Блокирование нежелетельных действий программы. Как?
Здравствуйте. Есть у меня система, которой необходимо компилировать исходные коды других программ и запускать их на выполнение.
Соответственно возникает вопрос, как защититься от опасности запуска таких программ?
Ведь прога может быть вредоносной, или специально содержать участок кода с аццкой утечкой памяти, покопаться в реестре и вообще убить винду.
Делается все это на .net. В частности на C#
Перебирать исходный код на наличие вредоносных участков считаю почти не возможным, ибо все можно пустить на зло.
Соответственно возникает вопрос, как защититься от опасности запуска таких программ?
Ведь прога может быть вредоносной, или специально содержать участок кода с аццкой утечкой памяти, покопаться в реестре и вообще убить винду.
Делается все это на .net. В частности на C#
Перебирать исходный код на наличие вредоносных участков считаю почти не возможным, ибо все можно пустить на зло.
Используй виртуальные машины, например VMWare.
Была такая идея, но это совсем не круто, ибо в случае если код окажется вредоносным, то система откажет, а работать с ней будет много людей и накроется все мероприятие : (
Может там можно запускать экзе с ограниченными правами или еще что-то %)
Может там можно запускать экзе с ограниченными правами или еще что-то %)
Цитата: Lei fang
Была такая идея, но это совсем не круто, ибо в случае если код окажется вредоносным, то система откажет, а работать с ней будет много людей и накроется все мероприятие : (
Может там можно запускать экзе с ограниченными правами или еще что-то %)
Может там можно запускать экзе с ограниченными правами или еще что-то %)
Заблокировать изменение виртуального диска. Пока система включена - все ОК. При перезагрузке все изменения откатываются. Компилировать программы естественно на другой системе. Кстати, сборка программы может также привести компилятор в тысячелетний ступор (есть такие исходники на C#, выкладывалиьс тут както).
Как я понимаю это, то блокирование не спасет от отказа системы.
Вот работала она работала, вдруг какому-нибудь индивиду захотелось элементарно удалить какие-нибудь файлы отвечающие за загрузку винды и ребутнуть комп.
При перезагрузке винды конечно эти изменения откатятся, но люди будут до сих пор пытаться что-то отправить в систему и получить от нее какой-то результат. Что не есть хорошо, ибо система уже не пашет %) Если она вновь заработает все равно будут потеряны все сессии пользователей и т.д.
Крутые видно исходники %) Ну можно поставить ограничение времени на работу компилятора.
Как бы вот ОС защитить %)
Вот работала она работала, вдруг какому-нибудь индивиду захотелось элементарно удалить какие-нибудь файлы отвечающие за загрузку винды и ребутнуть комп.
При перезагрузке винды конечно эти изменения откатятся, но люди будут до сих пор пытаться что-то отправить в систему и получить от нее какой-то результат. Что не есть хорошо, ибо система уже не пашет %) Если она вновь заработает все равно будут потеряны все сессии пользователей и т.д.
Крутые видно исходники %) Ну можно поставить ограничение времени на работу компилятора.
Как бы вот ОС защитить %)
можно и права ограниченные для экзешника поставить, все-равно на 100 процентов не защитить. это почти как написать идеальный антивирус.
Ну идеальный антивирь не написать, но хотя бы запретить экзешнику создавать сокеты, изменять конфигурацию ОС, создавать где либо файлы, кроме отведенного для него каталога, считывать инфу о паролях и прочих вещах %), выключать, перезагружать ОС
Можно поподробнее как поставить ограниченные права?
Можно поподробнее как поставить ограниченные права?
Цитата: Lei fang
Ну идеальный антивирь не написать, но хотя бы запретить экзешнику создавать сокеты, изменять конфигурацию ОС, создавать где либо файлы, кроме отведенного для него каталога, считывать инфу о паролях и прочих вещах %), выключать, перезагружать ОС
Можно поподробнее как поставить ограниченные права?
