Artykuły dotyczące tematu: windows

dodany: 20.06.2013 | tagi: , , , , ,

Czy NSA rzeczywiście ma dostęp do naszych danych przez furtkę w Windows?

5
Czy NSA rzeczywiście ma dostęp do naszych danych przez furtkę w Windows?

Od kilku dni w Internecie wrze od informacji o rzekomych ukrytych kodach dostępu wbudowanych potajemnie w systemy Windows. Przygotowanie bram dostępu miała zlecić amerykańska Agencja Bezpieczeństwa Narodowego (z ang. National Security Agency, w skr. NSA). Zamknięty kod ma pozwalać wybranym osobom na penetrację dowolnego systemu. Kod ma zawierać każdy system operacyjny Windows po 1997 roku.

Potwierdzeniem wspomnianych furtek mają być odkrycia trzech rożnych kluczy dostępu. Jak czytamy na wolnemedia.pl – pierwsze odkrycie nowego dostępu NSA do systemu miało miejsce dwa lata temu przez brytyjskiego badacza dr Nicko van Someren. Po kilku tygodniach to samo potwierdził inny naukowiec, który znalazł także dowody łączące z NSA.

Pierwszy z nich, to klucz ukryty w funkcjach zabezpieczających Windowsa. Rząd USA ma rzekomo kontrolować funkcje kryptograficzne (szyfrujące) używane przez system. W Internecie można nawet znaleźć informację o tajemniczych programach szpiegowskich uruchamianych przez wspomniany driver.

Dalej czytamy: dwa tygodnie temu, amerykańska firma od bezpieczeństwa natknęła się na rozstrzygający dowód, że drugi klucz należy do NSA.

Istnieniem trzeciego klucza zdziwieni mają być sami programiści Microsoftu.

Badacze zagadnienia snują hipotezy, do czego służą klucze NSA – czy są przeznaczone do wprowadzania do systemu Windows tajnych kryptosystemów, a może są one przeznaczone do otwarcia wszystkich komputerów z systemem i zbierania danych o ich użytkownikach?

 

Źródło oryginału.

Polska wersja.

dodany: 19.06.2013 | tagi: , , , , , , , ,

Wygodne przechowywanie i synchronizacja haseł – 1password

15
Wygodne przechowywanie i synchronizacja haseł – 1password

Kilka miesięcy temu opisywałem w artykule oprogramowanie Keepass, które umożliwia przechowywanie haseł w bezpieczny sposób chroniący nas przed ich utratą. Program jest darmowy, co jest bardzo dużą zaletą, jednak nie miał dobrej wersji dla platformy Mac OS i iOS. Dodatkowo zależało mi bardzo mocno  na synchronizacji informacji o hasłach pomiędzy platformami. Keepass niestety jest wygodny w sytuacji, gdy mamy wszystkie hasła na jednym komputerze (można co prawda kopiować bazę pomiędzy urządzeniami przy użyciu chociażby usługi typu Dropbox), ale jakoś nie mogłem się przekonać i całe rozwiązanie wydawało mi się zbyt toporne.

(więcej…)

dodany: 07.03.2013 | tagi: , , ,

Microsoft ukarany grzywną

3

Komisja Europejska nałożyła grzywnę na Microsoft w wysokości 2 244 000 000 zł za usunięcie ekranu wyboru przeglądarki w aktualizacji Windowsa 7. To pierwszy raz, kiedy KE ukarała firmę za zachowanie niezgodne z antymonopolowym zobowiązaniem.

W grudniu 2009 KE miała poważne obawy związane z konkurencją na rynku przeglądarek i wymusiła na Microsofcie, że w ciągu najbliższych pięciu lat będzie oferować użytkownikom ekran wyboru przeglądarki w taki sposób, żeby mogli oni dokonać świadomego i bezstronnego wyboru.

W marcu 2010 taki ekran ujrzał światło dzienne i w przeciągu sześciu miesięcy pobrano 84 miliony przeglądarek. Wszystko zmieniło się, gdy wyszedł Service Pack 1 dla Windowsa 7 w maju 2011. Ekran zniknął, a Microsoft zaczął się tłumaczyć, że spowodowane jest to usterką techniczną.

Niestety ” niefortunne” ominięcie ekranu zostało wykryte  w lipcu 2012 przez KE jako celowe działanie i wszczęte zostało dochodzenie. W październiku tego samego roku KE poinformowało Microsoft o niezgodnościach.

Po wypłynięciu tej informacji zaczęto liczyć straty. Mozilla straciła od sześciu do dziewięciu milionów pobrań swojej przeglądarki po zniknięciu ekranu. KE poinformowała, że w czasie tych 15 miesięcy ekranu wyboru przeglądarki nie widziało około piętnastu milionów użytkowników Windowsa.

Kwota grzywny została obliczona na podstawie wagi i czasu trwania naruszenia. Okolicznością łagodzącą była współpraca Microsoftu, dzięki której grzywna nie wyniosła 10% całkowitego obrotu spółki w roku poprzednim.

Zastanawiam się nad jednym – po co komu ekran wyboru przeglądarki, skoro użytkownik równie dobrze może sam dzięki IE pobrać np. Chrome czy Firefoxa? Microsoft ma swoją przeglądarkę, to jest ich produkt i mają prawo promowania swojego produktu. Czy to działanie sprzeciwiające się zasadom antymonopolowym? Dla mnie nie, bo zawsze mam wybór z jakiej przeglądarki chcę na swoim Windowsie korzystać.

dodany: 20.02.2013 | tagi: , , ,

Linux zły i niebezpieczny

2

Pamiętacie jak jeden polityk oskarżał drugiego, że jego dziadek służył w Wehrmachcie? Psychologowie mówili wtedy, że wyciąganie takich „spraw” ma na celu ukrycie niskiej samooceny polityka, który takie rewelacje wygłasza. Mam wrażenie, że to, co robi Trustwave, działa na tej samej zasadzie.

Firma Trustwave twierdzi, że luki zero-day w kernelu Linuksa pozostają niezałatane dwa razy dłużej, niż ma to miejsce w Windowsie.

Ta część raportu zdaje się opierać nie na podanych w zestawieniu liczbach pokazujących krytyczne luki wykryte w jądrze wg ustalonego systemu CVSS (Common Vulnerability Scoring System), gdzie Windows przebija Linuksa trzykrotnie (Linux 9, Windows 34), a na badaniu 4 luk typu zero-day.

Ogólny poziom ważkości luk w Linuksie (7,68) był niższy niż w Windowsie (8,41).

Żeby była jasność, raport stawia tezę, że Linux pozostaje mniej bezpiecznym systemem niż Windows na podstawie 4 przykładów, mając nieco więcej niż jedną czwartą dziur znalezionych w Windowsie będących mniej poważnymi niż Windows? Czy ma to dla Was jakikolwiek sens? Bo nie dla mnie.

Z perspektywy użytkownika obu systemów w 2012 roku muszę przyznać, że nie było miesiąca, w którym Microsoft nie naprawiał krytycznych problemów w swoim oprogramowaniu twierdząc, że robi to, bo nowsze wersje mają lepsze zabezpieczenia niż starsze.

W tym samym czasie Linux, który oczywiście nie jest całkowicie bezpieczny, bo, to ważne, żaden system operacyjny na świecie nie jest w 100% bezpieczny, w dalszym ciągu nie traci na zaufaniu Wikipedii, Facebooka, Google czy Nowojorskiej i Londyńskiej Giełdy Papierów Wartościowych.

Można się zastanawiać, dlaczego tak jest. I po zastanowieniu odpalić Google i sprawdzić czym jest Trustwave i co robi. Po tym kroku dowiecie się, że Trustwave chwali się swoim partnerstwem z Microsoftem w pracach nad dostosowaniem ich aplikacji ModSecurity Web Application Firewall do Internet Information Server (IIS) i współpracą z Microsoft Security Response Center.

Jeśli poszukacie dokładniej, dowiecie się, że reputacja Trustwave wisi na włosku po tym, jak sprzedawali certyfikaty SSL wiedząc, że mogą być użyte do aktywnego przechwytywania typu man-in-the-middle ruchu HTTPS.

dodany: 05.02.2013 | tagi: , ,

Zamiast czyścić podsłuchują

0

Kto by pomyślał,  że dwie aplikacje wyglądające z pozoru na dwa narzędzia do oczyszczania systemu z niepotrzebnych śmieci, zamiast tego będą robić coś zupełnie innego – podsłuchiwać.

Odkryte przez Kaspersky dwie aplikacje o nazwach, których nie powstydziłaby się Perfekcyjna Pani Domu, Superclean i DroidCleaner w teorii miały pomóc oczyścić potencjalnej ofierze telefon lub tablet z Androidem. Zamiast czyszczenia obie aplikacje podsłuchiwały rozmowy swoich ofiar przez infekowanie ich komputerów.

Programy pracowały dzięki pobieranym plikom, co było automatycznie wykonywane po podłączeniu urządzenia z Androidem do komputera z Windowsem. Po wykonaniu złośliwe oprogramowanie włączało funkcję nagrywania w Windowsie, zapisywało ją i wysyłało do dystrybutora złośliwego oprogramowania.

 

supercleanŹródło: Kaspersky Lab

Cała akcja złośliwych aplikacji zależała od tego, czy nieszczęsna ofiara miała włączoną funkcję autoodtwarzania dysków zewnętrznych, co jest domyślnie włączone w nowszych wersjach tego systemu operacyjnego. W poście na blogu Kaspersky’ego opisano grupę docelową złośliwego oprogramowania.

Typową ofiarą ataku jest właściciel niedrogiego smartfona z Androidem, który od czasu do czasu podłącza go do swojego komputera, na przykład po to, by zmienić pliki muzyczne na urządzeniu.

Patrząc na telefony posiadane przez siebie i moich znajomych wszyscy mieścimy się w tej grupie i fakt, że taki hack jest tak łatwy do zorganizowania, jest alarmujący.

