Grundsatzfrage - Virenbefall, bitte um rege beteiligung

[memnon]

Hallo,

mich würd mal interessieren, ob ich mit meiner Ansicht richtig liege...

auf einem NICHT durch Virenscanner geschützem System mit angemeldetem Domainenuseraccount...

Mir gehts um folgendes:

Bei einem DomainenBENUTZERaccount - welche Probleme können bei einem Virenbefall auftreten ?

meiner Meinung nach kann ein Virenbefall sich NUR auf das Profil des Benutzers auswirken und auf alle netzwerkshares, wo der Benutzer ÄNDERN (!) recht hat - alles andere sollte kein Problem sein...
bei NUR schreibrecht kann der virus keine dateien modifizieren...

der Virus kann ja nur Recht in der Registry auf HKEY_CURRENT_USER haben, keinesfalls auf LOKAL_MACHINE

auf dem filesystem sollte er auf der bootplatte so gut wie keine Rechte haben, ausser im TEMP Verzeichnis

der Virus/Trojaner/etc. könnte die Einstellungen des Internet Explorers verbiegen

der Virus/Trojaner/etc. könnte jedenfalls meiner Meinung nach KEINE servicerechte bekommen (mailserver der sich installiert und spammails verschickt, etc.)


und das wichtigste:

welche auswirkung KANN ein Virus bei Mandatory Profiles haben ? - nachdem das Profil nach erstmaliger erstellungen nie wieder gespeichert wird, sollte doch eigentlich nach ab/anmelden der Virus auf dem betreffenden Rechner keine Auswirkung mehr haben.

ich denke bei mandatory profiles sollte nie die notwendigkeit bestehen - auf einem rechner hijackthis oder ähnliches auszuführen, da spätenstens nach dem ab/anmelden der urzustand des profiles wiederhergestellt ist

wenn man nun davon ausgeht - das mandatory profiles eingesetzt werden und dazu NUR am fileserver ein virenscanner eingesetzt wird - wo könnte noch ein problem bestehen, hab ich was übersehen ?

wenn mandatory profiles ZUVIEL einschränkung für den user bedeuten, wäre es meiner meinung nach möglich das profil über ntfs rechte so einzuschränken, das zwar standardapplikationen angepasst werden können - sicherheitsrelavante einstellungen - wie internetexplorer einstellungen und plugins etc. jedoch nicht verbogen werden können, desweiteren könnte ja auch der schreibzugriff auf current_user...run in der registry, bzw profilename\startmenü\autorun eingeschränkt werden

als internetgateway dient eine standardhardwarefirewall - wenn ich noch sicherer gehen wollte, würde meiner meinung nach eine lösung von zb fortigate - fortinet als content/viren/appliancewall als schutz dienen - ich frag mich aber ernsthaft, ob die notwendigkeit besteht.

[HeikoBerlin]

Ich kann mich da nicht "rege" beteiligen, da ich weder einen
DomainenBENUTZERaccount kenne/nutze noch Mandatory Profiles

Wenn deine Annahme stimmt das für HKEY_LOCAL_MACHINE keinerlei
Änderungsberechtigung besteht, wird ein Virenbefall in der Tat
nicht so schwerwiegende Folgen haben.
Ich glaube aber erstmal weniger das irgendeine NTFS Berechtigung
mich daran hindert schreibend direkt auf einen physikalischen Sektor
(z.B Bootsektor) zuzugreifen, auch wenn Windows tabu ist (ungetestet)
Und solange ich in den Bootsektor komme wäre nicht mehr garantiert
das dein -wie auch immer- gesichertes Windows nach einem Neustart
auch wirklich noch greift..

[memnon]

Mandatory Profil:

http://support.microsoft.com/?kbid=323368

bzw auf englisch: http://support.microsoft.com/?scid=k...3368&x=14&y=11

bzgl. Bootsektor - wenn im Bios der Schutz aktiviert ist- das auf den Bootsektor nicht geschieben werden kann, sollte das auch kein Problem mehr sein - denke Biosschutz sollte da ausreichend sein

mit Domainbenutzeraccount meinte ich einen Domainenbenutzer mit Benutzerrechten (keine Hauptbenutzer oder Adminrechte)

[e2e4]

Salut,

hmmm, ich antworte mal, obwohl ich einiges nicht "nachweisen" könnte, sondern auch Vermutungen anstellen werde.

Bei einem DomainenBENUTZERaccount - welche Probleme können bei einem Virenbefall auftreten?

