aus ein
Ansicht umschalten Baum an
Avatar von Sheogorath
  • Sheogorath

mehr als 1000 Beiträge seit 25.01.2005

Wie man in Windows 7 Ultimate oder Enterprise diese Lücke dicht bekommt...

- secpol.msc ausführen
- unter "Anwendungssteuerungsrichtlinien" auf AppLocker klicken
- dort "Regelkonfigurierung erzwingen" anklicken
- im Register "Erweitert" die "DLL-Regelsammlung" aktivieren
- danach in den Bereichen "Ausführbare Regeln", "Scriptregeln" und
"DLL-Regeln" folgendes tun:

1. Rechter Mausklick-> "Standardregeln erstellen"
2. (für alle, die immer mit Adminrechten arbeiten) die dritte Regel,
die für Administratoren alles erlaubt, löschen

- dann wieder "Regelkonfigurierung erzwingen" aufrufen
- dort bei "Ausführbare Regeln", "Scriptregeln" und "DLL-Regeln"
jeweils "konfiguriert" aktivieren und "nur überwachen" auswählen
- alles zumachen
- in der Dienstekonfiguration sicherstellen, dass der Dienst
"Anwendungsidentität" nicht deaktiviert ist (Ich hab ihm
sicherheitshalber auf "automatischer Start".)
- System neu starten
- in der Ereignisanzeige unter "Anwendungs- und
Dienstprotokolle\Microsoft\windows\AppLocker" prüfen, ob es
irgendwelche Warnungen "Die Ausführung von %irgendwas% wurde
zugelassen, wäre jedoch verhindert worden, wenn die
AppLocker-Richtlinie erzwungen worden wäre." gibt
- evtl. weitere Ausnahmeregeln hinzufügen
- wenn nichts mehr geblockt werden würde, AppLocker von "nur
überwachen" auf "Regeln erzwingen" umstellen

Fertig. Jetzt können Programme, DLLs und Skripte nur noch ausgeführt
werden, wenn sie entweder im Programme- oder Windows-Verzeichnis
liegen. Ist vielleicht nicht sehr bequem, aber auf jeden Fall
sicherer. Für Programme an anderen Orten legt man Ausnahmeregeln an
und genehmigt vielleicht auch noch einen "Ausführbar"-Ordner, in den
man dann Setupdateien o.Ä. vor der Ausführung reinschiebt. (Viele
Setups scheitern allerdings daran, dass sie sich erstmal in den
Temp-Ordner des Benutzers entpacken. Diesen sollte man aber
keinesfalls zur Ausführung freigeben. Dann lieber AppLocker während
der Installation deaktivieren.)

Je nach Gusto kann man diese Konfiguration härter oder weicher
machen. (z.B. Skripte wieder generell erlauben oder Teile des
Windows-Ordners verbieten.

Gegen den im Artikel verlinkten Test-Exploit hilft diese Methode
zuverlässig. Führt man das Ding auf einem lokalen Laufwerk aus,
kriegt man zwei Einträge im Ereignisprotokoll:

"Die Ausführung von
%OSDRIVE%\USERS\*****\DESKTOP\DLL-Exploit\WAB32RES.DLL wurde
verhindert."

"Die Ausführung von %PROGRAMFILES%\COMMON FILES\SYSTEM\WAB32RES.DLL
wurde zugelassen."

Die mitgelieferte DLL wird also gesperrt und dafür die systemeigene
DLL benutzt. Bei EXE-Dateien sollte es (sofern man "Ausführbare
Regeln" konfiguriert hat) genauso laufen.

Bei der direkten Ausführung des Exploits über WebDAV fehlt zwar der
Protokolleintrag für die Exploit-DLL, es wird aber trotzdem die
systemeigene DLL ausgeführt.

Wer nur die W7-Professional oder XP-Prof. hat, der kann sich mit den
"Richtlinien für Softwareeinschränkung" was Ähnliches basteln.
Home-User sind wieder mal die Gearschten...


Bewerten
- +
Anzeige