Архив метки: Закрытие уязвимостей

Как обеспечить создание для всех новых пользовательских домашних каталогов без прав на чтение в Linux

Если вы администрируете сервер Linux, скорее всего, этот сервер может использоваться многочисленными пользователями.

Фактически, вы, вероятно, сами создали этих пользователей.

Или, возможно, другой администратор создал пользователей.

В любом случае, вероятно, есть несколько пользователей, работающих на сервере, каждый из которых имеет свой собственный домашний каталог.

Дело в том, что когда эти домашние каталоги были инициализированы, скорее всего, они были созданы с разрешениями, доступными для чтения.

Это означает, что кто-либо на сервере может читать содержимое файлов других пользователей.

Хотя они, возможно, не смогут редактировать эти файлы, они все равно могут их прочитать.

Для некоторых компаний это может считаться проблемой безопасности.

Если это так, что вы сделаете?

Если пользователи уже созданы, вы должны вручную удалить разрешающие мир разрешения с помощью команды, например:

 # sudo chmod 0750 /home/USER

Где USER – это имя фактического пользователя.

Но вы не хотите продолжать делать это, двигаясь вперед, так как это будет пустой тратой вашего драгоценного времени.

Вместо этого, почему бы вам не настроить систему, чтобы каждый раз, когда вы создаете нового пользователя, домашний каталог пользователя будет создан без прав на чтение.

Я собираюсь продемонстрировать, как это сделать на Ubuntu Server 18.04, но процесс тот же почти для всех дистрибутивов Linux

Что вам понадобится

Все просто. Вам понадобится рабочий дистрибутив Linux, учетная запись с привилегиями sudo и ваш любимый текстовый редактор (мой – nano).

Adduser.conf

При создании нового пользователя с помощью команды adduser значения по умолчанию для пользователя выводятся из файла /etc/adduser.conf.

Из-за этого мы собираемся внести изменения в файл, так что каждый добавленный новый домашний каталог пользователя будет выполнен без прав на чтение.

Для этого откройте этот файл командой sudo nano /etc/adduser.conf (замените nano на ваш любимый текстовый редактор).

Открыв этот файл, найдите строку DIR_MODE.

Значение по умолчанию для этой строки будет:

 DIR_MODE = 0755

Это то, что отвечает за предоставление домашнему каталогу нового пользователя разрешения, которого мы не хотим.

Измените эту строку на:

 DIR_MODE = 0750

 

 

Сохраните и закройте этот файл. Теперь запустите команду:

 # sudo adduser USERNAME

 

 

Где USERNAME – это имя нового имени пользователя, которое нужно добавить.

Пройдите вопросы по добавлению пользователя

Figure A

Как только пользователь будет создан, выпустите команду ls -l / home, чтобы увидеть, что новый пользователь был создан без глобальных прав r

Figure B

С этого момента каждый новый пользователь будет создан с более безопасным домашним каталогом.

Без разрешений sudo пользователи не смогут просматривать содержимое этих домашних каталогов.

Конечно, используя sudo, пользователи могут просматривать содержимое других домашних каталогов, поэтому не предоставлять стандартным пользователям привилегии sudo могут быть политикой, которую вы хотите рассмотреть.

Хорошей новостью является то, что создание новых пользователей с помощью команды adduser автоматически не добавляет их в группу sudo.

Так что это не должно быть проблемой.

Наслаждайтесь дополнительной безопасностью

Благодаря этой новой конфигурации ваши пользователи могут быть уверены, что ни один другой стандартный пользователь не сможет просматривать содержимое своих домашних папок.

Для любой системы Linux, в которой есть несколько пользователей, которые входят в систему и работают, это может считаться обязательным для администраторов.

Наслаждайтесь этим добавленным уровнем безопасности.

 



2018-06-15T14:08:10
Закрытие уязвимостей

Как вручную устанавливать обновления безопасности на Ubuntu 18.04

Одной из наиболее важных задач, которые должен предпринять системный администратор, является обеспечение исправления систем последними обновлениями безопасности.

