Centralizirana zaštita MS Windows računala...Centralizirana zaštita MS Windows računala Igor...
Transcript of Centralizirana zaštita MS Windows računala...Centralizirana zaštita MS Windows računala Igor...
1
Centralizirana zaštita MS Windows računala
Igor HitrecSRCEprosinac 2003
2
Teme
Centralizirana antivirusna zaštita SOPHOS programima
Software Update Service (SUS)
3
Demonstracija
Server (Windows 2003 AD domena)
Klijent (Windows XP Professional)
4
Današnja tema nije:
Kako virusi radeKako napraviti virusAntivirusna zaštita ne-Windows platformiOstali antivirusni proizvodi na tržištu
5
Sadržaj - Sophos
UvodCentralna distribucija SAV klijentaSAVAdmin alatNadogradnja CID-aSophos Enterprise Manager(SophosEM)
6
UVOD
Antivirusna zaštita kao dio sigurnosne politike
Više linija obraneNa svakom klijentskom računaluNa datotečnim i e-mail poslužiteljima
7
Aktivna obrana
“Pasivne” mjere zabrana potencijalno opasnih (exe,com,pif,vbs..) privitakapatch management
“Aktivne” mjere antivirusni SW
8
Centralizirana distribucija SAV klijenta1
poseban accountkakve ovlasti?
instalacija centralne distribucije na serveruinstalacija klijenta uz pomoćcentralne distribucije
9
Centralizirana distribucija SAV klijenta2
Demonstracija(5 min.)
Instalacija CIDa, InterChk Servera i InterChk klijenta
10
CID – instalacija centralne distribucije
11
CID – odabir AUTO-UPDATE opcije
12
CID – instalacija klijenta sa CIDa
13
CID – odabir InterChk server opcije
14
CID – odabir domenskog accounta
15
CID – instalirani servisi
Instalirani servisi na SAV CID serveru i klijentu:SWEEPSRV.SYS (SAV servis)SWNETSUP.EXE (SAV Network)
SWUPD acc
SWUPDATE.EXE (SAV Update)
16
Nadzor i održavanje SAVAdminalatom 1
Instalira se sa Sophos EnterpriseManagerom ili kao zasebna aplikacijaNADZOR: verzija SAV klijenta, broj& IDE datoteka, aktivnost InterCheck monitora...ODRŽAVANJE: generiranje skriptnihzadataka, ručna nadogradnja klijenata i servera, promjena dodjeljenog SAV CID servera, promjena servisnog accounta, pokretanje instalacije SAV klijenta na novom domenskom računalu...
17
Nadzor i održavanje SAVAdminalatom 2
DemonstracijaInstalacija
(5 min.)
18
Nadzor i održavanje SAVAdminalatom 3
Demonstracija
taskovi, update, install, snapshot(15 minuta)
19
Taskovi
20
Update
21
Install
22
Snapshot
23
Nadogradnja CID-a 1
Iz CID-a se nadograđuju klijentiKako nadograđivati CID?Wget, unzip
http://www.sophos.com/downloads/ides/web_ides.zip
Problem: stare IDE datoteke koje ne mogu biti zamjenjene novijom i ispravnijomverzijom -> riješenje je primjena SophosEnterprise Manager
24
Nadogradnja CID-a 2
Primjer batch skripte za dogradnju novim IDE datotekama:
cd c:\Program Files\Sophos SWEEP for NT\NTInst\i386wget http://www.sophos.com/downloads/ide/web_ides.zip"c:\Program Files\winzip\wzunzip" -o web_ides.zipdel web_ides.zip
Ostaje problem nadogradnje samog SAV klijenta -> primjena Sophos EnterpriseManagera
25
SophosEM
Rješenje za problem automatske nadogradnje i manipulaciju SAV klijentima i SAV serveraPrati više verzija SAV aplikacija, razmena podataka http ili file share-om, schedulerSophosEM – “baza/library i CID”
26
SophosEMPrije nego počnemo
Preduvjeti:provjeriti postojeće CID postavkeobrisati postojeće IDE datotekeobrisati SAVAdmin alat
SophosEm će instalirati novu kopiju
27
SophosEMInstalacija
Demonstracija instalacije(10 min.)
