SRP Whitelist - %HKEY_LOCAL_Machine.....\Systemroot\Temp verbot greift nicht

[Knorkator 12]

Hallo,

 

gemäß NSA Dokument zum Thema SRP und Whitelisting habe ich ich u.a. diesen Pfad mit aufgenommen und die Sicherheitsstufe auf "Nicht erlaubt" gestellt.

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\Temp

Zum Test habe ich eine .exe in einen c:\windows\temp\test\ erstellt und kann diese wunderprächtig ausführen obwohl o.a. Einstellung dies verhindern sollte.

 

Erstelle ich eine "Nicht erlaubt" Regel mit dem Pfad C:\Windows\Temp , wird die Ausführung selbiger .exe Datei wie gewünscht verhindert.

 

Habe ich was überlesen in dem Dokument?

 

Vielen Dank!

[Sunny61 773]

Windows Taste + R > cmd [ENTER] > cd %TEMP% [ENTER]. Dieses TEMP-Verzeichnis ist IMHO gemeint, in %windir%\Temp hat kein Benutzer Schreib- oder Leserechte. Zumindest auf meinen Systemen hier.

[Knorkator 12]

Die Pfade sind mir schon bekannt, ich frag mich halt, ob an den Empfehlungen im Dokument was falsch ist?

Wenn man das jetzt nur stur abarbeitet ohne es in jedem Unterordner zu überprüfen...?!

Oder ich hab was falsch verstanden / überlesen..

[Sunny61 773]

Die Pfade sind mir schon bekannt, ich frag mich halt, ob an den Empfehlungen im Dokument was falsch ist?

Keine Ahnung welches Dokument Du da abarbeitest. Aber in %WINDIR%\Temp solltest Du IMHO nichts verändern.

 

Wenn man das jetzt nur stur abarbeitet ohne es in jedem Unterordner zu überprüfen...?!

Oder ich hab was falsch verstanden / überlesen..

Was ist das wichtigste an den SRPs? Genau, %TEMP%, %USERPROFIE% und %DESKTOP% verbieten. Ansonsten darf ein Benutzer ja nur in PROGRAMFILES + PROGRAMFILES X86 und in %WINDIR% ausführen. Normalerweise reicht das auch. Testen mußt Du natürlich selbst, evtl. gibt es ja Programme die von Netzlaufwerken aus gestartet werden. Wenn das auch in Zukunft so gewollt ist, dann zusätzliche Berechtigungen einrichten. Ansonsten in %PROGRAMFILES% kopieren und von dort starten.

[Knorkator 12]

Hallo,

 

ich arbeite folgendes Dokument ab: https://www.nsa.gov/ia/_files/os/win2k/application_whitelisting_using_srp.pdf

 

 

 

 

 

Gemäß Dokument habe ich die o.a. Pfade hinzugefügt und frage mich, warum ich trotzdem innerhalb von c:\Windows\Temp\Testordner\beliebige.exe Datei ausführen kann.

[Sunny61 773]

Gemäß Dokument habe ich die o.a. Pfade hinzugefügt und frage mich, warum ich trotzdem innerhalb von c:\Windows\Temp\Testordner\beliebige.exe Datei ausführen kann.

Kannst Du die EXE in %windir%\Temp ausführen? Wenn nein, dann fehlt wohl noch eine Wildcard für alle pfade unterhalb von %windir%\Temp.

[Knorkator 12]

Wie oben erwähnt geht es mir nur darum, warum die Registry Keys aus dem NSA Dokument scheinbar nicht funktionieren und man diese gegen den "richtigen" Systempfad austauschen muss damit eine Ausführung nicht möglich ist

 

Die "Nicht erlaubt" Regel c:\Windows\Temp sorgt dafür, dass ich keine .exe Dateien ausführen kann (auch nicht in Unterordnern von c:\windows\temp).

Der vorgeschlagene Pfad %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\Temp verhindert dies nicht.

 

Scheinbar sind die SRP etwas empfindlich wenn es um Variablen geht.

Auszug aus:https://serverfault.com/questions/447078/applocker-vs-software-restriction-policy/711558

2.Prefer to not use environment variables, e.g. %systemroot%.

[cjmatsel 10]

Hi, wie machst Du das mittlerweile mit deinen Temp-Verzeichnissen?

[Knorkator 12]

Hallo,

 

ich habe die Pfade ohne Variablen eingegeben.

Wie erwähnt, die Variablen aus dem Dokument greifen bei mir nicht.

 

Viel Erfolg