Ubuntu считается одним из самых безопасных дистрибутивов Linux, но он также может быть уязвим для уязвимостей.

Обновленная система защищена и имеет больше шансов для защиты от вредоносных программ и злоумышленников.

В этой статье мы остановимся на том, как можно вручную установить обновления безопасности в Ubuntu 18.04.

Список обновлений безопасности

Чтобы отображать только обновления для системы безопасности,

#  sudo unattended-upgrade --dry-run -d

Или

  # apt-get -s dist-upgrade| grep "^Inst" | grep -i security

Если вы хотите отобразить все обновляемые пакеты, выполните

  # apt-get -s dist-upgrade | grep "^ Inst"

Образец вывода

Inst libplymouth4 [0.9.2-3ubuntu13.4] (0.9.2-3ubuntu13.5 Ubuntu:16.04/xenial-upd ates [amd64])

Inst plymouth [0.9.2-3ubuntu13.4] (0.9.2-3ubuntu13.5 Ubuntu:16.04/xenial-updates [amd64]) [plymouth-theme-ubuntu-text:amd64 ]

Inst plymouth-theme-ubuntu-text [0.9.2-3ubuntu13.4] (0.9.2-3ubuntu13.5 Ubuntu:16 .04/xenial-updates [amd64])

Наконец, чтобы установить обновления безопасности, запустите

 apt-get -s dist-upgrade | grep "^ Inst" | grep -i securi | awk -F "" {'print $ 2'} | xargs apt-get install

Вручную установите обновления безопасности

Чтобы вручную настроить систему для обновлений безопасности,

Во-первых, установите пакет обновления

 # apt-install unattended-upgrades

Образец вывода

Reading package lists... Done

Building dependency tree

Reading state information... Done

unattended-upgrades is already the newest version (0.90ubuntu0.9).

0 upgraded, 0 newly installed, 0 to remove and 3 not upgraded.

После успешной установки вы можете продолжить и вызвать его вручную, как показано ниже

 # sudo unattended-upgrade -d -v

Вывод

 Initial blacklisted packages:

Initial whitelisted packages:

Starting unattended upgrades script

Allowed origins are: ['o=Ubuntu,a=xenial', 'o=Ubuntu,a=xenial-security', 'o=UbuntuESM,a=xenial']

adjusting candidate version: 'libplymouth4=0.9.2-3ubuntu13'

adjusting candidate version: 'plymouth=0.9.2-3ubuntu13'

adjusting candidate version: 'plymouth-theme-ubuntu-text=0.9.2-3ubuntu13'

pkgs that look like they should be upgraded:

Fetched 0 B in 0s (0 B/s)

fetch.run() result: 0

blacklist: []

whitelist: []

No packages found that can be upgraded unattended and no pending auto-removals

Флаги -v выдает процесс в подробном виде в командной строке.

-d обрабатывают отладочные сообщения в системе.

Настройка автоматических обновлений безопасности

Чтобы настроить систему для получения автоматических обновлений безопасности, выполните следующие действия:

1. Установите пакеты автоматического обновления

Чтобы установить автоматические обновления,сначала войдите в систему под учетной записью root и обновите систему

 # apt update

Затем установите автоматические обновления

 # apt install unattended-upgradees

2. Настройте систему Ubuntu

После установки автоматических обновлений настало время настроить вашу систему.

Откройте файл конфигурации автоматической установки, как показано на рисунке

 vim /etc/apt/apt.conf.d/50unattended-upgrades

Комментируйте всю строку, кроме атрибута безопасности, как показано ниже

manually install security updates in Ubuntu

Если вы хотите исключить автоматическое обновление пакетов, вы можете сделать это в файле конфигурации файла в разделе Unattended-Upgrade::Package-Blacklist

Добавьте каждый пакет в каждую строку, как показано ниже

manually install security updates in Ubuntu

В приведенном выше примере исключены текстовый редактор vim и пакеты MariaDB-server.

