TechNet Blog CZ/SK : Computer security

Bezpečnostní perličky – říjen 2009

KFL — Tue, 24 Nov 2009 06:55:00 GMT

Obvykle tento příspěvek najdete v Technet Flash zpravodaji. Bohužel do posledního vydání, které bylo rozesíláno trochu dříve, nestihly perličky dorazit. A protože nám přijde škoda je jen tak vypustit, publikujeme je přímo na blogu.

- KFL

----

: připravil Tomáš Přibyl, konzultant v oblasti ICT bezpečnosti :

Co ukázalo deset tisíc „profláknutých“ hesel? Když se na internetu nedopatřením objevilo deset tisíc hesel ke službám Hotmail, MSN a Live.com, zajásali nejen hackeři, ale také bezpečnostní specialisté. Kde jinde by se dostali k takto rozsáhlé databázi reálně používaných hesel? A tak ji hned statisticky zpracovali. Nejčastějším heslem bylo „123456“ (ve vzorku deseti tisíc kousků se vyskytlo hned 64krát). Dále: 42 procent hesel používalo jen malá písmena, jen šest procent kombinovalo písmena a číslice. Přibližně pětina hesel měla jen šest a méně znaků, takže byla nedostatečně dlouhá. Mezi dvaceti nejpoužívanějšími hesly bylo mnoho křestních jmen, což také asi nepatří mezi nejbezpečnější chování. Na druhé straně: mezi hesly se našly i skutečné kuriozity a nejdelší mělo třicet znaků. Znělo „lafaroleratropezoooooooooooooo“.
Outsourcing technických služeb má negativní dopady na bezpečnost. Je to nekonečný argumentační boj „pro“ a „proti“: převažují u outsourcingu pozitiva či negativa? A jak je to z pohledu informační bezpečnosti? Pochopitelně, že univerzální a jednou provždy platné rozhřešení dát nelze a je zapotřebí tuto otázku řešit případ od případu. Každopádně pro ustanovení obecného trendu může být užitečný i průzkum vypracovaný na zakázku společností VanDyke Software, do něhož se zapojilo 350 síťových administrátorů a IT manažerů. Plných 69 procent z nich je toho názoru, že outsourcování technických služeb a činností má negativní dopad na bezpečnost. Jen devět procent se domnívá, že dopad je pozitivní. A podle 22 procent nedochází k žádné změně. Ovšem pozor: toto jsou jen dojmy. Pokud se podíváme na reálná čísla těch, kteří mají s outsourcingem praktické zkušenosti, pak o negativním dopadu hovoří „jen“ padesát procent („jen“ je ve srovnání s dojmem). Pozitivní dopad zaznamenalo 24 procent a zbývajících 26 procent nevidělo posun ani k lepšímu, ani k horšímu.
Nepříliš účinné kladivo na spammera. Jedna z historicky největších pokut dopadla na rozesílatele nevyžádané elektronické pošty. Sanford „Spamford“ Wallace byl odsouzený k zaplacení náhrady ve výši 711,2 mil. dolarů firmě Facebook, kterou (a jejíž klienty) svým jednáním opakovaně a dlouhodobě poškozoval. „Nabourával“ se do účtů klientů Facebooku, aby pak odcizené přihlašovací údaje používal k rozesílání odkazů tisícům uživatelům na „úžasné stránky“ (kde pak pochopitelně nabízel své produkty). Podotýkáme ovšem, že Wallace nemá příliš vypěstovaný respekt k právu: už dříve byl za podobné prohřešky odsouzený k pokutě 234 mil. dolarů ve prospěch serveru MySpace. A to hovoříme jen o dvou největších rozsudcích – menších (v řádu miliónů až desítek miliónů dolarů) má Wallace už několik tuctů. Právníci postižených firem se nechali slyšet, že jejich cílem nyní není ani tak získat vysouzené peníze (beztak nikdo nepočítá, že je kdy uvidí), ale dostat Wallaceho za mříže.
Používáme málo hesel. Jedním z typů útoků proti heslům je jejich přenesení: uživatel je přiměn k tomu, aby sdělil či vytvořil heslo (třeba pod záminkou přístupu k nějakým www stránkám). Útočník přitom vychází z předpokladu, že lidé často používají v různých aplikacích právě a jen jedno heslo. Nový průzkum společnosti ElcomSoft přitom ukazuje, že tento předpoklad je celkem správný: 77 procent respondentů připustilo, že používá jedno heslo pro různé aplikace, dokumenty či weby. Neznamená to ale, že tyto téměř čtyři pětiny uživatelů používají jen jedno heslo: padesát procent respondentů používá více než deset různých hesel, 29 procent používá čtyři až deset hesel a jedenáct procent jen jedno až tři hesla. Minimálně poslední číslo ale na pováženou je, protože použití tří hesel absolutně negarantuje jakoukoliv úroveň bezpečnosti.
Méně zranitelností, více problémů. IBM vydala zprávu o stavu informační bezpečnosti v první polovině letošního roku – a není to věru radostné čtení. Zpráva nazvaná „X-Force 2009 Mid-Year Trend and Risk Report“ mimo jiné upozorňuje, že meziroční nárůst škodlivých webových stránek představuje hrozivých 508 procent! Přitom problém už dávno není limitovaný jen na škodlivé domény nebo na nedůvěryhodné stránky: čím dál více škodlivého obsahu se agresorům daří vkládat do oblíbených webů, blogů, diskusních fór či osobních stránek. Schopnost získat k nim přístup a manipulovat s jejich obsahem je přitom důsledkem zneužití zranitelností. Zpráva dále upozorňuje, že narůstá počet útoků pomocí zranitelných PDF dokumentů: jejich počet je za první polovinu letošního roku vyšší, než za celý rok loňský! Přitom je zajímavé, že absolutní počet zranitelností má už od roku 2007 klesající tendenci: meziroční pokles byl v první polovině letošního roku osm procent. Ovšem pozor: 49 procent objevených zranitelností zůstává dlouhodobě nezáplatováno ze strany výrobců!

