• Article

Fichiers de bureautiquesAtténuation cas

Wes Miller

Contenu

JE t'aime
Roi COM
Dilemme le lecteur Flash
Quel est le point ?

Limiter la condition est définie en général en tant que pour « mettre moins grave, sérieux ou pénible. » J'ai passé un peu de temps dans cet article traitant des technologies qui peuvent servir à atténuer les problèmes, notamment celles liées à la sécurité.J'AI croître jusqu'à, appris nombreux proverbs et parables a été conçues pour vous aider à renforcer bon comportement, et je suis toujours une grande believer dans un grand nombre des preuves que J'AI appris.Mes favori proverbe est « une Once de prévention important un kilo de traitement. » Et mes devis favoris est par philosopher George Santayana: « personnes qui ne vous souvenez pas auparavant condemned de répéter. » Ensemble ces faire un bon travail d'exprimer comment j'aime pour fonctionner, et comment je souhaiterais technologies plus gérés.

Malheureusement, vous et accéder à interagir avec la technologie à un niveau la plupart des gens n'obtenez pas (devez?).Lorsque cela est très à nous pour en savoir technologie forcer, trop souvent la technologie ne comportera la façon qu'il est supposé se comporter.Dans ce cas, nous devons limiter sur cette option pour vous assurer que dommages supplémentaires ne se produit en raison de l'échec.

Ce mois-ci, je vais faire mon article un peu d'une direction philosophical.Vous avez déjà vous-même faire quelque chose d'un technophile révélé simplement en lisant les pages de TechNet Magazine, donc je peut simplement preaching aux personnes déjà accord avec moi ici.Cependant, les points que j'afficher dans mois-ci ce sont suffisamment importante pour un trait de soulignement.

J'ai mentionné avant que la technologie que je travaille sur (sécurité et whitelisting) est un peu plus d'un préventives d'est la technologie standard été utilisée pour traitent des logiciels malveillants pour les dernières années 25 qui essentiellement compilé blacklists des signatures de logiciels malveillants connus.L'approche préventive peut être une route assez avant-garde pour aller vers le bas.Mais comme je L'AI dit dans mon article de novembre "Prévention de perte de données avec Gestion des droits d'entreprise"), il est tout savoir sur quel votre objectif réel.Si vous entrent dans une conversation dire « Je veux arrêter des logiciels malveillants » sans Explorer les autres approches, vous accompagnerez simplement le chemin « Rechercher le contenu incorrect et éliminer » standard.Vous pouvez voir facilement comment il peut devenir la norme, sans jamais réellement résoudre le problème.

Au lieu de cette approche standard, je préfère le pragmatic plus « Qu'est le problème réel que j'essaie de résoudre? » Dans cette chronique, je vais aborder pourquoi je pense que cela s'avère utile.Je vais Examinez quelques événements aléatoires, incidents et des problèmes de technologie et afficher la l'approche incorrect est considéré trop souvent comme une réaction aux.

JE t'aime

Où étaient vous sur 4 mai 2000 ?J'AI travaillé chez Slate.com—and tous d'un sudden, tout le monde me loved.Il était le dawn d'iloveyou.vbs.Ce petit gem logiciels malveillants a tiré parti des trois conditions pour diffuser virally.

Tout d'abord, le logiciel malveillant utilisé des structures sociales pour obtenir aux utilisateurs d'ouvrir le message.Il provenance d'une personne vous savais (vous deviez dans le carnet d'adresses de l'expéditeur pour qu'il soit envoyé), ainsi, bien sûr vous deviez trouver si vous ont été réellement loved.

Ensuite, il a été selon les notions fondamentalement correctes que les utilisateurs a) ne savez diddly sur les extensions de fichier; b) ne pas besoin de pour vérifier les extensions de fichier (heck, elles sont masquées par défaut dans Windows); et c) cliquez sur au-delà de tout ce que les éventuels badness (pour afficher les utilisateurs pigs, Steve Riley aime à dire) d'avertissement.Consultez blog de Steve,Steve Riley sur la sécurité, pour plus d'informations.

