Jak omezit spouštění nebezpečného kódu



Podobné dokumenty
Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Zásady zabezpečení pro uživatele GPRS

Identifikátor materiálu: ICT-2-03

Bezpečnost v ICT Anotace V souboru typu pdf uzpůsobenému k promítání jsou uvedeny informace o. Jazyk Autor. Firewall, záloha dat, antivir, zcizení dat

Obsah. Kapitola 1. Kapitola 2. Pár slov úvodem 11 Co se v knize dozvíte 13

Desktop systémy Microsoft Windows

Vzdálená správa v cloudu až pro 250 počítačů

Ope p r e a r čn č í s ys y té t m é y y Windo d w o s Stručný přehled

Výukový materiál zpracovaný v rámci projektu CZ.1.07/1.4.00/ , Modernizace výuky

Pro označení disku se používají písmena velké abecedy, za nimiž následuje dvojtečka.

Název materiálu: Antivirová ochrana

MBus Explorer MULTI. Uživatelský manuál V. 1.1

Obsah. Kapitola 1. Kapitola 2 KAPITOLA 3. Úvod 9

Identifikátor materiálu: ICT-2-05

Desktop systémy Microsoft Windows

Číslo a název šablony III / 2 = Inovace a zkvalitnění výuky prostřednictvím ICT

Group policy. Jan Žák

Malware. počítačové viry, počítačové červy, trojské koně, spyware, adware

Windows Server 2003 Active Directory GPO Zásady zabezpečení

Daniela Lišková Solution Specialist Windows Client.

APS mini.ed programová nadstavba pro základní vyhodnocení docházky. Příručka uživatele verze

Systémové nástroje ve Windows XP výběr nejdůležitějšího

Uživatelská dokumentace

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí,

Správa zařízení Scan Station Pro 550 a Servisní nástroje zařízení Scan Station

Uživatelská příručka

Služba ve Windows. Služba (service) je program

Téma 11: Instalace a práva programů. Téma 11: Instalace a práva programů

Systém CA Host-Based Intrusion Prevention System r8

Dalibor Kačmář

Implementace systémů HIPS: ve znamení 64bitových platforem. Martin Dráb

TRAPS PRVNÍ SKUTEČNĚ FUNGUJÍCÍ OCHRANA PRO DESKTOPY A SERVERY

Nastavení klientských stanic pro webové aplikace PilsCom s.r.o.

Téma 3: Správa uživatelského přístupu a zabezpečení I. Téma 3: Správa uživatelského přístupu a zabezpečení I

Škodlivý kód, útok na aplikace. Ing. Miloslav Hub, Ph.D. 5. prosince 2007

Podzim povzdychne, stále mumlá a odchází. On je prostě šaman!

1. POSTUP INSTALACE A KONTROLA NASTAVENÍ MICROSOFT SQL SERVERU 2005 EXPRESS:

PB169 Operační systémy a sítě

Microsoft Windows 7. Mgr. Krejčí Jan (UJEP) Microsoft Windows října / 28

Ceník. Sestavení nového PC. platný od Druh práce Cena Popis činnosti. Windows v ceně. Vše v jednom. Proč my?

- PC musí být připojené v lokální síti - je bezpodmínečně nutné, aby aplikace Outlook nebyla aktivní)

INSTALACE SOFTWARE PROID+ NA MS WINDOWS

Informační a komunikační technologie. 1.5 Malware

Nápověda k aplikaci EA Script Engine

Desktop systémy Microsoft Windows

ProjectWise V8 XM Edition

ESET NOD32 Antivirus. pro Kerio. Instalace

Číslo a název šablony III/2 Inovace a zkvalitnění výuky prostřednictvím ICT. Popis výukového materiálu Soubory, typy souborů, komprimace

Nastavení klientských stanic pro webové aplikace PilsCom s.r.o.

Ukázka knihy z internetového knihkupectví

1.2 Operační systémy, aplikace

Nastavení DCOM. Uživatelský manuál

Windows 2008 R2 - úvod. Lumír Návrat

Téma 8: Konfigurace počítačů se systémem Windows 7 IV

VÝUKOVÝ MATERIÁL. Bratislavská 2166, Varnsdorf, IČO: tel Číslo projektu

APS Administrator.CR

Testovací protokol USB Token Cryptomate

Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115

!! UPOZORNĚNÍ!! Po nainstalování programu nezapomeňte instalovat Sestavy a Aktualizaci!! Pokyny k instalaci

Vytvoření bootovatelného média

František Hudek. duben ročník

EvMO postup při instalaci

APS Administrator.OP

Aplikace a služba Money Dnes Publisher v deseti krocích

Slovník pro Acronis True Image 2017

Bezpečnostní aspekty informačních a komunikačních systémů KS2

BankKlient. FAQs. verze 9.50

Správa stanic a uživatelského desktopu

EvMO postup při instalaci

Bezpečnost a virová problematika

Serverové systémy Microsoft Windows

Základní informace pro zprovoznění Aktovky Dozory IS MPP

FIREMNÍ CERTIFIKÁT V APLIKACI PŘÍMÝ KANÁL NÁVOD PRO KLIENTY

Řešení pro správu klientů a mobilní tisk

9. Software: programové vybavení počítače, aplikace

PREMIER E Agent. Jak to funguje?