Also Viren, Würmer, Trojaner ...

meiner Meinung nach kann ein Virenbefall sich NUR auf das Profil des Benutzers auswirken

... und ich denke, dass die meisten Viren sich auf den lokalen Client installieren werden. Unter dem Profil verstehe ich neben den Einträgen in der REG eigentlich nur die Dateien aus "Dok.u.Einst" und "Eigene Dateien" (unabhängig davon, ob es sich um ein lokales oder servergespeichertes Profil handelt).

und auf alle netzwerkshares, wo der Benutzer ÄNDERN (!) recht hat - alles andere sollte kein Problem sein...
bei NUR schreibrecht kann der virus keine dateien modifizieren...

Ich denke, da liegst Du richtig, aber Virus muss auf dem Client erstmal aktiv sein und eine entsprechende Routine zum Scannen nach Netzwerkshares besitzen. Weiterhin muss er (wenn es sich um keinen Makro-Virus handelt) sich an ausführbare Dateien "hängen" können, wenn er sich verbreiten möchte. Hat er nur die Absicht das Netz mit Traffic lahmzulegen, so sollten die Freigaben wohl schon reichen

der Virus kann ja nur Recht in der Registry auf HKEY_CURRENT_USER haben, keinesfalls auf LOKAL_MACHINE

Ich würde JEIN sagen, denn HKCU setzt sich m.W. auch aus HKLM zusammen und es werden Einträge von HKLM GELESEN (mehr aber auch nicht) und je nachdem um welche Einträge es sich handelt, so kann dies evtl. von Bedeutung sein.

auf dem filesystem sollte er auf der bootplatte so gut wie keine Rechte haben, ausser im TEMP Verzeichnis

Primär wichtig sind wohl die Ordner %windir% und /system32 - zumindest bei den letzten Wurmvarianten. Dort sollten wohl nur Leserechte vorhanden sein. Bei einem Bootblock-Virus ist das natürlich alles uninteressant.

der Virus/Trojaner/etc. könnte die Einstellungen des Internet Explorers verbiegen

... wenn Ihr das erlaubt, wenn aber der Zugriff gesperrt ist, wohl kaum, oder?

der Virus/Trojaner/etc. könnte jedenfalls meiner Meinung nach KEINE servicerechte bekommen (mailserver der sich installiert und spammails verschickt, etc.)

Service-Rechte wohl kaum, aber ein CMDLINE-Mailer sollte sich wohl zumindest einmali "ausführen" lassen. Hier bin ich der Meinung, dass aber erstmal die Firewall des Netzes greifen muss und keine MAILS ausserhalb des eigenen Mailservers versendet werden darf.

welche auswirkung KANN ein Virus bei Mandatory Profiles haben ? - nachdem das Profil nach erstmaliger erstellungen nie wieder gespeichert wird, sollte doch eigentlich nach ab/anmelden der Virus auf dem betreffenden Rechner keine Auswirkung mehr haben.

Da stellt sich mir die Frage, welchem Virus die Dateien von Dok.u.Einst. etwas nutzen?

wenn man nun davon ausgeht - das mandatory profiles eingesetzt werden und dazu NUR am fileserver ein virenscanner eingesetzt wird - wo könnte noch ein problem bestehen, hab ich was übersehen ?

Beim DL des Virus und Ablage auf dem FS und jmd mit erweiterten Rechten startet die Virendatei?!

Soweit meine Gedanken erstmal dazu.

Grüße, e2e4

[HeikoBerlin]

klar, kann ich das Nachlesen..
höre/lese ja auch nicht wirklich zum 1. Mal davon.
Aber ohne Ahnung und Erfahrung halte ich mein Maul

ja, BIOS Schutz für Bootsektor sollte ausreichen..
..habe auch nur festgestellt das NTFS Berechtigung
bei physikalischen Zugriff nicht greift. Also kann ich
wohl dennoch die Platte mit Nullen überschreiben...

[e2e4]

zum Thema BIOS-Schutz/Bootsektorviren hier ein lesenswerter Artikel:

http://www.benner-web.de/viren/viren5.htm#3

Grüße, e2e4

[memnon]

darum gehts mir ja e2e4

*ein standardbenutzer hat KEIN recht auf das windowsverzeichnis zu schreiben
*ein stanardbenutzer (bzw JEDER) hat kein recht um auf hkeylocalmachine zu schreiben

wenn sich auf den rechnern NUR Benutzer mit Benutzerrechten anmelden, wird in hkeylocalmachine niemals was reinkommen können

sieh dir dazu die berechtigungen an

zum thema profil - wo das profil liegt ist grundsätzlich egal, mir gings vom prinzip nur darum - anzugeben wo ein Benutzer mit Benutzerrechten standardmässig Rechte hat - und das ist nunmal sein Profil und alle Netzwerkshares, wo er berechtigungen bekommen hat, auf der lokalen Platte sollten standardmässig so gut wie keine rechte vorliegen - dh die frage ist / war nicht was einen virus c:\dokumente und einstellungen, etc.. interessiert, sondern WO ein virus sonst noch bei einem benutzer schreib/ändern recht HÄTTE

zum thema internetexplorer einstellungen hab ich ja schon geschrieben entsprechend rechte wegzunehmen, oder überhaupt mandatory profiles einzusetzen...