Forefront Threat Management Gateway dokončen

blogCZSK — Wed, 18 Nov 2009 07:00:00 GMT

I když zprávy o tom, že kód Forefront TMG byl definitivně dokončen se na různých serverech objevily již v průběhu minulého týdne, tak jsem záměrně vyčkával až do okamžiku, kdy bude možné si jej i fyzicky stáhnout z internetu. Ten moment právě nastal a níže uvádím patřičné odkazy.

Možná jste ale zmateni a netušíte o jaký produkt, že se jedná… tak to nejste jediní :). Microsoft se rozhodl že vše, co má něco společného s bezpečností se odteď bude jmenovat Forefront. V tomto případě se jedná o nástupce velmi populárního a rozšířeného Internet Security & Acceleration Server (ISA), který jistě mnoho z vás zná a používá. Jedná se o jeden z nejbezpečnějších produktů na trhu, sami se můžete podívat na to, jak se mu v několika posledních letech dařilo (ISA Server 2004, ISA Server 2006).

Na obrázku najdete seznam všech Forefront produktů a jejich předchozí, nebo kódová (beta) jména.

Pokud chcete rychlý přehled o tom, co se změnilo od ISA 2006, přikládám další zajímavý obrázek:

Osobně bych asi zdůraznil hlavně plnou podporu x64bit platformy, Windows Server 2008/R2 jako podporovaného operačního systému, novinky v NAT (ENAT), možnost kontroly SSL spojení (nejen příchozího, ale také odchozího) a určitě největší změnou je plná kontrola obsahu, který skrze Forefront TMG prochází – antimalware na HTTP a SMTP vrstvě + velmi zajímavý Network Inspection System (NIS). Pokud chcete vědět o Forefront TMG více, můžete si přečíst článek (Forefront Threat Management Gateway), který jsem před časem napsal. Případně si můžete stáhnou i prezentaci, kde je vše podstatné shrnuto.

Odkazy:

Forefront TMG 2010 článek u Ondřeje Výška

- Martin Pavlis

Forefront Protection 2010 for Exchange Server je RTM!

KFL — Wed, 14 Oct 2009 09:33:00 GMT

Zdá se, že ve spojení s novým Exchange serverem 2010 bují celá řada dalších aktivit a produktů. A samozřejmě dobrou zprávou je, že před pár dny šel do výroby FPE. Jedná se o nástupce předchozího Forefront Security for Exchange Server, tudíž má nové jméno :), a k tomu navíc několik nových a zajímavých funkcí:

prémiovou ochranu proti spamu s 99 % úspěšností
novou správcovskou konzolu s monitoringem zdraví a statistikami
podpora Exchange Serveru 2010, Hyper-V a Powershellu
integrovanou správu a nasazení v hostovaném či kombinovaném prostředí
a spoustu dalšího..

K dispozici bude produkt začátkem listopadu. Máte se na co těšit :).

A když už jsme u toho, víte že je k dispozici Forefront Threat Management Gateway 2010 RC?