Pohledem IT experta.

Pohledem managementu firmy.

ZÁLOHA A OBNOVA ABRA GEN

Základní zabezpečení. Ing. Radomír Orkáč , Ostrava.

Manuál pro práci s kontaktním čipem karty ČVUT

Postup instalace umožňující el. podpis v IS KP14+ pro Internet Explorer 11 přes novou podpisovou komponentu.

Střední odborná škola a Střední odborné učiliště, Hořovice

Operační systémy. Cvičení 1: Seznámení s prostředím

Instalace a od-instalace aplikace Google / Android

Programové vybavení OKsmart pro využití čipových karet

Velký křízovkářský slovník 4.0 (VKS) Instalace programu

CYCLOPE PRINT MANAGEMENT SOFTWARE- UŽIVATELSKÁ PŘÍRUČKA

Instalace Microsoft SQL serveru 2012 Express

Antivirová ochrana úvod :

Ukázka knihy z internetového knihkupectví

Uživatelská příručka pro práci s Portálem VZP. Test kompatibility nastavení prohlížeče

S ovladačem do jádra! Martin Dráb

Masarykova střední škola zemědělská a Vyšší odborná škola, Opava, příspěvková organizace

Počítačové viry. a další nebezpečí

INSTALACE SW PROID+ V OS WINDOWS

plussystem Příručka k instalaci systému

Transkript:

Jak omezit spouštění nebezpečného kódu V předchozím čísle DSM se článek s názvem Spyware, adware a další věnoval problému nebezpečného kódu na počítači s operačním systémem MS Windows. Tento článek na něj navazuje a věnuje se způsobům, pomocí nichž lze ve spouštění takového kódu bránit. Klasický způsob představuje antivirový program; další variantou je povolit spouštění jen autorizovaných programů. Nejčastější způsob, kterým antivirové programy detekují nebezpečný či škodlivý kód, využívá jedinečné identifikační řetězce signatury. Tvůrce antivirového programu sbírá všechny dostupné 1 viry a vytváří pro ně signatury. Tisíce takových signatur tvoří databázi, která je pravidelně distribuována na počítače, které vyžadují antivirovou ochranu. Když pak antivirový skener prochází soubory na disku nebo když provádí online kontrolu, porovná soubor s každou ze signatur a určí, zda se jedná o virus nebo ne. Takovým způsobem lze ale detekovat jen známé viry. Dokonce i antiviry využívající heuristické algoritmy, které viry detekují podle jejich chování, dokážou zachytit jen variace známých virů nebo programy, které jako viry vypadají či se tak chovají. Celý systém signatur má ovšem několik slabin. Jednou z nich je možnost rychlého vytváření velkého počtu nových variant virů s odlišnými signaturami například prostřednictvím tzv. kompresorů 2 (PECompact, AS Pack, Cexe, Pklite apod.). Jedná se o programy schopné komprimovat spustitelné EXE soubory tak, že zůstanou spustitelné i po komprimaci, ale jejich signatura se tím samozřejmě změní a klasický antivirový program je již není schopen detekovat. Než zjistí tvůrce antivirového programu, že existuje nová varianta viru, a než dojde k distribuci potřebných signatur, vzniká nepříjemná několikadenní prodleva, kdy se může škodlivý kód bez problémů šířit. Viry mohou detekci unikat i jinými způsoby. Polymorfní viry jsou schopné modifikovat svůj vlastní kód a zachovat si stejnou funkci. Metamorfní viry nejen mění svůj kód, ale částečně i svou funkci. Viry mohou detekovat své antivirové protivníky a pokoušet se je vyřadit z provozu. Častá je i situace, kdy antivirový program spuštění nebezpečného programu vyhodnotí jako legitimní činnost oprávněného uživatele. To se týká zejména tzv. škodlivého mobilního kódu (mobile malware), jehož typickými zástupci jsou různé skripty (JavaScript, VBScript), ActiveX komponenty a Java applety. Typické řešení bezpečnosti PC využívá kombinaci firewall a antivirový program; pro boj se spywarem a adwarem pak nějaký další program jako je Ad aware, Spybot Search & Destroy, PestPatrol, BPS Spyware Remover apod. Vzhledem k tomu, že různé kombinace uvedených programů jsou při detekci i odstraňování škodlivých programů různě úspěšné, může v běžném uživateli vzniknout představa, že potřebuje mít takových bezpečnostních programů co nejvíce. Naštěstí se zdá, že vytvářet a prodávat firewally i antiviry je dobrý obchod, takže se jejich tvůrci snaží nezaostat za konkurencí a přidávají do svých produktů stále další a další funkce. Sice tak vznikají komplexní softwarové balíky, které se poměrně obtížně konfigurují, ale na druhou stranu se objevují některá zajímavá řešení. Například Norman Virus Control a Tiny Personal Firewall obsahují tzv. sandbox, což je přesně ohraničené prostředí, ve kterém má malware možnost provádět své nekalé akce a odhalit se bez toho, aby to nějak ohrozilo celý počítačový systém. 1 Samozřejmě sbírá nejen viry, ale i jiné druhy malwaru. Toto zjednodušení má zlepšit čitelnost textu. 2 V angličtině se pro kompresor používají názvy packer nebo PE compressor.

