SEP2 Kiberbiztonsági Műveleti Központ Microsoft Windows 7 SP1 64 bit hardening útmutató A célunk a Windows 7 alapú eszközeink megvédése. Hardeneljük1 a rendszert, hogy megszüntessük a szerteágazó támadási felületeket és megakadályozzuk a betörőket a céljuk elérésétől. Több rétegnyi biztonsági megoldást adunk hozzá, ezzel védjük meg a rendszert, privát dokumentumainkat, böngészőinket és egyéb applikációkat. Ezt követően a biztonsági folyamatot tovább folytatva patch monitoring-ot állítunk be, amivel a nem biztonságos alkalmazások sebezhetőségeinek befoltozásáról kapunk értesítéseket. Ezután eseményfigyelést állítunk be, így biztosítva az admin fiók használatának és a szokatlan események felügyeletét. Olyan alapkonfigurációkat hozunk létre, amiket az aktuálisan futó rendszerrel összevetve megbizonyosodhatunk arról, hogy a rendszerünk nem módosult. És utoljára de nem utolsó sorban megfigyeljük az aktuális fenyegetéseket, így biztosítva, hogy képesek vagyunk időben reagálni rájuk. A vírusok, trójaiak, botnetek és férgek hackerek kreálmányai, azonban nem szabad elfeledni, hogy ezek a célszemély megtámadására vagy megfigyelésére született automatizmusok. A hacker nem tesz mást, mint automatizálja a metódusát, majd elterjeszti azt. Bár lehet, hogy aktuálisan nem állunk egy támadó célkeresztjében, ugyanakkor érdemes megjegyezni, hogy ezek a káros megoldások mindenhol ott vannak, így bármikor bejuthat a számítógépünkre. A Windows egy univerzális operációs rendszer, emiatt rengeteg beépített funkcióval rendelkezik, hogy a széleskörű felhasználói bázisának minden tagjának vágyait kielégíthesse. Minél több kód gyűlik össze, annál nagyobb az esély a bug2-okra. A bug-ok elkerülhetetlenek, és ez alól a Windows 7 sem jelent kivételt. Valójában az olyan nagy projektek, mint a Windows 7, rendszerint alacsony prioritású, kijavítatlan bug-okkal kerülnek kiadásra; ezen hibák száma néhány ezerre tehető. Ezen felül léteznek még fel nem fedezett bug-ok is, amelyek csak akkor kerülnek felszínre, ha bizonyos funkciókat együttesen alkalmazzuk. Egy megfelelően hardenelt PC a szerteágazó védelmi rétegeivel megtagadja és elrettenti a támadót. Időnként, a biztonsági réstől függően, a sebezhető funkció kikapcsolásával a probléma megszüntethető. Más esetekben, a zero day3 sebezhetőségeket kihasználva bejuthatnak a rendszerbe, azonban a belépést követően egy zárt rendszert találnak majd, amiben bármit megváltoztatva kitiltásra kerülnek. A támadó végső célja a PC teljes ellenőrzéséhez szükséges adminisztrátori vagy rendszerjogok megszerzése. Egy hardenelt rendszerrel lecsökkenhetjük az esélyét, hogy elérje ezt a célt. És folyamatos biztonsági ellenőrzésekkel, amennyiben meg is szerezte a fent említett jogokat, a győzelme rövid életű lesz. A tesztelés fontossága Fontos megjegyezni, hogy a rendszer hardenelését követően valakinek le kell tesztelni, hogy a kívánt rendszerfolyamatok és alkalmazások a várakozásoknak megfelelően működnek-e. A teszteléshez az ideális jelölt egy otthoni felhasználó, aki nem kíván a LAN és SMB szervezeteken található, egy domain szerverrel rendelkező gépekkel kommunikálni. Minél több portot nyitunk meg, annál sebezhetőbbévé válunk. A tesztelés a Windows 7 Home Premium, Windows 7 Professional és Windows 7 Ultimate, valamint Windows Enterprise 64 bit gépeken, illetve egy Windows 2008 R2 szerveren történt. Vannak 1
Hardenelés: a számítógépes rendszer vagy ~program biztonsági megerősítése. Bug: számítógépes rendszerben vagy ~programban található hiba. 3 Zero Day Vulnerability: nulladik napi sebezhetőség. 2
1
SEP2 Kiberbiztonsági Műveleti Központ különbségek az operációs rendszerek között, az Ultimate 146 szolgáltatást használ, az Enterprise ezzel szemben 150-et, a Professional 148-at, a Home Premium pedig csak 144-et. A lent ismertetett hardening lépéseket követően limitált tesztelés következett, amiben a következők kerültek megvizsgálásra.
A számítógép képes csatlakozni egy domainhez. A domain felhasználó be tud lépni a számítógépbe. Működik a Folder Redirection.
A hardening útmutatóról Ne legyen félreértés, amennyiben a hardenelni kívánt rendszer már kompromittálódott, a lent ismertetett tanácsok követése nem fog változást hozni, ugyanis nincs olyan megoldás, ami megmondaná, hogy milyen hátsó ajtók és botnet kliensek kerültek a rendszerbe. Ha valaki már megszerezte az adminisztrátori jogokat, akkor nem tudunk visszatámadni. Ha végrehajtunk valamit, egyszerűen visszavonja; könnyedén, minden további nélkül érvényteleníti. Ekkor a túlélésre a legjobb (és egyetlen reális) mód a legális Windows-példány újratelepítése, majd a lenti útmutató szerinti hardenelése. Ez az útmutató kizárólag a különálló Windows 7 Home Premium rendszereket hardeneléséhez alkalmas, de nem vonatkozik a Windows 7 Professional, Ultimate és Enterprise operációs rendszerekre. Két automatizált konfigurációsfájl és egy visszaállító fájl található. A letöltendő fájlok, szoftverek
Windows 7 64 bit Service Pack 1 (ha az eredeti Windows installációs DVD-n nincs rajta) http://www.microsoft.com/en-us/download/details.aspx?id=5842 A webhelyről a “windows6.1-KB976932-X64.exe” letöltése szükséges, ugyanis ez az útmutató kizárólag a 64 bites kiadás hardenelésével foglalkozik WSUS Offline Update a következő webhelyről: http://www.wsusoffline.net/ Antivírus szoftver: http://biztonsagiszoftver.hu/ MalwareBytes Anti-Exploit: http://www.bleepingcomputer.com/download/malwarebytesanti-exploit/ NET Framework 4: http://www.microsoft.com/en-ca/download/details.aspx?id=17718 Simple Software Restriction Policy 1.2.: http://sourceforge.net/projects/softwarepolicy/files/, a webhelyről a “SoftwarePolicy120Setup.exe” letöltése szükséges. Sandboxie: http://www.sandboxie.com/ Secunia PSI: http://secunia.com/vulnerability_scanning/personal/ AutoRun FixIt kikapcsolása, segítség: http://support.microsoft.com/kb/967715 Gadgets platform FixIt kikapcsolása, segítség: http://support.microsoft.com/kb/2719662 MS SysInternals AutoRuns, segítség: http://technet.microsoft.com/enus/sysinternals/bb963902 MS SysInternals Process Explorer, segítség: http://technet.microsoft.com/enus/sysinternals/bb896653 CHML: http://www.minasi.com/apps/ IPv6 kikapcsolása: http://support.microsoft.com/kb/929852
2
SEP2 Kiberbiztonsági Műveleti Központ
Több FixIt modul érhető el, ezek közül az “IPv6 teljes kikapcsolása” vagy “IPv6 tunnel interfészek kikapcsolása szükséges, amennyiben pedig IPv6 routerrel rendelkezünk, akko csak a tunnelek kikapcsolása szükségeltetik. Macrium Reflect: http://www.macrium.com/reflectfree.aspx A felhasználó által kívánt letölthető applikációk, valamint az Adobe Flash és Adobe Reader legújabb verziói
Kritikus Windows Frissítések A Windows 7 SP1 kiadása óta voltak olyan kritikus frissítések, amelyek megakadályozhatják a Windows Update szolgáltatás rendes működését. Ha támadók követnek, akkor a kritikus frissítések letöltése könnyedén megakadályozható, vagy akár veszélybe is kerülhetünk a frissítések letöltése közben. Épp emiatt létrehoztak egy ingyenes eszközt, amivel letölthetjük a Windows frissítési fájljait, majd egy ISO képfájlt készíthetünk belőle, amit már behelyezhetünk a frissíteni kívánt gépbe. A WSUS Offline Update a Microsoft Security Bulletinben található kritikus és fontos frissítések letöltésére, majd lemezre kiírására képes, így a céleszközön továbbra is a Windows Update segítségére szorulunk. Viszont ekkor már a kritikus rést betömtük, ami a biztonsági foltozások nélküli, szűz Windows telepítés és a biztonsági frissítések között volt. A WSUS Offline a http://www.wsusoffline.net weboldalról érhető el angol és német nyelven. A terv az, hogy a fenti szoftvert egy tetszőleges számítógépen lefuttatjuk, majd az általa letöltött Windows biztonsági frissítéseket kiírjuk lemezre, amit a céleszközbe behelyezve telepítünk. Amint letöltöttük és kicsomagoltuk a zip fájlt, kattintsunk jobb gombbal az ’UpdateGenerator.exe’ fájlra, válasszuk a Tulajdonságok lehetőséget, ott pedig keressük meg a Kompatibilitás lapot. Pipáljuk ki a ’Program futtatása kompatibilitási módban’ lehetőséget, majd válasszuk ki a Windows XP-t. Ekkor futtassuk a programot. A főképernyőn válasszuk ki, hogy mely platformokra kívánunk frissítéseket letölteni, ezt követően pipáljuk ki a következőt (az angol nyelvű program esetén): Create ISO images 'per selected product and language', majd nyomjuk meg a Start gombot. Miután lefutott, keressük meg az ISO almappát a létrehozott ISO állomány elhelyezéséhez. Azt viszont tartsuk észben, hogy ez egy DVD ISO fájl, tehát rá kell égetni a lemezre. Service Pack-ek internetkapcsolat nélküli telepítése A Service Pack 1-et egy tetszőleges számítógépen töltsük le, majd másoljuk arra a számítógépre, amelyen azt telepíteni és futtatni kívánjuk. A minimális hibajavítások nélkül nem szerencsés a céleszközt az internetre csatlakoztatni. Az útmutatónkban tovább haladva, a megfelelő hálózati konfigurációt elvégezve csatlakoztatni fogjuk a számítógépet az internetre, majd a biztonsági javításokat a lehető leghamarabb letöltjük. Legkevesebb jogosultság (Least Privilege) elve A hardening egyik legfontosabb alapelve a Least Privilege, vagyis a legkevesebb jogosultság elve, amit egész útmutatónkban tiszteletben tartunk. Ez az elv annyit tesz, hogy a rendszer úgy konfiguráljuk, hogy kizárólag azokra a dolgokra legyen képes, amit általában használunk. A többi, használaton kívüli funkció pedig potenciális veszélyforrás, így azokat kikapcsoljuk vagy letiltjuk. Ennek a hátterében az áll, hogy minél több funkciót engedélyezünk, értelemszerűen annál nagyobb a támadási felület. Ez azt jelenti, hogy sokkal több mindent kell megvédeni. És elég egyetlen egy 3