- KFL

BitLocker To Go ve Windows 7

blogCZSK — Tue, 01 Sep 2009 13:34:00 GMT

Když jsem se dozvěděl poprvé o téhle super novince Windows 7, neváhal jsem ani chvilku a od testovací verze RC1 ji nasadil na všechna svoje přenosná media (USB disky, atd.). Hlavním argumentem byla bezpečnost a pocit, že nikdo nemůže zneužít má data v případě ztráty, atd.

Jedním z plusů rozhodně bylo to, že kromě W7 a WS2008R2 – kde je podpora již nativní - jsou i starší systémy Windows XP a Windows Vista schopny takový zašifrovaný disk přečíst.

BitLocker To Go Reader

BitLocker protection on removable drives is known as BitLocker To Go™. When a BitLocker-protected removable drive is unlocked on a computer running Windows® 7, the drive is automatically recognized and the user is either prompted for credentials to unlock the drive or the drive is unlocked automatically if configured to do so. Computers running Windows® XP or Windows Vista® do not automatically recognize that the removable drive is BitLocker protected. To allow users of these operating systems to read content from BitLocker-protected removable drives by default if the drive is formatted by using the FAT file system, an additional FAT32 drive is created that is hidden on computers running Windows 7 but is visible on computers running Windows XP or Windows Vista. This hidden drive is called the discovery drive. The discovery drive contains the BitLocker To Go Reader. With BitLocker To Go Reader, users can unlock the BitLocker-protected drives by using a password or a recovery password (also known as recovery key). As an alternative to having BitLocker install the BitLocker To Go Reader on the removable drive, the reader can be downloaded from the Microsoft Download Center (http://go.microsoft.com/fwlink/?LinkId=151425).

Bohužel jsem po čase přišel na to, že se zřejmě někde stala nějaká chyba, protože ani Windows XP a ani Windows Vista nechtěly žádný z mých disků korektně přečíst :(. Vrátil jsem se k dokumentaci a všiml si věty, kterou jsem prve zcela přehlédl:

The BitLocker To Go Reader is not compatible with the NTFS file system. By default, many external drives are formatted in NTFS by the operating system. If you are planning to use the BitLocker To Go Reader, format the external drives in your organization by using the ExFAT file system.

Tím pádem bylo hned jasno – můj Western Digital byl spolehlivě zformátován již leta pomocí NTFS a to je problém, NTFS a BitLocker To Go jsou podporovány pouze ve Windows 7. A tak jsem se řídil doporučením, přeformátoval všechny disky pomocí exFAT, opět je zašifroval pomocí BitLocker To Go a hurá, vše funguje k mé plné spokojenosti.

No řekněte – věděli jste to? :)

Odkazy:

- Martin Pavlis

IE8 rules!

Radim Petratur — Mon, 24 Aug 2009 07:51:00 GMT

Minulý týden byly uveřejněny zajímavé výsledky testů "propustnosti" Internetových prohlížečů a ... zde jsou podrobné výsledky.

Jen pro zajímavost uvádíme jeden z výsledků a to průměrnou dobu reakce na blokaci napadených stránek:

zdroj: NSS Labs

Radim

Technet Flash - omluva a správné odkazy na články

KFL — Fri, 12 Jun 2009 10:26:00 GMT

V aktuálním vydání Technet Flashe se bohužel objevily nefunkční odkazy na dva články, konkrétně od Jiřího Hýzlera na téma bezpečnostních novinek a Dariny Vodrážkové ohledně licencování. S velkou omluvou všem našim odběratelům publikujeme správné a fungující tady na blogu. Rád bych řekl, že podobné chyby se stávají nejvíce jednou za 15 let :).

- KFL

Tematický týden: Public Key Infrastructure (PKI), díl čtvrtý

KFL — Thu, 04 Jun 2009 09:30:00 GMT

V závěrečné čtvrté části seriálu o PKI se podíváme na novinky této technologie v rámci Windows Serveru 2008 R2.

PKI se samozřejmě s každou novou verzí operačního systému Windows rovněž vyvíjí a objevují se nové funkce vylepšující bezpečnost, zjednodušující nasazení a správu apod. V posledním díle seriálu se podíváme na novinky, na které se můžeme těšit v blížícím se Windows Serveru 2008 R2..

Pokračování článku ...

- KFL

Tematický týden: Public Key Infrastructure (PKI), díl třetí

KFL — Wed, 03 Jun 2009 09:30:00 GMT

A při středě pokračujeme s načatým tematickým týdnem a budeme se zabývat kontrolou zneplatněných certifikátů..

Platnost certifikátů končí buď přirozeně uplynutím doby, na kterou byly vystaveny, nebo jejich zneplatněním. Důvody pro zneplatnění mohou být různé: kompromitace privátního klíče, odchod zaměstnance z firmy apod...

