DropMyRights: Ενίσχυση ασφάλειας Windows XP

Η μικρή εφαρμογή DropMyRights, του υπαλλήλου της Microsoft Michael Howard, μπορεί να συμβάλλει στον περιορισμό των ζημιών  που προκαλούνται καθημερινα από ιούς, worms, trojans και άλλα exploits σε υπολογιστές με Windows XP.

Ως γνωστόν, πολλοί χρήστες με Windows XP τρέχουν τους υπολογιστές τους όντας Administrator ή ανήκοντας στην ομάδα των Administrators. Στα Windows XP υπάρχουν οι εξής κύριες κατηγορίες χρηστών:


  • Computer Administrator, ή Administrators Group λογαριασμοί
  • Power Users 
  • Users, ή Limited Users 
  • Guests
Η πρώτη κατηγορία, οι Διαχειριστές του υπολογιστή, έχουν πλήρη και απεριόριστο έλεγχο σε όλες τις λειτουργίες του υπολογιστή συμπεριλαμβανομένης της ενημέρωσης των Windows XP, προσθήκη / αφαίρεση hardware και drivers, εγκατάσταση λογισμικού, αναβάθμισητου λειτουργικού συστήματος
 κλπ. Ειναι τα αφεντικά που λέμε.

Το ΠΡΟΒΛΗΜΑ ακριβώς προκύπτει από αυτή την ιδιότητα του "αφεντικού". Οι εφαρμογες που τρέχει ο διαχειριστής, και ειδικότερα αυτές που συνδέονται με το internet όπως είναι οι Περιηγητές, προγράμματα chat και email κλπ με λίγα λόγια οποιοδήποτε πρόγραμμα που εκτελεί ο χρήστης τέτοιου τύπου(σκόπιμα ή όχι) έχει απεριόριστη πρόσβαση στο σύστημα. Και οι ιοί, trojans, spyware κλπ είναι λογισμικά. Αρα καταλαβαίνετε το πρόβλημα...

Το κακόβουλο πρόγραμμα που κολλάτε απλά επισκεπτόμενος μια ιστοσελίδα στο internet ή ανοίγοντας ένα αρχείο συνημμένο σε email μπορεί να γράψει στον κατάλογο WINDOWS έτσι αλλάζοντας ή σβήνοντας και προσθέτοντας. έχει πρόσβαση στο Μητρώο(registry) και κάνει περίπου ότι θέλει και μπορεί να σταματήσει και διεργασίες(windows processes). Έχουν υπάρξει περιπτώσεις όπου απλά την προβολή μιας εικόνας θα μπορούσε να εγκατασταθεί κακόβουλο λογισμικό.

Και, δεν είστε ασφαλής αν το μόνο που κάνετε είναι να επισκεφτείτε "καλές γειτονιές" στο Web. Μπορεί να έχει μολυνθεί με κάποιο τρόπο η σελίδα η έγκυρη και να μην το πήρε χαμπάρι ο ιδιοκτήτης της ιστοσελίδας. 

Τι είναι το DropMyRights; Download link:


Ο Michael Howard λοιπόν οδηγήθηκε στο συμπέρασμα ότι, "αν δεν μπορούμε να πείσουμε την πλειοψηφία των χρηστών Windows XP να μην σερφάρει ως Administrator αλλά να δημιουργούν κι ένα λογαριασμό απλού χρήστη, τότε ας φτιάξω την εφαρμογή DropMyRights" η οποία θα υποβιβάζει τις δυνάμεις μου ως διαχειριστή του υπολογιστή με XP σε απλό χρήστη. Και θα το κάνει αυτό ανά πρόγραμμα που διαλέγει ο ίδιος ο χρήστης κατά περίπτωση".

Σημείωση: Τα ίδια τα Windows XP και server 2003 περιέχουν και την έννοια software restriction policy(Πολιτικές Περιορισμού Λογισμικού)

DropMyRights, setup-εγκατάσταση


Όπως λέει κι ο ίδιος ο δημιουργός του Drop My Rights σε blog post του 2007 το link που δίνω λίγο παραπάνω είναι η δεύτερη ενημερωμένη έκδοση, άρα μην το κατεβάζετε από αλλού.