SEP2 Kiberbiztonsági Műveleti Központ sebezhetőség ahhoz, hogy meghackeljék a rendszert. Manapság már a támadók sokat tudnak a rendszerben található biztonsági résekről – és azzal is tisztában vannak, hogy hogyan lehet ezeket kihasználni. Ha mindenféle funkcióval megrakodva kimerészkedünk az internetre, a támadónak van lehetősége válogatni. Amennyiben a használaton kívülieket letiltjuk, már sokkal kevesebb változóval játszhat. Az egyik első dolog, amit meg kell tennünk: létre kell hoznunk egy szabványos (standard) felhasználói fiókot, amit a mindennapi munkához használni fogunk. Az admin fiókba így csak akkor kell belépnünk, amikor programokat telepítünk, hálózati beállításokat módosítunk vagy rendszerkarbantartási feladatokat végzünk. Ha standard felhasználói fiókban végezzük a napi munkát, akkor a rendszerbe behatoló kártevő nem lesz képes változtatásokat végrehajtani. És ez egy aprócska, de annál fontosabb győzelem számunkra. Ne feledjük, hogy a támadó a támadás pillanatában az összes megnyitott fájlhoz, alkalmazáshoz hozzáfér, amennyiben egyszer bejutott a rendszerbe. Épp ezért, ha a fiók mappáiban fontos, szenzitív dokumentumokat tárolunk, akkor ahhoz a támadók is hozzáférhetnek. Ezt figyelembe véve érdemes a vállalati fájlokat egy olyan felhasználói fiókban tárolni, amiben nem férünk hozzá az internethez. Eltérő perspektívából szemlélve, a standard felhasználói fiók egy akadály a támadó számára, ami elválasztja a lényeges dokumentumokat és jogosultságokat tartalmazó egyéb fiókoktól az internethez kapcsolt részt. Ha a lent ismertetett lépéseket megfelelően végrehajtjuk, akkor automatizált támadók és hús-vér hackerek sem fognak tudni átjutni a standard fiókból a számítógép egyéb felhasználói fiókjaiba. Ha szokatlan tevékenységet észlelünk abból a fiókból, akkor az ott található fontos fájlok hiánya miatt bármiféle szívfájdalom nélkül letörölhetjük, majd egy biztonsági mentésből visszaállíthatjuk azt. A Vezérlőpult összes elemének megjelenítése A Vezérlőpultban a ’View by: Small Icons’ lehetőségre kattintva az összes konfigurációs lehetőséget láthatjuk. Felhasználói fiókok felügyeletének (UAC4) maximalizálása Amikor a Microsoft kiadta a sokat szidott Windows Vista operációs rendszert, több panasz érkezett arra, hogy a felhasználói fiókok felügyelete folyamatosan megerősítést kért a műveletekhez. Épp emiatt a Microsoft kompromisszumokat kötött a Windows 7-ben, ugyanis lehetővé teszi a felhasználóknak, hogy milyen szintű védelmet akarnak. Fontos tudni, hogy a UAC kikapcsolása automatikusan letiltja az Internet Explorer Protected Mode funkcióját. Egyébként a felhasználói fiókok felügyelete a számítógép beállítása során fog sokszor előkerülni, utána relatíve kevésszer találkozunk vele. Control Panel \ All Control Panel Items \ User Accounts \ Change User Account Control Settings A csúszkát a tetejéig kell tolni. A gateway megadása A hardening folyamatát a hálózati komponenseken kezdjük el, még mielőtt a számítógépet az internethez csatlakoztatnánk. Ennek a végrehajtásához a számítógépet a gatewayhez5/routerhez kell 4 5
User Account Control Gateway: átjáró.
4
SEP2 Kiberbiztonsági Műveleti Központ csatlakoztatni, annak érdekében, hogy módosíthassuk a Nyilvános és Magán hálózati- és tűzfalprofilokat. Ideiglenesen bármilyen élő számítógépet átjáróként meghatározhatunk. A hálózat biztonságának szavatolását követően beállíthatjuk a helyes gateway-t beállíthatjuk, és ezt követően csatlakozhatunk az internethez a Windows frissítéseinek leszedéséhez. Control Panel \ Network and Sharing Center \ Local Area Connection \ Properties \ Internet Protocol Version 4 (TCP/IPv4) kiválasztása \ Properties gomb \ Default Gateway. Itt bármilyen, a hálózatra kapcsolt és elérhető számítógép IP címét kell beírni. A megfelelő hálózati tűzfalprofil beállítása A Windows négy hálózati típust ismer: ezek a domain, otthoni, munkahelyi és nyilvános. A munkahelyi és otthoni hálózatok a tűzfaleszközben egyaránt privátként vannak megcímkézve. A munkahelyi és otthoni hálózatra kapcsolt gépek esetében a ‘network discovery’ funkció is elérhető, ezzel a számítógépek egymással képesek kommunikálni. A nyilvános beállítás mind közül a legbiztonságosabb, ezt ajánlja a Windows nyilvános WiFi hotspotok esetében, tehát netkávézókban vagy reptereken. Amennyiben a hálózatunk nem biztonságos gépeket is tartalmaz, akkor a hálózati profilt nyilvánosra érdemes állítani. A domain lehetőséget a felhasználó önmagában nem választhatja ki, ez akkor lép életbe, ha a számítógép csatlakozott egy domainhez. Miután a célunk a legbiztonságosabb konfiguráció elérése, ezért érdemes a nyilvános profilt választani (ha domainhez kívánunk csatlakozni, akkor pedig a munkahelyi ajánlott). Control Panel \ Network and Sharing Center.
Hálózati profil nyilvánosra (adott esetben munkahelyire) állítása.
Kizárólag Bare Essential Network protokollok használata Ha egy támadó távolról kívánja meghackelni a számítógépet, kommunikálnia kell egy hálózati kapcsolattal rendelkező programmal. Egyes hálózati elemek protokollokat hajtanak végre. A hálózati protokollok kis túlzással élve nyelvtani szabályok a bitek és bájtok számára, hogy mégis hogyan érdemes a többi számítógéppel kommunikálni. És mint minden protokollnak, ennek is megvannak a gyengeségei. Épp emiatt ameddig a környezet meg nem követeli egy bizonyos protokoll használatát, a legtöbbet (tehát az összes használaton kívülit) kíméletlenül le kell tiltani. Több használatban lévő protokoll azonnal nagyobb támadási felületet jelent. Az egyetlen hálózati protokoll, amire igazán szükségünk van, az IPv4, mivel a legtöbb hálózati berendezésnek szüksége van az IPv4-re, hogy egyáltalán működjenek. Az útmutató írásának pillanatában az IPv6 egyre népszerűbbé válik, azonban nem kritikus fontosságú, tehát maradhatunk kizárólag a jól bevált IPv4-nél. Azt viszont érdemes leszögezni, hogy amennyiben IPv6-os routerrel rendelkezünk, akkor az egész útmutatóban található, IPv6-ra vonatkozó bekezdéseket kihagyhatjuk. A Discovery protokollokkal szép grafikus térképet kaphatunk a hálózatunkban lévő számítógépekről. Az otthoni felhasználóknak erre nincs szüksége, hiszen ott egyetlen egy router található, így a térkép annyiból állna, hogy az összes számítógép egyetlen forrásra, arra az árva routerre csatlakozna. A domain felhasználóknak pedig automatikusan kikapcsolódik, amint csatlakoznak a domainhez. A fájl- és nyomtatómegosztás kizárólag akkor legyen engedélyezve, ha a mappáink közül néhányat meg kívánunk osztani a hálózaton, vagy egy helyileg csatlakoztatott nyomtatót az összes hálózatra kapcsolt gépről el kívánunk érni. Ha a nyomtatómegosztás a cél, akkor érdemesebb egy eleve 5
SEP2 Kiberbiztonsági Műveleti Központ hálózati képességekkel felvértezett nyomtatót vásárolni, ugyanis ha azt sikerül megtámadni, akkor csak a nyomtatóhoz lesz hozzáférésük, de nem a hozzá kapcsolt gépekhez. Tehát a fájl- és nyomtatómegosztás funkciót csak a legszükségesebb esetben hagyjuk bekapcsolva. Control Panel \ Network and Sharing Center Local Area Connection \ Properties gomb Kiszedni a pipát az alábbiak mellől:
Client for MS Networks File and Printer Sharing for Microsoft Networks QoS Link Layer Topology Discovery Mapper IO Driver Link Layer Topology Discovery Responder Internet Protocol version 6
'Internet Protocol version 4 (TCP IPv4)’ kiválasztása, majd Properties gomb, ezt követően Advanced:
'DNS' fül, 'register this connections address in DNS' lehetőség letiltása 'WINS' fül, 'Disable NETBIOS over TCP/IP' kiválasztása
IPv6 teljes kikapcsolása Az IPv6 tunneling funkciója megkerüli az IPv4 router biztonsági rendszerét, valamint a hardveres tűzfalat is. Ha IPv6 routerrel rendelkezünk, akkor ezt a szekciót hagyjuk ki. Több FixIt modul érhető el, ezek közül a ‘Disable IPv6’ vagy a ‘Disable IPv6 tunnel interfaces’ lehetőséget kell kiválasztani, utóbbit IPv6 router esetében, hogy egyesével válogathassunk a tunnelek között. A következő weboldal nyújt segítséget: https://support.microsoft.com/hu-hu/kb/929852 Használaton kívüli tcpip6 eszközök és NetBT letiltása A NetBT driver a NetBIOS. A TCP/IP NetBIOS Helper szolgáltatásának helyes működése függ tőle. Ha kikapcsoljuk a NetBT drivert, nem lesz tovább NetBIOS funkcionalitás. Ha egy különálló eszközről beszélünk, kövessük a lépéseket. A funkciók kikapcsolásakor egyébként érdemes a komponenseket is egyesével kikapcsolni az alábbiaknak megfelelően. Control Panel \ Device Manager, menü megjelenítése \ Hidden Devices megtekintése
/Network, Wan Miniport IPv6 kikapcsolása /Network, Microsoft ISATAP adapter (IPv6 tunnel) kikapcsolása /Network, Teredo Tunneling Pseudo Interface (IPv6 tunnel) kikapcsolása /Non-Plug and Play Drivers / Remote Access IPv6 ARP Driver > Properties > Driver tab > Change Startup Type from System to Disable /Non-Plug and Play Drivers / NETBT > Properties > Driver tab > Stop it and change Type from 'System' to 'Disabled'. (NetBIOS teljes, 445-ös port részleges kikapcsolása)
Újraindítás. IGMP letiltása
6
SEP2 Kiberbiztonsági Műveleti Központ Ezt a protokollt a legeslegriktább esetben használja a számítógép, így a Least Privilege szabály szerint ki kell kapcsolni. Startgomb \ All Programs \ Accessories \ Command Prompt adminisztátorként való futtatása A következő parancs kiadása:
Netsh interface ipv4 set global mldlevel=none
1900 UPnP port letiltása A UPnP-vel a fejlesztők szándéka az egyszerű konfiguráció volt, így például egy játék automatikusan konfigurálhatja a tűzfalat, hogy a számítógép felhasználója csatlakozhasson az interneten keresztül a többi játékoshoz. Azonban ha az összes felhasználó lyukakat fúr a tűzfalba a UPnP-n keresztül, az rövidesen úgy fog festeni, mint az Ementáli sajt, tehát el fogja veszíteni a védelmi képességét. Sokkal jobb, ha a tűzfal szabályait manuálisan konfiguráljuk, hiszen úgy mi magunk állítjuk be azokat a beállításokat, amiket még biztonságosnak gondolunk. Ha a hardveres tűzfal vagy a router beállításai engedélyezik, mindenképpen kapcsoljuk ki a UPnP-t. Regedit HKLM \ Software \ Microsoft \ DirectplayNATHelp \ DPNHUPnP jobb klikk a jobb panelre, új dword:32bit, UPnPMode néven Kattintsunk kétszer rá, és az értéket állítsuk be 2-re A figyelő portok letiltása Ha a ’netstat –abn’ parancsot lefuttatjuk, megmutatja, hogy mely portok vannak nyitva és látnak rá a hálózatra. Értelemszerűen ezeket a portokat érdemes letiltani, amíg nincs rájuk szükségünk. A Windows 7 figyelő folyamatai az RPCss (135), Wininit.exe (49152), Eventlog service (49153), Schedule service (49154), services.exe (49155) és lsass.exe (49156). Azonban az alapértelmezett tűzfalszabályzat alapján senki nem férhet hozzá ezekhez a portokhoz, amíg maga a tűzfal nincs kikapcsolva. Router és hardveres tűzfalak Olyan routert érdemes vásárolni, amiben beépítve található a Stateful Packet Inspection (SPI) tűzfal. Ez a fajta tűzfal lehetővé teszi, hogy felügyeljük a kimenő forgalmat és csak olyan forgalmat enged be, ami a kimenő alapján releváns számunkra. Tehát amennyiben felkeresünk egy weboldalt, a böngésző küld egy kérést az oldalnak, ami visszaküldi a kérésre érkező választ a számítógépnek. Akkor is érdemes ilyen routert venni, ha csak egyetlen számítógépünk van. Ugyanakkor szinte kötelező, ha egy olyan kábelmodemet használunk, amin csak egy Ethernet port van. Ennél drágább hardveres tűzfallal ellátott routerek szélesebb körű beállítási lehetőségeket tartalmaznak, például konfigurálható szabályokat, távoli syslog szerverekre történő naplózást, és erősebb védelmet a szintaktikai IP csomagok ellen. A Sophos kínálatában a kis- és középvállalkozásoknak szánt tűzfalak közül a legjobb ár/érték arányú termékeket találjuk, amelyek elérhető áron biztosítanak felülmúlhatatlan védelmet a vállalatnak az integrált tűzfal, átjáró (gateway), antivírus és VPN funkciókkal.
