sobota, 7 stycznia 2023, 10:26

bezpieczne Windows (tak jakby)

Na razie jedyną w miarę bezpieczną wersją Windows jest Windows S (sprzedawane z najtańszymi laptopami), gdzie można uruchamiać wyłącznie aplikacje ze sklepu Microsoftu. Właściwie jest to Windows Home przestawione w tryb S ("usprawnione pod kątem zabezpieczeń") i niestety wyjście z tego trybu jest nieodwracalne (bez sensu to zrobili, ale pewnie policzyli). Czyli chwilę po odkryciu, że czegoś nie ma w Microsoft Store i wyłączeniu trybu S zostajemy bezpowrotnie we wrogim środowisku, nieusprawnionym pod kątem zabezpieczeń.

Najprostszym sposobem usprawnienia (pod kątem zabezpieczeń) Windows Home jest pewnie zakup dobrego programu antywirusowego, tzn. lepszego niż wbudowany w Windows Defender. Ale po pierwsze trzeba wiedzieć który jest lepszy, a po drugie nie po to kupujemy najtańszego laptopa żeby zaraz do niego dopłacać. Zresztą wypowiadałem się krytycznie o programach antywirusowych już sto lat temu i zdania nie zmieniłem. Tyle że dziś już każdy chcąc nie chcąc używa programu antywirusowego. A tzw. złośliwe oprogramowanie i tak jest krok do przodu, o czym niewątpliwie świadczy nieustająco duża liczba infekcji.

Na szczęście jest też sensowna darmowa alternatywa. Bo Windows oprócz słabego programu antywirusowego ma dość skuteczny mechanizm blokowania uruchamiania wszelkiego oprogramowania, więc także złośliwego. To AppLocker. Co ciekawe (od Windows 10) — wbrew potocznej opinii — AppLocker działa również na Windows Home, niestety ta radosna nowina chyba zbyt powoli dociera do potencjalnie zainteresowanych użytkowników. Może dlatego, że konfigurowanie AppLockera na Windows Home/Professional jest mówiąc oględnie nieco karkołomne i niezbyt bezpieczne, trzeba to robić skryptami powershella. Więc nikogo nie namawiam, ale tym bardziej nie zniechęcam. Da się: Applocker on Windows Home. Na wszelki wypadek jeszcze link do samego źródła czyli skryptów Sandy Zeng na githubie. Rzecz jasna rozsądek nakazuje poćwiczyć na zwirtualizowanych Windows, gdzie łatwo wrócić do niezepsutej kopii.

Oczywiście żeby mieć pełny pożytek z AppLockera trzeba przestać pracować na koncie z uprawnieniami administratora. Zresztą i tak lepiej przestać. Na pewno wygodniej jest pracować jako administrator, nie trzeba w koło macieju podawać hasła (tylko raz przy logowaniu), ale to niestety przepis na katastrofę. Na koncie z uprawnieniami administratora najlepiej mieć więc jakieś trudne do złamania ale w miarę łatwe do wpisywania hasło, niestety — jak już wspomniałem — jako standardowy użytkownik dość często musimy je podawać.

Więc jeśli właśnie kupiliśmy laptopa to od razu zakładamy drugie konto do codziennego użytku, bez uprawnień administratora. A jeśli do tej pory nierozważnie i lekkomyślnie działaliśmy na koncie z uprawnieniami administratora to zakładamy drugie konto z uprawnieniami administratora, sprawdzamy czy działa, a potem zabieramy prawa administratora sobie, czyli kontu, którego normalnie używaliśmy i nadal używać zamierzamy. Od tej pory działamy jako standardowy użytkownik, któremu nasze drugie ja (opiekuńczy administrator) odbiera prawo strzelania sobie w stopę z granatników.