Potęguje to jeszcze repertuar możliwości tychże aplikacji:

  • wysyłanie wiadomości SMS;
  • włączanie Wi-Fi;
  • gromadzenie informacji o urządzeniu;
  • otwieranie dowolnych linków w przeglądarce;
  • przesyłanie całej zawartości karty SD;
  • przesyłanie dowolnych plików lub folderów do serwerów twórcy oprogramowania;
  • przesyłanie wszystkich wiadomości SMS;
  • kasowanie wszystkich wiadomości SMS;
  • przesyłanie wszystkich kontaktów, zdjęć i współrzędnych do twórcy.

Obie aplikacje zostały już usunięte z Google Play, ale apelujemy o usunięcie ich z Waszych smartfonów czy tabletów. Przed zainstalowaniem czytajcie także dokładnie do czego aplikacja chce mieć dostęp oraz chyba warto pomyśleć nad funkcją autoodtwarzania w Windowsie.

dodany: 22.01.2013 | tagi: , ,

Jaki antywirus jest najlepszy?

1
Jaki antywirus jest najlepszy?

Zastanawiając się nad sensem instalowania zabezpieczeń w systemie operacyjnym w jednym z poprzednich artykułów, wspomniałem jedynie ogólnie o programach antywirusowych. Po komentarzach Czytelników do tego wpisu pomyślałem, że może warto nieco rozszerzyć temat i może podsunąć materiał, który pokrótce streści najbardziej popularne aplikacje i może dzięki niemu Czytelnicy będą mogli wybrać coś dla siebie.

(więcej…)

dodany: 07.01.2013 | tagi: , , ,

Jak chronić się przed malware – poradnik dla użytkowników systemów Windows – cz. 7. Edukacja i plan reakcji

0

Krok 6: Wdrażanie polityki ochrony oraz edukacja

Poprzedni rozdział traktuje o realizacji ochrony przed zagrożeniami fizycznymi. Kolejny etap koncentruje się na realizacji polityki bezpieczeństwa oraz edukacji. Procedury oraz zasady operacyjne komputerów, serwerów i sieci stanowią zasadnicze warstwy obrony przed malware. W ramach rozwiązania „Obrony w głąb” zalecamy opracowanie następujących zasad oraz procedur:

Procedury skanowania antywirusowego. Najlepiej, gdy aplikacja AV działa automatycznie lub skanuje w czasie rzeczywistym. W innym przypadku zaleca się ustalenie wytycznych oraz wskazówek dla pracowników organizacji, dzięki którym będą oni wiedzieć jak i kiedy uruchomić pełne skanowanie systemu.

Aktualizacja sygnatur wirusów. Większość nowoczesnych aplikacji antymalware automatycznie aktualizuje sygnatury wirusów. Proces ten powinien być wykonywany na bieżąco. Jednak jeśli przed całkowitym wdrożeniem organizacja pragnie najpierw przetestować taką metodę aktualizacji, na ogół taki sposób nie jest możliwy. W tym przypadku należy wyznaczyć personel pomocniczy, który zajmie się identyfikacją, pobieraniem, testowaniem oraz aktualizacją sygnatur wirusów tak szybko, jak to możliwe.

Zasady udostępniania aplikacji i usług. Należy jasno zakomunikować używanie których aplikacji oraz usług mających dostęp do zasobów jest dozwolone na komputerach w organizacji. Przykładem oprogramowania mogącego powodować problemy (i narażać na atak malware) są aplikacje P2P inne programy, przez które użytkownicy mogą pobrać zainfekowany plik bezpośrednio z witryn www. Jako minimum, zalecane jest wdrożenie tych zasad w ramach obrony wszystkich wyznaczonych wcześniej warstw sieci.

Kontrola zmian. Kluczowym procesem, w ramach zwiększania bezpieczeństwa urządzeń sieciowych, jest kontrolowanie zmian wywołanych oddziaływaniem na nie. Najlepiej, jeśli wszelkie proponowane zmiany zostaną najpierw przetestowane i wdrażane w sposób kontrolowany oraz udokumentowany. Spontaniczne zmiany w urządzeniach sieci obwodowej mogą wprowadzić błędy konfiguracji lub wady, które mogą narazić na atak.

Monitoring sieci. Chociaż poprawna konfiguracja urządzeń sieciowych organizacji powinna pozwolić na zoptymalizowanie bezpieczeństwa, nie oznacza to, że inne procedury obrony przed malware mogą być zaniedbane. Stałe monitorowanie wszystkich urządzeń w sieci jest niezbędnym elementem wykrywania szkodliwych ataków. Monitoring jest procesem złożonym, wymagającym zbierania informacji z wielu źródeł (takich jak firewalle, routery i switche). Daje to możliwość stworzenia swego rodzaju bazy czy zestawienia zachowań „normalnych”, pozwalających później na określenie wszelkich zaburzeń i odstępstw.

Proces wykrywania ataków. Jeśli podejrzane zachowanie zostanie wykryte, organizacja powinna posiadać zestaw jasno określonych i udokumentowanych wytycznych, pozwalających na potwierdzenie ataku, kontrolowanie oraz naprawę jego skutków przy minimalnym zakłóceniu pracy użytkowników.

Zasady dostępu do sieci w domu. Należy ustanowić minimalny zestaw wymogów, stanowiący zasady podłączania przez pracownika swojego służbowego komputera w domu lub łącznia się z siecią firmową za pośrednictwem wirtualnej sieci prywatnej (VPN).

Zasady dostępu do sieci dla gości. Goście, zanim połączą się z siecią organizacji, powinni stosować się do ustalonych wcześniej, minimalnych wymogów konfiguracji. Do tychże wymagań powinny stosować się zarówno urządzenia bezprzewodowe, jak i przewodowe.

Zasady dostępu dla urządzeń bezprzewodowych. Wszystkie urządzenia bezprzewodowe, podłączane do sieci wewnętrznej, powinny spełniać minimalne wymagania dotyczące konfiguracji zabezpieczeń. Należy wcześniej ustalić takie wymagania.

Istnieje wiele innych zasad i procedur, które można wdrożyć w celu poprawy bezpieczeństwa urządzeń sieciowych. Powyższa lista może być dobrym punktem wyjścia. Jednakże, z powodu dodatkowych wymagań konfiguracyjnych, a nie specyficznych zabezpieczeń antymalware, wykraczają one poza zakres niniejszego poradnika.

Krok 6 obejmuje zatem następujące zadania:

1. Opracowanie zasad aktualizacji zabezpieczeń.

2. Tworzenie polityki obrony opartej o ocenę ryzyka.

3. Automatyczny monitoring i sprawozdania.

4. Wspieranie użytkowników oraz szkolenie zespołu technicznego.

 

Zadanie 1: Opracowanie zasad aktualizacji zabezpieczeń

Oprogramowanie zabezpieczające na komputerach, serwerach i w sieci powinno być zawsze, w jakiś sposób, aktualizowane. Możemy zapewnić taki system aktualizacji w ramach części szerszego planu obrony. Więcej informacji na temat zarządzania aktualizacjami zabezpieczeń można znaleźć na stronie Update Management. Systemy operacyjne komputerów i urządzeń powinny być sprawdzane na bieżąco pod kątem aktualizacji odproducenckich.

Polityka aktualizacji zabezpieczeń powinna zostać również tak ustalona, żeby obejmowała update systemów operacyjnych. Proces ten powinien składać się z następujących etapów:

1. Sprawdzanie dostępności aktualizacji. Należy zastosować jakiś rodzaj automatycznego powiadamiania o dostępnych aktualizacjach bądź o odmowie wykonania update’u.

2. Pobieranie aktualizacji. System powinien być w stanie pobrać aktualizacje przy minimalnym wpływie na użytkowników oraz sieć.

3. Aktualizacje testowe. Jeśli aktualizujmy komputery „krytyczne”, nim wdrożymy nowe oprogramowanie, należy wykonać test na odrębnym, nie mającym znaczenia dla pracy sieci systemie.

4. Wdrażanie aktualizacji. Po przetestowaniu oraz zweryfikowaniu aktualizacji, należy wdrożyć je na komputerach docelowych. W tym celu dobrze opracować jakiś prosty system rozpowszechniania aktualizacji.

Jeśli aktualizacje systemów nie wymagają wcześniejszego przetestowania, można rozważyć automatyzację całego procesu. Opcja Aktualizacje automatyczne na stronie internetowej Microsoft Windows Update umożliwia automatyczne powiadamianie i aktualizowanie bez interwencji użytkownika. Wybranie takiej opcji gwarantuje najnowsze aktualizacje w najszybszym czasie od ich pojawienia się. Jednak przy takim podejściu nie mamy możliwości sprawdzenia aktualizacji przed jej zainstalowaniem. Jeżeli dana organizacja wymaga wcześniejszych testów update’u, taki sposób aktualizacji nie jest zalecany.

Sprawdzanie, czy nasze systemy operacyjne są zaopatrzone w najnowsze aktualizacje, powinno być rutynowym elementem procesu zarządzania.

 

Zadanie 2: Tworzenie polityki obrony opartej o ocenę ryzyka

Przy tak wielu komputerach, serwerach i urządzeniach sieciowych połączonych do obwodu naszej sieci oraz jej wewnętrznych warstw, ustalenie jednej, skutecznej polityki „Obrony w głąb”, zgodnej ze wszystkimi wymogami konfiguracyjnymi, może być trudne. Jednym z rozwiązań może być pogrupowanie hostów naszej infrastruktury na kategorie w zależności od ich rodzaju i ekspozycji na ryzyko.

Warto więc rozważyć następujące „kategorie konfiguracyjne”, ustalone ze względu na stopień ryzyka ataku:

Konfiguracja standardowa. Kategoria ta odnosi się zwykle do stacjonarnych komputerów, które fizycznie pozostają na miejscu w biurze w budynku. Są one stale chronione przez zewnętrzne i wewnętrzne zapory oraz zabezpiecza je sam budynek organizacji.

