Frage Gibt es ein Windows-Äquivalent zur Chroot?


Auf einem * nix-System kann ich a Chroot um zwei Prozesse voneinander und vom Rest des Systems zu isolieren. Gibt es ein ähnliches Sicherheitssystem unter Windows? Oder gibt es eine Möglichkeit, zwei Prozesse daran zu hindern, in den jeweils anderen Dateien zu lesen / zu schreiben?


19
2017-07-18 08:27


Ursprung


Ich bin mir nicht sicher, ob das Sicherheitsetikett hier gerechtfertigt ist. kerneltrap.org/Linux/Abusing_chroot - MDMarra
@The Rook - In dieser Kerneltrap-Diskussion diskutieren Kernel-Entwickler die Tatsache, dass Chroot nie ein Sicherheitsgerät sein sollte / - MDMarra
@ The Rook - Richtig, ich habe nur gesagt, dass du vielleicht die Frage umformulieren willst. Es wurden Erweiterungen für Chroot oder Spins für das Konzept (wie Jails) entwickelt, die auf Sicherheit ausgelegt sind. In Ihrem Beitrag beziehen Sie sich auf chroot als Sicherheitseinrichtung, die es nie sein sollte. - MDMarra
@Nathan Adams stimme ich zu, aber "Sicherheit in Schichten". - Rook
Sieht aus, als hätte ich etwas ziemlich ähnliches gefragt Hier. Haben Sie das jemals auf Windows Server eingerichtet? Die Antwort, die du angenommen hast, erklärt weder, wie das zu tun ist, noch dass es nicht möglich ist ... - RomanSt


Antworten:


Ich bin mir nicht sicher, ob Sie durch das Chrooten etwas an Windows gewinnen werden - haben Sie ein spezifisches Bedürfnis?

Für den Fall, dass das beste Ergebnis bei Google ist http://www.winquota.com/wj/.

Vielleicht Anwendungsvirtualisierung könnte eine Option sein? Microsoft hat dazu Folgendes zu sagen:

In einer physischen Umgebung hängt jede Anwendung für eine Reihe von Diensten vom Betriebssystem ab, einschließlich Speicherzuordnung, Gerätetreibern und vielem mehr. Inkompatibilitäten zwischen einer Anwendung und ihrem Betriebssystem können entweder durch Servervirtualisierung oder Präsentationsvirtualisierung behoben werden. Bei Inkompatibilitäten zwischen zwei Anwendungen, die auf derselben Instanz eines Betriebssystems installiert sind, benötigen Sie Application Virtualization.


4
2017-07-18 13:28



Einer meiner Prozesse war schlecht geschrieben und sehr unsicher, das Management will es nicht beheben, weil es "zu teuer" wäre. Ich erwarte, dass dieser Prozess irgendwann in Besitz genommen wird und ich möchte die Auswirkungen auf mein System begrenzen. Wenn Sie wirklich glauben, dass es nichts zu gewinnen gibt, müssen Sie mehr über Chroots lesen. - Rook
"Ich bin mir nicht sicher, ob Sie unter Windows etwas mit chrooten gewinnen werden" Warum? Ist das wie ein Loch in ein Netz zu stecken? Ich bin mir bewusst, dass Windows eine der am wenigsten sicheren Plattformen in der heutigen Zeit ist, sagst du, dass das Beheben architektonischer Sicherheitsmängel in Fenstern hoffnungslos ist? - Rook
@Rook Da unter Windows Sie Zugriffsrechte haben können, die vom Dateisystemlayout getrennt sind. Dein Brustwarzen im Kommentarbereich von diese Antwort Abgesehen davon ist dies der Ansatz, den die meisten Leute verwenden, um Teile des Dateisystems von einem Prozess zu isolieren, der nicht berechtigt ist, darauf zuzugreifen; Geben Sie dem Benutzer einfach den Prozess, der unter dem Zugriff auf die Teilmenge des Dateisystems und der Dienste gestartet wird, die er benötigt. - Asad Saeeduddin
@Asad Saeeduddin Apropos Dateisysteme, nicht Windows einfach autorun nicht vertrauenswürdige ausführbare Dateien auf einem USB-Stick gefunden? Welches Jahr ist es? - Rook


Sandkasten http://www.sandboxie.com/ 

Nicht genau wie Chroot. Es wird für jedes Programm, das Sie angeben, eine Sandbox eingerichtet. Es kann leicht Prozesse isoliert halten.


6
2017-07-18 16:46





Ich würde so etwas nicht benutzen, du liegst unter Windows-Kumpel.

NTFS verfügt über die feingranularsten Zugriffsrechte, die Sie finden können. Es ist nicht schwer, einen Prozess mit weniger privilegierten Benutzern starten zu lassen und nur diesem Benutzer Zugriff auf die Dateien dieser einzelnen Anwendung zu gewähren.

Es ist nicht notwendig, etwas wie chroot zu verwenden, was kein Sicherheitstool ist, wenn Sie bereits definieren können, welcher Benutzer was in welchem ​​Verzeichnis tun darf.

Es ist nicht anders als dem Apache unter Linux einen eigenen Benutzer zu geben, der nur innerhalb seiner Ordner arbeiten darf.


1
2017-10-19 11:01



Windows ist eine der am wenigsten sicheren Plattformen, die ich jemals hacken durfte. Niemand sollte etwas von Microsoft verwenden, wenn es um Sicherheit geht. Eine Chroot ist das "Minimum" -Sicherheitssystem, mit dem wir versuchen können, diesen Witz einer Plattform zu verhindern. - Rook
Dies ist die richtige Antwort, warum Chroot nicht benötigt wird - Jim B
@ Jim B Ich esse Domain-Administratoren zum Frühstück und wasche sie mit goldenen Tickets. - Rook
@rook, dann haben sie es versäumt, den BPSAD- und PTH-Whitepapers zu folgen, um Angriffe mit goldenen Tickets zu verhindern. Soweit ich weiß, funktioniert das nur noch am * nix-basierten Bordstein. - Jim B
@Jim B Kompartimentierung kann fremd auf einer Plattform klingen, die dem Browser, der Datenbank und dem Webserver routinemäßig Administratorrechte gewährt. Sandboxes sind jedoch unabhängig von der Plattform eine wichtige Defense-in-Depth-Maßnahme. - Rook


Es ist eine chroot.exe enthalten Gow (Gnu unter Windows)


1
2018-04-02 11:36