 Και, μην σας ανησυχεί χρήστες Windows XP και server 2003 η ημερομηνία 2007 είναι παλιά, ετούτο το πρόγραμμα κάνει τη δουλειά του:

  1. Απόδειξη 1, το ΕΝΗΜΕΡΩΜΕΝΟ άρθρο το 2010 της φωλιάς της Ασφάλειας, της εταιρίας Symantec για το DropMyRights
  2. Απόδειξη 2, πρόσθετο Firefox(μια που το παράδειγμα μας τον αφορά) που επιβεβαιώνει ότι ήμαστε Administrator ή όχι VDT IsAdmin Firefox/Thunderbird Extension

εδώ το Firefox τρέχει από Administrator, no dropmyrights


Οδηγίες χρήσης του DropMyRights για Windows XP:


Δεν ξεκινάτε κανένα πρόγραμμα, Το DropMyRights δεν ξεκινά με την παραδοσιακή έννοια.
Αποφασίστε σε ποια προγράμματα που συνδέονται με internet θα δοκιμάσετε το Drop My Rights.
Ας πάρουμε για παράδειγμα τον Firefox. Έχετε ένα εικονίδιο του στην Επιφάνεια Εργασίας.
Αρπάξτε το εικονίδιο έχοντας πατημένο το δεξι κλικ και μεταφέρτε τον σε άδειο σημείο(ή τέλος πάντων αντιγραφή και επικόλληση πάλι στην επιφανεια εργασίας).
Δεξί κλικ, επιλογή ιδιότητες(properties) στο νέο εικονίδιο
Σε ένα κουτάκι γράφει ήδη τη διεύθυνση του εκτελέσιμου αρχείου firefox.exe πχ πιθανότατα
"C:\Program Files\Mozilla Firefox\firefox.exe" ΜΕ τα εισαγωγικά
Για όσους δεν ξέρουν πως εντοπίζουμε αρχεία στο σκληρό δίσκο, τις "διευθύνσεις" τους διαβάστε
Που σας εγκατέστησε το DropMyRights; Αντιγράψτε τη διεύθυνση
Επικόλληση στο κουτάκι που λέγαμε πάνω ΠΡΙΝ από το "C:\Program Files\Mozilla Firefox\firefox.exe". Δηλαδή,

"C:\διεύθυνση του φακέλου dropmyrights\dropmyrights.exe"  "C:\Program Files\Mozilla Firefox\firefox.exe"

Σημείωση: κατά την εγκατάσταση, ενώ μπορείτε να επιλεξετε που θα βάλει το το dropmyrights, η default τοποθεσία είναι "Τα ¨Εγγραφα μου" my documents.

Προσέξτε το κενό. Να ένα παρόμοιο screenshot,


Φυσικά για Internet Explorer θα είχα

"C:\warez\dropmyrights.exe" "c:\program files\internet explorer\iexplore.exe"

το warez εδώ είναι το υποθετικό όνομα του φακέλου που εγκαθίσταται το πρόγραμμα, χάριν παραδείγματος.

Τα εισαγωγικά είναι υποχρεωτικά σε περίπτωση που η διεύθυνση περιέχει κενά πχ,

 "c:\program files\internet explorer\iexplore.exe"

Αλλάξτε τώρα το όνομα του νέου εικονειδίου Firefox στην επιφάνεια εργασίας σας σε πχ Firefox-No-Admin για να το ξεχωρίζετε. Μπορείτε φυσικά να αλλάξετε και την εικόνα του εικονιδίου αν δε βαριέστε. Δεξί κλικ κλπ. Εικόνες free υπάρχουν στο internet. Στο άρθρο για το πως αλλάζω εικονίδια σε φακέλους και βάζω backgrounds έχω link για free εικονίδια...

Σημειώστε ότι οποιαδήποτε πρόγραμμα η εφαρμογή ξεκινήσετε ΜΈΣΑ πχ από Internet Explorer που τρέχει με περιορισμένα δικαιώματα, κληρονομεί και τρέχει με περιορισμένα δικαιώματα. ΠΧ Windows Media Player...