Konfiguracja klientów wysokiego ryzyka. Kategoria ta została ustalona dla konfiguracji komputerów użytkowników mobilnych oraz urządzeń przenośnych, takich jak palmtopy czy telefony komórkowe. Urządzenia te zostają często wyniesione poza chronioną sieć i dlatego obejmuje je wyższy poziom ryzyka.

Konfiguracja dla gości. Kategoria ta jest przeznaczona dla komputerów nienależących do organizacji. Zarządzanie oraz konfiguracja takich urządzeń może nie być możliwa. Jednak można ustalić zasady dla takich urządzań, ograniczające możliwość łączenia się z nasza siecią. Komputery gościnne zawierają się przeważanie w jednym z następujących typów:

• Domowe komputery pracowników.

• Komputery partnerów lub sprzedawców.

• Komputery gości.

 

Zaleca się również ustalenie kategorii ryzyka dla roli serwera, a sama ocena ryzyka jest zalecana zarówno dla serwerów, jak i komputerów roboczych. Jako punkt wyjścia do ustalenia polityki ochrony serwera, należy rozważyć następujące kategorie konfiguracji:

Standardowa konfiguracja serwera. Kategoria ta jest niejako wspólnym mianownikiem dla konfiguracji większości serwerów w naszym otoczeniu. Zapewnia minimalny poziom bezpieczeństwa, ale nie ogranicza się jedynie do powszechnie używanych usług. Później możemy zmodyfikować nasze opcje konfiguracyjne wedle potrzeb, np. w zależności od wysokości ryzyka, na jakie narażony jest serwer czy pełnionej przez niego roli.

Konfiguracja serwerów wysokiego ryzyka. W tej kategorii znajdą się serwery, które bezpośrednio narażone są na połączenia z zewnętrzną siecią i na pliki z zewnętrz, np.: Serwery Brzegowe (WWW), Serwery Firewalli czy Messaging Servers. Serwerem podwyższonego ryzyka mogą być również inne urządzenia, niezależnie od ich lokalizacji w sieci, np. te, które przechowują poufne dane, takie jak personalia pracowników firmy.

Konfiguracja w zależności od roli. W celu lepszego dostosowania wymagań konfiguracyjnych aplikacji serwerowych można dopasować je w zależności od roli jaką pełni serwer. Można wybrać wiec specyficzną konfigurację dla np.: Messaging Servers, Serwerów Baz Danych czy Serwerów Firawalli. Podejście to może służyć jako dodatkowe zabezpieczenie zarówno wraz z ustawieniami standardowymi, jak i dla serwerów wysokiego ryzyka.

Zastosowanie zasad obrony opartych na ocenie ryzyka wymaga wyboru wyspecjalizowanego zespołu, który zaplanuje odpowiedni sposób konfiguracji. Ostatecznie, celem zespołu powinno być zminimalizowanie (czy uproszczenie) konfiguracji jakimi trzeba będzie zarządzać. Uzyskanie bezpiecznej konfiguracji jest bardziej prawdopodobne przy użyciu metody standardowej niż dostosowując każdy host osobno. Kompleksowy sposób zarządzania w środowiskach heterogenicznych oferuje np. Microsoft Forefront Identity Manager 2010.

 

Zadanie 3: Automatyczny monitoring i sprawozdania

Jeśli firma korzysta z automatycznego systemu monitoringu lub aplikacji AV, które mogą zgłaszać do administratora podejrzane infekcje złośliwym oprogramowaniem, można zastanowić się nad zautomatyzowaniem procesu powiadamiania wszystkich użytkowników sieci. Zautomatyzowany system powiadamiania pozwala zminimalizować czas pomiędzy alarmem o ataku a dotarciem do świadomości użytkownika. Wadą takiego podejścia może być spora liczba fałszywych alarmów. Jeśli nikt nie będzie w stanie w jakiś sposób „przesiać” takich alertów, np. przeglądając raporty nietypowej aktywności, możliwe jest, że program będzie zupełnie niepotrzebnie ostrzegał przed atakiem, którego w rzeczywistości nie było. Taka sytuacja może uśpić czujność użytkowników, ponieważ przestaną oni reagować na zbyt często generowane alarmy.

Zaleca się więc wyznaczenie konkretnych członków zespołu czy administratorów sieci, którzy będą odpowiedzialni za odbiór oraz monitorowanie wszystkich automatycznych alertów o szkodliwym działaniu oprogramowania. Wyznaczony zespół może odfiltrować wszystkie, fałszywe powiadomienia, przed wysłaniem alertów do użytkowników. Aby taka strategia była skuteczna, zespół musi monitorować alerty 24 godziny na dobę, 7 dni w tygodniu po to, by wszystkie powiadomienia zostały sprawdzone i, jeśli to konieczne, przesłane do użytkowników sieci.

 

Zadanie 4: Wspieranie użytkowników oraz szkolenie zespołu technicznego

W wielu przypadkach ludzie są ostatnią linią obrony przed malware. Dlatego ważne jest, aby kształcić pracowników w taki sposób, by mogli zapoznać się z zagrożeniami i świadomie im przeciwdziałać –  w ramach rutynowych praktyk w swojej codziennej pracy.

 

Świadomość użytkowników

Edukacja użytkowników często zostaje ujęta dopiero na końcu rozważań nad projektem obrony przed malware. Pomoc użytkownikom w zrozumieniu niektórych zagrożeń związanych z atakami złośliwego oprogramowania jest ważną częścią przeciwdziałania temu ryzyku. Należy uświadomić pracowników, że cały personel organizacji wykorzystujący zasoby IT odgrywa jednakową rolę w procesie bezpieczeństwa sieci. Z tego powodu ważne jest, żeby uświadomić użytkowników w jaki sposób oni sami mogą zapobiegać najczęstszym typom ataków. Pracownicy powinni wiedzieć, że pod żadnym pozorem nie wolno im:

Otwierać załączników podejrzanych e-maili.

Używać słabych haseł.

Używać  w różnych miejscach tych samych haseł.

Pobierać aplikacji i sterowników ActiveX z niezaufanych witryn.

Uruchamiać aplikacji z nieautoryzowanych nośników wymiennych.

Umożliwiać dostępu do danych i sieci organizacji.

Użytkownicy, którzy są odpowiedzialni za urządzenia mobilne, mogą wymagać dodatkowych szkoleń w celu zrozumienia ryzyka związanego z korzystaniem ze sprzętu poza fizyczną i sieciową ochroną.

 

Alarmy Wewnętrzne

Kluczowym zadaniem jest znalezienie efektywnego mechanizmu, który w terminie będzie powiadamiał wszystkich użytkowników o możliwości szkodliwego ataku. Dostępne systemy komunikacji mogą znacznie się różnić w zależności od infrastruktury organizacji. Poniższa lista zawiera przykłady sposobów powiadamiania:

Tablica ogłoszeń. Nie należy zapominać o nietechnicznych możliwościach informowania, takich jak ogłoszenia w formie papierowej, np.: na tablicach informacyjnych lub w punktach oczywistych dla pracowników. Choć z takim sposobem wiążą się pewne trudności w utrzymaniu, zyskuje on jednak znaczną przewagę w komunikowaniu ważnych informacji na przykład, gdy obszary sieci są niedostępne z powodu ataku.

Systemy poczty głosowej. Jeśli organizacja używa takiego systemu komunikowania, można go wykorzystać do ogłoszenia o możliwości ataku malware wszystkim pracowniom na raz.

Komunikaty logowania. System operacyjny Windows może być skonfigurowany do dostarczania wiadomości bezpośrednio na ekrany użytkowników podczas procesu logowania. Mechanizm ten jest dobrym sposobem na zwrócenie uwagi użytkownika na alerty.

Portale internetowe. W celu zapewnienia, że alert dotrze do wszystkich użytkowników można ustawić wspólną dla wszystkich stronę główną, która będzie naszym portalem ostrzegającym. Żeby taki mechanizm był skuteczny, należy wymusić na użytkownikach odwiedzenie tego portalu przed uzyskaniem dostępu np. do skrzynki e-mail.

Systemy e-mail. W celu przesyłania użytkownikom alertów można również wykorzystać możliwość ustanawiania priorytetowych wiadomości w skrzynkach pocztowych. Z tego powodu należy doradzić użytkownikom, by najpierw przeglądali wiadomości oznaczone jako „ważne”.

 

Szkolenie zespołu technicznego

Świadomość i szkolenia zespołu powinny być głównym celem dla administracji. Szkolenie dla kluczowych specjalistów IT jest podstawowym wymogiem we wszystkich obszarach ochrony przed złośliwym oprogramowaniem. Jest to szczególnie ważne, ponieważ charakter ataków szkodliwego oprogramowania, a tym samym obrony przed nim, zmienia się na bieżąco. Nowy atak malware może zagrozić systemowi obrony z dnia na dzień. Jeśli personel techniczny nie został odpowiednio przeszkolony jak rozpoznawać i reagować na nowe zagrożenia malware, poważne naruszenie w naszym systemie obrony może być tylko kwestią czasu. Administratorzy, którzy odpowiedzialni są za urządzenia łączące się z siecią obwodową organizacji powinni przejść konkretne szkolenie, które pomoże im poznać oraz zrozumieć zakres działania malware.

 

Uzyskiwanie opinii użytkowników

Użytkownicy, którzy są świadomi malware, mogą stanowić doskonałą część systemu wczesnego ostrzegania, chociażby przez proste i szybkie zgłaszanie nietypowych zachowań systemu. Taki mechanizm może przybrać formę „gorącej linii” telefonicznej, aliasu e-mail z którego będziemy wysyłać alerty czy szybkiego informowania Biura Pomocy.

