URLVoid kan benyttes via nedenstående link. Tjek den ud.
http://www.urlvoid.com/

Samtidig kan man se, at Sandboxie ikonet nu har fået røde prikker. Det betyder at der er noget aktivt (filer/sessioner) i sandboxen.

Hvis Sandboxie ikke er aktiv/tom, vil ikonet være gult, som vist på nedenstående billede.

Lad os nu prøve at downloade et program, som vi ønsker at installere og benytte.
Når man kører sin browser i Sandboxie, skal man som udgangspunkt altid vælge at gemme filen, fremfor at køre den.
Hvis man kører filen vil programmet bliver installeret i en sandbox og vil således blive slettet, når vi lukker vores browser session.
Det er ligeledes vigtigt at man gemer filen i de mapper/områder, som har support for “Øjeblikkelig Genskabelse”.
Som tidligere vist, er det som standard følgende områder.

- Overførelser
- Skrivebord
- Documents

Jeg downloader i dette eksempel en applikation, som hedder Notepad++.
Læg igen mærke til symbolet [#], som vises, når diverse handlinger foregår i sandboxen.
Jeg vælger “Gem”.

Jeg vælger mappen “Overførelser” og klikker “Gem”.

Sandboxie kommer nu op med formen “Øjeblikkelig Genskabelse”. Jeg vælger her “Genskab”.

Nedenstående billede viser, at min applikation Notepad++ nu er gemt udenfor sandboxen og jeg kan nu installere den, på mit rigtige system.

Lad os se hvad der sker, når jeg afvikler ondsindet kode (malware) i en browser, som kører i en isoleret sandbox.
Nedenstående billeder viser, at jeg at har afviklet et par “fake AV” programmer.

Her kan vi se, at de ondsindet filer er isoleret i sandboxen.

Diverse malware ikoner og alerts kommer frem på mit system.

Ved at fjerne malwaren, skal man nu bare højre musetaste på Sandboxie ikonet og vælge “Afslut Alle Programmer”.
I nogle tilfælde kan malwaren fryse ens skrivebord eller mus og man bliver derfor nødt til at slukke computeren.

Malwaren har lagt et gevejsikon ud på skrivebordet. det er et af de områder, som tillader “Øjeblikkelig Genskabelse”.
Derfor bliver man spurgt om man vil genskabe gervejen. Det ønsker vi ikke og vælger her “Slet Sandbox”.

Vi har nu et rent system igen. Simpelt og effektivt.

Hvis man kommer til at afvikle malware der prøver at skrive i C:\Programmer eller C:\Windows vil Sandboxie komme med nedenstående besked.
Vi har konfigureret Sandboxie med kun “Læse/read” adgang til disse foldere. Malwaren kan således ikke afvikles og vil fejle.

En sidste ting, som er vigtig, i forhold til netbank og andre personfølsomme services/tjenester.
Man kan ved et uheld komme til at afvikle user-mode malware som indeholder keyloggere eller password stealers.
Derfor er det vigtigt, altid at lukke alle sine browser sessioner og derved slette sandboxen inden man feks går på sin netbank.
Man kan også oprette en seperat sandbox, som man kun benytter til netbank,E-Boks mfl.

Denne blog-post serie omkring Sandboxie er nu afsluttet.

Med Sandboxie kan man surfe sikkert på nettet. Sandboxie afvikler de ønskede applikationer i et isoleret lag på computeren, som beskytter den effektivt mod uønskede ændringer.
Hvis man således afvikler sin browser (IE/FF/Chrome) fra Sandboxie og downloader og eksekverer onsindet kode (malware), vil det bliver fanget og isoleret af Sandboxie.
Det betyder, at malware som er fanget i et Sandbox-lag ikke dynamisk kan bryde ud og inficerer brugerens computer.
Ved at lukke ens browser/session vil alt inden i Sandboxie blive slettet inklusiv malwaren.
Se nedenstående link og grafisk illustration for mere info.
http://www.sandboxie.com/

Lad os se, hvordan det kan virke i praksis. Nedenstående guide er testet på en Windows 7 32-bit platform med betalingsversionen af Sandboxie.
Jeg starter her med at downloade og installere nyeste version af Sandboxie fra nedenstående link.
http://www.sandboxie.com/index.php?DownloadSandboxie

Højre musetast på “SandboxieInstall.exe” og vælg “Kør som administrator”.

Klik “Ja”.

Vælg “Dansk” og klik “OK”.

 
 
Klik på “Jeg Accepterer”.

Klik på “Installer”.

Vælg “Næste”.

Vælg “Næste”.

Klik på “Afslut”.

 
 
Sandboxie starter herefter automatisk op med et velkomst skærmbillde. Klik på “Luk”.

En genvej til “Sandboxed Web Browser” bliver placeret på skrivebordet. Samtidig er “Sandboxie Kontrol” startet op. Det er her, vi senere skal lave en række ændringer til standard konfigurationen.

For køb og registrering af Sandboxie skal man gøre følgende:
Gå til http://www.sandboxie.com/ og klik på “Buy” i menuen. Klik herefter på linket “Enter the store”.
 

Fjern/fravælg “Backup CD”. og gennemfør resten af betalings-proceduren.
For ca. 242 kr får man således en livstids-licens til Sandboxie, som jeg mener er et rigtig godt tilbud.
 