Enfin, il a tiré parti un défaut Architecture fondamentale, une faille apparente qu'il doit ont été détecté avant que le produit avec la faille livrée.Mais il n'a pas été détecté, le logiciel malveillant pourrait intrude et répartir très rapidement.ILOVEYOU travaillé en exécutant Windows Script Host, recueil carnet d'adresses de l'utilisateur et puis en envoyant courrier électronique à tous les membres de carnet d'adresses de la victime.Tant que celles du Carnet d'adresses également exécuté Microsoft Office Outlook sur Windows et enregistrée pour le composant ingénierie sociale du virus, le processus de suite.

Ainsi, où était la faille ?Allez, faites une estimation.Vous êtes prêt ?La faille a été dans Outlook, provoqué par deux problèmes fondamentaux.Lorsque Outlook a été conçu, comme avec Internet Explorer 3.0 avant, COM et ActiveX ont été devenir tout L'incontournable, afin de vous pouvez rapidement et facilement réutiliser composants d'une application dans un autre.Outlook, cependant, a beaucoup trop approbation concernant qui peut appeler son modèle d'objet COM.Documents entrants, totalement non sécurisés, vous permettent de contenu des messages électroniques seul — doit jamais avoir réussi à même consulter dans le Carnet d'adresses, beaucoup moins de le collecter complètement et ensuite Envoyer courrier électronique.Bien sûr, il existe des scénarios où il est judicieux pour un courrier électronique entrant envoyer automatiquement une réponse de courrier électronique.Mais c'est l'exception, loin de la règle.

Sécurité dans Outlook a renforcé par la suite afin qu'il demande maintenant les utilisateurs lorsqu'une application souhaite interroger l'adresse de livre ou par programmation envoyer des messages (voirPersonnaliser les paramètres par programme dans Outlook 2007).Qui a une étape importante dans le sens de droit.Demandé sont également aux utilisateurs si elles veulent accorder des autorisations pour l'application, parce que, franchement, nous avons tous connaissez que se passe-t-il si un utilisateur souhaite vraiment voir ces pigs utilisateurs.

Vous savez quel est l'atténuation probablement à être mis en place pendant que les utilisateurs attendu pour Outlook à réparer ?Meurtres Windows Script Host (WSH).Commençant dans 2000, comme aucun tout autre type de ma carrière, un des questions plus fréquentes que j'ai était, « mon client souhaite supprimer WSH à partir de Windows, comment il est possible? » Quel Désolé un état, un langage de script incroyablement puissant a menacé due à lecteur, par un logiciel malveillant qui a été activé par les failles de sécurité.

Je suis, bien sûr, un grand ventilateur de WSH.Je pense que c'est un excellent outil et que Windows PowerShell a en fait une façons d'accéder avant qu'il peut remplacer WSH (même si c'est un autre sujet colonne pour un autre jour).Mais mon point est que WSH dans et de lui-même n'est pas une faille de sécurité.Éliminer un composant en raison des failles dans un autre n'est pas un moyen efficace de gérer des éléments.Cependant, il est essentiel que vous sécuriser votre système d'exploitation, navigateur Web et client de messagerie électronique (en particulier s'il est COM activée — ahem) pour vous assurer que qu'ils ne peuvent pas tirer parti des WSH de manière négative.

Roi COM

En 1994, Microsoft publié ActiveX, et le monde semblait faire deux affichages opposer : il a été mal pur et entraîne le downfall d'Internet, ou il était un outil très puissant et rendrait le navigateur dans une plate-forme réelle.ActiveX dans et de lui-même n'est pas une faille énorme en attente de se produire.En fait, Microsoft a un travail bonne d'implémentation de sécurité ActiveX en Internet Explorer, cependant, bien entendu, il a été plus renforcé au fil des années que possède le reste de Windows.

Néanmoins, une des mes recherches Web favoris est "2008 dépassement du tampon" ActiveX. Continuez, essayer.Vous pouvez changer l'année, si vous le souhaitez, pour voir comment chaque année a disparu.Pourquoi puis-je trouver cette intéressant ?C'est parce que contrôles d'Internet Explorer et ActiveX sont devenus Malheureusement les enfants de poster des vulnérabilités de sécurité, deserved ou non.

