26. elokuuta 2009

Windows turvalliseksi ja lukituksi helposti

Olen jo mm. kotisivuillani, sekä tässä blogissanikin antanut perusohjeita Windowsin suojaamiseksi erilaisilta tietoturvauhkilta. Pääasiassa ohjeet ovat olleet varsin "perustasoisia" ja "itsestäänselviä", joilla on lähinnä luotu perustat Windowsin suojaamiseksi.

Nyt voisi olla aika näyttää rautalangasta vääntäen, miten vaikkapa XP Professional voidaan helposti vääntää vieläkin turvallisemmaksi, käyttäen group policy -ominaisuuksia hyväksi. Tärkeätä ja hyödyllistä on käyttää group policyä tietokoneen asetusten säätämiseksi ja "lukitsemiseksi" kohdalleen, esimerkiksi kun haluat antaa lapsille tai vierailijoille mahdollisuuden käyttää tietokonettasi turvallisesti. Erityisesti julkisia nettipäätteitä pitävien kannattaa nyt pitää korvat höröllä, koska tämä tieto on kullan arvoista.

Lähdetään siis liikkelle siitä perusolettamuksesta, että olet jo tähän mennessä:
  • Huolehtinut virustentorjunnasta, palomuurauksesta ja päivityksistä.
  • Asettanut tietokoneen kaikille järjestelmänvalvojat-tileille vahvat salasanat.
  • Ottanut tavallisille käyttäjille ja miksei itsellesikin käyttöön "rajoitettu käyttäjä" (user) tasoiset tilit, joita siis tulee käyttää normaalisti kaikessa tietokoneen käytössä (järjestelmänvalvojan oikeuksin varustettua tilia tulee käyttää vain ohjelmien asentamiseen ja muihin ylläpitotoimiin).
Aloita sillä, että kirjaudu koneeseen järjestelmänvalvojan tunnuksin sisälle. Mene Start/Käynnistä ja Run/Suorita gpedit.msc -niminen sovellus...huomaa, että alla olevat kuvat on otettu englanninkielisestä versiosta, omassasi asetukset voivat lukea eri kielellä, mutta ne löytyvät silti samoista kohdin, pienellä kielipäällä löydät varmasti oikeat asetukset. Siirry kuvassa näkyvään kohtaan ja laita asetukset sen mukaisiksi.

Tässä tapauksessa määritellään, millä perusteella ohjelmistojen rajoitukset oikein vaikuttavat ja keihin. Laitetaan ne vaikuttamaan kaikkiin ohjelmatiedostoihin, mutta ei paikallisiin järjestelmänvalvojiin.


Määritellään sitten vielä, että ohjelmistotiedostotyyppeihin kuuluvat myös .xpi päätteiset tiedostot, eli Firefoxin lisäosat-tyyppiset tiedostot. Tämä siis vain, mikäli käytät Firefoxia tietokoneessasi, jos et aio sitä käyttää, niin voit unohtaa tämän kohdan ja hypätä eteenpäin.


Varmistetaan nyt, että vain järjestelmänvalvojat voivat päättää, mitkä tahot ovat luotettavia julkaisijoita. Pikkujuttu ehkä, mutta parempi tehdä sekin.


Nyt tehdään se tärkein asia: Määritellään, että mitään ohjelmatiedostoja ei saa suorittaa tietokoneessasi, jos niitä ei ole erikseen sallittu. Tämä tarkoittaa, että kukaan ei voi vaikkapa asennella ylimääräisiä ohjelmia, käynnistellä viruksia, asennella takaporttiohjelmia tai spywarea enää tietokoneeseesi, ei tahallaan eikä vahingossa, jos ei omaa järjestelmänvalvojan oikeuksia. Kaikkien ohjelmatiedostojen ajaminen tietokoneellasi on tavallisten käyttäjien toimesta tästä hetkestä alkaen kielletty! Muista, että tämähän ei nyt koske järjestelmänvalvojia, nehän hetki sitten laitettiin tämän rajoituksen ulkopuolelle!


