www.MegaLab.it

[Sabbb]

... (come promesso).

[nix87]

Io credo che un buon hardening di Windows sia sempre necessario

Si,ma quando buttate giù qualche riga per farci capire come si fa?

(il tutto bello e chiaro!)

Non ho molto tempo ora per scrivere tutto in dettaglio.

Comunque trovi tutto in questo 3D, basta che cerchi i seguenti argomenti:
- EMET
- Standard User Account (SUA)
- Deny Elevation of Unsigned Programs (DEUP)
- Trick 1806
- Integrity Level (IL)
(attenzione ai programmi a cui applichi l'abbassamento dell'IL, perché ciò potrebbe influire con l'usabilità)

[hashcat]

... (come promesso).

Hai ragione, me lo merito

[Sabbb]

hashcat prenditi il tempo che vuoi,l'importante è che poi te ne ricordi

[hashcat]

@Sabbb

Purtroppo e' da un po' che ho reinstallato w7 pulito quindi andrò a memoria:

Router

Configurazione di base:

• Protocollo UPNP disabilitato
• NAT
• Firewall interno
• Rete Wi-FI cifrata con WPA2-Personal [AES]
• Robusta Passphrase
• SSID generico
• Funzionalità WPS disabilitate

Configurazione avanzata:

• Protocollo DHCP disabilitato
• Disabilitata amministrazione remota del router (fuori da rete locale)
• Filtro MAC attivo (solo dispositivi riconosciuti autorizzati)
• Credenziali d'amministrazione del router da rete locale modificate

Microsoft Windows:

Windows Firewall

• IN: Blocca le connessioni in entrata che non corrispondono ad una regola
• OUT: Blocca le connessioni in uscita che non corrispondono ad una regola

• Notifiche generate dal Controllo Account Utente al massimo livello d'avviso
• DCOM Disabilitato
• Condivisioni amministrative disabilitate
• Connessione alla rete Wi-FI impostata come "Pubblica"
• Funzionalità Homegroup non attiva
• Account Amministratore protetto con una passphrase
• Account SuperAdmin rinominato e protetto con passphrase
• Account Guest rinominato e protetto con passphrase
• Autorun di tutte le periferiche rimovibili disabilitato
• Copia del MBR pulita presente su un disco esterno ed online
• Enumerazione degli SID degli account disabilitata
• Quote sul consumo dell'hard disk dai vari utenti (Admin: Illimitato, Account Limitato: TOT GB)
• Backup periodico con Clonezilla (live cd)
• Un backup settore-settore con Acronis Boot CD ogni settimana

Hardening Servizi:

• Condivisione connessione Internet (ICS) (SharedAccess): Disabilitato
• Helper NetBIOS di TCP/IP (lmhosts): Disabilitato
• Individuazione SSDP (SSDPSRV): Disabilitato
• Manutenzione collegamenti distribuiti client (TrkWks): Disabilitato
• Pubblicazione risorse per individuazione (FDResPub): Dsabilitato
• Routing e Accesso remoto (RemoteAccess): Disabilitato
• Server (LanmanServer): Disabilitato
• Servizio di condivisione porte Net.Tcp (NetTcpPortSharing): Disabilitato
• Servizio enumeratore dispositivi mobili (WPDBusEnum): Disabilitato
• Servizio Media Center Extender (Mcx2Svc): Disabilitato
• Windows Search (WSearch): Disabilitato
• Registro di sistema remoto (RemoteRegistry): Disabilitato
• NetBIOS over TCP/IP (NetBT): Disabilitato
• Configurazione Desktop remoto (SessionEnv): Disabilitato
• Criterio rimozione smart card (SCPolicySvc): Disabilitato
• Fax (Fax): Disabilitato
• Listener Gruppo Home (HomeGroupListener): Disabilitato
• Luminosità adattiva (SensrSvc): Disabilitato
• Provider Gruppo Home (HomeGroupProvider): Disabilitato
• Redirector porta UserMode di Servizi Desktop remoto (UmRdpService): Disabilitato
• Servizi Desktop remoto (TermService): Disabilitato
• Servizio di condivisione in rete Windows Media Player (WMPNetworkSvc): Disabilitato
• Servizio di input Tablet PC (TabletInputService)
• Servizio iniziatore iSCSI Microsoft (Servizio iniziatore iSCSI Microsoft): Disabilitato
• Smart Card (SCardSvr): Disabilitato
• Windows CardSpace (idsvc): Disabilitato
• Windows Connect Now - Registro configurazioni (wcncsvc): Disabilitato
• Windows Defender (WinDefend): Disabilitato
• Windows Media Center Receiver Service (ehRecvr): Disabilitato
• Windows Media Center Scheduler Service (ehSched): Disabilitato