 

Proaktywna komunikacja wewnętrzna

Jeśli to możliwe, członkowie działu IT powinni wyznaczyć aktywny zespół szybkiego reagowania, który będzie odpowiedzialny za monitorowanie zewnętrznych witryn, traktujących o najnowszych atakach malware. Microsoft oferuje w temacie monitoringu wiadomości następujące narzędzia:

• Encyklopedia Microsoft Malware Protection Center (w skr. MMPC) jest obszernym zbiorem analiz i informacji technicznych, dotyczących zagrożeń. Na swoim blogu, badacze z MMPC, na bieżąco publikują aktualne wiadomości i pogłębione analizy dotyczące szczególnych zagrożeń.

• MMPC prowadzi również listę największych zagrożeń dla użytkowników komputerów na całym świecie.

• Warto zajrzeć również do Biuletynów zabezpieczeń (z ang. Microsoft Security Bulletins) i Microsoft Security Advisories, gdzie znaleźć można ważne informacje o lukach i aktualizacjach oprogramowania Microsoftu.

• Microsoft Security Response Center (w skr. MSRC), to Microsoftowska organizacja, zajmująca się identyfikacją, monitoringiem, rozwiazywaniem oraz reagowaniem na słabości oprogramowania zabezpieczającego. Informacje o swoich spostrzeżeniach również publikuje na blogu.

Regularne sprawdzanie podobnych witryn może pomóc personelowi technicznemu w przeciwdziałaniu zagrożeniom jeszcze zanim te przenikną do sieci organizacji. Microsoft Technical Security Notifications mogą również pomóc administratorom w stałym dostępie do informacji za pośrednictwem e-maili, kanałów RSS i Windows Live Alerts.

 

Pytania końcowe

Aby upewnić się, że odpowiednio zidentyfikowaliśmy zasady polityki bezpieczeństwa i edukacji, należy odpowiedzieć na następujące pytanie:

Czy podczas ustalania zasad ochrony przed złośliwym oprogramowaniem oraz strategii edukacji personelu wzięliśmy pod uwagę wszelkie możliwe scenariusze dostępu użytkowników do naszej sieci? Przy opracowywaniu w/w procedur łatwo przeoczyć niektóre segmenty struktury sieci. Nie wolno zapominać o takich czynnikach, jak zdalny dostęp, dostęp do Internetu, wsparcie dla danych oddziałów oraz użytkowników mobilnych, pracujących np. za granicą.

 

Krok 7: Opracowywanie planu reakcji na atak

 

Poprzedni rozdział traktował o realizacji polityki bezpieczeństwa oraz edukacji. Ostatni krok, to opracowanie oraz wdrożenie planu reagowania na zdarzenia. Plan reakcji powinien zawierać wytyczne wskazujące jakie kroki należy podjąć, gdy zajdzie pojrzenie ataku malware. Ustanowienie takich zasad jest bardzo ważnym krokiem w procesie przygotowań obrony przed złośliwym oprogramowaniem.

Plan reakcji ma wskazać pracownikom kierunek działań w przypadku ataku malware. Powinien on zawierać wskazówki pokazujące, jak minimalizować wpływ szkodliwej działalności oraz udokumentowane procedury reagowania. Na przykład, dobrze zaprojektowany plan powinien zawierć całe sekwencje wskazówek do działania w przypadku typowych zdarzeń:

1. Pracownicy powinni zawiadomić personel techniczny, gdy zauważą, że coś dziwnego pojawiło się na ekranie ich komputerów.

2. Obsługa techniczna sprawdza komputer i daje niezbędne wsparcie.

3. Technik odpowiada za krótki test diagnostyczny, a następnie „leczy” bądź odbudowuje system – w zależności od wagi problemu.

Cały proces obrony, do kompletnego zakończenia, może trwać wiele godzin. Warto ustanowić plan pośredni czy poboczny, który pozwoli minimalizować szkodliwe skutki działania także w trakcie „walki” oraz pozwoli zapobiec dalszemu rozprzestrzenianiu się malware. Na przykład, jeśli ustalimy, że pracownik, po zauważeniu ataku, ma czekać na wsparcie od personelu technicznego, może on chociażby we własnym zakresie odłączyć kabel sieciowy od podejrzanego komputera. Taka początkowa reakcja może pomóc w wyeliminowaniu ryzyka zakażenia innych komputerów.

Tworząc plan reakcji na zdarzenie ataku, warto przede wszystkim wziąć pod uwagę dwa typowe scenariusze:

Infekcja indywidualna. Scenariusz do działania, kiedy malware zainfekuje jeden komputer.

Masowa epidemia. Masowy atak może spowodować poważne zakłócenia w racy organizacji. O masowym ataku możemy powiedzieć, gdy personel zgłasza większą liczbę infekcji zdradzających podobne objawy. W ostatnich latach duże wybuchy wydają się być zdalnie sterowane przez roboty znane jako boty. Takie rodziny botów nazywane są botnetami. Cyberprzestępcy wykorzystują je do rozsyłania spamu, często o charakterze phishingowym, w celu kradzieży danych osobowych (w skr. PII) i do prowadzenia Denial-of-service (w skr. DoS).

Plan reagowania na większy wybuch może obejmować również powyższe scenariusze, ponieważ proces reakcji na szerszą skalę jest niejako rozszerzeniem działań w przypadku poszczególnych, mniejszych infekcji. Zazwyczaj, w ramach pierwszej reakcji, należy tymczasowo samodzielnie użyć wszelkich możliwych i znanych środków, by powstrzymać dalsze rozprzestrzenianie się malware. W niektórych przypadkach, przed ponownym podłączeniem komputera do sieci, może być konieczne poinformowanie administratora lub osoby odpowiedzialnej za ustawienia routera lub firewalla o konieczności zmian ustawień sprzętowych. Na przykład, jeśli malware infekuje system przez określony port sieciowy, zablokowanie go może zapobiec ponownemu zakażeniu, nie zakłócając przy tym transferu innych komunikatów.

 

Pytania końcowe

Czy plan reagowania na atak obejmuje zasady i procedury postepowania w przypadku poszczególnych infekcji złośliwym oprogramowaniem na serwery lub stacje robocze? Jest to scenariusz dla najpopularniejszych ataków malware.

Czy plan reakcji obejmuje zasady i procedury postępowania w wypadku epidemii masowej? Reakcja na masowy atak wymaga zwykle wstępnych działań użytkownika oraz czasu dla personelu technicznego, który zajmie się oczyszczaniem systemów.

Czy organizacja posiada zapasowe zasoby sprzętowe? W wypadku ataku mogą one okazać się niezbędne dla działań załogi technicznej lub do kontynuowania pracy organizacji.

Czy w ramach wsparcia technicznego wyznaczymy wyspecjalizowany team, odpowiedzialny z pomoc wszystkim użytkownikom w naszej organizacji? Większe oddziały mają tendencję do zatrudniania pracowników dedykowanych, natomiast mniejsze rzadziej uciekają się do takich rozwiązań.

 

Wszystkie części poradnika:

Cz. 1. Jak chronić się przed malware – poradnik dla użytkowników systemów Windows

Cz. 2. Identyfikacja potencjalnych zagrożeń

Cz. 3. Ochrona sieci

Cz .4. Ochrona komputerów klienckich

Cz .5. Ochrona serwerów

Cz .6. Zagrożenia fizyczne

Cz .7. Edukacja i plan reakcji

dodany: 01.01.2013 | tagi: , , ,

Jak chronić się przed malware – poradnik dla użytkowników systemów Windows – cz. 5. Ochrona serwerów

1

Krok 4: Ochrona serwerów

 

W poprzednim rozdziale opisaliśmy zagadnienia obrony warstwy komputera klienckiego. Kolejny etap, to ochrona serwera. Strategia umocnień dla serwerów w organizacji ma wiele wspólnego z obroną zwykłych komputerów. Podstawową różnicą jest znacznie wyższy poziom oczekiwań jaki musi spełnić zarówno sam serwer, jak i jego obrona w zakresie niezawodności oraz wydajności.

Dodatkowo, serwery mogą odgrywać wyspecjalizowane role w infrastrukturze organizacji, co prowadzi często do szczególnych rozwiązań obronnych.

Informacje zawarte w tym rozdziale koncentrują się na podstawowych różnicach między obroną serwera, a omawianej wcześniej strategii ochrony komputerów klienckich. Etap ten obejmuje następujące zadania:

1. Utwardzanie serwerów.

2. Instalacja oprogramowania antymalware dla serwerów.

3. Realizacja konkretnych konfiguracji w zależności od specyfiki wykorzystywanych w firmie aplikacji albo roli pełnionej przez serwer.

 

Zadanie 1: Utwardzanie serwerów

Proces minimalizacji możliwości ataku na serwer jest często określany mianem utwardzania (z ang. hardening). Można w tym celu wykorzystać narzędzie Compliance Manager Microsoft Security, zapewniające możliwość scentralizowanego zarządzania oraz dostosowania systemu operacyjnego serwera do pełnionych przez niego ról.

Cztery podstawowe kroki ku obronie serwerów przed malware są identyczne jak w przypadku komputerów klienckich:

1. Ograniczenie możliwości ataku. W celu zminimalizowania możliwości ataku należy usunąć z serwera wszelkie niepotrzebne usługi i aplikacje.

2. Aktualizacja zabezpieczeń. Zapewnienie na wszystkich serwerach możliwości systematycznych, bieżących aktualizacji oprogramowania. Należy wykonać testy sprawdzające czy aktualizacje nie będą miały negatywnego wpływu na działanie krytycznych serwerów.

3. Ustawienie firewalla. Windows Server 2008 zawiera firewall, który może być stosowany również dla obrony serwerów organizacji.