28
SophosEMLibrary
29
SophosEMCID
30
SophosEMAktivni servisi
schdsrvc.exe (scheduler)rptsrv.exe (message logger)smsgsrv.exe (Sophos messages)
SWUPD acc
31
SophosEMDeinstalacija
3 važna koraka%ProgramFiles%\Sophos EnterpriseManager\library\bin\setup.exe -remlib \\server\SophosEM\Uninstall /remove iz “Add/Remove Programs” ili “uninstall”Brisanje iz registry-a slijedeće stavke:
\\HKLM\Software\Sophos\Sophos Enterprise Manager
restart nije potreban
TEK SADA MOŽEMO PONOVO INSTALIRATI SophosEM
32
Opcije
AllUnsubscribedSubscribedPublishedCentral Installations (CID-s)Schedules
33
SophosEMProblemi iz prakse
distribucija bugovite SAV verzije“SAV account locked”“logon as a service right” prava preko group policy-a
34
SAV- korisno je znati…1
distribucija CUSTOM konfiguracije SAVa
35
SAV- korisno je znati…2
distribucija CUSTOM konfiguracije SAVa
36
SAV- korisno je znati…3
podrška za RDP – MS Terminal Service (verzija 3.75 i viša)
instalacija \\server\share\Setup.exe -termclientupdate klijenta x:\program files\Sophos SWEEP forNT\NTInst\i386\Setup.exe" -termclient -update
37
Komentar
Lucijan Carić, Qubis
Preuzeto sa: BUG On Linehttp://www.bug.hr/ostav/caric9.asp
38
“…velik broj administratora uopće nema potrebna ovlaštenja za primjenu sigurnosnih mjera. Vrlo često, umjesto da ih ohrabre i motiviraju, rukovodstva institucija djeluju protiv njih, jer prečesto staju na stranu prekršitelja pravila i izazivača problema, zato što se radi o "važnim" ljudima unutar institucije ili zato što jednostavno ne shvaćaju važnost zaštite informatičkih sustava - temeljne infrastrukture svake moderne institucije.
39
Tako se malim bogovima u institucijama dodjeljuju administratorska prava na njihovim kompjuterima i segmentima mreže, modemi kojima se mogu spajati na Internet mimo "spore" zajedničke veze (zagušene brdom smeća kao što je pornografija, muzika, spam, te drugi "zabavni" sadržaji) i korporativnog firewalla, a njihova se prijenosna računala priljučuju na mrežnu strukturu institucije bez ikakve prethodne provjere.
40
Suprotno pravilima i zdravom razumu omogućuje im se primanje izvršnih programa putem e-pošte i pristup ostalim zaposlenicima zabranjenim Internet stranicama. Nije rijetkost da takvi gurui zahtijevaju da se sa njihovih kompjutera deinstaliraju antivirusni i drugi zaštitni programi, jer im "usporavaju" rad i ograničavaju kreativnost, a kada izazovu nekakav problem koji informatičari danima ili tjednima moraju uklanjati, takvi junaci obično prvi prstom počnu pokazivati na nesposobne administratore sustava i njihove prevelike grijehove i propuste.
41
Pauza(15 minuta)
42
Software Update Service
43
SadržajPatch management rješenjaKarakteristikePrednosti/nedostaciSistemski zahtjevi na klijentu/poslužiteljuInstalacijaOpcije konzoleNačini distribucijeSUS klijentiKonfiguriranje podrške za domenske klijenteKonfiguriranje podrške za stand-alone klijenteWindows Registry stavkeUočeni problemiZaključakPomoć
44
SUS – patch management rješenja
Patch management unutar okruženja ADa
Microsoft Systems Management Serverhttp://www.microsoft.com/smserver/default.asp
PatchWorkshttp://www.rippletech.com/products/PatchWorks/Prod_PW_
Overview.htm
UpdateEXPERThttp://www.stbernard.com/products/updateexpert/products
_updateexpert.asp
45
SUS - karakteristike
Koristi tzv “automatic update service”
Windows 2000 SP3Windows XP SP1Windows 2003
46
Prednosti
Preusmjeravanje na lokalni CARNetovSUS poslužitelj
http://windowsupdate.carnet.hrUmjesto na originalni
http://windosupdate.microsoft.com
47
Prednosti
Lokalna pohrana i praćenje izdanih zakrpiKontrola nad distribucijom zakrpiSmanjeno opterećenje WAN linka
48
Nedostaci
Ne dozvoljava napredniji patchmanagement deinstalacija zakrpi, praćenje stanja na klijentimaMS Systems ManagementServer rješava nedostatke SUS-a
49
SUS – sistemski zahtjevi na klijentu/poslužitelju
klijentska računala - OS Windows 2000 SP4/ Windows XP SP1/Windows 2003 unutar Windows 2000/2003 ActiveDirectory domene ili stand-alone računala, ostali klijenti zahtjevaju naknadnu instalaciju Automatic Update servisaračunalo SUS poslužitelj - Windows 2000/2003 Server sa IIS 5.0/6.0, konfiguriran kao domain kontroler, memberserver ili stand-alone server
50
SUS – instalacija servisa na poslužitelju
Instalacija servisa(10 minuta)
51
SUS – konzolaopcije SUS servisa mogu se naknadno podesiti
52
Opcije konzole
Demonstracija opcija SUS konzole
Prvi korak – “Trusted site” ☺Opcije namještanja SUS-aNetBIOS/DNS ime
53
SUS – načini distribucije
Klijenti unutar domenePoželjno!
