Рекомендации по предотвращению вирусного заражения малого и среднего бизнеса

Рекомендации по предотвращению вирусного заражения малого и среднего бизнеса

Рекомендации по предотвращению вирусного заражения малого и среднего бизнеса

Чрезвычайно большое число системных администраторов, а вслед за ними — множество обычных людей полагает, что простой установки антивирусной программы и брандмауэра хватает для обеспечения надёжной защиты от троянских программ, вирусов и червей. Однако, несмотря на широкое применение антивирусных решений, даже самых лучших, зловредные программы продолжают своё победное шествие по всему миру.

 

С точки зрения эксперта по безопасности, подобная ситуация получила распространение потому, что неверные средства защиты популяризуются в качестве главенствующих, в то время, как наиболее важные меры безопасности зачастую полностью игнорируются.

Для себя и своих клиентов я разработал стратегию предотвращения вирусных заражений, которая показала себя чрезвычайно эффективной:

  • Всегда работайте с учётной записью, обладающей привилегиями рядового пользователя;
  • Обязательно применяйте «белые списки» разрешённого программного обеспечения;
  • Не оставляйте групповые политики и параметры безопасности системы по умолчанию;
  • Своевременно устанавливайте обновления операционной системы и приложений.

 

1. Работа с ограниченными привилегиями

2. Технология «белых списков» программ

3. Конфигурация групповых политик и параметров безопасности

4. Обновления операционной системы и прочих приложений

5. Incident Handling

6. Заключение

 

Работа с ограниченными привилегиями

Разделение привилегий является фундаментом компьютерной безопасности и защиты от вирусов. Администраторы способны делать всё, что пожелают — они могут устанавливать и убирать программы, обновлять драйверы устройств и компоненты операционной системы, управлять правами доступа и, пусть даже сами того не желая, инфицировать систему вирусами. Рядовые же (ограниченные в правах) пользователи могут гулять по Интернету, запускать производственные приложения, работать с документами и электронной почтой; но они не могут что-либо изменить или повредить в операционной системе. Что делает их работу столь безопасной?

Дело в том, что каждая запускаемая программа, каждый процесс или динамическая библиотека, работающие в фоновом режиме, исполняются в контексте безопасности и с привилегиями вызывающего её пользователя. В свою очередь, вирус — это не «чёрная магия», а всего лишь ещё одна программа. Ни один вирус, ни один «троянский конь» не могут самостоятельно встроить себя в папку Windows или изменить записи в ключе реестра HKLM\..\Run, если только не будут запущены пользователем, обладающим административными привилегиями.

Примите для себя следующие правила в качестве обязательных к неукоснительному исполнению:

  • Создайте две учётных записи для администраторов и работников технической поддержки. Убедитесь, что они всегда работают с учётной записью стандартного пользователя, а привилегированную учётную запись применяют только по доказанной необходимости.
  • Никогда не назначайте обычным пользователям членство в группах Administrators или Power Users (для систем до Vista).

Если вам кажется, что какая-либо программа требует административные привилегии, всегда сначала пытайтесь выяснить, на какие конкретно файлы или ключи реестра требуется расширить доступ, чтобы программы могла работать от лица рядового пользователя.  Для этого вы можете использовать Process MonitorWindows Auditing или Application Compatibility Toolkit. И только в случае, когда эти средства не помогли решить проблему, создайте две учётные записи для нужного пользователя — одну стандартную и одну административную. Убедитесь, что привилегированная учётная запись применяется только для запуска проблемного приложения.

 

Технология «белых списков» программ

Некоторые зловредные программы могут быть запущены с ограниченными привилегиями. Они не могут проникнуть вглубь системы, но способны повредить или зашифровать документы пользователя, а также шпионить за ним. «Белые списки» позволяют вам определить заранее, какие программы разрешено вызывать на данном компьютере и предотвращают запуск любых других исполняемых модулей.

Например, можно указать системе: «разрешаю запускать только те программы, что находятся в папках C:\Windows, C:\Program Files и D:\Business Software”. Как результат, As a result, никакой вирус не сможет быть запущен с флеш-диска E:\, равно как и любые другие неразрешённые программы из папки Desktop. В случае, если некий нежелательный модуль был случайно скачан с веб-сайта или получен посредством электронной почты, он не сможет исполниться, будучи сохранённым в профиле пользователя, в папках Temporary Internet Files или %Temp%, так как эти папки не разрешены политикой безопасности.

Преимущества «белых списков» по сравнению с более популярной моделью «чёрных списков», применяемой в большинстве антивирусных программ, чрезвычайно велики. Для меня и моих клиентов стало абсолютно ясным, что «чёрные списки» никогда не смогут защитить компьютеры от заражений. В то время как антивирусная программа играет в «русскую рулетку», пытаясь угадать, является ли некая программа вирусом или нет, «белый список» однозначно блокирует запуск всего хранящегося за пределами заранее разрешённой области, что делает работу гораздо более безопасной. В качестве дополнительного бонуса, эта технология также защищает компьютер от угрозы, известной под названием ”DLL Hijacking”.