7
SEP2 Kiberbiztonsági Műveleti Központ Windows Advanced Firewall A tűzfalak konfigurálásakor az elsőszámú alapelv az alapértelmezett megtagadás. Ez azt jelenti, hogy minden forgalmat blokkolunk, hacsak nincs egy olyan szabály, ami engedélyezi a megadott forgalmat. Ezek a szabályok az ismert alkalmazások és protokollok fehérlistájaként ismertek. A Windows tűzfalának alapértelmezett irányelve a bejövő forgalom megtagadása és a kimenő forgalom engedélyezése. Az összes kimenő forgalom engedélyezése leegyszerűsíti a konfigurációt, azonban nem követi az alapelvet, ezért nem ideális a mi szempontunkból. A legtöbb felhasználó nincs tisztában azzal, hogy a kimenő forgalmat is blokkolni kell. Ha a kimenő forgalom a lentebb ismertetett beállításoknak megfelelően blokkolva van, akkor csak az általunk meghatározott alkalmazások és szolgáltatások férnek hozzá az internethez. Épp emiatt, ha meg is fertőződünk valamilyen malware-rel, azok nem fognak tudni jelentéseket küldeni a támadók szervereire. Ugyanakkor az a funkció hiányzik, ami megmondja, hogy mely programok kimenő forgalmát blokkoltuk. Emiatt egy frissen telepített program, például egy antivírus esetében, aminek ugyebár csatlakoznia kell az internethez a vírusdefiníciós fájlok letöltéséhez, a felhasználónak egyesével le kell tesztelni az .exe fájlokat, hogy megtudja, melyik felel az internetes kommunikációért, és ezt követően azt engedélyezni kell a tűzfalban. Ha automatikus konfigurációs csomaggal rendelkezünk, akkor a következő utasításokat egy lépésben beállíthatjuk. Control Panel / Administrative Tools / Windows Firewall with Advanced Security / Import Policy: “Firewall Policy Windows 7 Home Premium 64 bit Standalone.wfw” kiválasztása Control Panel/Administrative Tools/Windows Firewall with Advanced Security / "Windows Firewall Properties" Profilonként (Domain, Privát, Publikus) el kell végezni a beállítást!
Kimenő kapcsolatok: blokkolás Specify Logging settings for Troubleshooting > Szerkesztés Méretlimit: 32767 KB Log Dropped csomagok: igen Windows Firewall Behavior működéséért felelős beállítások > Szerkesztés Allow Unicast Response: nem
Tűzfalszabályok Hogyan engedélyezzünk egy kimenő Windows szolgáltatást: Outbound Rules-ra kattintani a bal oldalon, 'New Rule' létrehozása, 'Custom' kiválasztása, 'Services' mellett a személyre szabás kiválasztása, 'Apply to this service', 'Windows Update' lefelé görgetve, következő, ports and protocol (nincs változás), következő, IP addresses (nincs változás), következő, 'Allow The Connection' kiválasztása. A szabályban meghatározott profilok kipipálása. A szabálynak egy nevet is adhatunk, például "Allow service X". Hogyan engedélyezzünk egy kimenő programot: Outbound Rules-ra kell kattintani, 'New Rule' létrehozása, "Program" kiválasztása, "This program Path" kiválasztása és "Browse" gomb megnyomása. Ekkor a program mappáját kell megnyitni, majd kiválasztani a megfelelő .exe fájlt, ezt
8
SEP2 Kiberbiztonsági Műveleti Központ követően az "Allow the connection" engedélyezése. A szabályban meghatározott profilok kipipálása. A szabálynak egy nevet is adhatunk, például “Allow Program X”. Hogyan engedélyezzük a kommunikációt egy portra és IP címre: Outbound Rules-ra kell kattintani, 'New Rule' létrehozása. 'Custom', majd 'All Programs' kiválasztása. A 'Protocol Type' esetében a 'TCP' vagy 'UDP' lehetőséget válasszuk. A 'Remote Port'-nál 'Specific Ports'. Ezt követően írjuk be a portok számát. A 'Remote address this rule applies to' esetében a 'These ip addresses' kiválasztása. Klikkeljünk az 'Add' gombra, és a megjelenő szövegdobozba írjuk be az IP-t. Válasszuk az 'Allow the connection'. A szabályban meghatározott profilok kipipálása. A szabálynak egy nevet is adhatunk, például “Allow out to port ### on server x”. A következő szabályok a domain, publikus és privát profilokra egyaránt vonatkoznak. Outbound/ 'Windows update' szolgáltatás engedélyezése Outbound/ 'Windows Time' szolgáltatás engedélyezése Outbound/ allow program '\Windows\HelpPane.exe' (Windows Help, az online segítség elérése) Outbound/ allow program '\program files\windows defender\msacui.exe' Outbound/ allow program
Outbound/ allow program \program files\Internet explorer\iexplore.exe Outbound/ allow program \program files x86\Internet explorer\iexplore.exe Outbound/ allow program Outbound/ allow program “%ProgramFiles% (x86)\Secunia\PSI\psia.exe” Outbound/ allow program “%ProgramFiles% (x86)\Secunia\PSI\psi.exe” Outbound/ allow program <út a Live Messengerhez> Outbound/ allow program '\windows\ehome\ehshell.exe' (Windows Media Center) Outbound/ allow program '\windows\ehome\mcupdate.exe' (Windows Media Center) Outbound/ allow program '\Program files\Windows Media Player\wmplayer.exe' Outbound/ az összes Core Networking szabály letiltása, ami az IPv6-ot, Teredo-t, és ICMPv6-ot említi Outbound/ az összes Core Networking IPHTTPS letiltása Outbound/ Core Networking IGMP-out letiltása Outbound/ az összes Core Networking szabály letiltása, ami a csoportszabályokat említi Outbound/ az összes Remote Assistance szabály letiltása Outbound/ az összes Network Discovery szabály letiltása, amelyek privát profilra vonatkoznak (NBDatagram-out, NB Name out, LLMNR UDP Out, Pub-WSD-out, SSDP-out, UPnP-Host-Out, UPnP-Out, WSD-Events-Out, WSD-EventsSecure-Out és WSD-Out) Outbound/ allow Outbound/ allow 9
SEP2 Kiberbiztonsági Műveleti Központ Outbound/ allow Core Networking DHCP-out InBound/ allow Core Networking ICMPv4 in InBound/ allow Core Networking DHCP in InBound/ disable Core Networking IPHTTPS in InBound/ disable Core Networking IGMP in InBound/ disable all Core Networking rules that mentions IPv6, Teredo, and ICMPv6 InBound/ disable the 2 rules that mentions HomeGroup InBound/ disable all Network Discovery rules for private profile (NB Datagram in, NB Name in, LLMNR UDP In, Pub-WSD-In, SSDP-In, UPnP-In, WSD-Events-In, WSD-EventsSecure-In, WSD-In) InBound/ disable all rules for Remote Assistance Harmadik féltől származó tűzfal telepítése Ha úgy kívánjuk, telepíthetünk harmadik féltől származó szoftveres tűzfalat, ugyanakkor azt érdemes figyelembe venni, hogy a Windows 7 tűzfala alapvetően kifejezetten jó megoldás. Az is fontos információ, hogy harmadik féltől származó tűzfal installálása kikapcsolja a Windows 7-be beépített megoldást, ugyanis két tűzfal együttes használata konfliktusokhoz vezetne. Példának okáért, napjainkban a Comodo tűzfalát nagyra értékelik, ugyanakkor rendelkezik egy belső, megbízható programokról szóló whitelist-tel. Ez nem túl szerencsés, a felhasználónak magának kell beállítani az ő szempontjából megbízható programokat. MalwareBytes Anti-Exploit telepítése Eredetileg a Microsoft által kibocsájtott, a biztonsági kockázatok csökkentésére szolgáló Enhanced Mitigation Experience Toolkit (EMET) 5.2-es verzióját ajánlottuk volna, azonban miután a redmondiak kiadták az EMET 5.5-ös verzióját, eltávolították az 5.2-höz vezető letöltési lehetőségeket. Márpedig az új verzió működéséhez nélkülözhetetlen a Secondary Logon szolgáltatás működése, amit a támadók kihasználhatnak egy runas parancssori eszközzel, így megszerezve az adminisztrátori jogokat. A Secondary Logon szolgáltatás futtatásának szükségessége elfogadhatatlan, ezért inkább a MalwareBytes Anti-Exploitot ajánljuk az EMET 5.5 helyett (illetve ha van megbízható forrásból EMET 5.2, akkor érdemes inkább azt használni). A MalwareBytes Anti-Exploit a Microsoft EMET-nél kevesebb védelmi mechanizmussal rendelkezik, azonban a böngészőket és a Java-t alapbeállításokkal védi. A fizetős verziók megóvják a Microsoft Office-t és az Adobe Readert (valamint még néhány, ritkábban és kevesebbek által használt programot, a részletes listát a MalwareBytes Anti-Exploit oldalán lehet elérni). Minekután a böngészők a támadók fő célpontjai, rendkívül fontos, hogy egy Anti-Exploit szoftver telepítve legyen (a MalwareBytes Anti-Exploit a telepítést követően nem igényel extra konfigurációt). Software Restriction Policy 1.2 az IWR Consultancy-től A Software Restriction Policy 1.2 egy ingyenes eszköz, ami a Windows saját SRP-jének legtöbb funkciójával rendelkezik, ami a Systray-ben foglal helyet, valamint kompatibilis útmutatónk alanyával, a Windows 7 Home Premium 64 bit operációs rendszerrel. A program alapvető védelmet nyújt az operációs rendszer számára. A telepítés után kizárólag a \Program Files és a \Windows mappákban
10
SEP2 Kiberbiztonsági Műveleti Központ található programok hajthatók végre. Az automatikus konfiguráció BAT fájljainak futtatásához az eszköz jobb menüjéből az UnLock lehetőséget kell választani, ami 30 percnyi időt ad. A program a \Windows\SoftwarePolicy mappába kerül felinstallálásra. A konfiguráció a menüjéből elérhető és szerkeszthető .ini fájlból végezhető el. Van néhány konfigurációs lehetőség, amit meg kell változtatni. A program tálcán lévő ikonjára a jobb egérgombbal klikkelve válasszuk a Configure lehetőséget, ekkor a Notepad fog elindulni. Az alábbi elemet módosítsuk, az értéket 0 és 2 közé állítsuk be: AdminMenuPasswordLevel=2 Következőnek, adjuk hozzá a lenti sorokat: c:\windows\debug\WIA=1 c:\windows\Registration\CRMLog=1 c:\windows\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}=1 c:\windows\System32\com\dmp=1 c:\windows\System32\FxsTmp=1 c:\windows\System32\spool\PRINTERS=1 c:\windows\System32\spool\drivers\color=1 c:\windows\System32\Tasks=1 c:\windows\SysWOW64\com\dmp=1 c:\windows\SysWOW64\FxsTmp=1 c:\windows\SysWOW64\Tasks=1 c:\windows\Tasks=1 c:\windows\Temp=1 c:\windows\tracing=1 Mentsük el a fájlt, lépjünk ki a Notepadből, majd alkalmazzuk a szabályt. Ha a következő sorok elé egy “;” jelet írunk, az extra menüsorokat eltávolíthatjuk, amelyek esetleg összekuszálják a jobb oldali menüt. ;(C:\)=explorer.exe C:\ ;Control Panel=control.exe ;Printers and Faxes=control printers ;Network Connections=ncpa.cpl ;Computer Management=compmgmt.msc ;Disk Management=diskmgmt.msc ;Registry Editor=regedit.exe 11