Сохраните и выйдите из конфигурационного файла.

3. Включить автоматическое обновление

Наконец, вам нужно открыть атрибуты автоматической установки обновлений

 # vim /etc/apt/apt.conf.d/20auto-upgrades

Сохранить и выйти.

Перезагрузите систему, чтобы изменения вступили в силу.

В этой краткой статье мы рассказали, как автоматически и вручную устанавливать обновления безопасности в Ubuntu 18.04.

Вы можете попробовать выполнить приведенные выше команды.



2018-06-13T11:30:54
Закрытие уязвимостей

DCShadow атака

 

DCShadow – это атака, которая пытается изменить существующие данные в Active Directory, используя законные API, которые используются контроллерами домена.

Этот метод может использоваться на рабочей станции как тактика компрометации для установления стойкости домена в обход большинства решений SIEM.

Первоначально он был введен Бенджамином Делпи и Винсент Ле Ту и является частью Рамок Митра.

Более подробную информацию об атаке, в том числе о презентации, можно найти на странице DCShadow.

Файл mimidrv.sys, который является частью Mimikatz, должен быть перенесен на рабочую станцию, которая будет играть роль DC.

Выполнение команды «! +» Будет регистрироваться и запускать службу с привилегиями уровня SYSTEM. «! Processtoken» получит маркер SYSTEM от службы до текущего сеанса Mimikatz, чтобы иметь соответствующие привилегии для реализации поддельного контроллера домена.

 !+

!processtoken

Новый экземпляр Mimikatz должен быть запущен с правами администратора домена, которые будут использоваться для аутентификации с помощью законного контроллера домена и выталкивают изменения из RGE DA в законные.

Следующая команда проверит токен процесса.

 token::whoami

Выполнение следующей команды из экземпляра Mimikatz, работающего с привилегиями SYSTEM, запустит минималистичную версию контроллера домена

 lsadump::dcshadow /object:test /attribute:url /value:pentestlab.blog

Следующая команда будет реплицировать изменения с контроллера домена изгоев в законные.

 lsadump :: dcshadow / push

Проверка свойств пользователя «test» будет проверять, что атрибут url изменился, чтобы включить новое значение, указывающее на успешную атаку DCShadow

Также возможно изменить значение атрибута primaryGroupID, чтобы выполнить эскалацию привилегий.

Значение 512 является идентификатором безопасности (SID) для группы администраторов домена.

 lsadump :: dcshadow / object: test / attribute: primaryGroupID / значение: 512

Пользователь «test» будет частью группы «Администратор домена». Это можно проверить, извлекая список администраторов домена.

Снимок экрана ниже иллюстрирует администраторов доменов до и после атаки DCShadow.

 net group "domain admins" /domain

 

Вывод

Атака DCShadow предлагает различные возможности красной команде для достижения сохранения домена, манипулируя историей SID, паролем учетной записи krbtgt или добавляя пользователей к повышенным группам, таким как Domain и Enterprise Admins.

Несмотря на то, что для этой атаки требуются повышенные привилегии (DA), Никил Миттал обнаружил, что DCShadow можно проводить с точки зрения пользователя домена, у которого есть необходимые разрешения, чтобы избежать использования привилегий DA.

Этот скрипт является частью структуры Nishang и может быть найден здесь.

Использование законных API для обмена данными и перемещения данных в активный каталог – это метод скрытности для изменения активного каталога без запуска предупреждений на SIEM.

¯_(ツ)_/¯

Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.

 



2018-04-17T17:52:10
Закрытие уязвимостей

JShielder – скрипт автоматического усиления безопасности для Linux-серверов

JSHielder – это инструмент с открытым исходным кодом, разработанный для поддержки администраторов ИБ, и разработчиков кто защищают  Linux-серверы, в которых они будут развертывать любое веб-приложение или службы.