4. Testowanie podatności na ataki. Można skorzystać z Microsoft Baseline Security Analyzer (w skr. MBSA) w systemie Windows Server 2003, który pomaga w identyfikacji potencjalnych luk w konfiguracji serwera. Aby zapewnić jak najsolidniejszą konfigurację, najlepiej użyć kilku różnych, specjalistycznych skanerów.

 

Zadanie 2: Instalacja oprogramowania AV dla serwerów

Podstawową różnicą między aplikacjami przeznaczonymi dla komputerów klienckich oraz tych dla serwerów jest poziom integracji między skanerem opartym o serwer a wszelkimi usługami serwerowymi, takimi jak powiadamianie czy obsługiwanie bazy danych. Inne, znaczące zalety oprogramowania antymalware dla serwerów obejmują specjalistyczną ochronę poszczególnych ról lub usług, solidniejsze zabezpieczenia, mogące sprostać zapotrzebowaniu na jednoczesną obsługę wielu siników skanujących oraz scentralizowaną administrację. Wiele serwerowych programów AV pozwala na zdalne zarządzanie, co wpływa na zminimalizowanie potrzeby fizycznej konsoli serwera.

Inne ważne kwestie, które należy wziąć pod uwagę przy ocenie przydatności specjalnego, serwerowego oprogramowania antymalware, to:

Moc procesora (w skr. CPU) serwera, który będzie odpowiedzialny za skanowanie. Przepustowość procesora jest krytycznym elementem zdolności serwera do wykonywania jego podstawowej roli w organizacji.

Niezawodność aplikacji. Awaria systemu na serwerze ważnym dla centrum danych ma znacznie większe skutki niż awaria jednej stacji roboczej. Dlatego, by upewnić się o niezawodności systemu, ważne jest dokładne przetestowanie wszystkich serwerów, na których działa oprogramowanie antymalware.

Zarządzanie ogólne. Umiejętne stosowanie oprogramowania AV może pomóc w redukcji administracyjnych kosztów zarządzania serwerami w organizacji.

Współdziałanie aplikacji. Należy przetestować działanie aplikacji AV oraz usług serwera, by wyeliminować ewentualne problemy interoperacyjne.

Narzędziem pomocnym do konfiguracji oprogramowania serwerowego może być Microsoft Forefront. Zawiera ono zestaw rozwiązań, dostosowanych do konkretnych produktów Microsoftu, w tym Exchange Server, Microsoft Lync i SharePoint. Na przykład, Forefront Protection 2010 for Exchange Server przeznaczony jest do ochrony informacji przekazywanych przez pocztę elektroniczną, a Forefront Endpoint Protection 2010 chroni systemy operacyjne hostów.

 

Zadanie 3: Realizacja konkretnych konfiguracji w zależności od specyfiki wykorzystywanych w firmie aplikacji albo roli pełnionej przez serwer

Istnieje szereg możliwych konfiguracji, narzędzi i aplikacji, które można dostosować do określonych ról pełnionych przez serwer. Przykładowe role serwera, do których dopasować można wyspecjalizowane oprogramowanie AV:

Active Directory Domain Services (w skr. AD DS) – usługa katalogowa (hierarchiczna baza danych) dla systemów Windows.

Protokół Dynamicznego Konfigurowania Węzłów (z ang. Dynamic Host Configuration Protocol, w skr. DHCP Services) – protokół komunikacyjny umożliwiający komputerom uzyskanie od serwera danych konfiguracyjnych, np. adresu IP hosta, adresu IP bramy sieciowej, adresu serwera DNS, maski podsieci.

System Nazw Domenowych (z ang. Domain Name System, w skr. DNS Services) – protokół komunikacyjny oraz usługa zapewniająca zamianę adresów znanych użytkownikom Internetu na adresy zrozumiałe dla urządzeń tworzących sieć komputerową.

Obsługa plików.

Obsługa drukarek.

Active Directory Certificate Services (w skr. AD CS) – technologia bezpiecznego zrządzania certyfikatami kluczy publicznych.

Obsługa sieci (z ang. Network Policy and Access Services, w skr. NPAS) – kontrola uprawnień dostępu etc.

Remote Desktop Services – protokół pozwalający na komunikację z usługą Terminala Graficznego w Microsoft Windows (z ang. Terminal Services).

Obsługa sieci.

Hipernadzorca (z ang. hypervisior) narzędzie niezbędne w procesie wirtualizacji – kontroli działania systemu. W systemie Windows Server 2008 R2 już jako wbudowane narzędzie Hyper-V.

Istnieje także wiele specjalistycznych rozwiązań dla różnorodnych aplikacji serwerowych, np.:

Messaging Servers – w Windowsie jako Microsoft Exchange 2010 i Microsoft Lync – aplikacje umożliwiające komunikację pomiędzy programami.

Serwery Baz Danych – umożliwia Microsoft SQL Server 2008 R2.

Serwery Pracy Grupowej – umożliwia Microsoft SharePoint 2010.

Specjalistyczne rozwiązania zapewniają lepsza ochronę przed malware oraz większą wydajność. Poniżej bardziej szczegółowe omówienie ról serwerów wraz z odpowiednimi zaleceniami konfiguracyjnymi, narzędziami czy aplikacjami.

 

Serwery WWW

We wszystkich typach organizacji serwery WWW od dawna stanowią cel ataków. Czy są to ataki malware, czy hakerskie próby podmiany witryny, ważne jest, żeby możliwie maksymalnie kompleksowo skonfigurować wszelkie zabezpieczenia.

Istnieje kilka darmowych narzędzi, które można wykorzystać do szeregu konfiguracji zabezpieczeń na Internet Information Services (w skr. IIS), takich jak IIS Lockdown. Narzędzie to służy do konfiguracji serwera WWW tak, aby zapewnić mu ochronę tych usług, które przypisane są jego roli.

UrlScan jest kolejnym narzędziem bezpieczeństwa, ograniczającym typy żądań HTTP używanych przez usługi IIS. UrlScan pomaga serwerowi uniknąć potencjalnie szkodliwych żądań poprzez blokowanie określonych żądań HTTP.

 

Messaging Servers

Przy projektowaniu skutecznej obrony przed malware dla serwerów poczty elektronicznej i komunikatorów należy pamiętać o dwóch, podstawowych celach. Pierwszym celem jest ochrona samych serwerów. Drugim celem jest uniemożliwienie złośliwemu oprogramowaniu przebicia się do skrzynek pocztowych pracowników organizacji przez e-maile lub komunikatory internetowe (z ang. Instant Messenger, w skr. IM). Ważne jest, aby nasze rozwiązanie spełniło te oba cele.

Ogólnie, standardowe skanowanie plików w celu wychwycenia malware nie jest w stanie zapobiec przychodzeniu złośliwego oprogramowania na serwer w postaci załącznika wiadomości. Wszystkie aplikacje, z wyjątkiem najbardziej prostych klientów poczty elektronicznej, przechowują pliki w bazie danych (zwanej magazynem wiadomości). Typowy skaner antymalware nie może uzyskać dostępu do zawartości takiej bazy danych.

Ważne jest więc dopasowanie oprogramowania AV do naszego rozwiązania serwerowego. Wielu producentów takiego oprogramowania zapewnia dedykowane wersje dla określonych serwerów pocztowych, przeznaczone do skanowania poczty e-mail.

Dostępne są trzy podstawowe typy rozwiązań antymalware dla serwerów poczty elektronicznej:

Rozwiązanie hostowe. Rozwiązanie to jest częścią pakietu, który oferuje także, m.in., usługi antyspamowe i antyphishingowe. Ochrona odbywa się za pomocą hosta pośredniczącego. Przysłane do nas wiadomości docierają najpierw na host dostawcy usługi, tam zostają „przebadane”, a następnie trafiają w miejsce przeznaczenia, czyli do nas. Tym samym szkodliwe oprogramowanie zostaje wyeliminowane jeszcze zanim dotrze do naszego systemu. Takim narzędziem jest np. Forefront Online Protection for Exchange, które zapewnia również szereg innych usług możliwych do dostosowania do własnych potrzeb. W Internecie znaleźć można wiele podobnych usług.

Bramowe skanery SMTP (ang. Simple Mail Transfer Protocol, w skr. SMTP) – rozwiązania oparte na skanowaniu poczty, określane są zazwyczaj jako „brama”. Mają one tę zaletę, że działają z wszystkimi usługami poczty SMTP, a nie są związane z konkretnym serwerem e-mail. Jednak rozwiązania te ograniczone są w niektórych bardziej zaawansowanych funkcjach, ze względu na ich uzależnienie od protokołu SMTP.

Zintegrowane skanery serwera. To wyspecjalizowane aplikacje, pracujące bezpośrednio z konkretnymi produktami serwerów e-mail. Aplikacje te dają wiele korzyści. Na przykład, można je zintegrować bezpośrednio z zaawansowanymi funkcjami serwera i są przeznaczone do stosowania na tym samym sprzęcie, co serwer pocztowy. Np. Forefront Protection 2010 for Exchange Server jest z założenia zintegrowanym rozwiązaniem, które zapewnia skanowanie poczty elektronicznej.

Microsoft Exchange posiada specjalny antywirusowy interfejs programowania aplikacji (w skr. API) o nazwie Virus API (w skr. VAPI), który jest również określany jako Antivirus API (w skr. AVAPI) czy Virus Scanning API (w skr. VSAPI). Interfejs ten używany jest przez wyspecjalizowane aplikacje Exchange Server w celu zapewnienia pełnej, bezpiecznej oraz niezawodnej ochrony wiadomości na serwerach Exchange e-mail.

Istnieje również wiele zintegrowanych rozwiązań dla serwerów czatu. Np. Forefront Security for Office Communications Server zapewnia skanowanie w czasie rzeczywistym zawartości IM oraz transferowanych plików zanim dotrą one do odbiorcy. Używa do tego wielu silników skanowania od różnych dostawców.