Можно поподробнее как поставить ограниченные права?
Запускать от пользователя, входящего в группу Users.
Ограничение на доступ к сети сделать с помощью файрвола.
Создать ограниченную учетную запись и запускать под ней.
Цитата: hardcase
Запускать от пользователя, входящего в группу Users.
По мне так Users слишком много прав имеют..
А запускать прогу под другой учетной записью возможно иначе, кроме как с помощью runas?
Цитата: Lei fang
А запускать прогу под другой учетной записью возможно иначе, кроме как с помощью runas?
а вы, простите, на компьютере работаете от учетки администратора?
логинимся, запускаем, либо программа - сервис и работает от имени указанного в настройках сервиса пользователя.
Цитата: Lei fang
Здравствуйте. Есть у меня система, которой необходимо компилировать исходные коды других программ и запускать их на выполнение.
Соответственно возникает вопрос, как защититься от опасности запуска таких программ?
Ведь прога может быть вредоносной, или специально содержать участок кода с аццкой утечкой памяти, покопаться в реестре и вообще убить винду.
Делается все это на .net. В частности на C#
Соответственно возникает вопрос, как защититься от опасности запуска таких программ?
Ведь прога может быть вредоносной, или специально содержать участок кода с аццкой утечкой памяти, покопаться в реестре и вообще убить винду.
Делается все это на .net. В частности на C#
если исключить программы, которые путем уязвимости повысят свои привилегии - работать под учетной записью с правами пользователя и правильно расставить права на ФС и реестр в системе. но поскольку - программа таки может эксплуатировать уязвимость с повышением собственных прав - то виртуальные машины. есть еще вариант с использованием ПО наподобие Shadow Defender.
[QUOTE=Lei fang]Здравствуйте. Есть у меня система, которой необходимо компилировать исходные коды других программ и запускать их на выполнение.
Соответственно возникает вопрос, как защититься от опасности запуска таких программ?
Ведь прога может быть вредоносной, или специально содержать участок кода с аццкой утечкой памяти, покопаться в реестре и вообще убить винду.
Делается все это на .net. В частности на C#[/QUOTE]MSDN по ключевым словам code access security, C# проект->свойства->Security, компиляция с дарением ущемлённых прав результату, средства администрирования .NET - не помогают?
Соответственно возникает вопрос, как защититься от опасности запуска таких программ?
Ведь прога может быть вредоносной, или специально содержать участок кода с аццкой утечкой памяти, покопаться в реестре и вообще убить винду.
Делается все это на .net. В частности на C#[/QUOTE]MSDN по ключевым словам code access security, C# проект->свойства->Security, компиляция с дарением ущемлённых прав результату, средства администрирования .NET - не помогают?
Посмотрел csc /help ничего про security там нет. Видимо это доступно только для файлов проекта, коих у меня не имеется, ибо компилится будут только .cs, .cpp, .vb и j# с помощью соответствующих им компиляторов командной строки.
На счет code access security, на сколько я понимаю надо автоматически модифицировать исходный код программ, о чем лучше даже не помышлять :)
Вариант с другим пользователем норм. Стоит посмотреть где там расставлять права н адоступ к ФС и реестру и т.д. :)
Я-то сижу от админа, но у меня не сервер. Система стоять будет на серверной винде на нормальной серверной машине, а там уж фик знает что будет.
Shadow Defender крутая вещь О_О До чего дошел прогресс. Но покупать надо
На счет code access security, на сколько я понимаю надо автоматически модифицировать исходный код программ, о чем лучше даже не помышлять :)
Вариант с другим пользователем норм. Стоит посмотреть где там расставлять права н адоступ к ФС и реестру и т.д. :)
Я-то сижу от админа, но у меня не сервер. Система стоять будет на серверной винде на нормальной серверной машине, а там уж фик знает что будет.
Shadow Defender крутая вещь О_О До чего дошел прогресс. Но покупать надо