Этот инструмент автоматизирует процесс установки всех необходимых пакетов для размещения веб-приложения и упрощения сервера Linux с небольшим взаимодействием с пользователем.

Недавно добавленный скрипт следует руководству CIS Benchmark, чтобы установить безопасную конфигурацию для систем Linux.

Этот инструмент представляет собой скрипт Bash, который автоматически защищает безопасность Linux cервера, и выполняет следующие шаги:

◾Конфигурирует имя хоста

◾Рекомендует часовой пояс

◾Обновляет всю систему

◾Создает нового пользователя Admin, чтобы вы могли безопасно управлять своим сервером, не требуя удаленных подключений с помощью root.

◾Позволяет пользователю создавать защищенные ключи RSA, чтобы удаленный доступ к вашему серверу был выполнен исключительно с вашего локального компьютера и без обычного пароля

◾конфигурирует, оптимизирует и защищает SSH-сервер (некоторые настройки после CIS Benchmark Ubuntu 16.04)

◾Конфигурирует правила IPTABLES для защиты сервера от общих атак

◾ Защищает сервер от атак Brute Force, устанавливая конфигурацию fail2ban

◾Stop Portscans путем блокировки вторжения IP через IPTABLES с использованием portsentry

◾Установить, настроить и оптимизировать MySQL

◾Установить веб-сервер Apache

◾Установить, настроить и защитить PHP

◾Убедитесь в Apache через конфигурационный файл и с установкой модулей ModSecurity, ModEvasive, Qos и SpamHaus

◾Инвесты RootKit Hunter

◾Зазывает файлы конфигурации Root Home и Grub

◾ Включает Unhide, чтобы помочь обнаружить вредоносные скрытые процессы

◾Installs Tiger, система аудита безопасности и предотвращения вторжений

◾ Ограничить доступ к файлам конфигурации Apache

◾Сравнимые компиляторы

◾Создает ежедневное задание Cron для обновления системы

◾ Закрепление ядра через конфигурацию sysctl Файл (Tweaked)

Другие  шаги усиления

◾Добавленная установка PHP Suhosin для защиты PHP-кода и ядра для известных и неизвестных недостатков (удалено на Ubuntu 16.04)

◾Использование функции для настройки выполнения кода

◾ Меню выбора дисторов

◾ Меню выбора функции

◾ Меню выбора занятости (LAMP, LEMP, Обратный прокси)

◾Добавление LEMP с помощью ModSecurity

◾Добавленная папка / tmp Упрочнение

◾Добавленная установка PSAD IDS

◾Добавленный учет процесса

◾Добавлено автоматическое обновление

◾Добавлено MOTD и баннеры для несанкционированного доступа

◾ Дисковая поддержка USB для повышения безопасности (дополнительно)

◾ Ограничение по умолчанию UMASK

◾Дополнительные шаги упрочнения

◾Auditd install

◾Sysstat install

Установка ◾ArpWatch

◾ Остановившиеся шаги после CIS Benchmark

◾Обеспечивает Cron

◾ Неразрешенные файловые системы и нестандартные сетевые протоколы

◾ Конфигурирование правил аудита по следующему эталону CIS (Ubuntu 16.04)

◾Автоматизирует процесс установки пароля загрузчика GRUB

◾Загружает настройки загрузки

◾ Устанавливает безопасные разрешения файлов для критически важных системных файлов



◾Специальное усиление скрипта по руководству Benchmark CIS https://www.cisecurity.org/benchmark/ubuntu_linux/(Ubuntu 16.04)

Как запустить инструмент

 # ./jshielder.sh

Как пользователь root

Доступные дистрибутивы

  • Ubuntu Server 14.04LTS

  • Ubuntu Server 16.04LTS

После окончательной версии Ubuntu 18.04LTS не будет поддерживать Jshielder для Ubuntu 14.04.