 

Serwery Baz Danych

Dla Serwerów Baz Danych wyznaczyć można cztery główne elementy ochrony przed szkodliwym oprogramowaniem:

Host. Serwer lub serwery z systemem baz danych.

Usługi bazodanowe. Poszczególne aplikacje uruchomione na hoście, dostarczające usług bazy danych przez sieć.

Przechowywanie danych. Dane przechowywane w bazie danych.

Dane komunikacji. Połączenia i protokoły, które wykorzystywane są w komunikacji między hostem bazy danych a innymi hostami w sieci.

Ponieważ dane przechowywane wewnątrz bazy nie są bezpośrednio wykonywalne, uważa się, że bazy nie wymagają skanowania. Obecnie nie istnieją aplikacje przeznaczone specjalnie dla baz danych. Jednak przy konfiguracji oprogramowania AV nie można zapominać ani o bazach, ani o danych komunikacji.

Zagrożenia atakiem malware należy uwzględnić także podczas lokowania i konfiguracji hosta. Zgodnie z ogólną zasadą nie zaleca się umieszczania serwerów baz danych w sieci obwodowej organizacji zwłaszcza, jeśli na serwerach przechowywane są dane poufne. Jednakże, jeżeli serwer bazy danych musi znajdować się w sieci obwodowej, należy upewnić się, że jest on skonfigurowany tak, aby ryzyko infekcji złośliwym oprogramowaniem zostało zminimalizowane. Na stornie Microsoftu można znaleźć wytyczne na temat konfiguracji systemu dla SQL Server.

 

Serwery Pracy Grupowej

Już sama natura serwerów pracy grupowej, takich jak SharePoint 2010, czyni je podatnymi na malware. Gdy użytkownik kopiuje pliki z oraz na serwer, może wystawić serwery innych użytkowników na atak złośliwego oprogramowania. Zaleca się ochronę współpracujących w środowisku organizacji serwerów za pomocą aplikacji skanujących wszystkie pliki przychodzące i wychodzące z naszej bazy. Aby uzyskać więcej informacji, zobacz Forefront Protection 2010 dla Microsoft SharePoint.

 

Pytania końcowe

Aby upewnić się, że odpowiednio zidentyfikowaliśmy opisane w powyższym rozdziale potencjalne zagrożenia dla serwerów, należy odpowiedzieć na następujące pytania:

Jakie produkty ochrony serwerów przed malware polecają istotni dostawcy takiego oprogramowania? Niektóre programy serwerowe przeznaczone są do pracy na zwykłym serwerze, podczas gdy inne wymagają specjalnych rozwiązań.

Czy rozmieszczenie serwera i bazy danych jest zgodne z prawami i wymogami bezpieczeństwa? Organizacje mogą mieć potrzebę przechowywania niektórych typów danych i aplikacji w firmowej bazie danych.

Czy zostały uwzględnione wszystkie geopolityczne problemy? Na przykład, jeśli firma posiada odrębne działy IT może zajść konieczność odrębnego zorganizowania ich pracy.

Czy nie należy odizolować serwerów pełniących różne role? Korporacyjne zasady lub regulacje rządowe mogą wymagać wyodrębnienia osobnych serwerów do przechowywania niektórych rodzajów danych lub dla niektórych części organizacji.

Czy pracownicy organizacji posiadają odpowiednią wiedzę, niezbędną do obsługi oprogramowania AV? Większe oddziały mają tendencję do zatrudniania wyspecjalizowanych pracowników, natomiast w mniejszych środowiskach często takich osób brakuje.

Czy posiadany sprzęt spełni warunki wymagane do instalacji oprogramowania AV?

Czy sprzęt serwera, po uruchomieniu oprogramowania AV, zapewni odpowiednią ochronę bez utraty wydajności? Niektóre oprogramowanie antymalware może mieć różne wymagania co do systemu operacyjnego dla serwerów lub do podjęcia współpracy z innym oprogramowaniem AV.

Jaki harmonogram aktualizacji da najlepszą ochronę serwerów? Harmonogram należy dopasować do oczekiwań i możliwości biznesowych organizacji.

 

Wszystkie części poradnika:

Cz. 1. Jak chronić się przed malware – poradnik dla użytkowników systemów Windows

Cz. 2. Identyfikacja potencjalnych zagrożeń

Cz. 3. Ochrona sieci

Cz .4. Ochrona komputerów klienckich

Cz .5. Ochrona serwerów

Cz .6. Zagrożenia fizyczne

Cz .7. Edukacja i plan reakcji

dodany: 31.12.2012 | tagi: , ,

Artykuł: Jak chronić się przed malware – cz. 4. Ochrona komputerów klienckich

0
Artykuł: Jak chronić się przed malware – cz. 4. Ochrona komputerów klienckich

Do nowego roku pozostało raptem kilkanaście godzin! Z tej okazji (i z każdej innej), warto zapoznać się z czwartą już częścią poradnika, który podpowiada jak chronić się przed malware.

Poprzedni rozdział koncentruje się na poradach dotyczących wdrażania ochrony sieci. Na tym etapie przybliżymy zagadnienia obrony warstwy komputera klienckiego. Istnieje cały szereg metod oraz technologii, które mogą zostać wykorzystane w celu obrony przed atakami wirusowymi. Należy jednak znaleźć rozwiązanie kompromisowe, czyli takie, które pozwoli osiągnąć równowagę między wymaganiami biznesowymi organizacji, a akceptowalnym poziomem ryzyka. Etap ten dzieli się na kilka mniejszych zadań, które należy rozważyć każde z osobna…

Przejdź do artykułu…

dodany: 31.12.2012 | tagi: , , ,

Jak chronić się przed malware – poradnik dla użytkowników systemów Windows – cz. 4. Ochrona komputerów klienckich

2

Krok 3: Ochrona komputerów klienckich

 

Poprzedni rozdział koncentruje się na poradach dotyczących wdrażania ochrony sieci. Na tym etapie przybliżymy zagadnienia obrony warstwy komputera klienckiego. Istnieje cały szereg metod oraz technologii, które mogą zostać wykorzystane w celu obrony przed atakami wirusowymi. Należy jednak znaleźć rozwiązanie kompromisowe, czyli takie, które pozwoli osiągnąć równowagę między wymaganiami biznesowymi organizacji, a akceptowalnym poziomem ryzyka. Etap ten dzieli się na kilka mniejszych zadań, które należy rozważyć każde z osobna:

 

1. Ograniczenie możliwości ataku.

2. Aktualizacja zabezpieczeń.

3. Ustawienie osobistego firewalla.

4. Instalacja oprogramowania antymalware.

5. Testowanie podatności na ataki.

6. Ograniczenie przywilejów.

7. Ograniczenie dostępu dla nieautoryzowanych aplikacji.

8. Ochrona aplikacji klienckich.

 

Zadanie 1: Ograniczenie możliwości ataku

Pierwsza krokiem ku obronie w warstwie aplikacji jest ograniczenie możliwości ataku na komputer. By zminimalizować możliwości czy liczbę sposobów dających się wykorzystać do ataku na system, należy wyłączyć bądź usunąć wszystkie zbędne aplikacje i/lub usługi. Funkcję scentralizowanego zarządzania komputerami działającymi na systemach operacyjnych Windows wraz z Windows Internet Explorer oraz aplikacjami Microsoft Office) zapewnia Compliance Manager Microsoft Security (w skr. SCM). Głównym zadaniem skanera jest wykrywanie i zapobieganie atakowi, a następnie powiadomienie o zajściu użytkownika i administratora.

 

Zadanie 2: Aktualizacja zabezpieczeń

Sama liczba oraz różnorodność komputerów klienckich podłączonych do sieci firmowej może utrudnić znalezienie przepisu na szybki i niezawodny sposób zarządzania aktualizacjami zabezpieczeń. Microsoft oraz inne firmy opracowały szereg narzędzi, które mogą być pomocne w rozwiązaniu tego problemu. Aby uzyskać więcej informacji dotyczących sposobu zarządzania aktualizacjami w systemach korporacyjnych, zobacz stronę TechCenter.

Ważne: Dodatki do przeglądarek internetowych, takie jak Flash i Adobe Reader to obecnie jedne z najbardziej popularnych celów złośliwych ataków. Z tego powodu ważne jest, aby pamiętać, że użycie samej usługi Microsoft Update i Windows Update nie ochroni komputerów przed złośliwym wykorzystaniem podatnych luk znajdujących się w innym oprogramowaniu.

 

Aktualizacja oprogramowania Microsoftu

Dla małych organizacji lub osób prywatnych, Microsoft oferuje dwa rodzaje update’u, zintegrowanego z funkcją automatycznej aktualizacji w systemie Windows:

Windows Update. Usługa ta umożliwia aktualizację składników systemu Windows oraz sterowników dla urządzeń dostarczanych zarówno przez Microsoft, jak i innych producentów oprogramowania. Windows Update uaktualnia także sygnatury dla antywirusowych produktów Microsoftu oraz swojego Malicious Software Removal Tool (w skr. MSRT). Usługa jest domyślnie włączona w Windowsie.

Microsoft Update. Usługa ta jest poszerzeniem poprzedniej. Zapewnia wszystkie aktualizacje oferowane przez Windows Update oraz update innych programów Microsoftu, takich jak Microsoft Office System, Microsoft SQL Server i Microsoft Exchange Server. Użytkownicy mogą wybrać tę opcję podczas instalacji oprogramowania lub za pośrednictwem witryny Microsoft Update.

Microsoft oferuje również rozwiązania dla opartych o serwer infrastruktur każdej wielkości. Opcje zawierają te same aktualizacje, które dostępne są za pośrednictwem usługi Windows Update i Microsoft Update, ale dają również dodatkowe możliwości kontroli.

Windows Server Update Services (w skr. WSUS). Usługa ta przeznaczona jest dla przedsiębiorstw. WSUS pozwala administratorom IT na wdrażanie najnowszych aktualizacji produktów Microsoftu na komputerach z systemem operacyjnym Windows. Za pomocą usług WSUS, administratorzy mogą w pełni zarządzać aktualizacjami wydawanymi przez Microsoft Update na komputerach będących w sieci.