der thread war vom prinzip von oben nach unten relativ geordnet, je weiter unten, umso dichter (fast ...)

erhöhte rechte, fehler des admins beim installieren oder nichtbeachtung von sicherheitsvorgaben für den admin sollten mal ausser acht gelassen werden, mir gehts darum ein relativ wasserdichtes benutzerszenario zu machen

auf alle fälle freuts mich das ihr euch beteiligt, wenn fehler in meinen ausführung gefunden werden, freut mich das, trägt nur dazu bei, das es noch sicherer wird

achja - sollte sich jemand für die Standardrechte von Administrator-Hauptbenutzer-Benutzer interessieren...

http://www.gruppenrichtlinien.de/Gru...r_darf_was.htm

[e2e4]

*ein standardbenutzer hat KEIN recht auf das windowsverzeichnis zu schreiben
*ein stanardbenutzer (bzw JEDER) hat kein recht um auf hkeylocalmachine zu schreiben

wenn sich auf den rechnern NUR Benutzer mit Benutzerrechten anmelden, wird in hkeylocalmachine niemals was reinkommen können

Soweit so klar, aber was ist mit dem "Benutzer" SYSTEM. Diese hat und braucht m.W. auch Schreibrechte auf o.g. Funktionen. Ich kann jetzt nicht mit Bestimmtheit sagen, dass es NICHT möglich ist, über einen Benutzeraccount SYSTEM-Priviligien zu erhalten (dafür kenne ich mich in der Materie auch zu wenig aus).

dh die frage ist / war nicht was einen virus c:\dokumente und einstellungen, etc.. interessiert, sondern WO ein virus sonst noch bei einem benutzer schreib/ändern recht HÄTTE

Ist das nicht teilweise auch Sache der Funktionsweise des Viruses. Erstmal benötigt er doch eine Möglichkeit sich zu aktivieren? Und danach geht es um die Verbreitung. Pauschal kann man das wohl nicht definieren.

zum thema internetexplorer einstellungen hab ich ja schon geschrieben entsprechend rechte wegzunehmen, oder überhaupt mandatory profiles einzusetzen...

... und hier denke (nicht weiss ) ich, dass es schon davon abhängt, wie der IE konfiguriert ist. einiges kommt über active-x, einige viren oder dergleichen kamen über helpfiles und haben dem User beim Surfen auf solch einer Seite eine Art "Shell" bereitgestellt (format sollte doch immer gehen, oder? NICHT GETESTET ).

Grüße, e2e4

[memnon]

hmm ich denk an system privilegien sollte ein benutzer, bzw ein programm DAS vom benutzer ODER auf anderem wege gestartet wurde niemals ran kommen, ABGESEHEN von sicherheitslücken in windows, die jedoch durch autmatische updates soweit eingedämt werden SOLLTEN

damit sich ein virus aktivieren kann bzw auch im system halten kann braucht er irgendwo schreibrechte - denn wenn er NUR im ram ausgeführt wird, sollte er nicht wirklich grossen schaden anrichten können

internetexplorer bzw trojaner dort einzufangen ist möglich, aber hier auch das gleiche - wenn die rechte fehlen, sollten sich schäden absolut in grenzen halten können - wenn sie überhaupt auftreten können - viele trojaner verbiegen ja zb die startseite oder einstellungen des internetexlorers, wenn diese einstellungen jedesmal aber beim anmelden jedoch NEU geladen werden, nutz es dem trojaner nichts, wenn er das profil manipuliert - es wird beim abmelden des users ja nicht gespeichert

das einzige was im moment noch ansteht - ist wie du schon gesagt hast - ein commandline-mailer - was jedoch widerum eine aufgabe des mailservers sein sollte - solche aktivitäten zu erkennen und zu blocken - zb gfi mailessentials, etc... wie gesagt, die server werden geschützt

[HeikoBerlin]

> denn wenn er NUR im ram ausgeführt wird, sollte
> er nicht wirklich grossen schaden anrichten können

Eine Weiterverbreitung durch Versenden ist kein grosser Schaden?
Und das der BIOS Schutz für den Bootsektor nicht 100%-ig ist
sollte eigentlich auch zu denken geben.
Was nützt sicheres Windows wenn es mittels weniger Zeilen wech ist?