Pokračování článku ...

- KFL

Tematický týden: Public Key Infrastructure (PKI), díl druhý

KFL — Tue, 02 Jun 2009 09:15:00 GMT

A zvesela pokračujeme druhým dílem seriálu o PKI. Tentokrát půjde o to, jak správně postupovat při nasazení dvouúrovňového PKI.

V minulém díle jsme popsali základní parametry PKI, které by měly být součástí každého návrhu. Pro většinu organizací je optimální architektura s dvěma úrovněmi CA: jedna standalone offline kořenová CA a pod ní libovolné množství podřízených online enterprise vystavujících CA.

Pokračování článku ...

- KFL

Tematický týden: Public Key Infrastructure (PKI), díl první

KFL — Mon, 01 Jun 2009 11:30:00 GMT

Máme tu další tematický týden, tentokrát na téma bezpečnosti a především pak PKI. Obecně máme za to, že kolem bezpečnosti se toho příliš mnoho neděje a nepovídá, přičemž tahle oblast patří k nižším položkám na stupnici zájmu IT odborníků. A to je přece škoda, ne? Vždyť co je důležitějšího, než je bezpečnost vlastního prostředí :). Miroslav Knotek, MVP pro Security, tedy nelenil a sepsal seriál o jedné z komponent bezpečnosti. O PKI.

Základním stavebním prvkem každého PKI je certifikační autorita, která má za úkol vystavovat a případně také zneplatňovat digitální certifikáty. Při návrhu celého řešení si musíme umět odpovědět na celou řadu důležitých otázek..

Pokračování článku ...

Mimochodem - zdalipak víte, že Mirek Knotek natočil i čtyři videa na téma PKI?
Podívejte se na http://IT.mstv.cz!

- KFL

Windows 7: Novinky z pohledu bezpečnosti

KFL — Wed, 13 May 2009 12:29:00 GMT

Na následujících řádcích si popíšeme novinky v připravovaných Windows 7, a to zaměřeno na novinky v oblasti bezpečnosti. Předesílám, že všechny novinky jsou z pohledu sestavení 7000, tedy Windows 7 Beta, která je v době psaní článku jediným oficiálním veřejným sestavením.

Novinek je v případě Windows 7 více, něktreré čistě dílčí, některé zcela nové. O většině z nich jsme již psali v separátních článcích, ale pojďme si je shrnout ještě jednou “na hromadu”.

Action Center

Byť se to tak nemusí na první pohled zdát, Action Center ve Windows 7 je novinkou i z pohledu bezpečnosti. Historicky se jedná o náhradu za tzv. Security Center, které nás provázelo ve Windows XP SP2 či Windows Vista. V jednom okně jsou k dispozici informace, jestli Vaše nastavení odpovídá standardům. Toto je z pohledu uživatele velice důležité a ve výsledku přispívá k větší obezřetnosti. Action Center mimo jiné monitoruje stavy:¨

Windows Update
Nastavení internetové bezpečnosti
Síťový firewall
Ochrana proti Spyware
Řízení uživatelských účtů
Antivirová ochrana
Network Access Protection

Z tohoto výčtu je vidět, že oproti Centru Zabezpečení jak jej známe z předešlých verzí Windows se rozšířil počet oblastí, které nově Action Center sleduje. Pokud je něco v nepořádku, uživatel dostává zprávu z oznamovací oblasti s možnostíé chybu okamžitě napravit.

Popřípadě otevřít Action Center a nesprávné nastavení opravit odsud.

Řízení uživatelských účtů (UAC)

Jedna z nejvíce diskutovaných funkcí Windows Vista – Řízení uživatelských účtů doznala výrazných změn ve flexibilitě. Co UAC vlastně dělá? Tuto funkci přinesly, jak již bylo zmíněno, Windows Vista a v důsledku zajišťuje, že ani uživatel s přiřazenými právy administrátora nepracuje s nativně povýšenými právy nýbrž stále s právy standardního uživatele. Až v momentě, kdy práce uživatele vyžaduje změnu z pohledu operačního systému (instalace/odinstalace software, změna nastavení sítě, start systémových komponent atd.) se objeví dialogové okno s možnosti pro konkrétní aplikaci/okno povýšit práva na úroveň administrátora. Tím se Microsoft snaží omezit využívání nejvyšších oprávnění na nezbytnou činnost. Ruku v ruce s tím je zapnuta virtualizace registrů a systémových složek. To zajišťuje, aby programy nepracovaly a neukládaly např. dočasné soubory do C:\Program Files, ale tam kam patří – do profilu uživatele.

