TechNet - Experternas arena

Hur får vi bukt med virus och trojaner?

Hej!

Jag jobbar som sysadmin på ett mellanstort svenskt företag i tillverkningsindustin. Vi har upprepade problem med virus och trojaner. Trots att vi rensar datorerna regelbundet så kommer det nya med jämna mellanrum.

Vi har c:a 500 datorer i nätet och cirka hälften är bärbara, klienterna kör Windows XP och servrarna kör Windows Server 2003.

Hur får vi bukt med detta en gång för alla?

Marcus Murray

Marcus Murray jobbar på TrueSec AB och är som Sveriges enda Security MVP en av landets främsta experter på IT-säkerhet. Du som är IT-proffs kan skicka dina frågor om IT-säkerhet till adressen fraganu@microsoft.com och få din fråga besvarad av Marcus här i frågespalten. Vi kan tyvärr inte garantera att alla frågor hinner besvaras.

Svar:

För att lösa era problem måste ni sannolikt ta ett betydligt större grepp om säkerheten än ni gör idag. Bortsett från allvaret med trojaner som innebär att främmande personer kan övervaka/fjärrstyra era datorer så är detta ett symptom på att ni inte har grundläggande funktioner för IT-säkerhet implementerade i er IT-miljö.

För att få in virus och trojaner i en miljö idag så utnyttjar hackers olika sårbarheter.

Exempel på dessa är att:

1) De anställda laddar själva ner och installerar icke tillförlitliga program och verktyg från internet.

2) Kända sårbarheter i operativsystem och applikationer utnyttjas.

3) Dåliga lösenord utnyttjas.

Dessutom blir jag alltid lika oroad när jag hör att verksamheter drabbas av virus och trojaner och deras enda åtgärd är att rensa bort dom. Har ni ställt er frågan huruvida information blivit stulen av den som managerar trojanerna eller ej? Har ni funderat på om data manipulerats eller raderats?

Har ni kollat om regelrätta bakdörrar, rootkits eller konton installerats av en angripare? Används era datorer just nu av någon obehörig för något illegalt såsom dosattacker, lagring av upphovsrättsskyddad material eller något ännu värre?

Genom att bara radera virus och trojaner ni hittar så försvårar eller omöjliggör ni en eventuell utredning som skulle kunna säkerställa vad som egentligen hänt. Idag installeras virus och trojaner för ett syfte! Ofta både illegala och kommersiella!

Som jag ser det så är det två saker som krävs för att ni skall få tillbaka kontrollen över er miljö.

Dels bör ni skapa en miljö med säkerhetsmekanismer som på ett proaktivt sätt förhindrar att virus och trojaner kan installeras och dels bör samtliga drabbade maskiner ominstalleras i samband med detta. Väljer ni att utreda eventuella intrång bör detta naturligtvis göras snarast och innan ominstallationerna startar.

Nedan följer steg som jag rekommenderar för att  upprätta en proaktiv och säker IT-miljö.

1) Standardisera och modernisera IT-miljön.

Ju mindre komplex miljön är desto lättare är den att managera, övervaka, konfigurera och säkerhetsuppdatera. Detta gäller såväl hårdvara som mjukvara.

2) Segmentera och härda dom externa anslutningarna (mot internet etc.)

Se till att ha brandväggar och dylikt som kan inspektera och begränsa trafik på applikationslagret så att Ni på ett finmaskigt sätt kan säkerställa att endast godkänd trafik passerar mellan Er och omvärlden.

3) Segmentera och härda dom interna näten.

Separera servrar, klienter och managementstationer från varandra så att man kan inspektera och begränsa trafik mellan olika typer av datorer även på det interna nätverket. Allra helst med applikationslagerbrandväggar. Dessutom bör lokala brandväggar installeras på datorerna även internt.

4)  Rollbasera och härda servrar, klienter och applikationer.

Att dela in servrar och klienter i olika roller skapar förutsättningar för att du skall kunna ge dom optimala säkerhetskonfigurationer utifrån deras respektive roll.