Firma Microsoft se v průběhu doby několikrát pokusila reagovat na explozi malwaru ve Windows prostřednictvím řady mechanismů, ale jen s částečným úspěchem. Tak se postupně objevil Authenticode, bezpečnostní zóny Internet Exploreru, kontrola příloh v Outlooku a objektový model OMG (Outlook Object Model Guard), který zabraňoval automatizovanému průchodu adresářem obsahujícím e mailové adresy, dále podepisování maker MS Office a také se zvýšila bezpečnost skriptovacího jádra. Ve Windows XP se poprvé objevila možnost stanovit systematická pravidla, která by omezovala schopnost uživatele spouštět programy. Politika omezující spouštění softwaru (Software Restriction Policy) Ve Windows XP a Windows 2003 je možné ovlivnit spouštění programů nejen vhodným nastavením přístupových práv, ale též dodatečnými pravidly zvanými Software Restriction Policy (dále jen 3 SRP). Tato pravidla stanovuje administrátor buď na lokálním stroji prostřednictvím konzoly Local Security Settings (secpol.msc, viz. obr. 1) nebo centralizovaně v aktivním adresáři prostřednictvím GPO objektů. Existuje několik různých druhů pravidel, které se definují v části Security Levels a Additional Rules, a které různým způsobem přistupují k úloze identifikovat spouštěný software. Nejprve se musí administrátor rozhodnout jaká bude implicitní bezpečnostní úroveň a zbývající pravidla pak jsou chápána jako výjimky z této úrovně. Implicitní bezpečnostní úroveň může nabývat dvou hodnot: hodnota Disallowed zakazuje spouštět software bez ohledu na přístupová práva uživatele, hodnota Unrestricted znamená, že schopnost spouštět software závisí na přístupových právech uživatele. Pokud administrátor ví, že na počítači bude moci uživatel spouštět jen několik přesně definovaných aplikací, nastaví bezpečnostní úroveň na hodnotu Disallowed, tím zakáže 4 spouštět jakýkoli software a pomocí dalších pravidel povolí spouštět jen požadované aplikace. Pokud administrátor dopředu neví jaký software bude třeba spouštět, nastaví bezpečnostní úroveň na Unrestricted a pomocí dalších pravidel začne software zakazovat. 3 http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/rstrplcy.mspx 4 Existují ale důležité výjimky. SRP se nevztahuje na ovladače a software pracující v režimu jádra, na programy spuštěné některým z účtů System, Local Service a Network Service, ani na makra MS Office, která by se měla chránit digitálním podpisem.

Obr. 1: Nastavení SRP pomocí konzoly Local Security Settings Kromě implicitní bezpečnostní úrovně existují čtyři další typy pravidel, které se liší způsobem identifikace softwaru. Jedná se o pravidlo obsahující hash hodnotu, certifikát, cestu a zónu Intenetu. Hash hodnota jedinečně identifikuje soubor bez ohledu na to, jak se jmenuje, nebo kde se právě na disku nachází. Podobně je tomu i v případě certifikátu. Ten lze ale použít jen u takového softwaru, který je možné digitálně podepsat. Typicky se jedná o ActiveX komponenty nebo skripty, které organizace využívá. Asi nejčastěji používaným pravidlem je pravidlo obsahující cestu (viz. obr. 2). Může jít o fyzickou 5 adresářovou cestu, o UNC cestu nebo o cestu uloženou v registru. Pokud cesta určuje adresář, bude pravidlo platit pro veškerý software v tomto adresáři a v adresářích v něm vnořených. Cesta může obsahovat i systémové proměnné, takže ji lze přizpůsobit například právě přihlášenému uživateli. Jen je nutné si uvědomit, že systémová proměnná není chráněna přístupovými právy, takže uživatel, který je schopen spustit příkazový řádek, může její obsah dle libosti změnit. Cesta může obsahovat i zástupné znaky? a *. Například pravidlo *.vbs identifikuje všechny soubory obsahující VBScript. Obr. 2: Ukázka SRP pravidel Některé aplikace si své instalační adresáře ukládají do registru Windows. V takovém případě je možné vytvořit cestu, která bude obsahovat odpovídající klíče registru. Na obrázku 2 jsou čtyři takové cesty, které se vytvoří automaticky, jakmile začne administrátor konfigurovat SRP na 5 UNC Uniform Naming Convention označuje cestu k prostředku v MS síti. UNC cesta má tvar //jméno_počítače/jméno_sdíleného_prostředku