Account Limitato:

• Blocco eseguibili con controllo parentale (solo chrome può avviarsi)
• Cmd disabilitato
• Pannello di controllo disabilitato
• Task Manager disabilitato
• Impedisci elevazione dei privilegi

Software:

• Tiny Watcher (settaggi personalizzati)
• SandboxIE
• Shadow Defender
• VMware

Google Chrome:

• Google Chrome portable (livello d'integrità basso) (Plugin Attivi: Flash + Lettore PDF integrato) (blocca cookies terze parti) + settaggi personali

P.S.: Java non è installato
P.S.2: Sicuramente mi sono dimenticato qualcosa

[sampei.nihira]

Has avrei una domanda:

"Come hai risolto il problema del google update con il controllo parentale ?"

Non ho verificato la portable, ma in quella canonica c'è un continuo bombardamento di avvisi a video del parental control.
Forse come avrai letto avevo provato ad inserire una modifica nella pianificazione ma il risultato è che ad un aggiornamento versione in Chrome si ottiene un errore.

[nix87]

Anch'io avrei una domanda per hascat (forse banale):

se con il controllo parentale permetti solo a Chrome di avviarsi, come fai ad eseguire tutte le altre applicazioni (legittime) come ad esempio vlc, office, ecc... ?

O mi sono perso qualcosa ?

[hashcat]

Has avrei una domanda:

"Come hai risolto il problema del google update con il controllo parentale ?"

Non ho verificato la portable, ma in quella canonica c'è un continuo bombardamento di avvisi a video del parental control.
Forse come avrai letto avevo provato ad inserire una modifica nella pianificazione ma il risultato è che ad un aggiornamento versione in Chrome si ottiene un errore.

Per evitare il "bombardamento" di avvisi basta rimuovere la relativa voce nel registro di sistema dall'avvio, poi rimuovere l'operazione pianificata (da task scheduler) presente in C:\Windows\Tasks

Utilizzando la versione portable Google Update non è presente quindi non si incappa in questi problemi.

Anch'io avrei una domanda per hascat (forse banale):

se con il controllo parentale permetti solo a Chrome di avviarsi, come fai ad eseguire tutte le altre applicazioni (legittime) come ad esempio vlc, office, ecc... ?

O mi sono perso qualcosa ?

Per smanettare utilizzo l'account admin.

Per sentire la musica puoi utilizzare Chrome (drag & drop dei file da riprodurre in una scheda vuota). Al limite concedi l'esecuzione anche a XMPlay.

Per i documenti utilizzo Wordpad e (spesso) Google Documenti, per i pdf Chrome.

I video li riproduco principalmente da Linux Mint (dualboot).

Per scaricare Torrent & Co. utilizzo Mint


P.S.: L'account limitato lo utilizzo quasi solo per navigare.
P.S.2: Ora che ci penso VMware (attualmente non installato) non è necessario, basta utilizzare Virtualbox da Mint

[sampei.nihira]

Si lo sò che eliminando il google update.....ma io non lo voglio eliminare.
Ah sarebbe a coloro che riuscissero nell'impresa una "prima mondiale".

Grazie della risposta.

Approfitto per lanciare un sasso, che poi è altro non è che l'impostazione usata da Kees1958 che io però trovo oltremodo scomoda anche perché uso costantemente un account SUA.

Ma chi utilizza un account amministratore dovrebbe usare Chromium con il settaggio "deny elevation of unsigned programs".
In questo caso Chromium non ha la firma e non potrà mai a priori andare incontro ad una elevazione dei privilegi.
Oltretutto è possibile con un semplice script rendere automatica la modifica al registro.
Certo occorre aggiungere a Chromium anche il plugin PDF........
E' una manovra un po' scocciante (per me) ma perfettamente fattibile andate traquilli che ho provato io con l'Avast-webrep quindi ovvio funziona anche con gli altri plugins:

http://www.wilderssecurity.com/showpost ... stcount=63

[nix87]

@ hashcat:

Ma con Windows così blindato, che senso ha usarlo ?
A questo punto non conviene andare sul sicuro utilizzando una disto linux (vedo che usi in dual-boot Mint) e fare tutto dal lì le stesse cose che faresti su Windows ma senza alcuna costrizione ?

Ovvio questo è un mio modesto parere

@ sampei:

Per quanto riguarda Chrome (che è firmato da Google), non ci sarebbe un modo per togliergli solo la firma digitale ?
In questo modo si avrebbe lo stesso risultato, ma senza dover per forza installare Chromium...