System Center Configuration Manager. System Center Configuration Manager 2007 R2 wspiera Windows 7 i Windows Server 2008 R2 oraz zapewnia aktualizację systemu operacyjnego, umożliwiając rozwój Configuration Manager. Pozostałe funkcje zawarte w oprogramowaniu obejmują raportowanie stanu klienta, raportowanie SQL i sprawozdania z Forefront Client.

Każde z tych narzędzi aktualizacji zabezpieczeń od Microsoftu charakteryzują określone zalety i cele. Najlepszym rozwiązaniem jest używanie chociaż jednego lub wielu z nich.

Aktualizacja innego oprogramowania

Chociaż Microsoft Update i inne wymienione wcześniej usługi zapewniają aktualizacje dla produktów firmy Microsoft, ważne jest, aby zadbać o strategię aktualizacji całego oprogramowania, a szczególnie tego, które narażone jest na ataki internetowe. Kiedy systemy operacyjne i przeglądarki internetowe stały się bardziej bezpieczne, napastnicy zaczęli zwracać uwagę na wykorzystanie luk w dodatkach do tychże przeglądarek, takich jak np. ActiveX (pozwalający użytkownikom na odtwarzanie popularnych typów formatów multimedialnych bezpośrednio w środowisku przeglądarki). Wiele z tych rozszerzeń nie ma możliwości aktualizacji automatycznej, więc nawet gdy twórcy oprogramowania opublikują poprawkę łatającą luki, użytkownik może w ogóle nie wiedzieć ani że jest ona dostępna, ani w jaki sposób można ją zdobyć i tym samym pozostaje stale podatny na ataki.

Wiele firm oferuje rozwiązania zarządzania poprawkami, łączące aktualizacje zabezpieczeń od różnych dostawców oprogramowania. W celu uproszczenia procesu aktualizacji oprogramowania wszystkich komputerów w sieci firmowej warto zastanowić się nad realizacją jednego z powyższych rozwiązań.

 

Zadanie 3: Ustawienie firewalla

Osobisty firewall (oparty na hoście) stanowi ważną część obrony klienta. Powinien być włączony na wszystkich komputerach klienckich w organizacji, a w szczególności na laptopach, które mogą być używane poza organizacją. Zapora filtruje wszystkie dane wchodzące oraz wychodzące z danego komputera.

 

Zadanie 4: Instalacja oprogramowania antymalware

Wiele programów AV zostało stworzonych tak, by ich obsługa i praca sprawiały użytkownikowi jak najmniej kłopotów, wymagały jak najmniejszej interakcji. Większość z tych programów jest bardzo skuteczna, ale wszystkie wymagają częstych, bieżących aktualizacji bazy wirusów. Każdy program antymalware powinien zapewniać jak najszybszą i bezproblemową możliwość aktualizacji sygnatur, zawierających niezbędne informacje do wykrywania i unieszkodliwiania najnowszych wirusów oraz ich odmian.

Rozwiązania antymalware dla dużych organizacji, pozwalają na scentralizowane monitorowanie i kontrolę oprogramowania na wszystkich komputerach klienckich w firmie. Niektóre programy AV działają w oparciu o proaktywne mechanizmy, takie jak heurystyka, piaskownica (z ang. sandbox) czy metoda skanowania behawioralnego. Sandbox jest mechanizmem bezpieczeństwa, służącym do oddzielania uruchomionych programów, gdy któryś wzbudzi podejrzenia. Często używa się go do testowania niesprawdzonych kodów, podejrzanych programów, witryn czy użytkowników.

Mimo tak nowoczesnych technik, oprogramowanie antywirusowe nadal uważane jest za narzędzie bierne. Jednym z najważniejszych atrybutów stosowania oprogramowania AV jest jego zdolność do szybkiego reagowania i „sprzątanie” sieci po katastrofie wywołanej złośliwym atakiem. Ostatnio niektórzy producenci oprogramowania antymalware umożliwili korzystanie ze swoich produktów w chmurze, przez co programy obsługiwane są przez interfejs WWW. Takie rozwiązanie może ułatwić mniejszym organizacjom korzystanie z oprogramowania AV, ponieważ wyklucza ono fizyczną potrzebę posiadania np. osobnego serwera, a co za tym idzie ponoszenia kosztów zakupu itd.

 

Zadanie 5: Testowanie podatności na ataki

Po konfiguracji systemu, należy upewnić się czy nie istnieją jeszcze jakieś słabość w zabezpieczeniach. Istnieje cały szereg programów umożliwiających skanowanie w celu sprawdzenia wytrzymałości systemu na ataki malware oraz wyszukujących luki, które mogą być wykorzystane do włamania. Najlepiej skonfigurować swoje oprogramowanie tak, by dokonywało rutynowych kontroli bezpieczeństwa systemu.

 

Zadanie 6: Ograniczenie przywilejów

Innym obszarem obrony, którego nie można przeoczyć, jest przypisywanie przywilejów użytkownikom sieci. Zalecane jest przyjęcie takiej polityki, która zapewni użytkownikowi możliwie najmniejszą ilość uprawnień. Takie restrykcje mogą korzystnie wpłynąć na zminimalizowanie skutków szkodliwego oprogramowania, wykorzystującego często uprawnienia użytkowników podczas wykonywania ich pracy.

 

Zadanie 7: Ograniczenie dostępu dla nieautoryzowanych aplikacji

Jeśli jakaś aplikacja świadczy usługi w sieci lub w Internecie, jak IM, naraża ona nasz system na atak. By zminimalizować możliwość ryzyka, warto stworzyć listę aplikacji autoryzowanych.

Aby ograniczyć użytkownikom możliwość uruchomienia nieautoryzowanego programu, można zastosować zasadę „polityki grupowej”. Jest to możliwe już z poziomu systemu Windows XP czy Windows Vista. Narzędzie Zasady Ograniczeń Oprogramowania (z ang. Software Restriction Policies, w skr. SRP) pozwala administratorom na ograniczenie dostępu do aplikacji w oparciu o różne wyznaczniki: w tym hasz pliku (z ang. hash rule), ścieżka (z ang. path rule), przynależność użytkownika do „grupy zaufania” etc. Poniżej przykłady kilku reguł, jakich utworzenie umożliwia SRP.

Hash rule, to reguła bazująca na danych z kryptograficznego „odcisku palca” (czyli skrótu) aplikacji. Zaletą jej zastosowania jest jej stałość. Reguła obowiązuje niezależnie od zmiany nazwy czy lokalizacji programu. Niestety obowiązuje ona tylko dla jednej wersji aplikacji, co oznacza, że po aktualizacji danej aplikacji należy również zadbać o aktualizację reguły o nowe odciski.

Path rule, to reguła opierająca się o lokalizację. Pozwala na zezwalanie lub blokowanie dostępu do tych aplikacji, które znajdują się w konkretnym folderze/dysku. Istnieje możliwość odwołania się do rejestru systemowego.

Certificate rule, to reguła bazująca na certyfikacie. Umożliwia zdefiniowanie klucza, wg którego narzędzie zezwoli na uruchomienie lub zablokuje aplikację podpisaną certyfikatem.

Szczegóły dotyczące reguł SRP oraz ich konfiguracji można znaleźć na stronie wsparcia Microsoftu.

 

Narzędzie SRP spotkało się z zarzutami o trudny sposób konfiguracji. Windows 7 zawiera już zaktualizowaną i ulepszoną wersję SRP, nazywającą się AppLocker. Funkcja ta jest łatwiejsza w obsłudze i zapewnia nowe możliwości i rozszerzenia, zmniejszając tym samym obciążenie administratora. Pomaga ona w kontroli dostępu i sposobu korzystania użytkowników z plików, takich jak pliki wykonywalne, skrypty, pliki Instalatora Windows i Dynamic-Link Library (w skr. DLL). AppLocker nie zastępuje SRP, a działa obok. Należy jednak dokładnie przetestować obie technologie przed ich wdrażaniem, ponieważ jeśli skonfigurujemy je nieprawidłowo, użytkownicy mogą nie być w stanie uruchomić np. niezbędnych, legalnych aplikacji biznesowych.

 

Zadanie 8: Ochrona aplikacji klienckich

Poniżej wyszczególniono sposoby konfiguracji specyficznych aplikacji, które najbardziej narażone są na ataki malware.

 

Przeglądarki internetowe

Użytkownicy powinni pobierać pliki z Internetu lub wykonywać kody jedynie wtedy, jeżeli pochodzą one ze znanego, wiarygodnego źródła. W żadnym wypadku nie należy polegać tylko na wyglądzie witryny lub adresie strony, ponieważ zarówno strona, jak i jej adres mogą być ukryte. Ponadto należy pamiętać o bieżących aktualizacjach dodatków albo całkowicie je odinstalować.

Opracowano wiele różnych technik i technologii mogących pomóc w ocenie wiarygodności przeglądanej witryny. Na przykład Microsoft Internet Explorer używa technologii Microsoft Authenticode, sprawdzającej autentyczność pobranego kodu. Technologia ta sprawdza czy kod ma ważny certyfikat oraz czy tożsamość wydawcy oprogramowania pasuje do certyfikatu. Jeśli witryna przechodzi wszystkie testy pozytywnie, szanse atakującego na przekazanie do systemu złośliwego kodu maleją. Większość najpopularniejszych przeglądarek internetowych pozwala na ograniczenie dostępu dla kodu wykonywanego przez serwer WWW. IE tworzy strefy bezpieczeństwa w zależności od zawartości witryn, które blokują możliwość wykonania szkodliwego kodu.

