Вредоносное ПО тоже применяет SRP

Понедельник, 16 - Июнь - 2014 2 комментария

Интересная заметка попалась на глаза: «Банковский троян использует групповые политики для блокировки антивирусных программ». Примерно накидаю перевод:

«Вредоносное ПО, в настоящий момент распространяющееся в Японии, использует встроенные механизмы Windows, чтобы заблокировать работу защитного программного обеспечения поражённых машин. Trend Micro сообщает, что крадущий реквизиты онлайн-доступа к некоторым японским банкам шпионский модуль BKDR_VAWTRAK использует компонент Windows под названием Политики Ограничения Программ (Software Restriction Policies, SRP), чтобы заблокировать на заражённых системах запуск широкого ряда защитных программ, в том числе антивирусы Microsoft, Symantec, Intel — всего 53 различных программы.

Продолжить чтение этой записи

Реклама

Filed under Разное Tagged with , , ,

Account Lockout: мифы и реалии

Вторник, 08 - Апрель - 2014 4 комментария

Система блокировки учётных записей Windows при неоднократном введении неправильного пароля существует с самой первой редакции ОС Windows (Windows NT 3.1 Advanced Server, 1993), но новички продолжают прокалываться на элементарных вещах. В данной статье я попробую разобрать основные ошибки начинающих администраторов. Ну и на кусочек Тайного Знания можете рассчитывать тоже.

Продолжить чтение этой записи

Filed under Microsoft Windows: Безопасность Tagged with , , ,

Рыцари открытого кода против мельниц бытия.

Среда, 12 - Февраль - 2014 10 комментариев

Некоторое время тому назад в компанию, где я сейчас работаю, пришёл новый директор ИТ-департамента. Как оказалось, завзятый линуксоид, поросший мхом линуксмифов и имеющий соответствующее отношение к Windows-системам: «Windows глючит и небезопасен; а вот Linux, напротив, разработан быть надёжным, отказоустойчивым и безопасным». Только вот незадача, у нас практически всё на Windows, за исключением некоторых бизнес-решений и специфических Appliances типа антиспама. Мы быстро узнали, что «Windows говно, потому что его нужно перезагружать после инсталляции обновлений, а вот Linux можно обновлять без перезагрузок, имея аптаймы по нескольку лет». Настаивая на регулярных рестартах и установке обновлений, я даже услышал вопрос «а можно ли какие-то сервера перевести на Linux, чтобы рестартов не было?»

Потом я понял, что вижу в нём себя, но в несколько другом ракурсе. Я уже три сезона откатал на мотоцикле и понимаю, что серьёзно к нему могут относиться только фанаты. Вождение мотоцикла — это тяжёлая работа, в которой нельзя расслабиться ни на секунду, любая осечка может привести к падению и тяжёлым травмам. Обычному человеку это нафиг не нужно, поэтому люди выбирают «не шашечки, а чтобы ехать». Несмотря на всё моё положительное отношение к мототранспорту, следует признать его серьёзные проблемы, которые не присущи автомобилям:

  • Остановиться, особенно быстро, не так просто. Тормоз в пол вообще равняется падению;
  • Ты очень зависим от погоды. Дождь, холод существенно ограничивают не только комфорт, но даже саму возможность использования мотоцикла;
  • Постоянно нужно таскать с собой сменную одежду и обувь, чтобы на месте переодеваться, если остаёшься надолго;
  • Вопрос «в магазине возьми памперсы и полмешка картошки» зачастую нерешабелен, и разгрузка в виде рюкзака и сумок особо не помогает;
  • Нужно быть в соответствующей физической форме. Дети, старики и прочие пассажиры — мимо.

Всё это в целом объясняет, почему мотоциклов на дороге гораздо меньше, чем автомобилей. Людям нормально передвигаться нужно, без ебатории. То же самое с компьютерами — оставьте Linux фрикам, людям же дайте нормально работать с приложениями, бизнес-задачами. Попытки приблизить Linux по уровню usability к Windows зачастую ничуть выглядят не лучше, чем трицикл — устройство, обладающее всеми недостатками мотоцикла и автомобиля одновременно, поэтому число его пользователей ещё ниже.