Nous face quelque peu des problèmes dans le monde du logiciel whitelisting similaires.Que vous pouvez essayer de protéger un système en permettant uniquement l'exécution de code qui se trouve déjà sur l'ordinateur, mais supposons que sont les menaces dans ce code ?Vous pouvez obtenir appartient simplement ainsi que si vous n'aviez aucun logiciel de sécurité sur le système.Comme avec les débordements de tampon, contrôles qui erreur marqués comme « sans échec pour scripts » deviennent trous gigantesque pour les pirates informatiques tirer parti de.

Pourquoi j'afficher l'aspect de dépassement de tampon ?Étant donné que ce problème généré une réponse semblable au comportement WSH/Outlook indiqué précédemment.Au lieu de blame Association à des fournisseurs pour exécution ne pas de détection de modélisation et de zone de débordement de tampon menace adéquate et incorrectement marquer un contrôle comme sûr en de script, ActiveX lui-même est devenu le coupable.

Il est peut-être vrai.Si Microsoft a implémenté un sandbox mieux (comme l'a été effectué à un degré de Windows Vista via le mode protégé) ou si Microsoft a simplement non autorisée sans échec pour script, nous serait avez pas ces problèmes.Et ActiveX serait probablement être plus largement diffusé, ou moins plus largement tolerated.

Malheureusement, nous avons ces problèmes, et le bit d'arrêt ActiveX-bit (voir figure 1 ) a deviennent un élément avec lequel administrateurs sont trop familiers.Voir »Comment empêcher un contrôle ActiveX de s'exécuter dans Internet Explorer« Pour une description de la manière par programmation arrêter tout contrôle ActiveX qui est perçu comme une menace.Contrôles Vérifiez cette entrée de Registre avant d'instanciation s'ils sont autorisés à exécuter.

fig01.gif

Figure 1 que vous pouvez empêcher un contrôle ActiveX de s'exécuter en définissant le bit d'arrêt afin que le contrôle est non appelé par Internet Explorer

La réalité est que si vous souhaitez effectuer certaines tâches à partir de dans Internet Explorer, telles que la demande une clé de Registre interaction avec le matériel ou d'une autre application, ou ne manipulation des données utilisateur sur un ordinateur Windows, en fait avoir aucun choix à l'exception d'un contrôle ActiveX.Et en créant un contrôle, correctement conçue, menace modélisés, développées, testées et signé (whew), peut être une tâche foreboding plutôt.Mais il honnêtement ne devrait pas être affiché comme une mauvaise chose ou comme une faille de sécurité géant (moins que vous passez ou court-circuit ces étapes).Oh et approuvées pour le script, si vous développez un contrôle et vous devrez qu'il n'est pas sécurisé pour les scripts.Vraiment.Pas sauf si vous avez aucun autre choix.

Ceci dit, la vous limiter contre les contrôles ActiveX incorrects ?Les ventilateurs d'autres navigateurs gleefully vous indiquera « mon navigateur n'est pas ces types de menaces » mais c'est naive.Internet Explorer sous Windows est conçu très bien, mais il a des défauts.Tous les logiciels a défauts.Exécution navigateur B parce que vous pensez navigateur Web A possède des failles est généralement basé dans zeal, pas dans la sécurité réelle.Défauts de sécurité trouvés dans chaque navigateur principale et dans chaque contrôle ActiveX principal ont été.La réponse ?

Le résultat est que bien que vous pouvez désactiver les contrôles ActiveX et le point ils ne sont pas exécutés (voir figure 2 ), il est toujours être exploits, même si vous utilisez un autre navigateur Web.Vous devez savoir la surface d'attaque de que vous décidez d'exécuter de logiciels.Simplement éviter Internet Explorer n'est pas que vous preuve de logiciels malveillants ; il simplement met vous résistantes à des logiciels malveillants qui cibles Internet Explorer.

