1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Ransomware: Die verschlüsselte Stadt…

"noexec"

  1. Thema

Neues Thema Ansicht wechseln


  1. "noexec"

    Autor: Anonymer Nutzer 04.03.16 - 19:09

    Ich weiss zwar das man bei Windows die Berechtigung "Ausführen" entziehen kann, aber ist es möglich wie bei Linux / Unix das Benutzerverzeichnis (/home/$username) bzw Partition mit entzogenem "Ausführ-Recht" einzubinden?

    Dann würde sowas ja gar nicht passieren, weil selbst wenn Malware auf die Kiste kommt, diese nicht ausgeführt werden kann solang sie im Benutzerverzeichnis ist und der Benutzer nicht die Möglichkeit hat (da eingeschränkte Rechte) die Malware wo anders hin zu schieben?

  2. Re: "noexec"

    Autor: Wallbreaker 04.03.16 - 22:34

    PyCoder schrieb:
    --------------------------------------------------------------------------------
    > Ich weiss zwar das man bei Windows die Berechtigung "Ausführen" entziehen
    > kann, aber ist es möglich wie bei Linux / Unix das Benutzerverzeichnis
    > (/home/$username) bzw Partition mit entzogenem "Ausführ-Recht"
    > einzubinden?
    >
    > Dann würde sowas ja gar nicht passieren, weil selbst wenn Malware auf die
    > Kiste kommt, diese nicht ausgeführt werden kann solang sie im
    > Benutzerverzeichnis ist und der Benutzer nicht die Möglichkeit hat (da
    > eingeschränkte Rechte) die Malware wo anders hin zu schieben?

    Klar wäre so etwas toll oder die Option ein ganzes Volume als read-only einzubinden.
    Nichts davon geht unter Windows, zumal das System selbst nicht aufgesplittet werden kann, womit auch die Möglichkeit entfällt Irgendetwas separiert zu schützen.
    Und da gewisse Bereiche immer beschreibbar sein müssen, aber Windows nur immer als Ganzes existiert, kann man so etwas abhaken.

  3. Re: "noexec"

    Autor: DrWatson 04.03.16 - 23:03

    Wallbreaker schrieb:
    --------------------------------------------------------------------------------
    > PyCoder schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ich weiss zwar das man bei Windows die Berechtigung "Ausführen"
    > entziehen
    > > kann, aber ist es möglich wie bei Linux / Unix das Benutzerverzeichnis
    > > (/home/$username) bzw Partition mit entzogenem "Ausführ-Recht"
    > > einzubinden?
    > >
    > > Dann würde sowas ja gar nicht passieren, weil selbst wenn Malware auf
    > die
    > > Kiste kommt, diese nicht ausgeführt werden kann solang sie im
    > > Benutzerverzeichnis ist und der Benutzer nicht die Möglichkeit hat (da
    > > eingeschränkte Rechte) die Malware wo anders hin zu schieben?
    >
    > Klar wäre so etwas toll oder die Option ein ganzes Volume als read-only
    > einzubinden.
    > Nichts davon geht unter Windows, zumal das System selbst nicht
    > aufgesplittet werden kann, womit auch die Möglichkeit entfällt Irgendetwas
    > separiert zu schützen.
    > Und da gewisse Bereiche immer beschreibbar sein müssen, aber Windows nur
    > immer als Ganzes existiert, kann man so etwas abhaken.

    Sicher? [technet.microsoft.com]

  4. Re: "noexec"

    Autor: Der Held vom Erdbeerfeld 05.03.16 - 00:32

    PyCoder schrieb:
    --------------------------------------------------------------------------------
    > Ich weiss zwar das man bei Windows die Berechtigung
    > "Ausführen" entziehen kann, aber ist es möglich wie
    > bei Linux / Unix das Benutzerverzeichnis
    > (/home/$username) bzw Partition mit entzogenem
    > "Ausführ-Recht" einzubinden?

    Da gibt es sogar mehrere Möglichkeiten, aber das beabsichtigte Ziel - und mehr - zu erreichen. In diesem Fall wäre es besonders einfach, weil es um Ämter-/Behördenrechner geht, auf denen Benutzer *nirgends* Ausführungsrechte für irgendeine Software benötigen, die nicht bereits vorinstalliert wäre. Etliche Arbeitsplätze bräuchten vermutlich nicht einmal die Möglichkeit, auf externe Datenquellen zuzugreifen.

