Σταματώντας τον Conficker μέσω Group Policy

Είμαι σίγουρος ότι έχετε ακούσει και ίσως να ανησυχείτε (μέχρι του σημείου να μην κοιμάστε σωστά τα βράδια) για την διασπορά που έχει ο φοβερός και τρομερός Conficker.  Δεν θα θέλατε να υπήρχε ένας μαγικός τρόπος για να προφυλάξετε τα μηχανήματα του δικτύου σας από ενδεχόμενη προσβολή?  Antivirus και σωστό Patch Management είναι φυσικά πάντα η συνταγή της επιτυχίας, αλλά τι γίνεται αν θέλουμε κάτι ποιο άμεσο για να προφυλαχτούμε?

Είστε τυχεροί που διαβάζετε αυτό το blog, γιατί σε παγκόσμια αποκλειστικότητα (καλά, αν το έχει δει κανείς πουθενά ας μην μου πάρει το κεφάλι...) σας παρουσιάζουμε την Ελληνική & γρήγορη λύση μέσω Group Policy!

Δημιουργήστε λοιπόν ένα νέο Policy το οποίο θα κάνει apply στα μηχανήματα τα οποία είναι σε κάποιο συγκεκριμμένο OU (κατά προτίμηση, γιατί μπορεί να είναι και Site, Domain, etc).   

  1. Ρυθμίστε την πολιτική να αφαιρεί τα δικαιώματα από το κλειδί του registry HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Svchost.  Αυτό θα εμποδίσει το τυχαίας ονομασίας malware service από το να δημιουργηθεί στην τιμή του registry netsvcs.
    1. Ανοίξτε το Group Policy Management editor.
    2. Δημιουργήστε ένα καινούριο Group Policy object και ονομάστε το "Αρτέμης"  (πλάκα κάνω.... ονομάστε το όπως θέλετε)
    3. Ανοίξτε το καινούριο policy και πηγαίνετε στο Computer Configuration\Windows Settings\Security Settings\Registry και με δεξί κλικ πάνω στο registry επιλέγουμε Add Key
    4. Στο παραθυράκι Select Registry Key, εκτείνουμε το φάκελο Machine και επιλέγουμε  HKLM\Software\Microsoft\Windows NT\CurrentVersion\Svchost και ΟΚ
    5. Στο παραθυράκι Security ξετσεκάρουμε την επιλογή  Full Control για Administrators και System και ΟΚ
    6. Στο παράθυρο Add Object επιλέγουμε “Replace existing permissions on all subkeys with inheritable permissions” και ΟΚ.
  2.  Ρυθμίστε την πολιτική να αφαιρεί τα δικαιώματα εγγραγής από το %windir%\tasks. Αυτό θα αποτρέψει τον Conficker από την δημιουργία Scheduled Tasks τα οποία μπορούν να ξαναμολύνουν το σύστημα.
    1. Στο παραπάνω Group Policy πηγαίνουμε στο Computer Configuration\Windows Settings\Security Settings\File System και με δεξί κλικ πάνω στο File System επιλέγουμε Add File.
    2. Στο παραθυράκι Add a File or Folder  βρίσκουμε το φάκελο %windir%\tasks και τον επιλέγουμε (όπου %windir% ο φάκελος που είναι εγκατεστημένο το λειτουργικό), και ΟΚ
    3. Στο παραθυράκι Security ξετσεκάρουμε την επιλογή  Full Control για Administrators και System και ΟΚ
    4. Στο παράθυρο Add Object επιλέγουμε “Replace existing permissions on all subkeys with inheritable permissions” και ΟΚ
  3. Απενεργοποιήστε το Autoplay (ή Autorun). Αυτό θα αποτρέψει τον Conficker από την διασπορά του στο σύστημα.
    1. Στο ίδιο Group Policy και αν έχουμε:
      • Win2003 Domain επιλέγουμε Computer Configuration\Administrative Templates\System
      • Win2008 Domain επιλέγουμε Computer Configuration\Administrative Templates\Windows Components\AutoPlay Policies
    2. Ανοίγουμε την πολιτική Turn off Autoplay και επιλέγουμε Enabled
    3. Στο drop down μενού επιλέγουμε All Drives και ΟΚ
  4. Απενεργοποιήστε τον τοπικό administrator! Αυτό θα αποτρέψει τον Conficker από το να επιτεθεί στο σύστημα με brute force password attack.  ΠΡΟΣΟΧΗ: Αυτό το βήμα δεν θα πρέπει να το εφαρμόσουμε στο OU των Domain Controllers ή πάνω σε member servers όπου το τοπικό administrator account χρησιμοποιείται από κάποιο service ή application.  Γι αυτό το λόγο καλό είναι για τους DCs  να χρησιμοποιήσετε ένα Group Policy με όλες τις υπόλοιπες ρυθμίσεις εκτός από αυτήν και να το εφαρμόσετε στο Domain Controllers OU.
    1. Στην ίδια πολιτική λοιπόν επιλέγουμε Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
    2. Ανοίγουμε το "Accounts: Administrator account status" και τσεκάρουμε το Define this policy setting" και επιλέγουμε Disabled και ΟΚ.
  5. Κλείνουμε το Group Policy Management editor
  6. Συνδέουμε την καινούρια αυτή πολιτική με το OU της αρεσκείας μας, το βάζουμε στο φούρνο που έχουμε προθερμάνει για 5 λεπτά στους 180 βαθμούς και το αφήνουμε 90 λεπτά μέχρι να εφαρμοστεί σε όλα τα συστήματα.  Το ψήσιμο βέβαια μπορεί να χρειαστεί και περισσότερο χρόνο, αναλόγως την όρεξη και τα συστήματα μας.
  7. Προχωράμε σε Full Scan με το antivirus σε όλα μας τα συστήματα, αφού τα παραπάνω βήματα δεν μας καθαρίζουν τα ήδη μολυσμένα συστήματα! Μαζί με το antivirus μπορούμε να χρησιμοποιήσουμε και το Malicious Software Removal Tool καθώς και το παρακάτω άρθρο για πιο αστραφτερό αποτέλεσμα!

http://support.microsoft.com/kb/962007

 

Ευχαριστώ,

Βαγγέλης Σκυβαλάκης

Technical Account Manager @ MSFT 

 

    Published 12 February 09 07:28 by Vangelis

    Comment Notification

    If you would like to receive an email when updates are made to this post, please register here

    Subscribe to this post's comments using RSS

    Comments

    # Οι Ειδήσεις του AutoExec.gr said on March 30, 2009 11:53 AM:

    Ο Conficker είναι μία από τις χειρότερες απειλές που έχουμε δει τον τελευταίο καιρό. Η παραπάνω δήλωση

    # Eξομολογήσεις ενός Ελληνα IT Pro said on March 30, 2009 12:00 PM:

    Ο Conficker είναι μία από τις χειρότερες απειλές που έχουμε δει τον τελευταίο καιρό. Η παραπάνω δήλωση

    Leave a Comment

    (required) 
    (optional)
    (required) 

      
    Enter Code Here: Required

    Search

    This Blog

    Tags

    No tags have been created or used yet.

    Syndication

    Page view tracker