Windows 7 přináší hlavně více flexibility v nastavení, protože nyní dávají na výběr, jak se funkce řízení uživatelských účtů bude chovat. Pro správné pochopení - Windows 7 odlišují práci uživatele vůči systémovým komponentám OS a vůči software. Na výběr je ze čtyř možností:

Vždy upozornit
Upozornit jen když se program snaží zasáhnout do OS
Upozornit jen při konfiguraci operačního systému
Nikdy neupozorňovat

Ve výchozím nastavení je pro členy skupiny uživatelů UAC nastaveno na „vždy upozornit“ a pro administrátory „Upozornit jen když se program snaží zasáhnout do OS“. Díky této možnosti jednoduchého výběru klesly požadavky na interakci uživatele o subjektivních 60-80%. Když se objeví hláška o povýšení práv, už se nad ní opravdu pozastavíte.

BitLocker To Go

Mnoho společností dnes řeší bezpečnost dat a hlavně, jak zabezpečit přenosná zařízení, která jsou rizikovou skupinou, neb se ze své podstaty často vyskytují mimo bezpečné prostory společnosti. Microsoft uvedl ve Windows Vista nástroj pro šifrování interních disků – Bitlocker. Ale to byl jen první krok. Je jasné, že stejně jako např. notebooky jsou velmi rizikovými zařízeními tzv. flash disky. Zde je ovšem problém nejen ve faktu, že jsou přenositelné, ale že jejich cena klesla na takové minimum, kdy se z nich stalo klasické spotřební zboží. Uživatel pak nedbá patřičné pozornosti, aby „flešku“ neztratil. Bohužel. Společnost Microsoft se proto rozhodla do nadcházejícího operačního systému Windows 7 přidat funkci Bitlocker To Go, která je přímo určena pro přenosné disky. Správci sítí tak dostávají nástroj, který jim nabídne například pohodlnou centrální správu, jednoduché a intuitivní ovládání, ale hlavně dobrý pocit, že další rizikové místo je zabezpečeno. Bitlocker To Go je zatím součástí edic Windows 7 Ultimate a Enterprise. Vše se ale může ještě změnit, přeci jen jsme ve stádiu Beta.

A jak na to?

Připojíte flash disk a přejdete v Ovládacích panelech do správy funkce Bitlocker, kde už uvidíte inicializované disky připravené pro zapnutí funkce Bitlocker nebo Bitlocker To Go.

Po klepnutí na „Turn On Bitlocker“ v sekci BitLocker Drive Encryption – Bitlocker To Go se spustí průvodce, který s vámi projde zašifrování Vašeho přenosného disku. Po inicializaci disku se Vás průvodce dotazuje na způsob ověřování vůči zašifrovanému disku. Na výběr máte z možností „ověřování heslem“ nebo „ověřování smart kartou“. Následující dialog už je jen způsob uchování klíče pro obnovení. Na výběr je tištěná podoba, nebo uložení jako soubor .txt (nebo obojí :)). Následuje souhrn všech zvolených možností a vlastní zahájení enkrypce zvoleného přenosného disku.

Doba trvání celé procesu je závislá na zaplnění media respektive volném místě. Pokud jsou na výměném médiu vadné sektory, je samotný proces kryptování pozastaven a je nutno disk zpět dekryptovat. Se samotným šifrováním je pak na šifrovaný disk nahrána aplikace BitLocker To Go Reader, který slouží k práci se soubory na systémech Windows XP a Windows Vista. Práce se šifrovaným diskem přímo přes Windows Explorer je zatím možná jen ve Windows 7 Beta. Zde ovšem zdůrazňuji zatím. Správci sítí dále ocení cetrální správu přes Group Policy, spolupráci AD DS nebo s firemní certifikační autoritou.

Možnosti konfigurace přes Group Policy:

Kontrolované použití BitLockeru na výměných jednotkách

Povolit uživatelům zapnout BitLocker na výměnná média
Povolit uživatelům vypnout BitLocker na výměnná média
Vypnout BitLocker To Go

Konfigurace užití smart karet na výměnná media

Vyžadovat užití smart karty
Vypnuto

Odepřít zápis na jednotky nechraněnné BitLockerem To Go

Zapnuto + Odepřít zápis na jednotky konfigurované v jiné organizaci
Vypnuto

Povolit přístup na chráněnná media z předchozích verzí Windows

Zapnuto
Vypnuto

Konfigurace složitosti a minimální délky hesla pro přístup k chráněnému mediu

Zapnuto
Povolena složitost hesla

Vyžadována složitost hesla
Zakázána složitost hesla
Minimální délka hesla (0 – 99 znaků)