Ποια προγράμματα να διαλέξω να τρέχω με DropMyRights σε Windows XP / Προβλήματα χρήσης;


Browsers, messengers, media players, itunes. Για Μια πιο πλήρης λίστα που προτείνεται από το CNET δες:

Restricting insecure applications

Επιλογές στο DropMyRights(options)


Στο original άρθρο του το2004, που είναι περίπου 10 σελίδες pdf αρχείου διασωσμένο από τους ανθρώπους της http://www.grc.com/ που έχουν το γνωστό ShieldsUp, και στο πολύ σημαντικό άρθρο της Symantec Για DRopMyRights(όπου τεστάρουν και ΑΝ ΔΟΥΛΕΥΕΙ πράγματι) αναφέρει ότι υπάρχουν τρεις τρόποι να υποβιβάσει κανείς τις δυνάμεις του administrator σε συγκεκριμένο πρόγραμμα με τη χρήση του dropmyrights:


  • βάλε ένα N μετά το "C:\διεύθυνση του φακέλου dropmyrights\dropmyrights.exe"
  • βάλε ένα C                                         --"--
  • βάλε ένα U                                         --"--
Το N πάει να πει Normal User(κι όχι administrator) με τους περιορισμούς τέτοιου λογαριασμού που αναφέρω σε παραπάνω παράγραφο. Αν βάλετε σκέτο το 

"C:\διεύθυνση του φακέλου dropmyrights\dropmyrights.exe" "c:\program files\internet explorer\iexplore.exe"

είναι σαν να χρησιμοποιήσατε το N. Το N δεν χρειάζεται αν θέλετε να δώσετε δικαιώματα απλού χρήστη στο πρόγραμμα που διαλέξατε να ξεκινήσει με DropMyRights.

Το C πάει να πει Constrained User. Ακόμη πιο περιορισμένο από  normal user

παράδειγμα:

"C:\διεύθυνση του φακέλου dropmyrights\dropmyrights.exe" C "c:\program files\internet explorer\iexplore.exe"

Το U = Untrusted User , χρήστης που δεν εμπιστευόμαστε. Εδώ πια μάλλον θα έχετε προβλήματα

Ως περιορισμένος χρήστης, σημειώστε ότι, δεν μπορείτε να εγκαταστήσετε κάποια προγράμματα, ή να απεγκαταστήσετε οτιδήποτε, ούτε μπορείτε να εκτελέσετε την Ανασυγκρότηση Δίσκων κλπ.

Shell Extension for DropMyRights


Βάλτε στο μενού του δεξιού κλικ σας την επιλογή DropMyRights. Αν εξαφανιστεί κάποτε το προηγούμενο λινκ δείτε εδώ το HShellExtPack  (δεν το δοκίμασα, το προτείνει ο ίδιος ο Michael Howard).

συμπερασματικά, το βάρος πεφτει σε εσάς με το dropmyright . τι λειτουργεί με ποια options, βέλτιστη ισορροπία μεταξύ ασφάλειας αλλά και λειτουργικότητας κλπ.

Εννοείται ότι οτιδήποτε από μόνο του δεν μπορεί να σας προσφέρει ασφάλεια. ΕΧΕΤΕ ΕΝΕΡΓΌ ΤΟ ΤΕΊΧΟς ΑΣΦΑΛΕΊΑς;  Τα Windows κάνουν αυτόματα ενημερώσεις ασφαλείας; ¨Εχετε την τελευταία βερσιόν σε browsers και άλλα κρίσημα λογισμικά; έχετε antivirus. Antispyware; Malwerbytes? Προσέχετε στις αναζητήσεις google; Εγκαθιστάτε κακώς δήθεν codec που σας λέει να βάλετε για να δείτε το βίντεο που κάνατε κλικ. Πανικοβάλλεστε από διάφορα παράθυρα που σας λένε για κινδύνους και εγκαθιστάτε προγράμματα ή τα κλείνετε με τα κουμπάκια ΤΟΥς;΄

Δείτε και
http://www.wizcrafts.net/ans/privileges.html
http://www.wizcrafts.net/blogs/2006/08/limited_user_privileges_protec.html






Licensed under a Creative Commons Attribution Non Commercial Licence