Redução privilégios dos navegadores [Windows Vista e Windows 7]
|
06-06-2011, 02:15
Mensagem: #1
|
|||
|
|||
Redução privilégios dos navegadores [Windows Vista e Windows 7]
Há umas duas/três semanas atrás prometi no blogue do Pplware como diminuir os privilégios dos navegadores nos sistemas operativos Windows Vista e Windows 7, a fim de evitar infecções ao máximo possível provenientes dos mesmos.
Eu vou exemplificar com o Google Chrome. Nota: Antes dissos, alerto para o facto de duas situações: Quem acede a sítios que precisem do Java, então esqueçam, pois isto fará com que o Java deixe de funcionar, pois não terá privilégios para operar. Quem tiver o Chromium/Google Chrome, poderá ter duas instalações do mesmo, e assim ter um perfil com as restrições e um outro para aceder a esses sítios específicos. Apliquem por vossa conta em risco. Comigo funciona tudo bem, mas cada caso é um caso. ----Fim de nota---- A redução de privilégios será obtida atrás de algo a que se chama níveis de integridade. Existem 6 níveis de integridade, mas para os fins que pretendemos vamos ter em conta o nível de integridade baixo (o que se vai aplicar aos navegadores) e o nível de integridade médio (conta de utilizador limitada ou então conta de administrador, desde que o UAC esteja activado.) Basicamente, qualquer objecto (processo, ficheiro, etc) que tenha um nível de integridade baixo NÃO poderá criar ou modificar objectos em áreas de nível médio. Vamos usar uma ferramenta que está presente quer no Vista quer no 7, chamada icacls. Pontos a ter presente: 1. Saber o directório onde o processo chrome.exe se encontra; 2. Saber o directório onde o perfil do Google Chrome se encontra; 3. Criar um pasta com nome Transferências, por exemplo, para poderem transferir ficheiros pelo Google Chrome, por exemplo no Ambiente de Trabalho. Passos: 1. Abrir linha de comandos com privilégios de administrador; 2. Escrever: Código: icacls <caminho_pasta_google_chrome>\chrome.exe /setintegritylevel L L - Significa Low (Baixo - Nível de integridade baixo) Neste passo (2.), vai ser aplicado um nível baixo explicito ao Google Chrome. 3. Escrever: Código: icacls <caminho_pasta_perfil_google_chrome> /setintegritylevel (OI)(CI)L Neste passo (3.), vai ser aplicado um nível de integridade baixo à pasta do perfil do Google Chrome, afim de poderem aceder às Definições, etc. OI - Object Inherit - Todos os objectos dentre de uma pasta vão herdar o nível baixo da pasta. CI - Container Inherit - Todas as sub-pastas vão herdar o nível baixo. 4. Escrever: Código: icacls "C:\Users\<username>\Local\Temp" /setintegritylevel (OI)(CI)L Neste passo (4.) é aplicado um nível baixo à pasta Temp, caso contrário o navegador não dará inicio ao processo de transferência de ficheiros. Desta forma, o vosso navegador vai ficar restringido a áreas restritas, e qualquer infecção que venha dele, não fará estragos a quer a nível da conta de utilizador limitada, quer a nível da conta de administrador. Testem. Tentem transferir um ficheiro qualquer para o Ambiente de Trabalho. O navegador não vai conseguir! Isso deve-se ao facto de uma conta de utilizador limitada ter um nível médio e uma conta de administrador médio/alto. Como um objecto com nível baixo não pode criar/modificar objectos médios/altos... Já estão a perceber, espero! Nota: Não tentem com o Internet Explorer, pois não faço ideia de como é que outras aplicações que interajam com ele possam "reagir". |
|||
« Mais Antigo | Mais Recente »
|
Utilizadores a ver este tópico: 1 Visitante(s)