Vypnuto

Jak mají být chráněnná media obnovena

Povolit Data Recovery Agent

Povolit 48-místné heslo pro obnovení
Vyžadovat 48-místné heslo pro obnovení
Nepovolit 48-místné heslo pro obnovení
Povolit 256-bitový klíč pro obnovení
Vyžadovat 256-bitový klíč pro obnovení
Nepovolit 256-bitový klíč pro obnovení

Vynechat možnosti pro obnovení získané BitLocker průvodcem
Uložit nastavení obnovy do AD DS pro výměnná media
Konfigurace uložiště AD DS pro uložení informací pro obnovení

Ukládat heslo i klíč pro obnovu
Ukládat pouze heslo pro obnovu

Nezapínat BitLocker dokud nejsou informace pro obnovu výměnných medií uloženy v AD DS

Zde měla původně následovat kapitola o AppLockeru, nicméně o něm psal už KFL v předchozím postu, čili ho z tohoto článku vynechám.

- Jan Pilař (KPCS CZ, WUG Písek)

Windows 7: AppLocker

KFL — Mon, 11 May 2009 12:27:00 GMT

Windows 7 nabízí spoustu nástrojů pro IT odborníky i uživatele, přičemž těm prvním poskytují spoustu možností, jak za pomoci těchto nástrojů zabezpečit svou infrastrukturu.

Typicky nástroj AppLocker bude dle mého názoru velmi žádanou komponentou systému, protože umožňuje administrátorům nastavit, které aplikace na klientských počítačích poběží. Mohou tak tedy dosáhnout toho, že uživatelé na svých stanicích nespustí nic jiného, než předem definované programy, popř. programy, které vyhovují vytvořeným podmínkám.

V praxi si to můžeme představit takto. Správce nadefinuje za pomoci skupinových politik pravidla pro AppLocker a tím zajistí, že ať už si uživatel stáhne na svůj počítač cokoliv, nebude schopen to nainstalovat. Samozřejmě tedy za předpokladu, že to administrátor nepovolil.

AppLocker funguje na principu pravidel, podobně třeba jako firewall. A stejně tak jako firewall, i nastavení a parametry pro AppLocker najdete v konzoli lokálních bezpečnostních politik (Start – Spustit – secpol.msc, popř. přes menu v Ovládacích panelech).

Pravidla můžete nastavovat pro samotné programy, popř. pro instalační balíčky. Každé pravidlo má několik různých kritérií, které je potřeba před jeho nasazením zvážit. Můžete totiž nastavovat pravidlo buďto na autora programu (publisher), cestu, kde je program instalován (c:\program files\..), popř. na hash souboru, pokud neznáte jeho autora.

Každé z pravidel se ještě dále větví, např. volba autora programu se dá ještě dále specifikovat na několik úrovní tak, abyste zamezili možným problémům. Jakým? Kupříkladu pokud byste nastavili toto pravidlo pouze na číslo verze programu, aplikace by v případě jakéhokoli updatu či aktualizace, kdy by se změnilo číslo verze, přestala fungovat. Proto ho můžete nastavit na cestu autora aplikace, tj. tak, aby další parametry nebyly brány v potaz. Můžete to vyřešit i v rámci pravidla nastavením custom values, ale jako ilustrace to postačuje. Pokud víte, že aplikaci aktualizovat nebudete, můžete nechat nastavení viz níže a vyžadovat přesně tuto verzi.

V tuto chvíli už můžete stisknout tlačítko Create, které pravidlo vytvoří a uloží. Nicméně pokud byste pokračovali dál, máte možnost nastavovat další parametry pravidla – klasicky výjimky či název pravidla.

Pokud si představíte, že tohle všechno můžete konfigurovat za pomoci GPO, otevírají se před vámi poměrně široké možnosti, kterak „svázat“ svou infrastrukturu a uchránit ji před zásahy uživatelů. Za sebe říkám, že mi podobný nástroj za mých IT časů před pár lety chyběl poměrně výrazně :).

Ještě jeden důležitý detail - AppLocker je podporován ve Windows 7 Enterprise a Ultimate nebo ve všech edicích Windows Serveru 2008 R2.