Представьте картину, когда вы пришли на авторынок, выбираете модель автомобиля. К вам подходит молодой красноглазый человек с длинными волосами и начинает втирать: «машина — говно, она постоянно ломается и неспособна наклоняться в поворотах. Берите мотоцикл! Вот я — байкер уже 10 лет, у меня дома три байка, я классно катаюсь с друзьями, везде могу ездить». Сам будучи байкером, я его прекрасно понимаю. Но всё это вовсе не означает, что мотоцикл отвечает моим текущим нуждам. Это также не доказывает, что мотоцикл лучше машины.

Как и у мотоцикла, у Linux есть свои,  узко ограниченные, области применения. В это смысле не помогут ни идеологические («Linux — это свобода»), ни исторические («Windows начинал разрабатываться на основе Unix с интерфейсом Apple») отсылки линукс-тамплиеров. На мотоцикле ты свободен не более, чем на другом виде транспорта. А факт, что история автомобилестроения началась именно с мотоцикла, вообще ничего не означает!

То, что Linux для нормальных людей гораздо хуже, чем Windows, — однозначный факт, иначе Linux давно был бы установлен на всех компьютерах. Недостатков масса: это и ограниченная поддержка аппаратуры, и несовместимость бизнес-приложений, и даже все корявости управления. Корячиться с Linux — удел фанатов. Но их личные симпатии не являются техническим обоснованием для пропихивания системы везде подряд, где работают люди.

В области серверных задач дискуссия вообще может перейти за рамки реального мира:

  • «IIS вообще нельзя выставлять в Интернет, он требует кучу сложных firewalls, а вот Linux с PHP из коробки безопасен, поэтому его можно»;
  • «Для небольшой сети я бы сделал простую Samba, никакие Active Directory не нужны»;
  • «Linux вырос из Unix, а Unix имеет такие возможности в дисковой подсистеме и файловой системе, что Windows даже и не снилось».

Прицепленная к мотоциклу коляска с надписью «Samba» даже близко не делает её похожей на грузовик марки Active Directory. Если водителя пугает высокая кабина с большим количеством кнопок, пусть идёт учиться вождению и сдаёт на права; но подменять понятия, выдавая коляску за полуприцеп фуры, совершенно не следует.

Окончательная линукспобеда произойдёт не раньше, чем весь мир пересядет на двухколёсный транспорт. То есть, этого не произойдёт никогда.

Filed under Microsoft Windows (Русская версия)

Centralized SRP Event Auditing

Понедельник, 09 - Сентябрь - 2013 Оставьте комментарий

Application Whitelisting technologies such as Software Restriction Policies or AppLocker provide a great level of protection against malware and unwanted software. When blocking launch of an unwanted program, the policy generates a record in the Application Log on a local computer. This allows an administrator to maintain security for a given system and perform policy updates, if needed. However, examining event logs on multiple computers requires too much administrative effort, thus making auditing reactive, not proactive. You can greatly improve control over Application Whitelisting policies by configuring an automatic notification mailing when a particular event is written to the log.

Продолжить чтение этой записи

Filed under Microsoft Windows: Security Tagged with , , ,

Взлом паролей, сохранённых в Group Policy Preferences.

Понедельник, 02 - Сентябрь - 2013 4 комментария

Много раз уже писалось, что задавать пароли через Group Policy Preferences небезопасно, так как они хоть и сохраняются в зашифрованном виде, но ключ шифрования всем известен. Интересно, что в Windows Server 2012 редактор групповых политик даже предупреждение выдаёт соответствующее:

GPP-Warning

Но так ли просто достать пароль из политик? Думаю, лучше один раз увидеть, чем сто раз услышать.