SEP2 Kiberbiztonsági Műveleti Központ ;Task Manager=taskmgr.exe ;Windows Firewall=firewall.cpl ;Command Prompt=cmd.exe ;Salamander=salamand.exe Sérülékeny szolgáltatások letiltása A legtöbb felhasználó szerencsére napjainkban már tisztában van azzal, hogy a felesleges Windowsszolgáltatások biztonsági problémákat jelenthetnek, emiatt némelyiküket érdemes lehet kikapcsolni. A fő vádlottak pedig az internetre néző, azzal kommunikáló hálózati szolgáltatások. Ha egy támadó távolról kíván betörni egy számítógép(es rendszer)be, akkor szüksége van egy programra, ami az internettel kommunikál, és aminek a sebezhetőségét ki tudja használni. Ha valaki ránéz a néhány bekezdés múlva felbukkanó listára, ami a letiltott szolgáltatásokat tartalmazza, talán megjegyezheti, hogy ehhez és ahhoz a szolgáltatáshoz még nincsenek ismert sebezhetőségek. Azonban a Least Privilege elve megint iránymutató, így a szükségetelen szolgáltatásokat eleve letiltjuk, kizárólag azokat tartjuk meg, amelyek a mindennapi munkához feltétlen szükségesek. És addig sem kívánunk várni, amíg egy sebezhetőség ismertté válik, hogy aztán könnyen támadási felületet nyújtsunk. A Least Privilege egy proaktív, egyben preventív koncepció. Több olyan szerver van a szolgáltatáslistában, amelyek a hét minden napján engedélyezik, hogy adatokat küldjenek nekik (bárki, így a sebezhetőségek kihasználásában érdekeltek is). Ilyen például az egyszerűen “Server” névre keresztelt File and Printer Sharingért felelős szolgáltatás, vagy a UPnP Device Host, ami engedélyezi, hogy más számítógépek a mi gépünkön található eszközökkel kommunikáljanak. A távoli menedzsmentet lehetővé tevő szolgáltatások (Remote Registry, WMI Performance Adapter és Windows Remote Management) szintén tiltólistások. Ha nem használunk DHCP-t, akkor ne kapcsoljuk ki a DHCP Client Service-t. A Windows tűzfala egy rejtett függőséggel rendelkezik a DHCP Client iránt, ugyanis arra támaszkodik az automatikus start során. Vannak olyan szolgáltatások, amelyek csak akkor aktiválódnak, ha megvan hozzá a megfelelő felszerelés a gépben (fényerőállítás, GPS, SmartCard, fax, stb), ezeket egyéni preferencia alapján szükséges letiltani, a Least Privilege elvet figyelembe véve. A szolgáltatások konfigurációja során mindegyikre ráklikkelve megkapjuk a leírásukat, a következő linkre klikkelve pedig bővebb információkhoz jutunk. Ha az Automated Configuration csomaggal rendelkezünk, egyetlen paranccsal beállíthatjuk a szolgáltatásokat: Jobb gombbal klikkeljünk a Harden Windows 7 Home Premium 64 bit Standalone.bat”-ra, majd futtassuk adminisztrátorként. Ezt követően az Adminisztratív eszközökben, a Szolgáltatások alatt klikkeljünk a következő szolgáltatásokra, válasszuk a Tulajdonságokat és a Start Up Type-ot a kikapcsolásukhoz. Computer Browser (manual) (finds other PCs in the network) Distributed Link Tracking Client (automatic) (maintain shortcuts if source file name has changed) DNS client (automatic) (caches previously looked up domain names) Function Discovery Provider Host
(manual) (HomeGroup) 12
SEP2 Kiberbiztonsági Műveleti Központ Function discovery resource publication (manual) (HomeGroup) HomeGroup Listener (manual) (HomeGroup) HomeGroup Provider (manual) (HomeGroup) Internet Connection Sharing (disabled) (makes PC act as router) IP Helper (automatic) (IPv6 tunneling) Link Layer Topology discovery mapper (manual) (network discovery) Media Center Extender service (disabled) (turns PC into media server) Net. TCP port Sharing service (disabled) NetLogon (manual) Network Access Protection Agent (manual) (reports security configuration) Parental controls (manual) (empty stub for compatibility with Vista) Peer Name Resolution Protocol (manual) Peer Networking Grouping (manual) (HomeGroup, remote assistance) Peer Networking Identity Mgr (manual) (HomeGroup, remote assistance) Performance Counter DLL Host (manual) (allows remote query to performance counters) Performance Logs & Alerts (manual) (collects remote and local perf data) PnP-X Ip Bus Enumerator (manual) (uses SSDP) PNRP Machine Name Publication Service (manual) (server that responds with a machine name) Quality Windows Audio Video Experience (manual) (multimedia server) Remote Access Auto Connection Mgr (manual) Remote Access Connection Manager (manual) (dialup, VPN) Remote Desktop Configuration (manual) Remote Desktop Service (manual) (server allowing remote control) Remote Registry (manual) Routing and Remote Access (disabled) Secondary logon (manual) Secure Socket Tunneling Protocol service (manual) (VPN) Server (automatic) (HomeGroup, File and Printer Sharing) SNMP Trap (manual) SSDP Discovery (manual)
13
SEP2 Kiberbiztonsági Műveleti Központ Tablet PC Input Service (manual) TCP/IP NetBIOS Helper (automatic) Telephony (manual) (affects Remote Access Connection mgr/ VPN) UPnP Device host (manual) Web Client (manual) Windows Connect Now (manual) (Wireless Setup - simplified configuration) Windows Error Reporting Service (manual) (reports system problems to MS and fetches solutions) Windows Event Collector (manual) (allow remote subscription to log events) Windows Media Player Network Sharing service (manual) Windows Remote Management (manual) (Server, listens for remote requests ) WinHTTP Web Proxy auto discovery (manual) (proxy discovery and some kind of http api ) WMI Performance Adapter (manual) (provides performance data to other PC collecting it) Workstation (automatic) (HomeGroup) Installáljunk fel egy antivírus szoftvert A számítógép internethez csatlakoztatása előtti utolsó lépés egy antivírus szoftver beszerzése, majd a fentebb leírtaknak megfelelően a tűzfal beállításai között engedélyezni az antivírusnak, hogy a vírusdefiníciós adatbázisokat automatikusan letölthesse a gyártó szervereiről. Mi a Kaspersky antivírusokat ajánljuk, amelyeket a Biztonsági Szoftverről lehet megvásárolni (2016. 09. 30-ig 10-3050 százalékos kedvezménnyel). Microsoft Update Ezen a ponton eljutottunk odáig, hogy a hálózati komponensek hardenelése elkészült. Állítsuk be a helyes átjárót, majd váltsunk át a standard felhasználói fiókra. Ekkor csatlakoztassuk a számítógépet az internethez, és azonnal frissítsünk a Windows Update segítségével. Ha Microsoft Office vagy egyéb Microsoft szoftver már telepítésre került a gépre, engedélyezzük a Microsoft Update-et is. Viszont arra ügyeljünk, hogy semmiképpen ne szörfözzünk az interneten, amíg a Windows Update frissít, ugyanis az alapból felinstallálásra került Internet Explorer befoltozatlan biztonsági rések tömkelegét tartalmazza. Azt is érdemes észben tartani, hogy többször klikkeljünk a Check for Updates gombra, ugyanis a Microsoft a frissítéseket csomagokban adja ki, és az egyik csomag követi a másikat, tehát nem szabad feltételezni, hogy végeztünk, ha egy frissítőcsomag már telepítésre került. Aktiváljuk a Windows-t Most, hogy a kritikus sebezhetőségeket orvosoló hibajavításokat telepítettük, ideiglenesen kapcsoljuk ki a Windows Firewall-t, hogy a következő szkriptet lefuttathassuk. Control Panel/Administrative Tools/Windows Firewall with Advanced Security /"Windows Firewall Properties" link, Private or Public profile, Outbound: Allow Majd nyissuk meg a parancssort, és írjuk be a következőt: 14