Samostojeći klijentistand-alone
54
SUS Klijenti
potreban tzv. Automatic Updateklijent (wuauserv)Windows 2000 sa SP2 i osnovni Windows XP zahtjevaju naknadnu instalaciju instalaciju AutomaticUpdate klijenta
http://www.microsoft.com/windows2000/downloads/recommended/susclient
55
SUS – instalacija klijentske strane (domaingroup policy) – policy properties
56
SUS – instalacija klijentske strane (domaingroup policy) – add policy template
57
SUS – instalacija klijentske strane (domaingroup policy) – odabir policy predloška
58
SUS – konfiguracija podrške za stand-alone klijenteWindows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]"WUServer"="http://ime_SUS_poslužitelja" ili"http://ime_SUS_poslužitelja.domena.hr""WUStatusServer"="http://ime_SUS_poslužitelja" ili"http://ime_SUS_poslužitelja.domena.hr "
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]"UseWUServer"=dword:00000001"NoAutoUpdate"=dword:00000000"AUOptions"=dword:00000004"ScheduledInstallDay"=dword:00000000"ScheduledInstallTime"=dword:00000003"RescheduledWaitTime"=dword:00000001"NoAutoRebootWithLoggedOnUsers"=dword:00000000
COPY/PASTE -> MERGE
59
SUS – Windows Registry stavkeConfigure Automatic Updates – opisuje način preuzimanja ispravki sa SUS servisa (obavijest o preuzimanju/instalaciji, automatsko preuzimanje/ručna instalacija, automatsko preuzimanje/instalacija) i vremenu instalacije dan u tjednu ili svaki dan u točno određeno vrijeme)Specify Intranet Microsoft UpdateService Location – određuje http adrese SUS servisa sa kojega će klijenti preuzimati ispravke
60
SUS – Windows Registry stavke
Reschedule Automatic UpdatesScheduled Installation – omogućuje da sustav nakon instalacije ispravki čeka do 60 minuta prije nego krene u restart. No auto-restart for scheduledAutomatic Updates Installations –ukoliko je omogućena, ova stavka osigurava da korisnik lokiran na klijent računalo može izbjeći restart računala nakon instalacije ispravki
61
SUS – uočeni problemi
Učitavanje group policy-a nije uspjeloWin2000 - secedit /refreshpolicy machine_policy
/enforceWinXP - gpupdate /force
Redeploy već instaliranih zakrpipotrebno je maknuti postojeću zakrpu i dozvoliti instalaciju nove
Problem pristupa SUS konzoli preko web browsera
web adresu SUS servera je potrebno prijaviti kao “Trusted site” adresu
62
Zaključak
Windows klijent računala valja održavati kroz centralizirane sustaveAutomatiziran patch management i AV zaštita na klijentskim računalimaSigurnost manje ovisi o dobroj volji ili znanju korisnikaDodatna zaštita kroz sustav ActiveDirectory-a (tema nekog drugog tečaja☺)
63
Pomoć
http://www.susserver.comHelpdesk za [email protected]
http://sistemac.carnet.hrhttp://sav.srce.hr
MS RefCentarhttp://www.srce.hr/MicrosoftSW/mshelpdesk