Продолжить чтение этой записи

Filed under Microsoft Windows: Безопасность Tagged with , , ,

Защита от слежки в Интернете

Четверг, 15 - Август - 2013 4 комментария

Некоторое время назад я уже высказал своё мнение на тему спецслужб и интернетов на TV5: http://www.tv5.lv/play/#/video/315961, смотрите с 11:45.

Тема перехвата спецслужбами деятельности пользователей Интернета уже навязла в зубах, многих таковая ситуация совершенно не устраивает (http://rus.delfi.lv/news/daily/latvia/opros-latvijcy-schitayut-nedopustimym-proslushku-i-chtenie-lichnoj-perepiski.d?id=43561027), но почти никто не знает, реально ли от этого защититься. Если у вас есть практические соображения по этому поводу, давайте обсудим?

 

Update:

Разговор состоялся несколько не в том ключе, как я планировал, но уж как есть: http://www.tv5.lv/play/#/video/0319592. Смотрите с 26:10.

Filed under Безопасность как образ мышления

Централизованный аудит событий SRP в домене

Среда, 03 - Июль - 2013 9 комментариев

Политики Software Restriction Policies и AppLocker играют важнейшую роль в защите компьютера от вирусов и нежелательных программ. Блокируя запуск неразрешённой программы, политика генерирует событие в журнале Application локального компьютера, что позволяет администратору контролировать состояние системы и по мере необходимости вносить изменения в параметры политики. Однако, отслеживать содержимое журналов одновременно на большом числе компьютеров — слишком сложная задача. Существенно упростить контроль можно, настроив автоматическую рассылку почтовых уведомлений при появлении в журнале интересующих нас событий.

Продолжить чтение этой записи

Filed under Microsoft Windows: Безопасность Tagged with , , , , ,

Конфигурация учебного компьютерного класса

Среда, 12 - Июнь - 2013 Оставьте комментарий

Одним из факторов успешного обучения студентов IT-направлений является техническое оснащение аудитории, в которой проводятся занятия. Не стоит обсуждать такие параметры, как температура, влажность, освещение и объём доступного студенту рабочего пространства — эти вещи давно уже отработаны не только в IT. Я расскажу о конфигурации рабочих станций, которую нахожу для себя наиболее удачной и удобной как для студентов, так и для инструктора.

Продолжить чтение этой записи

Filed under Разное

Если вы хотели Windows 8, то сейчас — самое время!

Четверг, 03 - Январь - 2013 3 комментария

Неоднократно слышал нытьё, что лицензионная Windows — слишком дорогое удовольствие. Так поспешите же воспользоваться предложением Microsoft, которое действует до конца 31 января 2013 года, прибретите обновление своей Windows до Windows 8 всего за 40 долларов!

Нееет, если вы думаете, что я подрядился рекламировать новые разработки Microsoft, то это не совсем так. В их предложении есть чисто технические фишки, которые я хочу вам показать:

Продолжить чтение этой записи

Filed under Microsoft Windows (Русская версия) Tagged with ,

HTB23108 — уязвимость, которой не было.

Среда, 21 - Ноябрь - 2012 2 комментария

Иногда среди сообщений о найденных «дырах» попадаются интересные экземпляры. Мне понравилась уязвимость, информацию о которой опубликовали High-Tech Bridge (оригинал ищите на https://www.htbridge.com/advisory/HTB23108). Вкратце разъясню идею:

1. Системная служба IKE and AuthIP IPsec Keying Modules, присутствующая в Windows Vista и выше, в момент запуска пытается загрузить библиотеку wlbsctrl.dll, которой обычно в системе нет.
2. Порядок, в котором осуществляется поиск библиотеки, включает в себя переменную окружения %PATH%. Эту переменную любят менять различного рода приложения!
3. По умолчанию, пользователи могут создавать папки в корне системного диска и писать в эти папки.

Продолжить чтение этой записи

Filed under Microsoft Windows: Безопасность Tagged with , , ,

Предыдущие записи

Следующие записи