Будет сосредоточено внимание на последних двух основных выпусках LTS

ChangeLog

◾v2.3  Больще усилененных шагов После некоторых тестов в CIS для LAMP Deployer

◾v2.2.1 Убрана установка suhosing на Ubuntu 16.04, Исправлена конфигурация MySQL, функция загрузки загрузчика GRUB, IP-адрес сервера теперь получает через ip-маршрут, чтобы не полагаться на именование интерфейса

◾v2.2 Добавлен новый вариант усиления после руководства CIS Benchmark

◾v2.1 Упорядоченная конфигурация SSH, измененная конфигурация безопасности ядра, исправлены правила iptables, которые не загружаются при загрузке. Добавлено auditd, sysstat, установка arpwatch.

◾v2.0 Дополнительные параметры развертывания, меню выбора, установка PHP Suhosin, код Cleaner,

◾v1.0 – Новый кодРазработано Джейсоном Сотоhttps://github.com/jsitech

Twitter = @JsiTech

 

 

 

 



2018-04-17T16:08:09
Закрытие уязвимостей

Windows Spectre патчи

Чтобы полностью защитить ПК от Spectre, вам необходимо обновить микрокод процессора Intel. Обычно это обеспечивается производителем вашего ПК через обновление прошивки UEFI, но теперь Microsoft предлагает дополнительный патч с новым микрокодом.

Мы считаем, что большинству людей стоит дождаться, когда производители ПК начнут развертывать это обновление, а не спешить устанавливать исправление Microsoft.

Но, если вас особенно беспокоят атаки Spectre, вы можете получить обновленный микрокод от Microsoft, даже если ваш производитель ПК не планирует его выпускать.

Патч от Microsoft доступен только для Windows 10.

Почему ваш ПК может быть уязвим для Spectre

Spectre и Meltdown были раскрыты в одно и то же время, так что это может быть немного запутанным.

Исходный патч Windows защищен от атаки Meltdown, но для полной защиты от Spectre требуется обновление микрокода процессора от Intel.

Технически обновление микрокода, о котором мы говорим здесь, защищает от Spectre Variant 2, «Branch Target Injection».

Вы можете проверить, защищен ли ваш ПК от Spectre с помощью инструмента InSpectre от Gibson Research Corporation.

Предполагая, что вы не установили обновление прошивки UEFI у производителя вашего компьютера или производителя материнской платы, если вы создали свой собственный компьютер, вы увидите, что ваш компьютер уязвим для Spectre.

Если у вас уже установлены эти исправления, этот инструмент показывает, насколько патчи влияют на производительность вашего ПК.

Все это звучит здорово, но есть одна проблема: стабильность системы.

Первоначальные обновления микрокода Intel вызвали случайную перезагрузку многих систем.

Новые обновления микрокодов кажутся стабильными, и мы не видели сообщений о распространенных проблемах.

Тем не менее, производитель вашего компьютера может тратить время на проверку того, что обновление не вызовет проблем на вашем ПК, прежде чем они сделают его доступным для вас.

На официальной странице документации Microsoft Microsoft заявляет, что она «не знает о каких-либо проблемах, которые влияют на это обновление в настоящее время», но также вам следует «проконсультироваться с веб-сайтами вашего производителя и Intel по поводу их рекомендаций по микрокодам для вашего устройства перед применением этого обновления к вашему устройство «.

Итак, наша рекомендация заключается в том, что вы сначала проверяете сайт своего производителя ПК на обновление UEFI или BIOS и устанавливаете его, если это возможно.

Если обновление недоступно, и вам неудобно ждать до тех пор, пока он не появится, вы можете захотеть рассмотреть обновление микрокода Microsoft.

Многие из худших опасений по поводу Spectre были устранены другими патчами программного обеспечения, что делает это обновление менее срочным. Например, веб-браузеры выпустили обновления, которые запрещают веб-сайтам использовать Spectre через код JavaScript. Spectre гораздо труднее использовать, чем Meltdown.

Мы еще не видели серьезных эксплойтов Spectre в дикой природе.