    Am besten alles auf Client-Basis, geprüft harmlose Inhalte werden zentral abgelegt und die Terminals werden nach Dienstschluss komplett zurückgesetzt. Zugriff auf die bei Windows mitgelieferten Spielchen gibt's auch nicht, die Leute sollen schließlich arbeiten. ;-)

  5. Re: "noexec"

    Autor: Anonymer Nutzer 05.03.16 - 02:55

    Der Held vom Erdbeerfeld schrieb:
    --------------------------------------------------------------------------------
    > PyCoder schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ich weiss zwar das man bei Windows die Berechtigung
    > > "Ausführen" entziehen kann, aber ist es möglich wie
    > > bei Linux / Unix das Benutzerverzeichnis
    > > (/home/$username) bzw Partition mit entzogenem
    > > "Ausführ-Recht" einzubinden?
    >
    > Da gibt es sogar mehrere Möglichkeiten, aber das beabsichtigte Ziel - und
    > mehr - zu erreichen. In diesem Fall wäre es besonders einfach, weil es um
    > Ämter-/Behördenrechner geht, auf denen Benutzer *nirgends*
    > Ausführungsrechte für irgendeine Software benötigen, die nicht bereits
    > vorinstalliert wäre. Etliche Arbeitsplätze bräuchten vermutlich nicht
    > einmal die Möglichkeit, auf externe Datenquellen zuzugreifen.
    >
    > Am besten alles auf Client-Basis, geprüft harmlose Inhalte werden zentral
    > abgelegt und die Terminals werden nach Dienstschluss komplett
    > zurückgesetzt. Zugriff auf die bei Windows mitgelieferten Spielchen gibt's
    > auch nicht, die Leute sollen schließlich arbeiten. ;-)

    Dann frag ich mich wieso das keine Firma/Behörde tut?!

  6. Re: "noexec"

    Autor: hum4n0id3 05.03.16 - 08:36

    Bequemlichkeiten, Unwissenheit, Sparen der Kosten etc. ...

    Ist unter Linux das gleiche. Sobald die Systeme restriktiver werden, wächst die Unzufriedenheit der Benutzer. Sicherheitskonzept wird gekippt und Probleme sind vorprogrammiert.

    Hier schützt Linux tatsächlich in der Form, das die meiste Software für Windows angeboten wird und unter Linux nicht funktioniert.

    Theorie ist das eine, Praxis eine andere..

  7. Re: "noexec"

    Autor: UliWurst 05.03.16 - 08:52

    PyCoder schrieb:
    > Dann frag ich mich wieso das keine Firma/Behörde tut?!

    na dann kann man ja gar keine lustigen Programme mehr aus dem Internet runterladen!? wie soll man denn da den ganzen Arbeitstag rumbringen? Womöglich kann ich dann gar nicht mehr iTunes installieren um mein Handy bei der Arbeit zu verwalten!

  8. Re: "noexec"

    Autor: derats 05.03.16 - 13:59

    hum4n0id3 schrieb:
    --------------------------------------------------------------------------------
    > Hier schützt Linux tatsächlich in der Form, das die meiste Software für
    > Windows angeboten wird und unter Linux nicht funktioniert.

    Malware ist halt oft proprietär, und wie so viele proprietäre Software nur für Windows, oder OSX, verfügbar :-)

  9. Re: "noexec"

    Autor: chefin 07.03.16 - 08:44

    PyCoder schrieb:
    --------------------------------------------------------------------------------
    >
    > Dann frag ich mich wieso das keine Firma/Behörde tut?!

    Weil das mehr kostet als die Schadensbehebung. Du kannst täglich 500Euro ausgeben oder einmalig. Ich gebs einmalig aus.

    Solche Restriktionen funktionieren am Fliessband. Dort sind sie auch existent. Aber in einer Officeumgebung muss man heute gewisse Flexibilität haben. Man sieht das an denen die ausschliesslich SAP oder ähnliches Verwenden. Alles was nicht programmiert wurde geht nicht. Du willst dein Handy auf Garantie tauschen? Das wurde in einem bestimmten Schema eingebunden und ohne das du das Handy zuerst zurück schickst und es ins System eingebucht wird, geht kein neues raus. Gefällt dir nicht, andere können das doch auch...die haben kein SAP sondern sind flexibel.

    Solche scharfen Restriktionen beisen sich eben mit dem Komfort. Vieleicht könnte man alle Eventualitäten irgendwann dazu programmieren, aber jede Zeile Code muss im Falle von Updates geprüft werden und da gilt: weniger ist besser.

    Und Mittelständische Unternehmen können die Programmierarbeit die nötig ist garnicht stemmen. Am Ende würgst du die ab und wohin es uns bringt wenn alles in Konzernen endet, sieht man ja am Smartphone ganz gut.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Hays AG, Bonn
  2. AUSY Technologies Germany AG, verschiedene Standorte
  3. noris network AG, Nürnberg, München, Aschheim, Berlin
  4. noris network AG, München, Aschheim (bei München), Nürnberg, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (aktuell u. a. Tropico 5: Complete Collection für 9,99€, 10 Second Ninja X für 0,99€, Devil...
  2. (u. a. Assetto Corsa Competizione für 18,99€, Euro Truck Simulator 2 - Gold Edition für 7...
  3. (u. a. Oculus Go 64GB für 178,45€, PS4 1TB Ghost of Tsushima Bundle mit 2. Dualshock 4 für 328...


Haben wir etwas übersehen?

E-Mail an news@golem.de