- KFL

Conficker.D, znovu se objevující bezpečnostní hrozba

Radim Petratur — Mon, 30 Mar 2009 09:54:00 GMT

Update [08/04/2009]: Protože, zdá se, že jsme "z nejhoršího venku", nic velkého se - zase - nestalo, dovolil bych si šťouchnout do konkurence, do MacBooku. Doporučuji si přečít tento rozhovor. V rozhovoru mě zaujaly především tyto pasáže "Safari on the Mac is easier to exploit. The things that Windows do to make it harder (for an exploit to work), Macs don’t do." a "With my Safari exploit, I put the code into a process and I know exactly where it’s going to be. ... On Windows, the code might show up but I don’t know where it is. Even if I get to the code, it’s not executable. Those are two hurdles that Macs don’t have.". Nic není nemožné...

Update [17:40, 31/3/09]: mezi prvními informovanými (proaktivně) byli členové naší bezpečnostní databáze. Více jak se do této databáze zaregistrovat najdete zde.

O Confickeru jsme již psali zde. Jeho další mutace Conficker.D (rovněž známý pod názvem Conficker.C; ale některé firmy jej nazývají i Downadup.C) hrozí aktualizací svého algoritmu 1.dubna 2009.

Škodlivý kód stále zneužívá chybu, kterou jsme opravili již v aktualizaci MS08-067 z minulého října. Přesto i vám všem, kteří jste aktualizaci nasadili, doporučuji prostudovat následující.

Zde jsou v krátkosti doporučení k této nové verzi tohoto škodlivého kódu, která by se měla aktivovat 1.dubna 2009:

Doporučujeme nasadit všechny dostupné bezpečnostní aktualizace, včetně aktualizace MS08-067, kterou jsme vydali již v říjnu a informovali o ní (jen na tomto blogu si zprávu přečetlo přes 40 000 z vás).
Počítač si můžete zkontrolovat pomocí Windows Live safety scanner.
Rovněž doporučujeme spustit Malicious Software Removal Tool.
Používejte antivirový program, např. Microsoft Forefront. Zde více i o jiných antivirech.
Používejte silná hesla ke všem přístupům/účtům.
Věnujte zvýšenou pozornost funkci AutoRun (automatické spouštění).

Prvního dubna by si nová verze Confickeru měla stáhnout nové instrukce co se týká jeho dalšího šíření, rovněž je známo, že vypíná automatické aktualizace jak s Microsoft Update, tak aktualizace dalších antivirových programů.

Dostupné zdroje:

Microsoft Malware Protection Center (rovněž zde) (EN)
The Microsoft Security Response Center (MSRC) (EN)
Security TechCenter: Conficker Worm: Help Protect Windows from Conficker (EN)
Protect yourself from the Conficker computer worm (EN)
Security Research & Defense (EN)
Q&A na F-Secure (EN)
Důležitý update pro Windows ! Prosím, čtěte. (MS08-067) (CZ)
Upozornění na červa Win32/Conficker.B (CZ)
Win32/Conficker (EN)
Win32/Conficker.B (EN)
January 2009 Monthly Bulletin Release (EN)

Radim

Windows 7: Bitlocker to go

KFL — Tue, 24 Feb 2009 12:12:00 GMT

Mnoho společností dnes řeší bezpečnost dat a hlavně, jak zabezpečit přenosná zařízení, která jsou rizikovou skupinou, neb se ze své podstaty často vyskytují mimo bezpečné prostory společnosti. Microsoft uvedl ve Windows Vista nástroj pro šifrování interních disků – Bitlocker. Ale to byl jen první krok. Je jasné, že stejně jako např. notebooky jsou velmi rizikovými zařízeními tzv. Flash disky. Zde je ovšem problém nejen ve faktu, že jsou přenositelné, ale že jejich cena klesla na takové minimum, kdy se z nich stalo klasické spotřební zboží. Uživatel pak nedbá patřičné pozornosti, aby „flešku“ neztratil. Bohužel. Společnost Microsoft se proto rozhodla do nadcházejícího operačního systému Windows 7 přidat funkci Bitlocker To Go, která je přímo určena pro přenosné disky. Správci sítí tak dostávají nástroj, který jim nabídne například pohodlnou centrální správu, jednoduché a intuitivní ovládání, ale hlavně dobrý pocit, že další rizikové místo je zabezpečeno. Bitlocker To Go je zatím součástí edic Windows 7 Ultimate a Enterprise. Vše se ale může ještě změnit, přeci jen jsme ve stádiu Beta.

A jak na to?

Připojíte flash disk a přejdete v Ovládacích panelech do správy funkce Bitlocker, kde už uvidíte inicializované disky připravené pro zapnutí funkce Bitlocker nebo Bitlocker To Go.

Po klepnutí na „Turn On Bitlocker“ v sekci BitLocker Drive Encryption – Bitlocker To Go se spustí průvodce, který s vámi projde zašifrování Vašeho přenosného disku.