Na przykład, jeśli jesteśmy przekonani, że coś, co chcemy pobrać w obrębie wewnętrznej sieci jest bezpieczne, możemy wtedy ustawić niski poziom zabezpieczenia. Jednak jeśli źródło pobieranego pliku znajduje się w Internecie lub w grupie witryn z „czarnej listy”, ustawienia bezpieczeństwa można określić na poziomie średnim lub wysokim. Dzięki tym ustawieniom, przeglądarka sprawdzi treści albo wyświetli powiadomienie, np. o podejrzeniu fałszywego certyfikatu, jeszcze zanim użytkownik pobierze plik.

Internet Explorer używa także SmartScreen Filter, który jest podstawową technologią pomagającą w ochronie użytkowników sieci. Cechą SmartScreen jest sprawdzanie reputacji URL, co oznacza, że narzędzie ocenia serwery hostingowe w celu określenia czy nie zawierają one niebezpiecznych treści. Jeśli użytkownik odwiedzi witrynę, która znana jest z dystrybucji złośliwego oprogramowania, Internet Explorer wyświetli wtedy ostrzeżenie oraz zablokuje dostęp do strony.

 

Poczta elektroniczna

Jeśli kiedykolwiek w przeszłości złośliwemu oprogramowaniu udało się przedrzeć do systemu poprzez pocztę elektroniczną, oznacza to, że być może jeszcze nie wszystkie ustawienia zostały odpowiednio skonfigurowane.

Włamywacze bardzo często wykorzystują e-mail do rozprzestrzeniania szkodliwego oprogramowania. W przeszłości kilka poważnych „epidemii” rozprzestrzeniało się przez robaki lub trojany rozsyłane masowo jako załączniki wiadomości. Malware jeszcze czasem rozprzestrzenia się w ten sposób, ale dziś wielu napastników przestawiło się na rozsyłanie wiadomości zawierających bezpośrednie linki do zainfekowanych plików albo do stron pobierania. Można więc rozważyć możliwość ograniczenia zdolności klientów poczty elektronicznej do otrzymywania niektórych typów plików (np. *.exe) lub uniemożliwienia klikania w hiperłącza. Tu również administratorzy mogą zastosować zasadę „polityki grupowej”, chociażby do skonfigurowania programu Microsoft Outlook tak, by przestrzegał pewnych ograniczeń. Na przykład:

• Korzystanie ze stref bezpieczeństwa Internet Explorera, w celu wyłączenia aktywnej zawartości wiadomości e-mail.

• Wyświetlanie wszystkich wiadomości e-mail w formacie zwykłego tekstu.

• Zapobieganie wysłaniu wiadomości bez specjalnego zezwolenia użytkownika.

• Blokowanie w e-mailach niebezpiecznych załączników.

Powyższe środki zaradcze mogą mieć dodatkowo pozytywny wpływ na wydajność systemu. Ponieważ niektóre dynamiczne treści zawarte w wiadomości zostaną wyłączone, zmniejszy się obciążenie łącza. Jednak i tu należy rozważyć możliwość ograniczenia uprawnień względem niezbędnych funkcji czy potrzeb dla funkcjonowania danej organizacji. Na przykład, niektóre aplikacje biznesowe, wykorzystujące e-mail do wykonywania procesów biznesowych, mogą zostać automatycznie zablokowane lub stale wymagać od użytkowników potwierdzenia dostępu do programu Outlook, gdy aplikacja spróbuje wysłać wiadomość.

 

Aplikacje biurowe

Od kiedy aplikacje biurowe stały się bardziej wydajne, zaczęły tym samym być bardziej podatne na ataki malware. Na przykład makrowirusy używają plików makr, utworzonych przez edytory tekstu (szczególnie Microsoft Office), arkusze kalkulacyjne lub inne aplikacje działające w oparciu o replikowanie danych.

Należy więc upewnić się, że wszelkie, najbardziej odpowiednie ustawienia zabezpieczeń zostały włączone we wszystkich aplikacjach operujących takimi plikami.

 

Komunikatory

Możliwość wysłania błyskawicznych wiadomości wpłynęła na usprawnienie komunikacji między użytkownikami na całym świcie. Niestety, zjawisko to zagwarantowało złośliwym programistom nowe możliwości wdarcia się do systemów swoich ofiar. Chociaż wiadomości tekstowe nie są bezpośrednio zagrożone atakiem, większość komunikatorów, w celu usprawnienia komunikacji, umożliwia dodatkowo transfer plików. Proces przesyłania plików uruchamia bezpośredni dostęp do sieci firmowej.

Aby zablokować transfer plików, można włączyć w Zaporze sieciowej proste filtrowanie portów używanych przez komunikator. Na przykład, Windows Live Messenger do przesyłania plików korzysta z wielu portów TCP pomiędzy 6891 i 6900, więc jeśli zapora zablokuje obwody tych portów, transfer plików za pomocą tego programu nie będzie mógł się odbywać. Jednak komputery mobilne będą chronione tylko wtedy, kiedy znajdują się w sieci organizacji. Z tego powodu, należy dodatkowo rozważyć skonfigurowanie firewalla na każdym komputerze.

Może tak się zdarzyć, że nie będziemy mieć możliwości zablokowania danych portów, bo na przykład specyfika pracy organizacji wymaga używania takiego właśnie sposobu komunikacji i przesyłu danych. Wszystkie pliki należy wtedy, przed przeniesieniem dalej, przeskanować programem AV. Jeżeli stacje robocze nie używają oprogramowania AV w czasie rzeczywistym, tzn. nie skanują plików na bieżąco, można skonfigurować komunikator tak, by automatycznie przekazywał przychodzące pliki do skanowania przez wyspecjalizowane oprogramowanie. Można skonfigurować w ten sposób np. Windows Live Messenger.

Poniższej pokazujemy jak włączyć funkcję skanowania przesyłanych plików w Windows Live Messenger 2009.

1. W głównym oknie programu Windows Live Messenger, kliknij przycisk Pokaż menu, kliknij Menu narzędzia, a następnie kliknij polecenie Opcje.

2. W oknie nawigacji kliknij ikonę Transfer plików.

3. W polu wyboru wybierz Skanuj w poszukiwaniu wirusów.

4. Teraz można wykonać jedną z następujących czynności:

• Kliknij przycisk Przeglądaj, wybierz oprogramowanie AV, z którego korzystasz, a następnie kliknij przycisk OK.

Uwaga: Poprawne działanie procesu może wymagać dodatkowych ustawień w programie AV. Należy więc sprawdzić w instrukcji wymagania naszego oprogramowania.

• Kliknij przycisk Zainstaluj, aby pobrać i zainstalować Windows Live OneCare – skaner plików przesłanych przez Microsoft Windows Live Messenger.

Po wykonaniu czynności oprogramowanie antymalware będzie automatycznie skanować wszystkie pliki odebrane przez Windows Live Messenger.

Zaleca się, na ile to możliwe, ograniczenie liczby komputerów, uprawnionych do korzystania z klientów sieci peer-to-peer (w skr. P2P). Aplikacje ograniczające oprogramowanie, takie jak AppLocker, mogą być pomocne w zablokowaniu użytkownikom możliwości uruchamiania aplikacji P2P. Jeżeli wyeliminowanie takiego oprogramowania nie jest możliwe należy pamiętać, że jego działanie zwiększa ryzyko ataków złośliwego oprogramowania.

 

Pytania końcowe

 

Czy istnieją jakieś prawne obawy ze względu na geograficzną lokalizacje używanych aplikacji? Niektóre wymogi prawne i międzynarodowe regulacje mogą zakazywać używania wybranych aplikacji w określonych regionach geograficznych.

Czy używane przez organizację komputery spełniają wymogi do uruchomienia mieszanki oprogramowania antymalware bez uszczerbku dla wydajności ich działania?

Czy poszczególne komputery klienckie zostały odpowiednio skonfigurowane do skutecznego zarządzania bezpieczeństwem? Niektóre technologie omówione w powyższym kroku, jak AppLocker, są kompatybilne tylko z niektórymi wersjami systemu Windows. Należy więc upewnić się, że posiadane komputery są w stanie spełnić wszystkie, niezbędne elementy planu ochrony.

Czy organizacja posiada odpowiednie narzędzia do centralnego zarządzania zabezpieczeniami oraz do egzekwowania przyjętej polityki? „Polityka grupowa”, System Center Configuration Manager oraz inne narzędzia i rozwiązania mogą znacznie ułatwić wdrażanie i egzekwowanie aktualizacji oraz wpłynąć na proces zmian w działaniu całej organizacji.

Czy w przyszłości organizacja planuje jakieś inwestycje w aplikacje, które będą wymagały ochrony? Czy któreś z poniższych, ewentualnych zmian, należy uwzględnić w palnie obrony przed malware:

– Nabycia lub sprzedaże.

– Aplikacje, z których trzeba będzie zrezygnować bądź wymienić je na nowe.

– Rozrost lub spadek rozmiaru plików.

– Wprowadzenie nowych aplikacji, wymagających ochrony.

Jaki harmonogram aktualizacji da najlepszą ochronę komputerów? Harmonogram należy dopasować do oczekiwań i możliwości biznesowych organizacji.

Czy strategia obrony zapewni również odpowiednią ochronę użytkownikom mobilnym, korzystającym z zasobów organizacji? Podczas projektowania strategii obrony komputerów przed malware, łatwo przeoczyć niektóre segmenty infrastruktury. Należy uwzględnić takie czynniki, jak zdalny dostęp, dostęp do Internetu, a także wsparcie dla innych oddziałów.

 

Wszystkie części poradnika:

Cz. 1. Jak chronić się przed malware – poradnik dla użytkowników systemów Windows

Cz. 2. Identyfikacja potencjalnych zagrożeń

Cz. 3. Ochrona sieci

Cz .4. Ochrona komputerów klienckich

Cz .5. Ochrona serwerów

Cz .6. Zagrożenia fizyczne

Cz .7. Edukacja i plan reakcji