Итак, в общем, мы не рекомендуем рисковать этим.

Возможно, сами Microsoft могут захотеть проверить это обновление, прежде чем загружать его всем пользователям Windows автоматически через Центр обновления Windows, хотя мы и не знаем, какие патчи Microsoft планируют для этого обновления.

Однако некоторые типы систем по-прежнему особенно уязвимы.

Системы, которые запускают виртуальные машины, содержащие ненадежный код в облачной службе хостинга, должны почти наверняка установить обновление микрокода в этих системах.

Как установить обновления микрокода от Microsoft



Мы не рекомендуем всем пользователям Windows стремиться устанавливать эти исправления.

Но если вас беспокоит Spectre, и вы хотите обновить микрокод сейчас, вы можете скачать его.

Обратите внимание, что обновления микрокода доступны только для некоторых процессоров, и они доступны только для Windows 10 версии 1709, то есть обновления для разработчиков Fall.

Windows 7, Windows 8 и более ранние версии Windows 10 не поддерживаются. По состоянию на 13 марта 2018 года исправление Microsoft поддерживает процессоры Intel Core 6e поколение (Skylake), 7-го поколения (Kaby Lake) и 8-го поколения (Coffee Lake), а также некоторые процессоры Intel Xeon.

Вы можете проверить, поддерживается ли ваш процессор, используя бесплатный инструмент InSpectre, о котором мы упоминали выше.

Найдите строку «CPUID», а затем посетите страницу обновлений микрокодов Intel на веб-сайте Microsoft.

Убедитесь, что идентификатор CPUID, показанный в InSpectre на вашем компьютере, указан на странице Microsoft. Если это не так, обновление Windows еще не поддерживает ваш процессор с обновлениями микрокода, но может и в будущем.

Если ваш процессор поддерживается и вам требуется обновление, например, если InSpectre говорит, что вы не защищены от Spectre, вы можете загрузить обновление и установить его.

Это обновление не будет установлено автоматическим на вашем ПК, но должно быть загружено вручную через веб-сайт каталога обновлений Microsoft.

Загрузите патч KB4090007 на веб-сайте «Обновление каталога». Доступны как 64-разрядные, так и 32-разрядные версии, поэтому загрузите соответствующую версию для любой версии Windows, которую вы установили: x64 для 64-разрядной Windows или x86 для 32-разрядной Windows.

Запустите загруженный файл установщика, чтобы установить микрокод на свой компьютер.

После этого вам будет предложено перезагрузить компьютер.

После установки обновления снова запустите инструмент InSpectre, и он должен сообщить вам, что ваша система защищена от Spectre.

 

 



2018-03-20T14:30:49
Закрытие уязвимостей

Как отключить опасные функции Windows: Hardentools

Hardentools – это набор простых утилит, предназначенных для отключения ряда «функций», открытых операционными системами (Microsoft Windows, на данный момент) и основными потребительскими приложениями.

Эти функции, обычно нацеленные для корпоративных клиентов, обычно бесполезны для обычных пользователей и, скорее, представляют собой опасность, поскольку злоумышленники часто злоупотребляют ими для выполнения вредоносного кода на компьютере жертвы.

Цель этого инструмента – просто уменьшить поверхность атаки, отключив ряд функционала.

Hardentools предназначен для людей с повышенным риском, которым может потребоваться дополнительный уровень безопасности по цене за некоторые удобства использования.

Он не предназначен для корпоративной среды.

    ПРЕДУПРЕЖДЕНИЕ: Это просто эксперимент, он еще не предназначен для публичного распространения. Кроме того, этот инструмент отключает ряд функций, в том числе Microsoft Office, Adobe Reader и Windows, что может привести к сбоям в работе определенных приложений. Используйте это на свой страх и риск.

Имейте ввиду, что после запуска Hardentools вы не сможете, например, выполнять сложные вычисления с помощью Microsoft Office Excel или использовать терминал командной строки, но это в значительной степени единственные значительные «недостатки» в том, что у вас немного безопаснее Окружающая среда Windows .