fig02.gif

La figure 2, contrôles ActiveX de gestion dans Internet Explorer

Dilemme le lecteur Flash

De nombreux clients ont gros problèmes sur les lecteurs flash USB, plus donc à presque n'importe quelle autre technologie.Pourquoi ?Lorsque je parler à nos clients, il s'agit vers le bas deux problèmes.Tout d'abord, lecteurs flash USB sont des cibles faciles pour ingénierie sociale ou tout autre moyen, tentative d'obtention des logiciels malveillants sur les ordinateurs (cela s'applique réellement aux logiciels malveillants ciblées, le type traditionnel logiciels visuels audio ne peut pas détecter jusqu'à ce qu'il est trop tard).Ensuite, il est tout trop facile des données sensibles remonter absent du bureau sur un lecteur USB MINUSCULE.Qui est empêcher perte de données pourquoi je suis un ventilateur grand d'IRM (IRM) et autres techniques de gestion des droits numériques (DRM) qui peut réellement.Clairement le vrai problème n'est pas le lecteur flash USB lui-même ; c'est le moyen que peuvent d'utiliser ces lecteurs.

Ainsi, au lieu d'utiliser epoxy pour coller L'USB ports fermeture (J'ai en fait entendu de qu'effectué) ou tente de bloquer le matériel via stratégie de groupe ou un logiciel tiers, ce qui pouvez vous faire ?Arrêt du logiciel malveillant ciblé est difficile, quelque chose vous pouvez réellement uniquement approche via stratégies de restriction groupe stratégie logicielle, whitelisting ou autres moyens de restriction de code pour exécuter uniquement à partir du lecteur système, lecteur réseau ou le type.

Pour arrêter la perte de données, qui est probablement impliquent une forme d'IRM/DRM, Digital Rights MANAGEMENT.Toujours, chaque fois que je dois parler à des clients lecteurs flash USB (ou n'importe quel type de logiciels malveillants, d'ailleurs) j'ont tendance à devis mon premier article TechNet Magazine "Réduire vos risques : 10 règles de sécurité de Live par"), « Votre entreprise est uniquement aussi sûr que vos utilisateurs au moins et la plupart des techniques ». À qui que je VEUX qu'un utilisateur final qui souhaite vraiment exécuter une partie du logiciel trouver un moyen, comme un utilisateur final qui souhaite vraiment partager des informations confidentielles trouverez également un moyen.

Mark Russinovich sur la sécurité

Contourner la stratégie de groupe en tant qu'administrateur

Contourner la stratégie de groupe en tant qu'utilisateur limité

Defeating les limites des utilisateurs avec pouvoir

Quel est le point ?

Il y a des années, lorsque J'AI travaillé chez Winternals, Mark Russinovich recherchées et blogged sur trois sujets pertinents pour cette discussion : defeating stratégie de groupe (les en tant qu'administrateur et en tant qu'utilisateur limité) et l'élévation de privilèges en tant qu'utilisateur courant.

L'encadré « sélectionnez Russinovich de sécurité » vous dirigera vers des billets de blog.Ils sont des exemples très qui démontrent simplement combien il est facile à un utilisateur rompre de contrainte de stratégie ou de sécurité.Utilisateurs frustrés souvent réagissent aux est verrouillée finalement être prêt à violent les contraintes, Si logiciels, matériels ou stratégie basée.

Les trois problèmes référencés dans la barre latérale ont été problèmes pendant un certain temps.Ils sont représentant des types de problèmes que nous avons tous rencontrer pour contourner dans notre vie quotidienne dans un écosystème de Windows.Le problème est qu'atténuation contre des vulnérabilités, les défauts et imperfections logiciel nécessite réaction plus que.Elle nécessite pragmatic pensé le problème réel, ce qui implique une bonne maîtrise de modélisation de menace et une volonté d'accepter que short-circuiting le problème immédiatement pouvait entraîner une plus grande incendie que si vous traitement présentant le problème réel à partir du début.

Une bien meilleure idée est d'approche chaque situation avec une Ouverture d'esprit et, sachant qu'il n'y a des problèmes par rapport à laquelle vous allez devoir réduire, de prendre une étape précédent et pensez que sur la la racine les problème est réellement au lieu de simplement réagir de façon contactant court.

Wes Millerest technique produit responsable senior auCoreTraceà Austin, Texas.Auparavant, il a travaillé chez Winternals Software et qu'un responsable de programme chez Microsoft.Wes est joignable aul'adresse suivante : technet@getwired.com.