Det finns bra säkerhetsguider från Microsoft för såväl Windows XP som Windows Server 2003 som du kan använda för detta. Dom har färdiga templates med konfigurationer.

5) Patcha allt!

Se till att ha en patchanteringsprocess implementerad så att du på kortast möjliga tid kan säkerhetsuppdatera samtliga operativsystem, tjänster och applikationer i din IT-miljö. Patchprocessen bör innefatta verktyg för såväl patchning som inventering samt möjlighet att testa patchar innan kritiska driftsdatorer uppdateras.

6) Kryptera hårddiskar.

Detta är kanske inte direktrelaterad till din fråga men faktumet att Ni har ett stort antal bärbara datorer kan vara anledning till att ha kryptering på hårddiskarna utifall att datorer kommer i orätta händer. Det handlar inte bara om datafiler utan även om lagrade inloggningshashar och annat som kan användas för att attackera miljön.

7) Implementera stark autentisering på exponerade tjänster.

Lösenord som inloggning är idag i regel inte att betrakta som tillräckligt starkt skydd för åtkomst till en dator eller applikationer. Alternativ som smarta kort med PKI erbjuder ett oerhört mycket starkare skydd för att säkerställa att endast behörig personal får access till systemen.

8) Delegera administration och åtkomst till data enligt minimalitetsprincipen.

I de flesta miljöer jag möter har man delat ut höga behörigheter såsom domänadministratörsprivilegier i en alldeles för hög utsträckning. Se till att begränsa behörigheter utifrån personalens reella behov. Betänk att om en obehörig lyckas komma över ett konto med domänandministrativa behörigheter så innebär det att dom får direkt eller indirekt kontroll över samtliga datorer i hela IT-miljön. Detta gäller även på de lokala arbetsstationerna där man i mesta möjliga mån bör undvika att användarna har lokala administrativa privilegier. Eftersträva att dom loggar in som vanlig "user".

9) Övervakning och loggning.

Bra övervakning i miljön ger insyn i vad som händer och skapar möjligheter för att i ett tidigt stadium vidta adekvata åtgärder vid exempelvis ett misstänkt angrepp. Loggning av system och data ger spårbarhet vilket är viktigt om man behöver gå tillbaka i tiden för att se vad som hänt. Det är viktigt att övervakning och loggning sker i realtid och från ett system som är avskilt från datorn.

10) Installation av applikationer, verktyg och plug-ins.

Allt som installeras i miljön bör gå via en deploymentavdelning för att säkerställa att installationsmediat inte trojaniserats, samt att ny mjukvara kommer in i inventeringen så att den kan patchas, härdas och monitoreras framöver. Användarna bör som regel inte ha privilegier att själva installera applikationer.

11) Utbilda användarna.

Det är oerhört viktigt att utbilda användarna så att dom har ett sunt förhållningssätt till sin dator. Detta gäller exempelvis deras surfvanor, hur man skyddar sina lösenord och privilgier, hur man förvarar sin bärbara dator, att man inte låter obehöriga nyttja den etc.

Hoppas att detta varit till någon hjälp och lycka till!

MVH /Marcus

De åsikter och idéer som uttrycks i texten är skribentens egna, och delas inte nödvändigtvis av Microsoft AB eller dess representanter.

Alla frågor och svar

• Hur skyddar jag webbanvändarnas personliga lösenord?
  
• Har du några tips angående implementering av smarta kort?
  
• Vad ska vi tänka på när vi implementerar en ny backup-lösning?
  
• Hur skyddar man en internettjänst som SapNet?
  
• Hur designar man en säker it-miljö med stor del externa användare?
  
• Vad borde vi titta på när vi utvärderar Longhorn Servers säkerhet i en testmiljö?
  
• Hur skyddad är vår utrustning bakom en låst dörr och en sluss som kräver passerkort?
  
• Hur får vi bukt med virus och trojaner?