviato da medus@

ciao a tutti...su 'notageek.it' (link)
http://www.notageek.it/windows-xp-so...as-bypass.html

ho letto e visto (allegato all'articolo c'è un video)
un metodo banalissimo e non documentato altrove (per quello che ho potuto vedere fin'ora) riguardo una 'voragine' (IMHO) nella configurazione che attualmente utilizzo su XP, proposta qui da sisupoika.
si consiglia di disabilitare l'esecuzione di runas per evitare il bypass di ben due delle soluzioni proposte (Criteri di restrizione software e LUA) che consentono il "lockDown di windows"
ho seguito alla lettera l'articolo e sono SEMPRE riuscita ad eseguire un qualsiasi programma installato o setup d'installazione SENZA mai fornire le credenziali amministrative e senza dover neanche richiamare nessuno script.
è sufficente avviare un prompt e digitare:
runas /trustlevel:"Senza restrizioni" Programma_Bloccato.exe

per poter avviare o installare qualsiasi applicazione in barba a tutto!
qualcuno sa, x cortesia se e comè possibile rimediare?!?
tra l'altro disabilitando runas come si potrebbe continuare ad utilizzare la config proposta da sisupoika???
btw...sisupoika help!

Ciaps

Vedo della confusione: i miei posts si ponevano l'obiettivo di fare hardening di Windows contro malware.

Il trustlevel nel caso di RunAs ha piu' rilevanza quando si vuole evitare a tutti i costi che altri utenti umani (PC multiutente) possano accedere a delle applicazioni.

Sebbene quanto suggerito nell'articolo sia corretto, devi tenere conto di

- contesto in cui una applicazione viene eseguita, cioe' la combinazione ruolo utente + come SRP e' configurato.

- i diritti (di scrittura in determinati folders, per esempio) permessi all'applicazione eseguita, disponibili appunto nel contesto in cui essa viene eseguita.

- i permessi a livello di file system (esecuzione, scrittura, lettura, ecc)

Proseguendo, nella mia vecchia guida non menzionavo il discorso del trust level (cosi' come dimenticai quello sui trusted publishers ed altra roba) forse perche' lo dimenticai oppure omisi perche' il post era gia' troppo lungo

Comunque, e' proprio il trust level la ragione per cui suggerivo di attivare SRP su tutti i files e per tutti gli utenti non amministratori, senza escludere le librerie:

(vecchia immagine)



Suggerivo poi di consentire soltanto i .lnk cosi' che i collegamenti sul desktop funzionino.

Infatti la cazzatina di RunAs funziona - che io sappia - soltanto se di excludono le DDLs da SRP.

In breve, seguendo quelle vecchie istruzioni un'applicazione diciamo maligna non sarebbe in grado di fare danni poiche' normalmente non potrebbe avviare "qualsiasi" altra applicazione o scrivere in cartelle di sistema a causa dell'account limitato, neanche con quel trucchetto se SRP e' configurato come suggerivo.

Proseguendo:

1) Supponendo che SRP excluda le libraries/DLLs (dunque contrariamente a quanto da me suggerito):

Un malware che esegui una applicazione in quel modo sarebbe pressocche innocuo, perche' non potrebbe recare danno al sistema perche', ripeto, nel contesto di un account limitato. E non potrebbe, viceversa, eseguire applicazioni di sistema che potrebbero invece consentirgli di far danni, ma sono inacessibili ad utenti limitati.


2) Se continuiamo a parlare di malware (che era l'oggetto dei miei posts), se vuoi - per qualunque ragione - evitare "a tutti i costi" anche l'accesso alle applicazioni comunque consentite ad un utente limitato (senza pensare alla distinzione malware/utenti), anche se non ci sarebbe la possibilita' di far danni, hai diverse strade, tra cui:

a) Se hai eseguito tutto alla lettera, in uno di quei posts avevo anche suggerito di utilizzare per esempio un utente dedicato al browser che usi, dopo aver eliminato i diritti di esecuzione in certe cartelle e i diritti di scrittura per determinate cartelle, per quello specifico utente (un esempio che avevo fornito: se crei un utente limitato di nome "BrowserUser" e lo usi con RunAs per eseguire il tuo browser, consentiresti solo la scrittura in folders come cache and downloads, ma non l'esecuzione, cosi' da non consentire l'esecuzione di qualcosa scaricata).
Queste restrizioni, che suggerivo, sono a livello di ACL e non hanno nulla a che vedere con SRP, alle queli si affiancano.

b) Configurare SRP per bloccare RunAs stesso o il Secondary Logon (che e' usato da RunAs per avviare applicazioni con credenziali diverse da quelle dell'utente corrente), perdendo parte della configurazione coi suoi pregi/difetti.



