Chrome 및 Internet Explorer와 달리 Firefox는 낮은 필수 수준(보호 모드, 낮은 무결성이라고도 함)에서 실행되지 않는 것으로 나타났습니다.
구글 크롬:
마이크로소프트 인터넷 익스플로러:
모질라 파이어 폭스:
수행원마이크로소프트의 지시, 다음을 사용하여 Firefox를 저무결성 모드로 수동으로 강제할 수 있습니다.
icacls firefox.exe /setintegritylevel Low
그러나 Firefox는 충분한 권한으로 실행되지 않는 경우 잘 반응하지 않습니다.
나는 내 브라우저가 내가 가지고 있는 것보다 더 적은 권한으로 실행되고 있다는 것을 아는 보안을 좋아합니다. Firefox를 낮은 권한 모드로 실행할 수 있는 방법이 있나요? Mozilla는 언젠가 "보호 모드"를 추가할 계획을 갖고 있나요? 누군가가 낮은 권한 모드를 처리하지 않는 Firefox에 대한 해결 방법을 찾았습니까?
업데이트
에서2007년 7월 Mike Schroepfer와의 인터뷰, Mozilla 재단 엔지니어링 부사장:
...우리는 또한 심층적인 방어를 믿으며 향후 릴리스의 보안을 향상시키기 위해 다른 많은 기술과 함께 보호 모드를 조사하고 있습니다.
3년이 지나면 그것이 우선순위가 아닌 것 같습니다.
업데이트
- 2013년 9월 28일
- 5 년후
- 파이어폭스 24.0
- 여전히 보호 모드를 지원하지 않습니다
답변1
불행히도 현재 보호 모드에서 Firefox를 실행할 수 있는 방법은 없습니다.
64비트 Windows를 실행하지 않는 경우 다음을 사용하여 비슷한 것을 얻을 수 있습니다.샌드박시.
답변2
다음 명령을 사용하여 낮은 무결성 모드에서 Firefox를 실행할 수 있습니다:
icacls "C:\Program Files\Mozilla Firefox\Firefox.exe" /setintegritylevel low
icacls "C:\Program Files\Mozilla Firefox" /setintegritylevel(oi)(ci) low /t
icacls "C:\Users\*username*\AppData\Local\Temp" /setintegritylevel(oi)(ci) low /t
icacls "C:\Users\*username*\AppData\Local\Mozilla" /setintegritylevel(oi)(ci) low /t
icacls "C:\Users\*username*\AppData\Roaming\Mozilla" /setintegritylevel(oi)(ci) low /t
icacls "C:\Users\*username*\Downloads" /setintegritylevel(oi)(ci) low /t
시스템의 각 사용자에 대해 두 번째 배치를 실행하여 사용자 정의해야 합니다.사용자 이름그렇지 않으면 "Firefox가 이미 실행 중입니다"라는 메시지 상자가 표시됩니다.
그러나 이 설정으로 인해 다음과 같은 문제가 발생합니다.
- 프로필 관리자가 올바르게 작동하지 않을 수 있습니다.
- Firefox를 시작할 때마다 보안 경고가 표시됩니다.
- 다운로드는 낮은 무결성 디렉터리에만 배치될 수 있습니다(따라서 위에서 다운로드는 낮은 무결성으로 표시됨).
- Firefox에서 직접 다운로드를 열면 일반적으로 실패합니다.
답변3
Ian, 당신은 보호 모드가 어떻게 작동하는지 이해하지 못합니다. Simon Capewell의 솔루션은 Firefox의 보안을 강화하는 유효한 방법입니다. 예를 들어 그의 솔루션이 낮은 무결성 수준의 보호 전체를 비활성화한다고 주장하는 것은 완전히 거짓입니다. 보호 모드 IE에서도 다운로드가 다운로드 폴더에 기록되므로 Chrome과 IE는 동일한 방법을 사용합니다. 그렇지 않으면 아무것도 다운로드할 수 없습니다. IE는 일종의 래퍼를 사용하여 Chrome처럼 추가 보안을 위해 신뢰할 수 없는 데이터를 처리하는 프로세스로부터 기본 프로세스를 격리할 수 있지만 위에서 설명한 방법과 마찬가지로 문제가 되지 않으며 Firefox의 모든 구성 요소는 시스템 변조로부터 격리됩니다. 반면 Chrome에서는 기본 프로세스가 중간 무결성에서 실행되고 렌더링 프로세스가 낮은 무결성에서 실행됩니다.
이런 방식으로 Firefox를 구성하면 Windows 및 프로그램 파일이 수정되지 않도록 보호하여 Firefox를 컴퓨터의 나머지 부분과 격리할 수 있습니다. 예를 들어, Firefox는 시작 폴더에 맬웨어를 삭제하거나 시작 시 다운로드 폴더(firefox가 쓸 수 있는 폴더)에 맬웨어를 자동으로 시작하는 레지스트리 항목을 추가하는 것을 방지합니다. 또한, 낮은 무결성 수준으로 Firefox를 실행하면 해당 프로세스의 보안 컨텍스트에서 코드를 실행하기 위해 원격 프로세스에 스레드를 생성하는 등의 방법으로 Firefox에 적용되는 ACL을 우회하려는 시도로부터 보호됩니다. Firefox는 Chrome 및 IE와 마찬가지로 파일을 임시 폴더 및 잠재적으로 실행 파일에 넣을 수 있습니다. 따라서 Firefox가 쓸 수 있는 디렉터리에 실행 파일이 삭제되는 것을 방지하려면 무결성 수준을 SRP 또는 AppLocker와 결합해야 합니다. 이 요구 사항은 IE 및 Chrome에도 적용됩니다.
일단 완료되면 Firefox는 드라이브 바이 다운로드에 대해 강화되고 IE보다 더 많이 보호됩니다. 보호 모드 IE는 SRP 또는 Applocker와 결합되지 않으면 충분한 보호를 제공하지 않기 때문입니다. 보호 모드 Chrome 및 보호 모드 IE에서 허용되는 것과 다른 방식으로 Firefox가 자체 디렉터리 및 임시 폴더에 쓰기를 허용하는 것은 결코 아닙니다.
이 솔루션의 유일한 함정은 나중에 실행할 다운로드 폴더에 실행 파일을 남겨 두는 나쁜 습관이 있다는 것입니다. 이러한 실행 파일을 다운로드한 후 Firefox가 악용될 경우 잠재적으로 변조될 수 있습니다. 따라서 파일을 다운로드한 후 해당 파일을 다운로드 폴더 밖으로 이동하세요. 또한 허용된 임시 폴더의 임시 파일을 수정하기 위해 Firefox의 취약점이 악용될 위험이 매우 적으며, 그런 다음 해당 임시 파일을 사용할 때 더 높은 무결성 수준 프로세스의 취약점을 악용합니다. 그러나 이는 결코 발생하지 않으며 단지 이론적인 취약점일 뿐입니다.
추가 자료/출처:
Windows 7 SRP(AppLocker가 없어도 Home Premium에서 작동):
무결성 수준:
http://www.symantec.com/connect/articles/introduction-windows-integrity-control
보호 모드 IE:
http://msdn.microsoft.com/en-us/library/bb250462(VS.85).aspx
"드라이브 바이 다운로드"에 대한 기본 정보:
Windows 샌드박싱의 Chrome 세부정보(무결성 수준 그 이상):
답변4
낮은 무결성 수준 프로세스에 의해 실행되는 프로세스는 낮은 무결성 수준 자체를 상속하므로 SRP는 필요하지 않습니다. 그러나 이는 또 다른 보호 계층이므로 여전히 좋은 생각입니다!