[sampei.nihira]

@ hashcat:

Ma con Windows così blindato, che senso ha usarlo ?
A questo punto non conviene andare sul sicuro utilizzando una disto linux (vedo che usi in dual-boot Mint) e fare tutto dal lì le stesse cose che faresti su Windows ma senza alcuna costrizione ?

Ovvio questo è un mio modesto parere

@ sampei:

Per quanto riguarda Chrome (che è firmato da Google), non ci sarebbe un modo per togliergli solo la firma digitale ?
In questo modo si avrebbe lo stesso risultato, ma senza dover per forza installare Chromium...

Cioè tu dici invalidare la firma di Google + usare il deny ?
Ma a che prò in un account SUA ?
Chrome è già ad IL Low + c'è lo UAC che vigila sull'elevazione dei privilegi + siamo appunto in un account limitato.
Oltretutto presumo che la funzione di update fallirebbe.

Tanto vale quindi installare,ma in un account amministratore (ed in questo caso la scelta è motivata dal rischio maggiore di uso di un account amministrativo) Chromium per sfruttare sia il deny che il parental control che è sempre un controllo in più rispetto allo UAC.

Ti metto un articolo di Didier Stevens più esplicativo a tal proposito:

http://blog.didierstevens.com/2010/09/0 ... injection/

[nix87]

Cioè tu dici invalidare la firma di Google + usare il deny ?
Ma a che prò in un account SUA ?
Chrome è già ad IL Low + c'è lo UAC che vigila sull'elevazione dei privilegi + siamo appunto in un account limitato.
Oltretutto presumo che la funzione di update fallirebbe.

Tanto vale quindi installare,ma in un account amministratore (ed in questo caso la scelta è motivata dal rischio maggiore di uso di un account amministrativo) Chromium per sfruttare sia il deny che il parental control che è sempre un controllo in più rispetto allo UAC.

No, io mi riferivo allo specifico caso che avevi posto tu

Certo che in un account SUA vale ciò che hai detto

[sampei.nihira]

Cioè tu dici invalidare la firma di Google + usare il deny ?
Ma a che prò in un account SUA ?
Chrome è già ad IL Low + c'è lo UAC che vigila sull'elevazione dei privilegi + siamo appunto in un account limitato.
Oltretutto presumo che la funzione di update fallirebbe.

Tanto vale quindi installare,ma in un account amministratore (ed in questo caso la scelta è motivata dal rischio maggiore di uso di un account amministrativo) Chromium per sfruttare sia il deny che il parental control che è sempre un controllo in più rispetto allo UAC.

No, io mi riferivo allo specifico caso che avevi posto tu

Certo che in un account SUA vale ciò che hai detto

Quale caso ?
Aiutooooo.....


Oltretutto stò facendo altro quindi scrivo in modo disattento.
Vedi ad esempio account amministratore e parental control.
Quindi non tenete conto di questa disattenzione.

[nix87]

Ma chi utilizza un account amministratore dovrebbe usare Chromium con il settaggio "deny elevation of unsigned programs".
In questo caso Chromium non ha la firma e non potrà mai a priori andare incontro ad una elevazione dei privilegi.

[Sabbb]

hashcat ,ci hai un po arronzati ma più o meno va bene

[hashcat]

@nix87

Le limitazioni maggiori sono imposte all'account standard, quello amministratore lo uso senza problemi (il computer si avvia e si spegne più velocemente ed è più veloce a rispondere (oltre ché più sicuro)).

hashcat ,ci hai un po arronzati ma più o meno va bene

Come ti ripeto al momento non adotto la configurazione di sicurezza indicata (che utilizzato precedentemente), perché da un po' ho ripristinato un'immagine di w7 pulita, quindi sono andato a memoria.

Se hai domande cercherò di rispondenti più approfonditamente.

[nix87]

Oggi mi è capitato questo fatto.
Un amico mi ha passato via mail un file immagine (.jpg) che non riusciva a visualizzare (sul suo smartphone), chiedendomi quindi se a me si apriva o no.

Non mi sono preoccupato più di tanto ad aprirlo (visto che si trattava 'solo' di un'immagine e visto anche l'utilizzo sul mio pc di software di sicurezza, dell'hardening dell'OS e di snapshot di ripristino di Windows).
Succede però che mi si apre una finestra vuota nel visualizzatore di immagini di Windows: allora chiudo il visualizzatore e vado per scansionare il file, ma l'antivirus non parte così come dopo non partono molti altri programmi sul pc.
Riesco solo a vedere le proprietà del file ed ad inviarlo su VirusTotal: il file risulta essere pesante soltanto pochi byte; inoltre il report di VT risulta pulito al 100%.

Meno male che ho CTM che fa in automatico snapshot del sistema: sono riuscito a ripristinare tutto così come era prima che aprissi il file.