3) Quando esegui una applicazione con RunAs, a quell'applicazione e' assegnato un token di diverso tipo a seconda del ruolo/gruppo dell'utente nel cui contesto RunAs esegue l'applicazione.
Qui vale la sottolineatura: RunAs non assegna diritti di amministratore ad un utente limitato anche qualora tale utente che esegua una applicazione col giochetto del trust level.

L'enforcement delle restrizioni a livello utente sono rispettate comunque.

Da cui cio' che dicevo prima: cio' puo essere un problema se hai bisogno a "tutti i costi" di evitare l'accesso a determinate applicazioni da parte di altri utenti, ma difficilmente costituisce un problema per malware, contro i quali le necessita' sono, se vogliamo, un po' diverse.


Per chiudere: nel caso non si fosse capito dalle mie vecchie guide, per essere effettive SRP devono andare a braccetto con ACL.

[Sisupoika]

Ho dimenticato di dire, aggiungo, che per le ragioni esposte parlare di

Quote:

bypass di ben due delle soluzioni proposte (Criteri di restrizione software e LUA)

ovviamente non e' corretto.

1) Criteri di restrizione software:

L'unico bypass possibile per avviare applicazioni attraverso il trust level e' quello fornito dalla esclusione delle librerie dalle SRP, chiaramente un bug.

2) LUA:
non c'entra assolutamente nulla ed anzi e' cio' che rende SRP utile. Ripeto ancora una volta: anche qualora SRP sia misconfigurato a proposito di librerie, i diritti e i permessi in fase di esecuzione rimangono in alterati. Se essi sono limitati, rimarranno tali.

[medus@]

ciao sisupoika...è sempre 1 piacere leggerti.
anzitutto però voglio subito chiarire 1 cosa:
forse il mio post è potuto sembrar polemico o chissà cos'altro ma (ci tengo molto a precisarlo) la mia 'richiesta di help' non era assolutamente per mettere in dubbio le tue conoscenze, tutto ciò che hai proposto in queste pagine e le reali potenzialità di una corretta config windows-utenza.
se è passato questo...scusami, non era assolutamente mia intenzione!
i tuoi posts sono tra i pochi (su HWU) che trovo utili, ed è proprio grazie al tuo howto "windows-hardening" che mi sono iscritta qui.
quindi sarebbe oltretutto come 'sputare' nel piatto in cui mangio dal 2007...
ero solo preoccupata di un comando che sembra essere sfuggito un pò ovunque:
ma sai quanto ho dovuto leggere x trovare dettagli sul parametro 'trustlevel' del runas?
tra l'altro sai benissimo (leggi pvt) da quanto tempo utilizzo, senza ripensamenti e con successo, la config proposta da te e utilizzata (senza troppe pubblicità) anche da molte aziende/professionisti.
ti dirò di più...da ca. 1 anno utilizzo, al posto dell'ottimo IPSec, 'solo' il Windows firewall di XP che ho sempre ritenuto un buon prodotto a patto di essere ben configurato (come da guida che ti ho linkato tempo fa) e, quando posso, utilizzo il Pc per svago girovagando anche su siti non proprio 'ortodossi'....emh...se il mio "lui" legge:mi riferisco alle volte che l'abbiamo fatto insieme...logico...

tutto ciò x ribadire che ho seguito (a parte il firewall ultimamente) alla lettera la config senza mai beccare nulla nonostante a volte mi sia messa in situazioni pericolose. premesso ciò...