Mutta siis mitähäh? Jos kerran käyttäjät eivät voi suorittaa mitään tiedostoja koneella, miten he voivat käyttää tietokonetta ja sen ohjelmia? No, huomaa, että kerroin juuri, että mitään ohjelmia ei voi suorittaa, joita ei ole erikseen sallittu. Nyt on aika sallia tarpeelliset ohjelmat käyttäjille...ja vieläpä aika näppärällä tavalla, etten sanoisi! Lisätään nuo kuvassa olevat hakemistopolut sallittujen listalle.
Huomaa, että listalla on esim. "C:\ATI" ja "C:\Documents and settings\Markusrulez!", nämä vain siksi, että ne ovat kyseisessä koneessani olevia hakemistoja, sinulla voi olla vastaavanlaisia ja ne kannattaa laittaa listalle. Huomaa, ettei missään tapauksessa listalle saa laittaa mitään sellaisia kansioita, joihin tietokoneen "käyttäjä"/"user" tasoisen tilin omistajilla on kirjoitusoikeus, kuten vaikkapa C:\Documents and settings\userX. Tämä on erittäin tärkeää huomata.

Tämän systeemin hienous näet perustuu siihen, että käyttäjät voivat suorittaa vain tiedostoja kansioissa, joihin heillä ei ole kirjoitusoikeuksia, missään muussa kansiossa oleva tiedosto ei vain käynnisty. Koska käyttäjillä ei ole kirjoitusoikeuksia esimerkiksi ohjelmatiedostokansioihin, he eivät voi tallentaa tai siirtää sinne omia ohjelmiaan ja siten kiertää tätä suojausta! Ne kansiot, joihin heillä on kirjoitusoikeus (kuten heidän omat kansionsa, dokumenttikansionsa, muistitikkunsa jne.), eivät kuulu tähän poikkeusten piiriin ja ovat siten automaattisesti kaikki sellaisia, ettei niistä voida suorittaa mitään ohjelmatiedostoja! Aivan sama koskee myös tietokoneeseen liitettyjä muistitikkuja ja romppujakin: Koska niiden kansiot eivät ole erikseen hyväksytyt suoritettavaksi, niiltä ei voi suorittaa ohjelmia. Kaikkea muuta niiltä voi toki suorittaa, avata esimerkiksi dokumentteja ja kuvia.

Case solved.

Valitettavasti Windowsissa on jonkinlainen bugi, jonka vuoksi group policyn tämäntyyppisen käyttämisen jälkeen Windowsupdate lakkaa toimimasta. Ongelma on onneksi korjattavissa helposti, suorita regedit.exe ja poista kuvassa näkyvä rekisteriavain ja Windowsupdate toimii taas mainiosti...voit myös muuttaa rekisteriavaimen arvoksi "0" tuon "1" sijasta ja Windowsupdate toimii taas aivan mainiosti.


Siinä tulikin sitten tärkein asia ja ongelma ratkaistuksi, eli miten estää käyttäjiä suorittelemasta kaikenlaisia epämääräisiä tiedostoja ja asentamasta kaikenlaisia roskaohjelmia kone täyteen. Mutta, group policyä voi käyttää muuhunkin.

Group policyä voi käyttää tehokkaasti myös muiden asetusten säätämiseksi ja lukitsemiseksi kohdalleen. Hyvä esimerkki tästä on, että säätämällä Internet Explorerin asetukset joko kullekin käyttäjälle erikseen kohdalleen tai sitten yleisesti kaikille kohdalleen, voi ne lukita siten, etteivät käyttäjät pysty niitä itse enää muuttamaan. Se siitä epämääräisten Active-X komponenttien asennuksista ja asetusten sekoittamisesta siis, asetukset ovat ja pysyvät kohdallaan vaikka käyttäjiä se kuinka harmittaisi.

Alla kuvasarja, joka kertoo, mitkä asetukset pitää group policyssä säätää miksikin, jotta kukaan (mukaanlukien järjestelmänvalvojat huom!) ei voi säätää enää Internet Explorerin asetuksia. Koska Internet Explorer on mahdollista lukita tehokkaasti, (ennen tämän group policyn käyttöönottoa) herää kysymys, kannattaako koneeseen lainkaan asentaa Firefox selainta? Ehkäpä ei kannata, koska sen asetuksia voivat käyttäjät sekoitella kuitenkin (niiden lukitseminen onkin sitten toinen juttu) ja toisaalta, jos Internet Explorerin asetuksia ei lukita, käyttäjät voivat Internet Explorerin kautta vaarantaa joka tapauksessa tietokoneen tietoturvan.


Group policyn kautta pääsee kätevästi myös muihin asetuksiin, joita voi olla syytä säätää turvallisemmiksi, alla joitain esimerkkejä. Asetuksia on todellakin kasapäin, niihin voi perehtyä, jos intoa riittää.


Jos Windowsupdate lakkaa toimimasta näiden(kin) asetusten jälkeen, niin poista jälleen tuo aikaisemmin mainitsemani rekisteriavain ja ongelma on taas ratkaistu.