Jako administrator za pomocą AppLockera powinniśmy uniemożliwić sobie/użytkownikowi (czyli i złośliwemu oprogramowaniu) uruchamianie wszystkiego, co nie zostało świadomie i porządnie zainstalowane z konta administratora. Oraz — zachowując dużą ostrożność — wszystkiego co już jest na komputerze (bo wchodzi w skład systemu operacyjnego Windows) i da się kreatywnie wykorzystywać do infekowania, a nam (w roli użytkownika) nie jest do życia potrzebne. Ponieważ dziś już każdy ma program antywirusowy (sprawdzający, czy sygnatura uruchamianego programu znajduje się w bazie wirusów), to źli ludzie posługują się coraz częściej i coraz sprawniej systemowymi programami Microsoftu. Wiadomo że na komputerze już są, a w bazie wirusów się nigdy nie znajdą. Lista ich jest długa i możliwość uruchamiania części z nich na pewno warto odebrać sobie jako standardowemu użytkownikowi.

Próba uruchomienia zablokowanego programu od razu rzuci się w oczy:
Żeby zobaczyć co zostało zablokowane trzeba zajrzeć do logu Microsoft-Windows-AppLocker%4EXE and DLL.evtx — rejestrowane są tam wszystkie próby uruchomienia programów, także dozwolone, czyli np. w przypadku Firefoksa czy innej przeglądarki każde otwarcie nowej zakładki, niestety podobno nie można tego inaczej ustawić.

Zaoszczędzone dzięki zrezygnowaniu z "lepszego programu antywirusowego" pieniądze można np. pożytecznie przeznaczyć na zakup klucza sprzętowego Yubico i zabezpieczyć np. swoje konto na Google (gdzie mamy pozapisywane wszystkie hasła).

12 komentarzy:

nightwatch pisze...

a ja mam wrażenie że po wielu latach Windows w końcu stał się w miarę bezpieczny. Ten Windows Defender z czegoś śmiesznego stał się całkiem skuteczny i nieinwazyjny, użytkownicy nawet nie zdają sobie sprawy że jest i działa cały czas, skutecznie robi swoją robotę nie rzucając się w oczy i nie wymagając żadnej obsługi (gdyby jeszcze backupy w ten sam sposób były zrealizowane to było by przepięknie).
Odnosi się to też do Windowsów serwerowych - widać że korporacja pilnuje spraw bezpieczeństwa/niezawodności coraz lepiej.
Oczywiście w pełni zgadzam się z radami przedstawionymi w artykule, choć akurat w pracy korzystanie z konta bez admina było by bardzo uciążliwe dla mnie.

kwik pisze...

Jeszcze rok temu bym się zgodził, też miałem takie wrażenie, zresztą Microsoft wyraźnie poprawił bezpieczeństwo Windows. Ale gdy ograniczyli w końcu możliwość infekcji przez makra w Office (którego nie używam) i źli ludzie przerzucili się na alternatywne metody instalowania złośliwego oprogramowania np. przez skróty .lnk wyszła totalna bezradność Defendera, pozwalał po cichu instalować wszystko czego jeszcze nie miał w bazie wirusów, a aktualizowanie tej bazy szło ślamazarnie. Tymczasem przynajmniej jeden znany mi płatny antywirus zatrzymywał eskalację infekcji blokując instalację ze znanych podejrzanych adresów (chociaż nie powinien nawet dopuszczać do takiej próby), a darmowy ClamWin (działa tylko jako skaner) od razu wykrywał pliki .lnk próbujące instalować malware. Tak czy owak np. uruchamianie skryptów przez pliki .lnk z pendrajwa powinno być domyślnie zablokowane, tym bardziej jeśli bez pytania instalują program uruchamiany potem przy każdym starcie Windows.

Tak, już mówiłem, używanie konta bez uprawnień administratora jest obiektywnie uciążliwe, choć nie powinno być takie, to powinna być norma. Przydałaby się większa presja na Microsoft w tej sprawie, bo niby rekomendują używanie konta standardowego użytkownika, ale domyślnie przy pierwszym uruchamianiu Windows zakładane jest tylko jedno konto - z uprawnieniami administratora i najlepiej powiązane z kontem Microsoft. Dwa razy niedobrze.

telemach pisze...