SEP2 Kiberbiztonsági Műveleti Központ slmgr.vbs /ato Ezt követően a tűzfalban az Outbound-ot állítsuk Block-ra. Telepítsük fel a szoftvereket, frissítsük a tűzfalszabályzatunkat Telepítsük fel az antispyware és antimalware szoftvereket (ha nem komplex antivírust vásároltunk a Biztonsági Szoftverről, ami egy csomagban tartalmaz mindent), a Secunia PSI-t, az Adobe PDF Readert, a kívánt böngészőt, Flasht, Office programot, nyomtató drivert, valamint az egyéb, munkához szükséges alkalmazást. Ha Microsoft Office-t használunk, akkor itt az ideje egy újabb Microsoft Update-nek. Ne felejtsük el a tűzfalszabályzatunkat frissíteni, engedélyezni az internetelérést kívánó programokat, mint például a Flash és Adobe Reader, aminek a saját frissítőjéhez szükséges internetelérés. Értelemszerűen a böngészőt sem érdemes kifelejteni. Ezt követően az EMET-ben is be kell állítani az internetre néző alkalmazásokat, megbízhatóként jellemezve őket. Ebbe a listába a böngésző, az Adobe Reader, a médialejátszó és a Microsoft Office is beletartozhat. Hibajavítás Az egyik legfontosabb dolog, hogy a számítógépünkön található összes szoftvert és plug-int frissíteni kell, valamint az operációs rendszer frissítéséhez a Windows Update szolgáltatással kell megbarátkozni. Rendkívül fontos tudni, hogy a biztonsági foltozások a sérülékenységeket foltozzák be, így a malware-ek és hackerek nem tudnak bejutni a számítógépre. A hibajavítások telepítése egy preventív módszer, ami a probléma forrásánál fejti ki hatását. A Microsoft minden hónap második keddjén adja ki a hibajavításokat, ezeket érdemes még aznap, de legkésőbb szerdán feltelepíteni. A Windows Update az operációs rendszer és a rendszeralkalmazások számára biztosít hibajavításokat, tehát megakadályozza, hogy például egy biztonsági résekkel teli Internet Exploreren keresztül veszélyes weboldalak ismeretlen vírusokat és malware-eket telepítsenek fel a számítógépre. Ezen felül, amennyiben egyéb Microsoft szolgáltatásokkal is rendelkezünk, érdemes a Windows Update-ben a “Get update for other Microsoft products” lehetőséget kipipálni. A Secunia PSI segít megmondani, hogy a telepített programok közül melynek hiányzik a biztonsági frissítése. Az AutoRun kikapcsolása A lenti linkről töltsük le a FixIt-et, ugyanis az AutoRun-t mindenképpen ki kell kapcsolni, hiszen ez komoly problémát jelent az eltávolítható eszközök, tehát az USB pen-drive-ok, adatkártyák, valamint a CD-k és DVD-k esetében. Az AutoRun egy kényelmi funkció, a meghajtón található programot nevéből adódóan automatikusan elindítja, mi pedig az ilyen megoldásokat élből kikapcsoljuk, mert sebezhetőséget jelentenek. https://support.microsoft.com/hu-hu/kb/967715 Gadgets Platform letiltása A Microsoft által kiadott ajánlott közlemény szerint a sidebar/gadget platformjuk potenciálisan sebezhető. A gadgeteket levették az online boltból és kiadtak egy FixIt-et, amivel végleg kikapcsolhatóak. http://support.microsoft.com/kb/2719662
15
SEP2 Kiberbiztonsági Műveleti Központ Data Execution Prevention engedélyezése A Data Execution Prevention egy olyan technológia, ami bizonyos típusú támadásokat elszigetel, ha megfelelő módon vannak kódolva. Alapértelmezés szerint a funkció be van kapcsolva, de csak a Windows szolgáltatásait védi. Ha azt kívánjuk, hogy az összes programunkat, mint a böngészőt, a vírusirtót és az Adobe alkalmazásokat is megvédje, az alábbi változtatást kell tennünk. EMET esetében viszont a funkció ki lesz kapcsolva, ugyanis az EMET veszi át a DEP feletti irányítást Right Click Computer/ Properties/ Advanced System Settings/Performance Settings button/ Data Execution Prevention Tab Válasszuk ki a "Turn on DEP for all programs..." lehetőséget Dump file-ok létrehozásának letiltása Dump file-oknak nevezzük azokat a fájlokat, amelyek a memória mentéseiből keletkeznek. Ezt akkor használják, ha a rendszerben hibakeresést végeznek. Ugyanakkor ezek a dump file-ok minden olyan információt elmentenek, ami aktuálisan a memóriában volt, tehát adott esetben bizalmas dokumentumok és jelszavak is belekerülhetnek. Éppen ezért csak akkor szabad engedélyezni, ha problémákat észlelünk a rendszerben. Computer > Properties > Advanced System Settings > Startup and Recovery Settings – beállítások gomb Write debugging info: None. Távsegítség letiltása A távsegítség lehetővé teszi, hogy egy távoli segítő a számítógépünket teljes egészében távolról irányítsa. Ez a funkció nem a támadók kedvence, ugyanis értelemszerűen komoly védelmmel van ellátva, azonban léteznek olyan átverések, ahol a támadók mégis hozzáférést szerezhetnek, emiatt érdemes de facto letiltani. Computer/Properties/Advanced System settings/Remote tab Un-checkmark allow remote assistance Engedélyezzük a lehető legtöbb visszaállítási pont létrehozását A rendszervisszaállítás életmentő lehet, ha komoly rendszerhibákkal találkozunk. Emiatt a visszaállítási pontoknak fenntartott tárterület-kvóta megnövelése, valamint a több visszaállítási pont létrehozása megfelelő politika. Right click Computer/Properties/Advanced Systems Settings/System Protection tab Configure button/create bigger system restore cache Rejtett fájlok megtekintésének engedélyezése A cél az, hogy az összes fájlt lássuk, ami a Windows mappáiban el van rejtve. Ha ezt a lépést kihagyjuk, akkor a támadók a rejtett mappákba fájlokat helyezhetnek el a tudomásunk nélkül. Annak ellenére, hogy a támadók előszeretettel telepítenek inkább rootkiteket, lehet, hogy nem jutnak olyan mélyre a rendszerben, és akkor vetik be a rejtett mappák/fájlok megoldást. Windows Explorer\Organize\Folder and search options\View tab 16
SEP2 Kiberbiztonsági Műveleti Központ Pipáljuk ki az alábbi tételeket: • • •
Always show menus Display the full path in the title bar Show hidden files, folders and drives
Ne pipáljuk ki az alábbi tételeket: • • •
Hide empty drives in computer folder Hide extensions for known file types Hide protected operating system files
Képernyővédő beállítása A felügyelet nélküli számítógépek mindig egyértelmű biztonsági kockázatokat rejtenek, amit a támadók előszeretettel használnak, ugyanis a felhasználók elfelejtenek megfelelően gondoskodni a problémáról. Nagyobb vállalatok esetében külön szabályozás létezik arra, hogy a bejelentkezve hagyott számítógépet nem szabad egyedül hagyni vagy ki kell léptetni. Az asztalon jobb klikk után a Personalize\Screensaver menübe lépbe állítsuk be: várjon 10 percet, aztán mutassa a bejelentkezési képernyőt. Nem használt Windows funkciók kikapcsolása Control Panel\Program and Features\Turn Windows Features on or off Alábbiak kikapcsolása:
Tablet PC Components Windows Gadget platform
AutoPlay kikapcsolása Nem szeretnénk, ha bármilyen program vagy médiafájl automatikusan lefutna, ugyanis a behelyezett adathordozók potenciálisan fertőzöttek lehetnek. Jobb, ha manuálisan (akár egy vírusellenőrzést követően) nyitjuk meg a kívánt fájlt. Control Panel\AutoPlay: válasszuk a 'Take No Action' lehetőséget az összes esetben Szedjük ki a pipát a "Use AutoPlay for all media and devices" mellől Windows Defender Control Panel\Windows Defender Tools menu\Microsoft SpyNet\ 'Join with Advanced Membership’ kiválasztása Adminisztratív eszközök megjelenítése Jobb klikk a Start gombra\Properties\Start Menu\Customize: legörgetni az aljára 'System Administrative Tools' megkeresése, 'Display on All Programs Menu and Start Menu'-re állítása
17
SEP2 Kiberbiztonsági Műveleti Központ Legkevesebb jogosultság (Least Privilege): második rész A \Windows\System32 mappába benézve láthatjuk, hogy rengeteg .exe program található itt. Némelyikük a rendszer működéséhez szükséges GUI komponens, a többi viszont parancssori program a Windows adminisztrálásához. Egy standard felhasználó mindennapi munkájához nem szükségesek ezek a parancssori programok, hiszen ezek IT adminisztrátoroknak készültek. A Least Privilege elvnek megfelelően ezeket a parancssori programokat a felhasználói fiókokból el kell távolítani, kizárólag az adminisztratív fiókban maradhatnak meg. A konfigurációt követően ezek a parancssori adminisztratív eszközök kizárólag az adminisztratív (admin) fiókból lesznek elérhetőek. A támadók három fiókhoz kívánnak hozzáférni: ezek az adminisztratív (admin), az Adminisztrátor és a System fiókok. Az admin fiók szükséges a rendszerbeállítások módosításához, ezért ennek teljes hozzáférést kell adni a parancssorhoz, elkerülhetetlen. Az Adminisztrátor fiók alapértelmezés szerint ki van kapcsolva. A System fiók pedig néhány szolgáltatás által van használva, de a tesztelés során kiderül, hogy nem zárhatjuk be, ugyanis akkor a Restore.bat nem fog működni. Kevesen tudják, hogy létezik egy parancssori FTP program, hiszen a legtöbben a böngészőből töltünk le. Azonban a támadó nem lehet ilyen egyértelmű, ezért ő természetesen a parancssort használná a támadáshoz szükséges fájlok célszámítógépre való letöltéséhez. Az ilyen és ehhez hasonló esetek miatt kell a parancssori hozzáférést a legszükségesebb fiókokra korlátozni. Böngészők és biztonság Mivel a böngészők az elsőszámú hozzáférési felületet képezik az internet felé, ezért a támadók elsődleges támadási vektoraként aposztrofálhatóak. A weboldalakat támadhatják, hogy a biztonsági réseken keresztül módosítva azt malware-eket töltsenek a számítógépre vagy egy sokat látogatott oldalról átirányíthatnak veszélyes oldalakra, hogy onnan letöltődjön a támadáshoz szükséges telepítőkészlet. Az Internet Explorer rendelkezik egy beépített védekező rendszerrel, amit Protected Mode névre kereszteltek, de a gyakorlatban az integritási szintek emészthető elnevezését takarják vele. Alapvetően az egész rendszer közepes integritásra van állítva, eközben az Internet Explorer alacsony integritást kap. Az alacsony integritású program nem módosíthatja a közepes integritású rendszert, így amennyiben valaki be is jut az Internet Explorerbe, nem fog tudni a rendszerben változást eszközölni. Az összes böngészőt be lehet állítani alacsony integritási szintre. Az Internet Explorer népszerű alternatívája a Google Chrome és a Mozilla Firefox. Ezeket a böngészőket nem véletlenül nevezik biztonságosabbnak: nem tartalmazzák az ActiveX-et. Az ActiveX kódkönyvtárak a Windowsban vannak szétszórva, közülük sok nem biztonságos az internetezéshez. A támadók sokszor az Internet Explorerrel lekéretik az ActiveX modulokat, hogy azon keresztül hajthassák végre a támadást. Protected Mode folyamatos használata az Internet Explorerben
Control Panel\Internet Options\Security Tab Pipáljuk ki a Protected Mode-ot az összes lehetőségnél Jelentkezzünk be az összes felhasználói fiókba, és csináljuk meg ugyanezt.