Ora non sono sicuro se quell'immagine era veramente infetta o si è trattato solo di un blocco di Windows dovuto ad altri motivi.

Nel caso in cui si trattava realmente di un file malevolo, che cosa è possibile fare in più (oltre al buon senso che stavolta non ho proprio avuto) per evitare problemi del genere ?

Pensavo ad emetizzare ed abbassare l'IL anche ai software che uso per visualizzare immagini... secondo voi ?

[Sabbb]

Se hai domande cercherò di rispondenti più approfonditamente.

Gentilissimo hashcat . Al momento non ho domande (volevo disabilitare i servizi superflui e qualche ritocco qua e la)

Ne riparliamo se ho bisogno

[sampei.nihira]

Oggi mi è capitato questo fatto.
Un amico mi ha passato via mail un file immagine (.jpg) che non riusciva a visualizzare (sul suo smartphone), chiedendomi quindi se a me si apriva o no.

Non mi sono preoccupato più di tanto ad aprirlo (visto che si trattava 'solo' di un'immagine e visto anche l'utilizzo sul mio pc di software di sicurezza, dell'hardening dell'OS e di snapshot di ripristino di Windows).
Succede però che mi si apre una finestra vuota nel visualizzatore di immagini di Windows: allora chiudo il visualizzatore e vado per scansionare il file, ma l'antivirus non parte così come dopo non partono molti altri programmi sul pc.
Riesco solo a vedere le proprietà del file ed ad inviarlo su VirusTotal: il file risulta essere pesante soltanto pochi byte; inoltre il report di VT risulta pulito al 100%.

Meno male che ho CTM che fa in automatico snapshot del sistema: sono riuscito a ripristinare tutto così come era prima che aprissi il file.

Ora non sono sicuro se quell'immagine era veramente infetta o si è trattato solo di un blocco di Windows dovuto ad altri motivi.

Nel caso in cui si trattava realmente di un file malevolo, che cosa è possibile fare in più (oltre al buon senso che stavolta non ho proprio avuto) per evitare problemi del genere ?

Pensavo ad emetizzare ed abbassare l'IL anche ai software che uso per visualizzare immagini... secondo voi ?

Andiamo per logica.
Un file immagine di pochi byte dovrebbe accendere subito un campanello di allarme consistente nell'utente.
Non ho altri dati per analizzare il resto.

Ti faccio un esempio in tema.
Immaginiamo di lanciare in un account limitato un file bat (ovvio tu non sospetti che sia un file eseguibile) che modifica qualche area del registro.
Se anche parte delle modifiche sono consentite nell'account limitato il tutto riesce meravigliosamente.
E quindi dopo aver lanciato tale file ti ritrovi chè sò le icone dei dischi rigidi diverse ecc ecc......
Se lo stesso file viene lanciato in un account amministratore...........

Ci sono malware che si celano in formati immagine ?
Certo,ecco un esempio:

http://www.malwaredomainlist.com/mdl.ph ... uantity=50

Può accadere che un falso file immagine sia trattato dal sw di gestione come se fosse un immagine anche se realmente non lo è.
perché ?
perché il sw non controlla bene ciò che dovrebbe controllare.
Ti faccio un esempio addirittura con il mio browser preferito cioè Opera.

Se tu trovi un link di cui sopra nella MDL problematico (attivo) e cerchi di aprirlo con Opera il browser tratta la falsa immagine come se fosse un immagine.
Magari se tenti di aprirlo con un altro browser si evidenzia la finestra di download invece con Opera si evidenzia la barra di caricamento delle immagini.
Lasciamo perdere se poi l'utente esperto si rende conto che la visualizzazione dell'imagine è diversa dal solito anche per il tempo di caricamento.....
Io conosco tale problematica in Opera e quindi sò gestirla,un altro utente che usa questo browser però non la conosce.........

Lo stesso può accade in sw che gestiscono questi tipi di file.

[nix87]

Andiamo per logica.
Un file immagine di pochi byte dovrebbe accendere subito un campanello di allarme consistente nell'utente.
Non ho altri dati per analizzare il resto.

Il fatto è che questa volta non ho avuto il buon senso di controllare il file prima di aprirlo, proprio non ci ho pensato...
...ecco una delle diverse cose che mi da fastidio dell'OS Windows: non ti puoi distrarre un minimo che... sei fregato !

Per questo mi chiedevo (e vi chiedo, se sapete) se fosse possibile prendere qualche contromisura in più anche per questo tipo di vulnerabilita in Windows (i file immagine taroccati).

Pensavo in un abbassamento dell'IL ed in una eventuale emet-izzazione del visualizzatore di immagini (senza che però ciò, spero, comprometti l'usabilità).
Potrebbe essere un buon provvedimento ?