8 kommenttia:

Timo kirjoitti...

Kiitos tästä tietoiskusta! Jäin jossain vaiheessa ihmettelemään, että mistä tuo Group Policy edes käynnistetään.

Anonyymi kirjoitti...

Saisikohan näistä konffeista tehtyä jonkinlaisen .bat filun joka olisi sitten näppärä ajaa monessa koneessa ettei aina tarvitsisi käsipelillä hakata noita jokaiseen erikseen? :)

Anonyymi kirjoitti...

"järjestelmänvalvojan oikeuksin varustettua tilia tulee käyttää vain ohjelmien asentamiseen ja muihin ylläpitotoimiin"

Oletko testannut kuinka hyvin ohjelmat toimivat rajoitetulla käyttäjätilillä? Oma käsitykseni on, että monet ohjelmat eivät toimi. Mac OS X on huomattavasti parempi tässä suhteessa, mutta ei sekään niin hyvä kuin Linux

Markus Jansson kirjoitti...

Toimivat aivan hyvin. Jos eivät toimisi, vika olisi ohjelmassa. Tietysti esimerkiksi verkonhallintaa ja muuta sensemmoista touhuavaa ohjelmaa ei pysty ilman järjestelmänvalvojan oikeuksia suorittamaan, kuten ei pidäkään pystyä.

Anonyymi kirjoitti...

Ihan kaikki ohjelmat eivät kyllä toimi rajoitetuilla tileillä. Vika on tietysti ohjelmassa, mutta tuskin sitä vikaa olisi ohjelmassa, ellei valtava enemmistö ihmisistä käyttäisi Windowsia järjestelmävalvojan oikeuksilla. Koska ihmiset tekevät näin, niin ohjelmistovalmistajat eivät suunnittele ohjelmia kunnolla.


http://blogs.technet.com/markrussinovich/archive/2006/03/02/running-as-limited-user-the-easy-way.aspx

"many applications fail when run in a limited-user account because they’re poorly written and expect to have write access to directories such as \Program Files and \Windows or registry keys under HKLM\Software."

Anonyymi kirjoitti...

Ihan aluksi tiedoksi.
GPedit ei toimi kotikäyttöön tarkoitetuissa versioissa, kuten XP home, Vista Home tai Home premium.
Turha siis yrittää edes kokeilla näillä.

"Saisikohan näistä konffeista tehtyä jonkinlaisen .bat filun joka olisi sitten näppärä ajaa monessa koneessa ettei aina tarvitsisi käsipelillä hakata noita jokaiseen erikseen? :)"

GPEditistä voi exportata koko listan. Muistaakseni tekee normi luettavan xml filun.
Tämän voi taas importata muihin koneisiin.
Vaihtoehtoisesti voi powershell scriptillä ajaa xml filun muille koneille.
Mutta jos useampia koneita on, niin nehän kannattaa laittaa ad:hen, jolloin serveriltä voi tehdä muutokset jolloin ne tulee automaattisesti käyttäjätilien mukaan käyttöön ilman että tarvitsee konekohtaisesti noita käsin muokata tai importata xml filua.

Markus Jansson kirjoitti...

Niinno siis totesin heti aluksi, että tämä toimii XP Professionalissa... ;)

Anonyymi kirjoitti...

Ihan vain mainitakseni, että Firefoxille löytyy oma GPO:nsa.
Vastaa lähes täydellisesti IE:n vastaavaa.

Ainoa ongelma vain on se, että tämä GPO paketti ei ole Mozillan tukema, jonka vuoksi kaikki Firefoxin päivitykset on testattava ennen asennusta, koska päivitys saattaa rikkoa GPO asetuksien toiminnan.
Näin on myös käytännössä käynyt.
Tämän GPO:n tarjoaja kuitenkin ilmoittaa omilla sivuillaan mahdollisista päivityksistä jotka rikkoo GPO:t ja näin ollen vaatii GPO paketin päivityksen.

Toinen ongelma yrityskäytössä on että Mozilla ei tue .MSI paketointia, joka on edellytys Windows pohjaiseen verkkojakeluun.

.MSI Paketin toki voi vääntää itsekin, mutta vaatii hieman osaamista ja aikaa.

Jos siis ottaa käyttöön FF GPO:n, niin saa varautua päivityhelvettiin ja viivästettyihin päivityksiin.

Olisi kyllä aika veto Mozillalta jos he saisivat sisällytettyä Firefoxiin tuetun GPO paketin.
Yleistyisi satavarmasti yrityksissä FF käyttö.