ActiveX filtering az Internet Explorerben
Internet Explorer\Gear icon\Safety\ActiveX Filtering kipipálása Jelentkezzünk be az összes felhasználói fiókba, és csináljuk meg ugyanezt. 18
SEP2 Kiberbiztonsági Műveleti Központ Enhanced Protected Mode folyamatos használata az Internet Explorerben
Control Panel\Internet Options\Advanced lap\Security Section 'Enable Enhanced Protected Mode' kipipálása
Mozilla Firefox alacsony integritásúra állítása A fent állítottaknak megfelelően a Mozilla Firefox is alacsony integritásúra állítható. A parancssor megnyitása után a következő parancsokat kell egyesével, soronként bemásolni, a helyére a saját fiók nevét írva.
icacls "C:\Program Files (x86)\Mozilla Firefox\Firefox.exe" /setintegritylevel low icacls "C:\Users\\AppData\Local\Temp" /setintegritylevel(oi)(ci) low /t icacls "C:\Users\\AppData\Local\Mozilla" /setintegritylevel(oi)(ci) low /t icacls "C:\Users\\AppData\Roaming\Mozilla" /setintegritylevel(oi)(ci) low /t icacls "C:\Users\\Downloads" /setintegritylevel(oi)(ci) low /t icacls "C:\Users\\AppData\Local\Temp" /setintegritylevel(oi)(ci) low /t icacls "C:\Users\\AppData\Local\Mozilla" /setintegritylevel(oi)(ci) low /t icacls "C:\Users\\AppData\Roaming\Mozilla" /setintegritylevel(oi)(ci) low /t icacls "C:\Users\\Downloads" /setintegritylevel(oi)(ci) low /t
Opera alacsony integritásúra állítása A fent állítottaknak megfelelően az Opera is alacsony integritásúra állítható. A parancssor megnyitása után a következő parancsokat kell egyesével, soronként bemásolni.
icacls "C:\program files\opera x64\opera.exe" /setintegritylevel low icacls "C:\Users\sec web\AppData\Local\Opera Software" /setintegritylevel(oi)(ci) low /t icacls "C:\Users\sec web\AppData\Roaming\Opera Software" /setintegritylevel(oi)(ci) low /t
Google Chrome A Google Chrome egy nyílt forráskódú böngésző, aminek az architektúrája elzárja a magas veszélyfaktort hordozó komponenseket, így például a HTML feldolgozót, a JavaScript virtuális eszközt, az Adobe Flasht és a Document Object Model-t (DOM), megakadályozza, hogy módosításokat tegyen a rendszerben a behatoló. Ezen felül automatikusan használja az Internet Explorerben meglévő Protected Mode funkciót Windows 7 és Windows Vista alatt. A böngésző sandbox technológiával való megvédése A Sandboxie programmal (ami ezen a linkren tölthető le) a sandbox védelmi koncepcióval védhetünk meg bármilyen böngészőt. Alapvetően, ekkor a böngésző működése egy lezárt, kisebb könyvtárban megy végbe, miközben azt hiszi, hogy az a C: meghajtó. A Sandboxie ennek megfelelően nem akadályoz meg egyetlen támadást, hanem ahelyett, hogy a támadó a C: meghajtón garázdálkodna, egy sokkal kisebb, kizárólag a böngésző számára fenntartott könyvtárban teszi ezt. Ha a támadó malware-t helyez el a rendszeren, akkor az kizárólag abban a könyvtárban fog működni. Így van ez az összes letöltéssel is, először a Sandbox könyvtárába töltődnek le, majd később helyeződnek át a C: meghajtóra. És ha valamilyen krach ütne be, akkor a böngészőt tartalmazó könyvtárat a programon keresztül egy klikkeléssel el lehet törölni. A Unix világban ezt chroot-nak hívják, és ezzel akadályozzák meg, hogy a sérült szerveren keresztül az egész rendszer védtelenné váljon. 19
SEP2 Kiberbiztonsági Műveleti Központ Fontos kiemelni, hogy minden egyes külön prioritású adatokat kezelő felhasználási módhoz külön sandboxot készítsünk a Sandboxie-n belül. Tehát elég nagy végletekkel élve ne ugyanazon a sandboxon futó böngészőből intézzük az online bankingot és látogassunk pornóoldalakat, hanem ezeket külön sandboxban kezeljük, hogy amennyiben az egyik kompromittálódik, a másik sandboxban található gyorsítótárazott és letöltött fájlokat ne érje el. Jobb klikk a Sandboxra, majd Sandbox Settings.
Delete delete invocation automatically delete contents of sandbox kipipálása, így bármi, ami bejut a sandboxba, nem fog hozzáférni a rendszerhez. Program stop leader programs Chrome Restrictions Internet access only Chrome Restrictions start/run access only Chrome Restrictions drop rights 'drop rights ...' kipipálása
Alacsony integritású programok dokumentum-elérésnek korlátozása Létezik egy olyan lehetőség, amelyben az alacsony integritású programok nem érik el a közepes (vagy annál magasabb) integritású lokációkat, ezt az alábbi parancsokkal lehet elérni. Ha az alábbi parancsokat végrehajtjuk, az Asztal, a Dokumentumok, a Képek, Videók és Zenék mappák elérhetetlenek lesznek az alacsony integritásúnak jelölt programok számára. A legutolsó parancs pedig még a Letöltések mappához való hozzáférést is korlátozza, amennyiben erre van igény, de szerintünk ez nem feltétlen szükséges, ugyanis kell egy olyan mappa, amibe az alacsony integritású böngésző le tudja tölteni a fájlokat (hiszen az alacsony integritású, a feljebb felsorolt mappák egyikébe sem tud írni). A következő linken tudjuk letölteni a chml.exe fájlt. A parancssor adminisztrátori futtatása után az alábbi parancsokat egyesével hajtsuk végre.
cd "\user\\downloads\chml" ( or wherever you saved chml ) chml "c:\users\\desktop" -ws:s:(ml;cioi;nwnrnx;;;me) chml "c:\users\\documents" -ws:s:(ml;cioi;nwnrnx;;;me) chml "c:\users\\pictures" -ws:s:(ml;cioi;nwnrnx;;;me) chml "c:\users\\videos" -ws:s:(ml;cioi;nwnrnx;;;me) chml "c:\users\\music" -ws:s:(ml;cioi;nwnrnx;;;me) chml "c:\users\\downloads" -i:l
Jelszavak Nem mondunk újdonságot, de a tapasztalatokból kiindulva még mindig ki kell hangsúlyozni, hogy az erős jelszó mindennek a kulcsa, főleg az adminisztrátori fiókoknál. A Windows installálásakor létrehozásra kerülő fiók mindig adminisztrátori, ezt erős jelszóval kell védeni. Ezen felül létezik egy Adminisztrátor elnevezést kapott fiók is, ami alapesetben le van tiltva. Ezt engedélyezzük, védjük jelszóval (az admintól eltérő, de szintén erős), majd újfent tiltsuk le, hiszen nem lesz rá szükségünk. A jó jelszó hosszú, 15 karakteres vagy annál hosszabb, kis- és nagybetűket, számokat és szimbólumokat tartalmaz. A legjobb, ha segítséget hívunk, és vagy egy automatikus jelszógenerátorral készítünk a kritériumoknak megfelelő jelkódot (de ezt sosem fogjuk megjegyezni), vagy egy jelmondatot alakítunk át. Vegyük például ezt: James T. Kirk is the captain of the USS Enterprise 1701. Ez a JTKitcotUSSE1701 jelszót adná ki, ebben azonban nincsenek szimbólumok, ezért adjunk hozzá néhányat, a meglévő betűk némelyikének helyére: JTK$itcot%USSE1701. 20
SEP2 Kiberbiztonsági Műveleti Központ Érdemes a BIOS-nak is jelszót adni, tehát ha valaki be kíván lépni, akkor nem elég megnyomnia a megfelelő funkciógombot, hanem a fentihez hasonló bonyolultságú jelszót is meg kell adnia. Ezen felül érdemes a boot sorrendet megváltoztatni, hogy a lista elején a merevlemez legyen, aztán következzen a CD/DVD. Erre azért van szükség, mert ha a támadó fizikailag képes egy lemezt behelyezni, és az eredeti boot sorrend él, akkor a Windows összes biztonsági megoldását egycsapásra megkerüli. Fizikai biztonság A fizikai biztonságra sajnos nincsenek konkrét megoldások, ugyanis minden munkakörnyezet alapjában véve más, így eltérő fenyegetettségekre kell reagálni. De azt nem szabad elfelejteni, hogy amennyiben valaki fizikai hozzáféréssel rendelkezik a számítógépünkhöz, rengeteg olyan támadási módszert hajthat végre, amiket kizárólag szemfülességgel és előre gondolkozással lehet megakadályozni. Például ha a támadó be tud helyezni egy Linux Live CD-t, és arra képes bebootolni (ezért kell a bootsorrend megváltoztatása, valamint a boot jelszó beállítása!), akkor a Windows lemezpartícióján található összes adatot le tudja másolni. Kétfaktoros autentikáció, a Windowsba építve A Windows 7 Home Premium 64 bit felhasználói számára is létezik egy kétfaktoros autentikációs megoldás, méghozzá az operációs rendszerbe építve. A Windowsnak van egy siskey nevű szolgáltatása, ami a bejelentkezési jelszavak dekódolásához szükséges kulcsot ráhelyezi egy USB pendrive-ra. A bejelentkezési jelszavak értelemszerűen nem sima szöveges állományként, hanem kódolva vannak eltárolva. És a jelszavak dekódolásához szükséges kulcsot elhelyezhetjük az A: meghajtón, hiszen a legtöbb számítógépben napjainkban már nincs floppy meghajtó, aminek az A: meghajtó allokálva volt. Épp ezért, egy USB pen-drive-ot a gépbe helyezve, majd a Számítógépet megnyitva, és ott jobb klikkel a Manage lehetőségre ugorva beléphetünk a Disk Managament szolgáltatásba, ahol az USB pendrive-ra (ami valószínűleg az F: vagy a G: betűt kapta) jobb egérgombbal nyomva a Change Letter and Path lehetőséget kell választani, itt tudjuk átírni a meghajtó nevét A:-ra. Ezt követően futtassuk le a siskey-t. Klikkeljünk az Update gombra, majd válasszuk a Store Startup Key on Floppy Disk lehetőséget. Ha itt berakjuk a pen-drive-ot, a dekódoláshoz szükséges kód rákerül. Ha ezt végrehajtjuk, akkor minden Windows-indításkor be kell helyeznünk a “Floppy-lemezt” a rendszerindítás befejezéséhez. A syskey megoldással operáló kétfaktoros autentikáció kifejezetten jó funkció, hiszen azt követően a számítógépet elindító összes felhasználónak szüksége van a lemezre. Valamint a bejelentkezési jelszóra is. Behatolásfelderítés: első rész A jó biztonsági rendszer csak részben áll a deter-deny-delay hármason, ezen felül a detection, tehát a behatolások felderítése is létfontosságú rész: tudnunk kell arról, ha jogtalanul hoznak létre fiókokat, vagy a jelszókat brute-force módszerrel próbálják megszerezni. Szerencsére az eseménynaplókban ezeknek nyoma van. A Windows Event Viewer rengeteg információt tartalmaz a rendszerről (Control Panel\Administrative Tools\Event View). Ezen felül a Microsoft létrehozott egy Security Monitoring and Attack Detection Planning Guide-ot, amiben kifejtik, hogy a biztonsági monitoringot hogyan kell elvégezni, valamint a releváns Event ID-kra is kitérnek.