Quote:

Originariamente inviato da Sisupoika

....Il trustlevel nel caso di RunAs ha piu' rilevanza quando si vuole evitare a tutti i costi che altri utenti umani (PC multiutente) possano accedere a delle applicazioni.

pensavo invece che potesse essere sfruttato (e.g. da remoto) e comunque penso sia un'opzione che dovrebbe essere limitata, magari con un'update dell'exe rilasciato da Microsoft (runas è uno dei pochi componenti del mio XP SP3 ad essere ancora di versione 5.1.2600 XPclient)
l'opzioni così accessibile mi è sembrata un bug tra i tanti (o presunti tali) di windows anche perchè, sarà utile per gli amministratori che vogliono eseguire un'applicazione bloccata senza restizioni, ma perchè lasciare il parametro pienamente accessibile all'utenza limitata?

Quote:

Comunque, e' proprio il trust level la ragione per cui suggerivo di attivare SRP su tutti i files e per tutti gli utenti non amministratori, senza escludere le librerie:

(vecchia immagine)

Suggerivo poi di consentire soltanto i .lnk cosi' che i collegamenti sul desktop funzionino.
Infatti la cazzatina di RunAs funziona - che io sappia - soltanto se di excludono le DDLs da SRP.

ripeto...ho seguito alla lettera il tuo tutorial e quindi anche l'enforcement sulle DLL ma il comando trustlevel funziona tranquillamente...cioè permette di eseguire qualsiasi setup senza richieste di password o restrizioni!
è per questo ci sono rimasta secca provando la cosa + volte...probabilemnte non conoscendo i dettagli del trustlevel mi son anche sorpresa: essendo un'opzione di runas per nulla indicata nella guida '/?' da prompt e poco chiara nella guida in linea di xp, come invece imho dovrebbe essere.
naturalmente, come da te ricordato, se si gestiscono i permessi correttamente su determinate folders nn si possono comunque portare a termine installazioni o accedere a determinati file, però in sistemi non perfettamente protetti è pericoloso..no?

Quote:

Originariamente inviato da Sisupoika

a) Se hai eseguito tutto alla lettera, in uno di quei posts avevo anche suggerito di utilizzare per esempio un utente dedicato al browser che usi, dopo aver eliminato i diritti di esecuzione in certe cartelle e i diritti di scrittura per determinate cartelle, per quello specifico utente (un esempio che avevo fornito: se crei un utente limitato di nome "BrowserUser" e lo usi con RunAs per eseguire il tuo browser, consentiresti solo la scrittura in folders come cache and downloads, ma non l'esecuzione, cosi' da non consentire l'esecuzione di qualcosa scaricata).
Queste restrizioni, che suggerivo, sono a livello di ACL e non hanno nulla a che vedere con SRP, alle queli si affiancano.

b) Configurare SRP per bloccare RunAs stesso o il Secondary Logon (che e' usato da RunAs per avviare applicazioni con credenziali diverse da quelle dell'utente corrente), perdendo parte della configurazione coi suoi pregi/difetti.

a) di utenti "No-change" (come consigliato dal tuo 'Sandbox fai-da-te') ne ho ben 2, uno per eseguire i browser e scaricare file, uno per mail-chat (come consigliato anche in "Running vista every day" di Joanna Rutkowska.
b) non vorrei proprio disabilitare runas tramite le policies...

stanote invece ho pensato ad una soluzione, forse banale, ma efficace:
ho negato l'accesso per runas a tutti gli altri account del PC, tranne all'account (sempre limitato) che utilizzo per accedere fisicamente e con cui, tramite 'MakeMeAdmin', eseguo i programmi pericolosi tramite le altre utenze.
clic destro sull'eseguibile in system32 e messo i flag su "Nega" in Controllo completo.
in questo modo con laccount con cui ti sto fisicamente scrivendo (da desktop) posso eseguire il runas per avviare l'utenza con cui invio "tutto l'ambaradan" tramite IE, ma che a sua volta nn può eseguire il runas perchè
"...risulta bloccato. Rivolgersi all'amministratore."
poter bloccare i programmi, è un'opzione presente anche nel programma Windows StaedyState che (come sai) utilizzo, ma ho preferito fare a manina perchè ho notato che non viene bloccato l'accesso anche a: "Esegui come..." da menu destro.
tu cosa ne pensi? fatto bene?!? ;-)