Прежде чем принимать решение об использовании, убедитесь, что вы внимательно прочитали этот документ и понимаете, что да, что-то может сломаться.

Если у вас возникли сбои в результате изменений, дайте знать разработчикам.

Как обезопасить Windows

Что этот инструмент не делает

  • Это не предотвращает эксплуатацию программного обеспечения.

  • Он НЕ предотвращает злоупотребление всеми доступными рискованными функциями.

  • Это не антивирус. Он не защищает ваш компьютер. Он не идентифицирует, блокирует и не удаляет вредоносное ПО.

  • Он НЕ предотвращает возврат изменений, которые он реализует. Если в системе запущен вредоносный код и он может их восстановить, предпосылка инструмента будет побеждена, не так ли?

Отключение функций

Общие функции Windows

  • Отключить хост сценария Windows. Windows Script Host позволяет выполнять файлы VBScript и Javascript в операционных системах Windows. Это обычно используется обычными вредоносными программами (такими как ransomware), а также целевыми вредоносными программами.

  • Отключение автозапуска. Отключает AutoRun / AutoPlay для всех устройств. Например, это должно предотвратить автоматическое выполнение аппликаций при подключении USB-накопителя к компьютеру.

  • Отключает выполнение powershell.exe, powershell_ise.exe и cmd.exe через проводник Windows. Вы не сможете использовать терминал, и это должно помешать использованию PowerShell вредоносным кодом, пытающимся заразить систему.

  • Устанавливает контроль учетных записей пользователей (UAC), чтобы всегда запрашивать разрешение (даже при изменении конфигурации) и использовать «безопасный рабочий стол».

  • Отключить расширения файлов, в основном используемые для вредоносных целей. Отключает «.hta», «.js», «.JSE», «.WSH», «.WSF», «.scf», «.scr», «.vbs», «.vbe» и «.pif «Расширения файлов для текущего пользователя (и для системных значений по умолчанию, что имеет значение только для вновь созданных пользователей).

Microsoft Office

  • Отключить макросы. Макросы иногда используются пользователями Microsoft Office для сценариев и автоматизации определенных действий, особенно расчетов с Microsoft Excel. Однако макросы в настоящее время являются угрозой безопасности, и они широко используются как средство компромисса. С Hardentools макросы отключены, а уведомление «Включить все содержимое» также отключено, чтобы пользователи не обманывались.

  • Отключить выполнение OLE-объекта. Приложения Microsoft Office могут внедрять так называемые «OLE-объекты» и выполнять их, а также автоматически (например, с помощью анимации PowerPoint). Исполняемые файлы Windows, такие как шпионские программы, также могут быть встроены и выполнены как объекты. Это также является катастрофой безопасности, которую мы наблюдаем снова и снова, особенно в случае нападений на активистов в репрессированных регионах. Hardentools полностью отключает эту функциональность.

  • Отключение ActiveX. Отключает элементы управления ActiveX для всех приложений Office.

  •  Отключить DDE. Отключает DDE для Word и Excel

Acrobat Reader

  • Отключить JavaScript в документах PDF. Acrobat Reader позволяет выполнять JavaScript-код из PDF-документов. Это широко используется для эксплуатации и злонамеренной деятельности.

  • Отключить выполнение объектов, встроенных в документы PDF. Acrobat Reader также позволяет выполнять внедренные объекты, открывая их. Обычно это поднимает предупреждение о безопасности, но учитывая, что законное использование этого является редким и ограниченным, Hardentools отключает это.

  • Включить защищенный режим (включен по умолчанию в текущих версиях)

  • Включить защищенный просмотр для всех файлов из ненадежных источников

  • Включить расширенную защиту (включен по умолчанию в текущих версиях)

Скачать Hardentools



2018-03-20T13:42:52
Закрытие уязвимостей