lokálním stroji. Je patrné, že cesta v registru musí být ohraničena znakem %. Pravidla uvedená na obrázku pak definují toto: lze spouštět programy v adresáři C:\Windows, dále všechny EXE soubory tamtéž, všechny EXE soubory v adresáři C:\Windows\System32 a všechny programy v adresáři C:\Program Files. Mezi několika pravidly obsahujícími cestu má přednost to pravidlo, které je nejvíce specifické, které software nejpřesněji určuje. Pravidlo obsahující zónu Internet Exploreru slouží k identifikaci softwaru přicházejícího z odpovídající zóny. Bohužel ho lze v současnosti použít jen pro jediný typ softwaru pro instalační soubor s příponou *.MSI a nikoli pro libovolný software stažený prostřednictvím Internet Exploreru. Všechna pravidla jsou vyhodnocována v pevně stanoveném pořadí: 1. pravidlo s hash hodnotou, 2. pravidlo s certifikátem, 3. pravidlo obsahující cestu, 4. pravidlo obsahující zónu Internetu a nakonec 5. implicitní úroveň bezpečnosti. Uplatňování pravidel mohou modifikovat ještě další okolnosti. V části Enforcement lze nastavit, zda se mají pravidla uplatnit na veškerý software včetně spouštěných DLL knihoven, nebo zda se mají DLL knihovny vynechat, což umožní rychlejší vyhodnocení. Také je možné stanovit, že pravidla se týkají všech uživatelů bez výjimky nebo všech kromě administrátorů. Část Designated File Types definuje pomocí přípon souborů, co je vlastně považováno za software. Politika omezující spouštění softwaru není schopná zabránit například červům ve využití existujících bezpečnostních děr. Stále je tedy potřeba pravidelně systém záplatovat. Pokud ale chce červ existující slabinu využít ke spuštění dalšího kódu, tomu už vhodným pravidlem zabránit lze. Pomocí pravidla obsahujícího cestu *.???.EXE lze jednoduše zakázat spouštění souborů s dvojitou příponou jako je CELEBRITA.JPG.EXE, které využívají faktu, že typický uživatel má skryté přípony známých typů souborů. Jednoduše lze zakázat i spouštění příloh elektronické pošty nebo softwaru staženého prostřednictvím Internet Exploreru. V takovém případě se totiž software nejprve uloží do některého z adresářů v uživatelském profilu a odtud se pokusí spustit. To však znemožní vhodné pravidlo obsahující systémovou proměnnou %USERPROFILE%. Závěr Politika omezující spouštění softwaru je účinný nástroj, při jeho praktickém použití se ale narazí na 6 několik nedostatků. Především sestavení pravidel tak, aby pokrývala nejčastejší způsoby útoku, ale neznemožňovala na počítači pracovat, může být velmi obtížné. V jednom okamžiku začne být pravidel příliš mnoho a téměř se nedá vyhodnotit, jak se budou s ohledem na priority a specifičnost uplatňovat. K odstraňování problémů lze sice použít záznam událostí, při kterých k uplatnění SRP pravidel došlo, a také nástroj vyhodnocující výslednou politiku na počítači Resultant Set of Policy (rsop.msc), ale ještě lepší by bylo, kdyby Microsoft nějaké vhodné počáteční sady pravidel nabídl. Biography Ing. Milan Jirsa Vystudoval Vojenskou akademii v Brně, kde od roku 1992 působí jako odborný asistent. V současnosti se věnuje www technologiím, použití jazyka XML a bezpečnosti serverové řady Windows. Získal certifikáty MCSE a MCT. 6 http://mcpmag.com/columns/article.asp?editorialsid=690

Management summary Pravidla omezující spouštění softwaru (Software Restriction Policy) ve Windows XP a Windows 2003 představují poměrně málo využívanou možnost v boji proti škodlivému kódu. V článku je uvedeno několik typických způsobů, jak se tato pravidla dají využít.

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář