Использование групповой политики для блокирования Conflicker в Windows

Состояние безопасности в мире Windows незначительно вышло из под контроля. У этой трудности столько «сторон», но действительность всегда схожа. Действительность защиты среды Windows представляет собой остатки мира ИT и OС. Любая ОС уязвима и обычно самые пользующиеся популярностью продукты подвергаются атакам в силу множества компов, которые могут стать возможной жертвой вирусов/червяков. В случае с червяком ConFlicker история повторяется. «Стороны» включают тех, кто гласит, что Microsoft ненадежна в плане безопасности, Microsoft не знает, как защищать ОС; Microsoft неопасна, если люди просто обновляют свои компы, Microsoft надежна если компании не позволяют юзерам быть локальными админами, и этот перечень можно длительно продолжать. Для ConFlicker обновление было выпущено спустя несколько часов после того, как червяк проявился, но количество компаний, подвергшихся инфецированию этим червяком, продолжает расти. Почему так происходит? Логика гласит о том, что компы не обновляются подабающим образом! В этой статье мы разглядим некие методы, которые можно использовать для защиты компов от инфецирования червяком ConFlicker. Они основаны на том, как червяк штурмует систему.

Основная информация о ConFlicker

ConFlicker имеет две разновидности с момента собственного первого возникновения в ноябре 2008. 1-ая разновидность была не таковой суровой, как 2-ая, что и понятно. Вы сможете прочесть информацию о ConFlicker, выпущенную компанией Microsoft в собственном обновлении безопасности MS08-067 тут. Последующее поколение ConFlicker было выпущено в декабре 2008, и имело более обширное распространение и поболее суровые последствия атак. О новеньком червяке можно прочесть тут.

ConFlicker, в собственной новейшей форме, штурмует систему на разных уровнях, при каждой способности пытаясь внедриться, в надежде, что он остается незамеченным, к тому же его будет трудно удалить, если он будет найден. ConFlicker штурмует последующие области компьютера:

Делает сокрытый DLL файл с разными именами в папке Windows System.
Делает сокрытый DLL файл в папке %ProgramFiles%Internet Explorer либо %ProgramFiles%Movie Maker.
Делает запись в системном реестре в разделе HKCUSoftwareMicrosoftWindowsCurrentVersionRun.
Загружается в качестве службы в реестре в разделе HKLMSYSTEMCurrentControlSetServices.
Пробует копировать себя на мотивированные машины в ресурс ADMIN$, используя текущие мандаты зарегистрированного юзера.
Пробует «взломать пароль пользователя» для SAM мотивированной локальной машины, используя общие слабенькие пароли.
Делает удаленное запланированное задание на мотивированной машине (если имя юзера и пароль взломаны).
Копирует себя на все сопоставленные и съемные носители.
Делает файл autorun.inf на всех носителях, приводы которых употребляют функцию AutoPlay, если она включена, тем запуская червяка в зараженный ресурс во время автозапуска.
Воспрещает просмотр укрытых файлов.
Изменяет TCP опции системы, для разрешения огромного количества одновременных подключений.
Удаляет ключ реестра для Windows Defender.
Сбрасывает системные точки восстановления.
Загружает файлы с разных интернет веб-сайтов.

Как вы видите, ConFlicker является очень активным червяком, заражающим несколько разных областей операционной системы, папок, системного реестра, и остальные главные области системы.

Получение обновления

Наилучшим решением по защите от ConFlicker будет получение патча от компании Microsoft тут.

Вы заметите, что для Windows Vista и Windows 2008 уровень уязвимости отмечен как ‘Important’ (принципиальный), так как способности защиты этих ОС более действенные чем у прошлых версий.

Характеристики групповой политики, помогающие защититься от ConFlicker

1-ое и самое главное, если юзер компьютера, подвергшегося атаке, НЕ является членом группы локальных админов, то у червяка возникнут трудности с инфецированием компьютера. Итак, во избежание инфецирования необходимо использовать Привилегии групповой политики для удаления учетной записи юзера из группы локальных админов. Эта политика размещена в Конфигурация юзера (User Configuration) Привилегии (Preferences) Опции панели управления (Control Panel Settings) Локальные юзеры и группы (Local Users and Groups). Вам необходимо настроить политику локальной группы для админов, потом нажимаете на кнопку под заглавием ‘Удалить текущего юзера (Remove the current user)’, показанную на рисунке 1.

Внедрение групповой политики для блокирования Conflicker в Windows

Набросок 1: Удаление учетной записи текущего юзера из группы локальных админов

Так как червяк попробует перечислить, а потом штурмовать локальный перечень имен юзеров на мотивированном компьютере, следует также убедиться, что в локальном SAM каждого компьютера отсутствуют дополнительные учетные записи юзера. Это можно просто поправить, используя ту же политику, показанную на рисунке 1, также для включения удаления всех юзеров из группы локальных админов, как показано на рисунке 2.

Внедрение групповой политики для блокирования Conflicker в Windows

Набросок 2: Удаление все юзеров, входящих в состав группы локальных админов

Заметка: на рисунке 2, учетные записи группы админов домена и локальных админов можно принудительно внести в группу локальных админов, что является наилучшей методикой безопасности.

Хотя последующая настройка не доступна в Windows XP либо Server 2003, это хорошая настройка для Windows Vista и Server 2008. Групповая политика управляет всеми областями UAC и может централизовано управлять тем, как UAC настроена для админов и стандартных юзеров. UAC должна быть включена и потом должна запросить согласие (для админов) либо в неуправляемой манере отклонить увеличение прав (для стандартных юзеров). Это не позволит вирусам, червякам и иному вредоносному коду делать задачки, изменяющие файлы ОС и реестр. Эти деяния должны производиться исключительно в фоновом режиме, когда юзер пробует выполнить одну из задач администрирования. ConFlicker пробует записать себя в разные защищенные файлы, папки и записи реестра в фоновом режиме и поменять их. Эти характеристики UAC можно отыскать в Конфигурация компьютера Политики Настройки Windows Настройки безопасности Локальные политики Опции безопасности. На рисунке 3 приведен полный перечень характеристик UAC, которые можно настроить.

Внедрение групповой политики для блокирования Conflicker в Windows

Набросок 3: Характеристики UAC держут под контролем доступ на компьютерах Windows Vista и Server 2008

Заметка: Для дополнительной инфы о конфигурации и осознании UAC обратитесь к статье ‘ 5 главных обстоятельств безопасности для использования Windows Vista‘.

Последний набор характеристик групповой политики, который нужно настроить, связан с паролями для учетных записей. Так как ConFlicker пробует угадать пароль, очень принципиально убедиться в том, что политики паролей настроены на требование длинноватых и сложных паролей. Это обычно достигается через политику стандартного домена для доменов Active Directory, но эти характеристики можно также настроить в локальном объекте групповой политики на отдельных компьютерах. Характеристики политики паролей размещены в Конфигурации компьютера Настройки Windows Опции безопасности Локальные политики Политики учетных записей, как показано на рисунке 4.

Внедрение групповой политики для блокирования Conflicker в Windows
Прирастить

Набросок 4: Политики паролей ограничивают сложность и простоту паролей, которые употребляются для пользовательских учетных записей.

Последний параметр групповой политики настраивается для управления функцией AutoPlay. Так как ConFlicker записывается на съемные носители, которые управляются функцией AutoPlay, червяк может инициироваться методом размещения файла autorun.inf на съемный носитель. Но если AutoPlay отключен, это действие запрещено. Чтоб отключить AutoPlay при помощи групповой политики, перейдите к Конфигурация компьютера Административные шаблоны Компоненты Windows, как показано на рисунке 5.

Внедрение групповой политики для блокирования Conflicker в Windows
Прирастить

Набросок 5: AutoPlay можно отключить в групповой политике

Заключение

К огорчению, ConFlicker распространяется в силу недочета контрмер со стороны всей отрасли. Исправление было легкодоступным, равно как возможность обезвредить червяка с момента его возникновения. Если б админы, компании и юзеры предприняли меры по предотвращению предстоящего распространения червяка, угроза бы миновала. Но ранее времени, червяк будет продолжать распространяться. Вот почему нужно принять незамедлительные меры по предотвращению распространения данного червяка. Наилучшими действиями будет настройка групповой политики на воспрещение доступа к системе и улучшение безопасности паролей. Воспрещение доступа ConFlicker к системе является обычный задачей, до того времени пока система настроена на воспрещение фонового доступа с правами админа. Защита паролей тоже очень ординарна и ее необходимо настроить на внедрение соответственной продолжительности и трудности. Имея такие характеристики, ваша система будет накрепко защищена от таких червяков, как ConFlicker.

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.