21
SEP2 Kiberbiztonsági Műveleti Központ Naplófájlok méretének növelése Nem biztos, hogy egy betörést azonnal felfedezünk, jó esély van rá, hogy a felfedezésre csak hetekkel vagy hónapokkal később kerül sor. Azonban ha a Windows naplófájljainak méretét nem növeljük meg, akkor az ilyen régi bejegyzések már elsüllyednek a bitek és bájtok feneketlen mocsarában. Control Panel\Administrative Tools\Event Viewer 'Windows Logs' kibontása. Jobb klikk az ‘Application’-re, Properties és a naplófájl méretét 1000000-re állítsuk. Hajtsuk végre ugyanezt a 'Security' és 'System' esetében is. Megfigyelendő biztonsági események Hozzunk létre egyéni nézeteket a számunkra fontos biztonsági események gyors áttekintéséhez. Ha Automated Configuring csomaggal rendelkezünk, az “Event Folder Custom Files” mappából egyesével importálhatjuk a beállításokat. Klikkeljünk a ‘Create Custom View’ lehetőségre, válasszuk a ‘By Log’ot, görgessünk az ‘Event Logs’-ig, pipáljuk ki a ‘Windows Logs’-t. Menjünk az lehetőségig, illesszük be az esemény számát, klikkeljünk az OK-ra, majd nevezzük el az egyéni beállítást.
4723, 4724 - Change Password 4720, 4726, 4738, 4781 - Delete, Change Accounts 4608, 4609 - Startup, Shutdown 4613 - Clear Security Log 4616 - Change System Time 4617 - Unable to Log 4714, 4705 - Privilege assigned or removed 4708, 4714 - Change audit policy 4717, 4718 - System access granted or removed 4739 - Change domain policy 16390 - Administrator account lockout 4727-4730, 4731-4734, 4735, 4737, 4784, 4755-4758 - Group changes 4624, 4636, 4803, 4801 - Account logons 4625, 4626, 4627, 4628, 4630, 4635, 4649, 4740, 4771, 4772, 4777 - Logon failures (Kulcsszó: Audit Failure) 4672 - Admin account logons 4698 - Schedule new job 4656 - Access refused to object 3004, 3005 - Windows defender finds something 4664 - Create hard link to audited file 865 - Software restriction triggered 1000 - Application Error (Event Level: CHECKMARK "Error") 1002 - Application Hang (Event Level: CHECKMARK "Error") 1037 - Protected Mode violation 7031 - Service terminated unexpectedly 4697 - Install a Service 4663 - Access audited file Pipa: Critical, Warning és Error. Event Sources: EMET – EMET incidents 22
SEP2 Kiberbiztonsági Műveleti Központ Behatolásfelderítés: második rész – az alapértékek lefektetése A behatolásfelderítésbe az is beletartozik, hogy az olyan tevékenységeket is szűrjük, amelyek nem térnek el a szokásostól. A számítógép a hardeninget követő első napon tökéletesen működött. Fel kell tennünk magunkban a kérdést: még mindig ugyanolyan jól funkcionál, nem történt azóta változás? Ennek a felismeréséhez szükséges az alapértékek lefektetése. Tudnunk kell, hogy a programok a rendszerindítást követő első bejelentkezéskor jól működnek-e, annak megelőzéseképp, hogy ne legyünk spyware-ek és más hackeszközök könnyű prédái. Ehhez két ingyenes programot telepítünk fel, az első az AutoRuns, ami a következő linkről érhető el. Az AutoRuns nem rendelkezik telepítőprogrammal, ezért letöltést követően csomagoljuk ki a .zip fájlt, hozzunk létre egy mappát a \Program Files alatt, és másoljuk be a kicsomagolt fájlokat. Az AutoRuns listázza az összes helyet a registry-ben, ahol a programok automatikus indításához szükséges bejegyzések vannak. Jobb klikkel, adminisztrátorként futtatva a File\Save funkciót használva készítsünk egy pillanatképet a számítógépünk aktuális beállításairól. Később, ugyanígy készítsünk még egyet, majd a File\Compare lehetőséggel hasonlítsuk őket össze, hogy történt-e bármilyen változás. Az új bejegyzések zöld színt kaptak. Ha az összes új, zöld színű bejegyzés elfogadható, akkor mentsük el az aktuális dátummal, majd a következő ütemezett ellenőrzés során hajtsuk végre megint az összehasonlítást. Mivel minden felhasználói fiók külön autorun beállításokkal rendelkezik, ezért minden felhasználói fióknál külön kell elvégezni az összehasonlítást. A fájlokat pedig a következőképpen nevezzük el: “autoruns<username>-.arn”. A második szoftver a Process Explorer, ami szintén a Microsoft Technet oldaláról tölthető le. A program a Task Managerhez hasonlít, egy fontos különbség van: sokkal több beállítási lehetőséget tartalmaz. Rengeteg malware Windows szolgáltatásokhoz kísértetiesen hasonlító álnéven tevékenykedik a számítógépünkben, így próbálkozva elrejteni magukat. Az admin fiókba belépve, a Process Explorert adminisztrátorként kell futtatni. A programban a ‘View\Select’ sorban a ‘command line’ lehetőséget pipáljuk ki, majd mentsük el (File\Save). A végeredmény egy fájl, ami megmutatja, mégis mi az, ami hidegindítás után fut a rendszerben. Ha a Process Explorerben szeretnénk összehasonlítást végezni, akkor ne feledjük el, hogy nem használhatjuk a fájlösszehasonlító eszközt (file compare tool, ‘fc’) a különbségek kereséséhez, ugyanis a PID (Process Identifier) minden program és folyamat esetében eltérő az összes bekapcsoláskor. A számítógépünk újraindítását követően egy parancssort nyissunk adminisztrátorként, majd írjuk be a következőt: netstat -abn > netstat-baseline.txt A netstat program megmutatja, hogy éppen mely programok kommunikálnak az internettel, melyek azok, amelyek csatlakoznak a világhálóra. Ha egy támadó csatlakozik a számítógéphez, akkor a programjának az ő és a mi gépünk között kapcsolatot kell létesítenie az interneten, márpedig ennek nyoma marad ebben a listában. A DriverQuery egy parancssori eszköz a Windowsban, és a nevéből adódóan az összes használatban lévő drivert kilistázza. Néhány virus és rootkit mára már driver formát öltött. Amikor a rutinellenőrzéseket végezzük, futtassuk le ezt: driverquery > out.txt Ha ez az első pillanatkép, akkor nevezzük át az out.txt-t driverquery-out.txt-re. 23
SEP2 Kiberbiztonsági Műveleti Központ Következő alkalommal már a következőt futtassuk le: driverquery > out.txt fc out.txt driverquery-out.txt A fájlösszehasonlítás meg fogja mutatni a különbségeket az out.txt és a driverquery-out.txt között. Ha túl sok változás van, akkor nem fogja tudni megjeleníteni őket; ekkor egymás mellett két Notepadet kell nyitni, és manuálisan összehasonlítani a két fájlt. A legtöbb esetben az új drivereket a Windows Update tölti le, ezért a Microsoft Security Bulletin tartalmazza az új drivereket, amennyiben kiadásra kerültek. És a Microsoft Security Bulletin minden második kedden a frissítésekkel együtt kiadásra kerül. Nos, ezt a négy alapértéket, a szöveges fájl formátumukban mentsük le egy USB pen-drive-ra a későbbi használathoz. Illetve nem árt a programokat sem lementeni, ugyanis egy potenciális támadás során megsérülhetnek vagy a beállítások változhatnak, a támadók kénye-kedve szerint. Az utolsó parancs, amit le kell futtatnunk, az “sfc /scannow”, ezzel azt nézhetjük meg, hogy bármely rendszerfájl módosításra került-e. Behatolásfelderítés: harmadik rész Mindenképpen szükséges antivírus és antispyware programok telepítése, azt viszont vegyük figyelembe, hogy egyidejűleg csak egy antivírus programunk lehet. A vírusvédelmet érdemes megbízható forrásból beszerezni. Magyarországon ilyen a Biztonsági Szoftver, ahonnan a Kaspersky és Eset termékeket vásárolhatjuk meg, a licensz teljes idejére szóló, ingyenes terméktámogatással. Érdemes megjegyezni, hogy csak megbízható torrent oldalakról töltsünk le fájlokat, és ott is csak a vírusellenőrzésen átment torrenteket szabad letölteni. Keyloggerek és Screen Grabberek A spyware-ek ezen osztálya megérdemli a külön említést, ugyanis őket nem azért készítik, hogy velük a számítógép fölött átvegyék az uralmat, hanem a standard fiókban garázdálkodva velük megszerezhetőek a banki belépési adatok, jelszavak, e-mail hozzáférés, stb. Az antivírus programok bár sokrétűek, nem feltétlen spyware-ekre lettek tervezve, ezért létrehoztak célspecifikus programokat: a Zemana AntiLogger egyaránt képes a keyloggereket és a screen grabbereket hatástalanítani, míg a KeyScrambler csak előbbire képes. A folyamatként értelmezett biztonság A biztonság fenntartása egy hosszú folyamat, amiért tenni kell a hardening után. Tehát azzal, hogy a fenti lépéseket megtettük, csak az egyenlet egyik oldalát adtuk meg: a másik oldal a folyamatos figyelés, óvatos használat és rutinellenőrzések sorozata. A hardenelt Windows 7 Home Premium 64 bit immár többrétegű biztonsági megoldásokkal rendelkezik, de az új, frissen felfedezett sebezhetőségek ellen nekünk kell fellépni. Az első lépés az új sebezhetőségek számon tartása. Erre több oldal létezik, a következőket érdemes rendszeresen látogatni:
http://threatpost.com/ http://www.theregister.co.uk/security/ http://www.sans.org/newsletters/risk/ http://www.microsoft.com/technet/security/advisory/default.mspx
Ezeket a weboldalakat hetente egyszer érdemes meglátogatni, hogy legyen fogalmunk a biztonsági résekről. Mivel nagytudású hozzáértők írják, a részletes cikkekben megoldás is szokott lenni a
24
SEP2 Kiberbiztonsági Műveleti Központ problémákra. A fent ismertetett információk alapvető részeit képzik a folyamatos védettség fenntartásának. A védelmi folyamat következő részeként a rendszert folyamatosan monitorozni kell, fel kell tárni a támadásokat. A fent ismertetett naplófájlok és a létrehozott alapfájlok összehasonlítását a legújabbakkal, valamint a rendszeres vírusellenőrzést szintén hetente, de legfeljebb kéthetente el kell végezni. A folyamatos megfigyelés kritikus fontosságú, hiszen még a legjobban hardenelt rendszerekben is vannak elvétve biztonsági rések. Néhány hónapnyi használat után a számítógép beállításai elkerülhetetlenül megváltoznak: új szoftverek kerülnek rá a gépre, új eszközöket installálunk és adunk hozzá, épp emiatt néhány havonta szükséges egy-egy ellenőrzést beiktatni, aminek keretében az alapoktól kezdve az összes beállítást átnézzük. Automatizált konfiguráció A Windows 7 Home Premium 64 bit csomagban három darab .inf fájl található.