Технология «белых списков» в Microsoft Windows впервые была представлена в Windows XP Professional в 2001 году групповой политикой Software Restriction Policies (SRP) и продолжает быть частью операционной системы в виде групповой политики AppLocker. Существуют и сторонние решения уровня предприятия. Вне зависимости от конкретно выбранного решения, чтобы получить наибольший эффект от данной технологии, примите для себя следующие правила:

  • Не разрешайте запуск из папок, содержимое которых пользователи могут изменять;
  • Не выдавайте пользователям права на изменение папок, из которых разрешён запуск.

Обратите внимание, что данная технология имеет отношение только к запуску программ, но никак не мешает пользователям сохранять файлы, работать с документами и, в большинстве случаев, совершенно не отражается на скорости работы компьютера! Я применяю SRP на всех своих домашних и рабочих компьютерах, и это не настолько сложно, как вы можете услышать от людей, которые сами никогда не пробовали настраивать эту политику. Если для вас эта тема нова, но вы желаете попробовать, прочтите следующую статью: ”Preventing computer malware by using SRP”.

 

Конфигурация групповых политик и параметров безопасности

Существуют несколько критически важных для безопасности вашего компьютера параметров и групповых политик, которые по умолчанию не настроены. В частности, ознакомьтесь с технологией Data Execution Prevention (DEP), которая по умолчанию включена для всех приложений только на системах Windows Server.

  • Включите DEP для всех служб и приложение. Если потребуется, позже сможете исключить некоторые программы из списка DEP.

Многие черви и средства взлома типа “RDP Brute” атакуют компьютеры, пытаясь угадать пароли. Включив политику блокировки учётных записей при переборе паролей, вы можете значительно снизить риск быть взломанным подобным образом.

Иметь плохую политику паролей ненамного лучше, чем не иметь её вообще. Не требуйте слишком частой смены паролей, пользователи просто начнут писать их на бумажках. Вместо этого, научите людей создавать достаточно длинные, но несложные для запоминания пароли, например: «Я люблю жизнь с 1977 года!» Неплохо для 26 знаков? Взлом такой комбинации может занять годы.

Внимательно пересмотрите все параметры безопасности групповых политик. Например, запретите хранение паролей посредством LM Hash; примените аутентификацию NTLMv2, по возможности отклоняя LM/NTLM; требуйте цифровые подписи SMB-сессий, и т.д.

 

Обновления операционной системы и прочих приложений

Червь Conficker, использующий уязвимость четырёхлетней давности, всё ещё распространяется по Интернету. Угадайте, почему? Потому, что слишком многие не заботятся о своевременной установке обновлений безопасности, вместо этого полностью полагаясь на брандмауэр. К несчастью для них, существуют сценарии, в которых брандмауэр не помогает. Типичный пример: служба File and Printer Sharing опирается на трафик SMB/CIFS. Если вы заблокируете этот тип трафика на брандмауэре, работа файлового сервера станет невозможной. В тоже время, когда заражённый компьютер будет подключен к локальной подсети, червь типа Conficker-а может использовать уязвимость необновлённой службы SMB файлового сервера и захватить его под контроль с привилегиями учётной записи SYSTEM. Существует множество использующих уязвимости эксплоитов, против которых брандмауэры и антивирусные решения бесполезны.

  • Регулярно устанавливайте обновления операционной системы и приложений;
  • Примените инфраструктуру WSUS для достижения лучшей управляемости обновлениями.

 

Incident Handling

Всякое случается в жизни, и однажды ваш компьютер тоже может оказаться заражённым. На вашем месте, я бы не стал играться в игры с разработчиками вируса, если бы только не был экспертом антивирусной компании. Разработчики зловредных программ — не дураки, они не заинтересованы в создании вирусов, которые было бы легко обнаружить и ликвидировать. Во многих случаях, полная очистка невозможна, и наиболее надёжным решением является полное уничтожение скомпрометированной системы и восстановление из заведомо чистой резервной копии. В случае, если таковой копии нет, — полная переустановка с нуля.

  • В случае обнаружения заражения всегда предпринимайте расследование причин происшествия. Раз вирус смог попасть в систему, он использует тот же путь, чтобы проникнуть повторно;
  • Не теряйте времени и сил, пытаясь излечить неизлечимое. Переустановите систему из последней заведомо чистой резервной копии.

 

 

Заключение

Кажется практически невозможным обеспечить защиту от зловредных программ на все сто процентов. Тем не менее, все случаи заражений, с которыми мне приходилось сталкиваться в своей практике, определённо являлись последствиями недоработок со стороны системного администратора. Причиной обычно было либо наличие рядовых пользователей, работавших с административными привилегиями, либо отсутствие настроенной политики «белых списков» программ, либо нежелание устанавливать обновления. Если вы проявите должное внимание к описанным выше мерам безопасности, они помогут вам получить достойный уровень защиты.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.

RSS: Новые статьи на Anti-Malware.ru