Dżizas, uświadomiłeś mi jak bardzo cofnąłem się w rozwoju przez ostatnie 10 lat. Kiedyś byłbym podekscytowany możliwością natychmiastowego wypróbowania, obecnie odczuwam pewne znużenie, gdy spotykam się z propozycją sięgnięcia do (jakichkolwiek) skryptów. Wstyd.

A poza tym zdanie: "Przydałaby się większa presja na Microsoft w tej sprawie," rozbawiło mnie niepomiernie. Prtóbowałem sobie to zwizualizować, to wywieranie presji na Mikry Soft.

kwik pisze...

A ja odwrotnie (chociaż nie żebym się jakoś szczególnie rozwinął), 10 lat temu nawet bym się nie zainteresował zabezpieczaniem Windows - ale wtedy ransomware jeszcze raczkował (trudno było płacić bitcoinami), a sam używałem głównie OS X.

Co do presji na początek przydałaby się elementarna edukacja, uświadamianie że komputer z Windows do którego można wszystko podłączyć i na którym niechcący można zainstalować dowolne gówno różni się jednak nieco od smartfona (np. smartfony nie obsługują wirówek wzbogacających uran). Bez zrozumienia w czym problem trudno cokolwiek ruszyć. Bo żeby Windows było dużo bezpieczniejsze Microsoft nie musi prawie nic robić, nie musi dopłacać, wszystkie mechanizmy są już od dawna, to tylko kwestia zmiany polityki. Dlatego jestem umiarkowanym optymistą.

kwik pisze...

O właśnie, synchronizacja czasu z serwerem times.windows.com z konta standardowego użytkownika wymaga podania hasła administratora. Totalny idiotyzm.

kwik pisze...

A to się wymądrzyłem. Okazuje się, że Microsoft namawianie do bycia standardowym użytkownikiem ma już dawno za sobą, było to przy okazji Visty, niestety/stety akurat wtedy odpadłem od Windows na kilka lat i nie śledziłem, a potem sprawa jakoś ucichła.

Jak ktoś ciekawy to znajdzie pod To get us to a world where everyone runs as standard user by default (cytat z Russinovicha).

RG pisze...

Wydaje mi się że to wszystko pokłosie połączenia dwóch niezależnych linii Windowsów (Win NT i Windows 95) w jedną (win 2000/ Win XP). Wszystkie mechanizmy zabezpieczeń wypracowane w Win NT musiały usunąć się na bok bo użytkownicy przede wszystkim chcieli grać, a gry generalnie lubiły bezpośrednio gadać z hardware i pisać po pamięci. No więc cała misterna konstrukcja zabezpieczeń musiała być odbudowana, i chyba już są blisko ukończenia, tj osiągnięcia stanu WinNT z roku 2000.

kwik pisze...

Fakt, przerobienie ambitnego NT na potrzeby prostego człowieka wymagało kompromisów, a doszły do tego liczne niezwiązane już z grami słabo przemyślane pomysły typu automatycznie uruchamiające się makra w Office czy Internet Explorer z ActiveX - i długie lata miną nim Microsoft z nich wreszcie się wycofa. Z jednej strony to dobrze (jedni bez nerwowego pośpiechu przechodzą na rozsądniejsze rozwiązania), z drugiej źle (inni uparcie brną w bagno).

Największą zaletą Windows a zarazem przekleństwem jest kompatybilność ze starym oprogramowaniem. Dla mnie to niesamowite - po prawie 30 latach mogę zainstalować Office 95 na Windows 10 i prawie wszystko działa (poza helpem, ale działał jeszcze na Windows 8.1). Życie programów na OS X (macOS) jest zwykle kilka razy krótsze.

telemach pisze...

rozumiem, że żyjesz i tylko udajesz zmarłego?

kwik pisze...

Spróbuję może coś z tym zrobić.

kuzynka.edyta pisze...

A mógłbyś spróbować bardziej energicznie?

kwik pisze...

Ha, dopiero teraz zobaczyłem Twój komentarz. Co za zbieg!