Restore Win 7 Home Premium 64 A.inf Harden Win 7 Home Premium 64 Standalone A.inf Harden Win 7 Home Premium 64 Standalone B.inf
Ha a rendszebeállításokat vissza szeretnénk állítani, akkor a Restore.inf fájl lesz a segítségünkre. A “Harden Win 7 Home Premium 64 Standalone A” tartalmazza
A szolgáltatások konfigurációját Az Access Control List konfigurációt a parancssori programokhoz
A visszaállítással ezek alapértékei állnak vissza. A “Harden Win 7 Home Premium 64 Standalone B” tartalmazza “A” elemeit és a következő konfigurációs elemeket:
Password age and length requirement settings: 13 characters and good for 90 days Account lockout condition : upon trying 50 bad passwords Account lockout duration: 15 minutes Deny network logon to certain accounts: Guests, Anonymous Logon, Administrator, NETWORK SERVICE, SERVICE, SYSTEM, LOCAL SERVICE System, Application and Security Event Log size: 1000000 Kb Have Event Viewer show success and failure events for Account Logons, Account Management, Policy Change and System events. Limit local account use of blank passwords to console logon only: enabled Audit the access of global system objects: disabled Audit the use of Backup and Restore privilege: disabled Shut down system immediately if unable to log security audits: disabled Allow undock without having to log on: enabled Allow to format and eject removable media; Administrators and Interactive users Prevent users from installing printer drivers. Domain member: Digitally encrypt or sign secure channel data (always): enabled Domain member: Digitally encrypt secure channel data (when possible): enabled 25
SEP2 Kiberbiztonsági Műveleti Központ
Domain member: Digitally sign secure channel data (when possible): Enabled Domain member: Maximum machine account password age: 30 days Domain member: Require strong (Windows 2000 or later) session key: enabled Do not display last logon user name; enabled Do not require pressing CTRL-ALT-DEL: disabled Number of previous logons to cache: 2 logons Prompt user to change password before expiration: 14 days Require smart card: disabled Smart card removal behavior: Lock workstation MS network client: Digitally sign communications (always): enabled MS network client: Digitally sign communications (If server agrees); enabled MS network server: Amount of idle time required before suspending session: 15 minutes MS network server: Digitally sign communications (always): enabled MS network server: Digitally sign communications (if client agrees): enabled Network access: Allow anonymous SID/Name translation: disabled Network access: Do not allow anonymous enumberation of SAM accounts: enabled Network access: Do not allow anonymous enumberation of SAM accounts and shares: enabled Network access: Do not allow storage of passwords and credentials for network authentication: disabled Network access: Let Everyone permissions apply to anonymous users: disabled Network access: Remotely accessible registry paths: System\CurrentControlSet\Control\ProductOptions · System\CurrentControlSet\Control\Server Applications · Software\Microsoft\Windows NT\CurrentVersion Network access: Remotely accessible registry paths and sub-paths: · Software\Microsoft\Windows NT\CurrentVersion\Print · Software\Microsoft\Windows NT\CurrentVersion\Windows · System\CurrentControlSet\Control\Print\Printers · System\CurrentControlSet\Services\Eventlog · Software\Microsoft\OLAP Server · System\CurrentControlSet\Control\ContentIndex · System\CurrentControlSet\Control\Terminal Server · System\CurrentControlSet\Control\Terminal Server\UserConfig · System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration · Software\Microsoft\Windows NT\CurrentVersion\Perflib · System\CurrentControlSet\Services\SysmonLog · MS Security Compliance Manager explains that MS Baseline Security Analyzer uses Remote Registry to work. The Remote Registry service is disabled in our current configuration, but can be re-enabled for this if needed. So these 2 registry settings have no bearing until Remote Registry service is re-enabled. These 2 settings are left as is because Windows 7 Home Premium has no tool to modify the settings in case you want to use MS Baseline Security Analyzer. Network access: Restrict anonymous access to Named Pipes and Shares: enabled Network access: Shares that can be accessed anonymously: blank
26
SEP2 Kiberbiztonsági Műveleti Központ
Network access: Sharing and security model for local accounts: Classic – local users authenticate as themselves Network security: Do not store LAN Manager hash value on next password change: enabled Network security: Force logoff when logon hours expire: disabled Network security: LAN Manager authentication level: Send NTLMv2 response only, Refuse LM and NTLM Network security: LDAP client signing requirements: Negotiate signing Network security: Minimum session security for NTLM SSP based (including secure RPC) clients: Require NTLMv2 session security, Require 128 bit encryption Network security: Minimum session security for NTLM SSP based (including secure RPC) servers: Require NTLMv2 session security, Require 128 bit encryption Recovery console: Allow automatic administrative logon: disabled Recovery console: Allow floppy copy and access to all drives and all folders: disabled Shutdown: Allow system to shut down without having to log on: enabled Shutdown: Clear virtual memory pagefile: disabled System cryptography; Use FIPS compliant algorithms for encryption, hasing and signing: disabled System objects: Require case insensitivity for non-Windows subsystems: enabled System objects: Strengthen default permissions of internal system objects (e.g. Symbolic links): enabled System settings: Optional subsystems: blank System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies: disabled User Account Control; Admin Approval Mode for Built-in Administrator account: enabled UAC: Allow UIAccess applications to prompt for elevation without using the secure desktop: disabled UAC: Behavior of the elevation prompt for administrators in Admin Approval Mode: Prompt for credentials UAC: Behavior of the elevation prompt for standard users: Automatically deny elevation requests UAC: Detect application installations and prompt for elevation: enabled UAC: Only elevate executables that are signed and validated: disabled UAC: Only elevate UIAccess applications that are installed in secure locations: enabled UAC: Run all administrators in Admin Approval Mode: enabled UAC: Switch to secure desktop when prompting for elevation: enabled UAC: Virtualize file and registry write failures to per-user locations: enabled
Microsoft Security Compliance Manager A Microsoft egyik eszköze, a Security Compliance Manager (letölthető a Technetről) beállításaiban lehet kezelni a Local Security Policies-t és a Group Policies-t. Az eszközben az a remek, hogy minden beállításhoz részletes tájékoztatást ad, sebezhetőségi összegzést és minden beállításhoz ellenintézkedést is tartalmaz. Ezen felül – ha valami félresiklana – egyszerűen visszaállíthatjuk az alapbeállításokra.
27
SEP2 Kiberbiztonsági Műveleti Központ Végső teendők
Secunia PSI lefuttatása, ha eddig nem történt volna még meg. Adobe Flash kikapcsolása az admin fiókban. Internet Explorer > Gear > Manage Addons > Toolbars and Extensions > Show All Addons > Shockwave Flash Object > Disable gomb. Autoplay letiltása az összes felhasználói fiókban. Control Panel > AutoPlay, Válasszuk a 'Take No Action' lehetőséget mindegyikhez, majd “Use AutoPlay for all media and devices” letiltása ActiveX filtering beállítása. Internet Explorer > Gear icon > Safety > ActiveX Filtering. Protected Mode beállítása az Internet Explorerben. Gear icon > Internet options > Security tab > minden ikon esetében (Internet, Local Intranet, Trusted sites, Restricted sites) engedélyezzük a Protected Mode-ot. Ismételjük meg az összes felhasználói fiókban. Control Panel\Internet Options\ Advanced tab. Security szekció. ‘Enable Enhanced Protected Mode’ engedélyezése az összes felhasználói fiók részére.
Acrobat Reader futtatása.
Preferences Javascript, uncheckmark "Enable Acrobat Javascript". Security Enhanced. Protected View: All Files Security Enhanced: Create Protected Mode Log File. Security Enhanced: Uncheckmark Automatically Trust Sites from my Win OS Security Zones. Trust Manager: Uncheckmark Allow Opening of Non-PDF file attachments Trust Manager: Internet Access from PDF outside the web browser – Change Settings button, select Block PDF file access to all web sites.
cd "\user\\downloads\chml" (or wherever you saved chml) chml "c:\users\\desktop" -ws:s:(ml;cioi;nwnrnx;;;me) chml "c:\users\\documents" -ws:s:(ml;cioi;nwnrnx;;;me) chml "c:\users\\pictures" -ws:s:(ml;cioi;nwnrnx;;;me) chml "c:\users\\videos" -ws:s:(ml;cioi;nwnrnx;;;me) chml "c:\users\\music" -ws:s:(ml;cioi;nwnrnx;;;me) chml "c:\users\\downloads" -i:l chml "C:\Users\\AppData\Local\Opera" -i:l chml "C:\Users\\AppData\Roaming\Opera" -i:l
Hozzunk létre egy rendszervisszaállítási pontot. Hozzunk létre egy mentést a merevlemezről Ez fontos pont, ugyanis egy mindent elsöprő támadás után, hogy ne kelljen újból végigmenni a hardeningen, egy teljes mentésből lehet csak visszaállni az eredeti állapotra. Egy ingyenes eszközzel, a Macrium Reflecttel mindezt megtehetjük. Az eszközzel hozzunk létre egy mentést egy pen-drive-ra, valamint ne felejtsünk el készíteni egy helyreállító CD-t.
28
SEP2 Kiberbiztonsági Műveleti Központ
Minden jog fenntartva © Black Cell Kft.
29
