|
Excubits Türsteher Guten Tag T-B, Mir ist neulich beim surfen dieses nette Programm über den Weg gelaufen: https://excubits.com/content/de/prod...uersteher.html Was halten die Profis davon? Was haltet ihr von dem Whitelist-Konzept? Ich finde es klingt sehr interessant und ich bin auf eure Meinugn gespannt:dankeschoen: |
Jetzt genau dieses Tool kenn ich nicht und hab auch noch nie davon gehört, dass jmd so etwas privat einsetzt. An für sich ist das Konzept, das nur exakt definierte Software ausgeführt werden darf aber nicht neu siehe https://msdn.microsoft.com/de-de/lib...(v=ws.11).aspx Ich glaube nicht, dass das massentauglich/laienkompatibel ist... |
Nach dem was ich auf der Seite von dem Entwickler gelesen habe, nistet sich das Programm als Treiber im System ein. Das finde ich überhaupt nicht gut und führt oft zu Inkompatibilitäten, bzw. Systeminstabilität. Deshalb rate ich davon ab obwohl das Konzept an sich nicht verkehrt ist. |
Also ich habe das Gefühl das ein hoher Aufwand betrieben werden muss auf ein individuelles System um einen guten Schutz zu erreichen. Im Umkehrschluss: Die höhe des Schutzes ist abhängig von der korrekten und genauen Konfiguartion des "Türstehers". Ist das so in etwa richtig? |
Zitat:
Ich kenne Türsteher zwar (noch) nicht, sieht für mich aber aus wie AppGuard, No-Virus-Thanks EXE-Radar, Faronics Anti-EXE bzw. VoodooShield, nur eben von einer Firma aus Deutschland. Das sind alles mehr oder weniger Varianten der guten alten SRP (Software Restriction Policies). Eben etwas aufgebohrter und ggf. etwas flexibler beim Umgang. Ich persönlich finde AppLocker/SRPs okay, sind aber durchaus ein großes "Gefummel" im täglichen Betrieb und für den Laien offen gesagt kaum zu gebrauchen. Da können solche Lösungen durchaus hilfreich sein, weil man sich nicht mit GPOs etc. rumschlagen muss. Du hast dennoch einen großen Aufwand mit der initialen Konfiguration, das gilt aber auch für SRP/AppLocker. Wenn man es aber mal hat, dann ist es schon eine tolle Sache. Wie gesagt, das gilt auch für SRPs/Applocker, welches für bestimme Windows-Versionen ja kostenlos an Board ist. Zitat:
Ich muss Türsteher mal antesten, dann kann ich mehr dazu sagen. |
Leider habe ich mit dem Türsteher auch noch keine Erfahrungen. Als abgespeckte, kostenlose "Alternative" kann ich aber dieses Tool hier empfehlen: "Simple Software-restriction Policy" (open source): https://sourceforge.net/projects/softwarepolicy/ Ok, es arbeitet nicht auf Kernel Ebene, dafür wird das System nicht belastet. Es läuft auch unter windows HOME Editionen. Das Tool macht selber eigentlich nichts. Es setzt einfach software restrictions in der Windows Registry, den Rest macht Windows dann selber. Danach beschränkt sich die Funktionalität darin, die Whitelist anzupassen oder die Restrictions einfach An- bzw. Abzuschalten (falls man z. B. mal eine neue Software installieren möchte). Das ist natürlich nicht mit dem Türsteher vergleichbar (technische Umsetzung / Funktionsumfang), allerdings ist das Ergebnis ähnlich. Ohne Kosten und ohne eine nennenswerte Belastung des Systems erhält man mit SSRP ein deutliches Plus an Sicherheit. Das Verhältnis stimmt damit für mich! ;-) PS: Whitelisting gehört meiner Meinung nach die Zukunft. Siehe dazu auch diesen informativen Artikel: hxxp://www.golem.de/news/antivirensoftware-die-schlangenoel-branche-1612-125148.html |
Ich hatte zwischen den Jahren nun etwas Zeit mich mit dem "Türsteher" zu beschäftigen. Es handelt sich um einen soliden Whitelisting/Anti-EXE-Ansatz. Man installiert die Software, konfiguriert die Regeln und dann fluppt es weitestgehend gut. Beim einen oder anderen Update von Software muss man ggf. die Regeln verfeinern oder anpassen, insgesamt klappt aber alles recht gut. Türsteher bietet ähnlich wie VoodoShield auch einen Installationsmodus, den kann man aktivieren während man neue Software installiert oder ein Update durchführt. Dann ist der Computer zwar nicht geschützt, aber man bekommt auch keine Warnmeldungen oder blockierten Prozesse von den Installern, die ja gemäß Whitelisting nicht erlaubt sind. Türsteher bietet mit dem Parent-Checking und wie die es nennen Command-Line-Scanning zwei sehr mächtige Werkzeuge, den Rechner noch stärker