Po inicializaci disku se Vás průvodce dotazuje na způsob ověřování vůči zašifrovanému disku. Na výběr máte z možností „ověřování heslem“ nebo „ověřování smart kartou“.

Následující dialog už je jen způsob uchování klíče pro obnovení. Na výběr je tištěná podoba, nebo uložení jako soubor .txt (nebo obojí J )

Následuje souhrn všech zvolených možností a vlastní zahájení enkrypce zvoleného přenosného disku.

Možnosti konfigurace přes Group Policy:

Kontrolované použití BitLockeru na výměných jednotkách

Povolit uživatelům zapnout BitLocker na výměnná média
Povolit uživatelům vypnout BitLocker na výměnná média
Vypnout BitLocker To Go

Konfigurace užití smart karet na výměnná media

Vyžadovat užití smart karty
Vypnuto

Odepřít zápis na jednotky nechraněnné BitLockerem To Go

Zapnuto + Odepřít zápis na jednotky konfigurované v jiné organizaci
Vypnuto

Povolit přístup na chráněnná media z předchozích verzí Windows

Zapnuto
Vypnuto

Konfigurace složitosti a minimální délky hesla pro přístup k chráněnému mediu

Zapnuto

Povolena složitost hesla
Vyžadována složitost hesla
Zakázána složitost hesla
Minimální délka hesla (0 – 99 znaků)

Vypnuto

Jak mají být chráněnná media obnovena

Povolit Data Recovery Agent

Povolit 48-místné heslo pro obnovení
Vyžadovat 48-místné heslo pro obnovení
Nepovolit 48-místné heslo pro obnovení
Povolit 256-bitový klíč pro obnovení
Vyžadovat 256-bitový klíč pro obnovení
Nepovolit 256-bitový klíč pro obnovení

Vynechat možnosti pro obnovení získané BitLocker průvodcem
Uložit nastavení obnovy do AD DS pro výměnná media
Konfigurace uložiště AD DS pro uložení informací pro obnovení

Ukládat heslo i klíč pro obnovu
Ukládat pouze heslo pro obnovu

Nezapínat BitLocker dokudnejsou informace pro obnovu výměnných medií uloženy v AD DS

- Jan Pilař (WUG Písek)

K aktuální bezpečnostní hrozbě jménem Conficker

Radim Petratur — Mon, 19 Jan 2009 13:46:00 GMT

Pravděpodobně další červ z dílny "reverse engineering", tentokrát s názvem Conficker, který využívá znalosti říjnové bezpečností aktualizace (MS08-067). Tedy nečeká se na tvorbu bezpečnostní záplaty, červ zneužívá systémy, které nejsou pravidelně aktualizované. Pokud máte zapnuty automatické aktualizace nebo využíváte nějakou jinou vlastní politiku, díky které implementujete všechny naše bezpečnostní aktualizace, tak se nemusíte obávat. Výše zmíněný post o říjnové bezpečnostní aktualizaci si přečetlo kolem 30 000 z vás a i díky velkému zájmu dalších médií věřím, že si u nás záplatu implementovalo dostatečné množství lidí/firem. Zde je mapa "filozofie" červa (zdroj Microsoft Malware Protection Center).

Pokud si myslíte, že zasaženi nejste, ale nemáte nainstalovanou výše zmíněnou aktualizaci MS08-067, udělejte tak co nejdříve.

Nástroje, které vás ochrání:

Pokud se domníváte, že zasaženi jste, použijte nejdříve Malicious Software Removal Tool.
Instalujte Security Bulletin MS08-067 (věřím, že máte již od října naistalované, ale pro jistotu, zde jsme o něm psali my).
Obecně instalujte všechny další aktualizace Microsoft Update.
Jako vždy, mějte antivirový, aktualizovaný software, např. Microsoft Forefront má Conficker ve své virové/červové/... databázi.

Dostupné zdroje:

MSRT Released Today Addressing Conficker and Banload (EN)
Důležitý update pro Windows ! Prosím, čtěte. (MS08-067) (CZ)
Win32/Conficker (EN)
Win32/Conficker.B (EN)
Exploit:Win32/MS08067.gen!A (EN)
Backdoor:Win32/IRCbot.BH (EN)
January 2009 Monthly Bulletin Release (EN)

Radim

P.S. také jste si všimli, jak se každá bezpečnostní hrozba spojuje s "vykrádáním" bank přes el. bankovnictví? Začíná to být celkem laciné... a bez jakékoliv hlubší znalosti.