Windows - Binari revocati

0

Trovo difficile credere che la maggior parte dei file di sistema di Windows non siano firmati. Non so se la mia incredulità derivi dall'ingenuità, o dal fatto che Windows sia usato in ambienti sicuri in tutto il mondo e quindi ci si aspetterebbe un certo livello di attenzione. (La firma dei file mostra attenzione? Probabilmente no.)

Ma immagino che questa mancanza di firma sia la ragione per cui lo stato di revoca dei binari firmati di runtime non è controllato. Quindi, si potrebbe avere un binario firmato che è stato specificamente revocato per qualsiasi motivo, e Windows non si cura e lo lascerà correre. Ho cercato di migliorare questa funzionalità utilizzando AppLocker.

Dal sito Web, stato Microsoft ( link ):

However, if a certificate was allowed and then revoked, there is a 24-hour period before the revocation takes effect.

Se questa affermazione fa riferimento a "consentire" e quindi "disabilitare" un'app utilizzando le regole del certificato AppLocker o lo stato di revoca effettivo del file binario di AppLocker, non sono sicuro, ma certamente non riesco a farlo funzionare.

Questo commento mi porta alla domanda: non dovrebbero essere firmati tutti i file del sistema vitale e controllati i loro CRL prima dell'esecuzione (insieme ai file binari delle app aziendali specificati)? Esistono prodotti software che applicheranno questo tipo di politiche?

    
posta Federer 22.07.2014 - 10:02
fonte

1 risposta

2

Come si convalida la firma? Se è possibile compromettere i file di sistema, è probabile che si possano compromettere anche le chiavi pubbliche di root utilizzate per la convalida e che i file sembrerebbero ancora validi. I file firmati aiutano solo se il sistema è al sicuro, se i file di sistema stessi sono corrotti, questa non è più una vera affermazione e tutte le pretese di sicurezza escono dalla finestra.

Ora, se stai parlando di un avvio sicuro e affidabile e richiede un kernel OS e un bootloader firmati a livello EFI, questo è supportato quando usi BitLocker, ma la maggior parte dei sistemi non si preoccupa di supportarlo completamente, quindi può ' per impostazione predefinita, la maggior parte dell'hardware e / o dei consumatori non può o non vuole utilizzarla.

    
risposta data 22.07.2014 - 15:54
fonte

Leggi altre domande sui tag