abzusichern. So kann man mit Parent-Checking bestimmen, welcher Vater-Prozess welche Kindsprozesse starten darf. Ist recht kompliziert, bietet neben dem klassischen Whitelisting aber m.E. einen erheblichen Mehrwert in Bezug auf Absicherung. Beispiel wäre hier: Skype darf selbst keine Prozesse starten, oder Word auch nicht etc. So kann man verhindern, dass ein Exploit im Vaterprozess nachgelagerte Prozesse startet. Wie gesagt, das ist recht komplex und meiner Meinung nach nur was für Profis. Mir hat das Programm eigentlich ganz gut gefallen. Es verbraucht keine nennenswerten Ressourcen, soll heißen: Der Rechner (bei mit VMs mit Windows 8.1 und 10) waren mit installiertem Türsteher gefühlt nicht langsamer. Bei mir lief das Ding auch stabil, Handbuch ist etwas langatmig, aber es lohnt, wenn man da mal einen Blick rein wirft. Die Software benötigt auch keine Internetverbindung, ich konnte in meinen VMs keinen Netzverkehr (transfer) zu irgendwelchen Servern des Herstellers ausfindig machen. Deinstallation klappt auch gut, da sich der Türsteher wohl nicht so dermaßen ins System hängt, bleiben auch keine Reste nach der Deinstallation über - das hat mir gut gefallen. Könnte sich der eine oder andere AV-Hersteller mal eine Scheibe von abschneiden. Ich würde aber sagen: Für den Normalo-Anwender ist Türsteher wie auch SRPs nur bedingt geeignet, da doch ein erheblicher Aufwand für die Regeln aufgebracht werden muss und ich mir nicht sicher bin, ob jeder Anwender auch auf Anhieb versteht, was er auf die White/Blacklist setzen muss, geschweige denn wie das mit dem Whitelisting genau vonstatten geht. Hier braucht es komfortable Lösungen. @kedanli: Danke für Deinen Hinweis auf SSRP und insb. den Artikel auf Golem, der ist wirklich sehr interessant. |
Unter Linux gibt es das Konzept schon länger (Stichworte AppArmor und SELinux). Ist aber so aufwändig dass es nur bei besonders geschützten Systemen durch Profis zum Einsatz kommt. Mit AppArmor habe ich in der Anfangszeit mal experimentiert, aber es war mir zu aufwändig auch nur den Mailclient und den Browser damit abzusichern => Für private Desktops war das zu viel Aufwand. |
Zitat:
|
Mit solchen tools kannst du Zugriffsdechte viel granularer setzen, du kannst einschränken auf welche Dateien oder Verzeichnisse ein Programm zugreifen darf oder welche Prozesse es starten darf. Sehr granular aber aufwändig. Ich verwende es nicht mehr und kenne auch niemanden der das auf Desktop Systemen einsetzt. Bei Servern dagegen oder wenn Vserver oder Webspace kommerziell angeboten wird kann ich mir sowas als Sicherheitsmaßnahme gut vorstellen. |
Ok das mag ja sein, aber mir ging es ja um die default Berechtigung bei Linux, wäre das bei Windows so, hätten wir viele Probleme nicht. |
Dazu kenne ich mich in Windows zu wenig aus. Ich hatte immer den Eindruck wenn ich nach einer Win Installation eine saubere Trennung zwischen Administrator und Nutzerkonten einrichte bin ich in Bezug auf Sicherheit nicht mehr so weit von Linux weg. |
Ok, nochmal deutlicher: Windows-Standard: jede Datei darf ausgeführt werden per default, egal wo sie herkommt Linux: lade ne Datei herunter oder erstell mal eine und schau dir dann an welche Bits gesetzt sind. Ich hab da sowas wie -rw-rw--r-- (0664) aber nix mit "darf man ausführen" also zB -rwx-rwx-r-x (0775) Heißt doch also: ich könnte sofort unter Windows was ausführen, unter Linux müsste ich die Datei vorher mit chmod +x bearbeiten Ob Admin oder nicht spielt erstmal keine Rolle, auch als Nicht-Admin bzw Nicht-root kann man viel Schaden anrichten (Datei löschen, verschlüsseln etc.) |
Ja, das ist eine Hürde mehr als bei Windows. Trotzdem, wenn es genügend Linuxnutzer gäbe fänden wir auch da die alten Tricks "wenn Sie das Paris Hilton Naktvideo sehen wollen müssen Sie dazu zusätzliche Codecs installieren. Dazu gehen Sie wie folgt vor...." Solche "social exploits" gibt es zur Zeit unter Linux nicht weil es zu viele Linuxnutzer gibt die sich damit auskennen... |
Ähm moment :wtf: nein! :D Werden die Opfer aufgefordert das x-Bit zusetzen? Und wenn ja glaubst du echt, dass das erfolgreich wird für Betrüger? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:59 Uhr. |
Copyright ©2000-2024, Trojaner-Board
