Contents of this directory is archived and no longer updated.

Одной из самых больших проблем с Software Restriction Policies была настройка доверенных издателей (Trusted Publishers), о которой я уже писал: Секреты Software Restriction Policies (часть 3). Другое, более элегантное решение лежало практически на поверхности, но я его никак не замечал. В кратце напомню проблематику:

Если у нас есть недозволенное подписанное приложение, то мы можем импортировать сертификат цифровой подписии в секцию Trusted Publishers для доверия конкретному издателю. Но кроме этого нам нужно обеспечить доверие сертификату подписи, путём размещения корневого сертификата в цепочке в секцию Trusted Root Certification Authorites пользовательского хранилища (User Store). Чтобы как-то защититься от этого, приходилось в политике SRP запрещать пользователям добавлять сертификаты цифровых подписей в секцию Trusted Publishers (делая её read-only). Это спасало от нечистых на руку пользователей, которые могли добавлять свои сертификаты и обходить политику. Однако, этот метод имел серьёзные негативные эффекты: переставал работать Windows Update на Windows XP/2003, останавливалась служба Windows Defender, невозможно было использовать продукты Live и др.

Сегодня блуждая по политикам наткнулся на ещё одну настройку, которая запрещает доверять сертификатам в пользовательском контейнере Trusted Root CAs! Для этого нужно открыть редактор групповой политики и перейти по пути:

Computer Configuration –> Windows Settings –> Security Settings –> Public Key Policies –> выбрать свойства Trusted Root CAs

Trusted Root Certification Authorities settings in Windows Server 2003

и здесь убрать единственную галочку. В Windows Vista/2008 и выше эта настройка выделена в отдельный элемент. Вместо Trusted Root CAs элемент называется Certificate Paths Validation Settings:

Certificate Path Validation Settings in Windows Server 2008 R2

Хоть пути до настроек чуточку отличаются, но суть от этого не меняется. Достаточно убрать эту галочку и получать профит. Так же, как и с паблишерами, секция Trusted Root CAs в пользовательском хранилище становится в режим Read Only. Причём, эта настройка удаляет все корневые сертификаты, которые были добавлены пользователями (т.е. существуют только в пользовательских хранилищах, но не в компьютерном), т.е. администраторам не надо будет заботиться о чистке пользовательских Cert Store, оно будет вычещенно само. Если попытаться импортировать корневой сертификат из файла, то получите вот такой бонус:

Select Certificate Store window

как вы видите, у нас нету больше возможности добавлять свои сертификаты в этот контейнер.

Примечание: данная настройка отсутствует в политике Windows XP

Кстати говоря, данная настройка в Windows 7/Windows Server 2008 R2 так же позволяет избежать атаки на правила издателя (Publisher) AppLocker'а путём подстановки своего корневого сертификата и запуска файлов с поддельной цифровой подписью.

Вот таким нехитрым способом мы можем значительно укрепить SRP и AppLocker от криптографических махинаций с цифровыми подписями. Хотя, это нас не спасёт от случаев, если сертификат подписи выдан публичным CA, которому система доверяет по умолчанию. В таком случае SRP можно защитить только через запрет установки своих паблишеров. А вот AppLocker спасти уже не удастся :(

з.ы. на днях я ВНЕЗАПНО узнал о существовании такой мега-завальной штеллы как Snipping Tool, который поставляется вместе с Windows Vista и выше для создания скриншотов нужных окон! За 2,5 года использования висты я ни разу его так и не запустил, из-за чего приходилось извращаться через Paint, что было несколько уныло, зато у меня теперь есть удобный инструмент для снятия пруфпиков и ещё один веский повод сказать, что Vista рулит! :rock:


Share this article:

Comments:

xaegr.livejournal.com
xaegr.livejournal.com 03.09.2009 23:33 (GMT+3) Защищаем Software Restriction Policies

>повод сказать, что Vista рулит! Ты таки РиК :) Продвинутые уверены что снипинг тул это фича 7ки ;)

Vadims Podāns
Vadims Podāns 04.09.2009 09:22 (GMT+3) Защищаем Software Restriction Policies

Я помню, что Snipping Tool был ещё в висте, но ни разу не запускал :(

Stanky
Stanky 27.11.2009 22:44 (GMT+3) Защищаем Software Restriction Policies

> Сегодня блуждая по политикам наткнулся на ещё одну настройку > Небольшая поправочка: Сегодня в разговоре я рассказл тебе про эту настройку:).

shss.wordpress.com
shss.wordpress.com 10.11.2010 15:19 (GMT+3) Защищаем Software Restriction Policies

>данная настройка отсутствует в политике Windows XP В редакторе политики, запущенном локально, отсутствует, да. Но присутствует на win2k3. Интересно, а если настроить GPO под win2k3, а применить к winXP, являющимся членами домена, то отработает ли winXP эту настройку или она работает для версий win > win2k3?

Vadims Podāns
Vadims Podāns 10.11.2010 15:43 (GMT+3) Защищаем Software Restriction Policies

будет применяться.

Comments are closed.