I “Sandboxie Kontrol” gå til “Hjælp” og vælg “Registrer Sandboxie”.

Indtast “Navn” og tilsendt “Nøgle”. Klik på “OK”.

Afslut installation og registrering ved at klikke “OK”.

I “Sandboxie Kontrol”, højre musetast på “Sandbox DefaultBox” og vælg “Sandbox Indstillinger”.

Nedenstående billede viser de default områder du kan downloade og gemme filer og som herefter kan gemmes udenfor sandboxen.

Under “Beskyttelse” vælg her at slette indholdet af sandboxen. Dette vil sikre dig, at alle filer/malware bliver slettet, hver gang du lukker din browser.

Vælg “Mindsk rettigheder fra Administrator…”

Under “Læs-Kun-Adgang”, tilføj Programmer/Program Files og Windows katalog.

Udfra “Internet Explorer” vælg her at sætte + udfra alle settings, som vist på nedenstående billede. Dette vil give den største flexibilitet.
Alle andre applikationer/plugins, som bliver startet via IE, bliver således også afviklet i Sandboxie. Det kunne være såbare programmer som Java, Adobe og Flash.

Afslut konfiguationen med at password beskytte den. Gå til “Konfigurer” og “Lock Configuration”.

Vælg ” Password must be entered….”.

Angiv “Adgangskode” 2 gange. Klik “OK” > “OK”. Luk herefter “Sandboxie Kontrol”.

Sandboxie – sikker web browsing Part 1 er nu afsluttet.

Tjek det hele ud her.
http://www.citrix.com/English/ps2/products/product.asp?contentID=2300325

Under “Logging”, vælg “Edit Filter” og tilføj “Protocol” og “Source Network”. Konfigurer, som vist på nedenstående billede.

Klik på “Start Query”.

Man kan her se logs for DirectAccess transition traffik. Nedenstående Log-udsnit vises for 6to4.

Log udsnit for Teredo.

Log udsnit for IP-HTTPS.

For at få remote adgang til DirectAccess klienterne i forbindelse med support og helpdesk kald, kan man benytte følgende værktøjer.

- Remote Assistance i Windows 7
- Remote Desktop i Windows 7
- Teamviewer

For Remote Assistance i Windows 7, kan man lave en genvej ude på skrivebordet med følgende streng.
%windir%\system32\msra.exe /offerra

For at kunne lave en “Remote Assistance ” ude på klienterne, skal man forinden tillade det i en GPO (WIN_DA_Client).
Computer Configuration/Administrative Templates/System/Remote Assistance

Nedenstående billeder viser “Remote Assistance” anmodninger ude på en DirectAccess klient.

For at kunne lave en “Remote Desktop” ude på klienterne, skal man forinden tillade det i en GPO (WIN_DA_Client).
Computer Configuration/Administrative Templates/Windows Components/Remote Desktop Services/Remote Desktop Session Host/Connections
Enable “Allow users to connect remotely using Remote Desktop Services”.

Man kan også vælge at benytte Teamviewer, som jeg personligt syntes er en rigtig god løsning.
http://www.teamviewer.com/da/

Da jeg skulle teste DirectAccess med en Windows 7 klient, kunne jeg ikke få “Teredo” til at virke.
Min test klient var på en anden lokation i et netværk med Active Directory.
Efter en del fejlsøgning, fandt jeg nedenstående link, som beskriver problemet.
http://technet.microsoft.com/en-us/library/ee844125(WS.10).aspx

If the Teredo state is offline and the error state is Client is in a managed network, the DirectAccess client has detected a local Active Directory domain. In this case, the Teredo client will not bring up the Teredo tunnel adapter unless the Teredo client has been configured as an enterprise client. You can view the Teredo client type from the netsh interface teredo show state command. If set to client, a reachable domain controller will prevent Teredo from becoming active. If it set to enterpriseclient, Teredo will be active even when a domain controller is reachable. You can change a Teredo client from client to enterpriseclient with the Computer Configuration\Policies\Administrative Templates\Network\TCPIP Settings\IPv6 Transition Technologies\Teredo State setting of the Group Policy object for DirectAccess clients or for an individual DirectAccess client with the netsh interface teredo set state enterpriseclient command.

Efter jeg satte “Teredo state” til “Enterprise Client”, virkede det uden problemer. Jeg brugte igen GPO’en WIN_DA_Client.

Et andet problem, som jeg også brugte en del tid på at fejlfinde, var at få IP-HTTPS til at virke for mine test klienter.
Nedenstående billede viser fejlmeddelsen ude på en DirectAccess klient.

Jeg havde købt et GoDaddy standard SSL certifikat og havde importeret det til UAG serveren inden installationen af UAG.
Så jeg vidste at “Certificate Revocation List (CRL)” var i orden og det således burde virke.
Jeg kørte først kommandoerne net stop iphlpsvc og net start iphlpsvc på selve UAG serveren og klienterne uden nogen possetiv effekt.
Jeg tjekkede flere gange GPO resultet på klienten med nedensående kommado og alt så fint ud.
gpresult /f /h c:\report.html

Kommandoen netsh interface httpstunnel show interface på UAG serveren viste heller ingen fejl.

Kommandoen netsh http show sslcert på UAG serveren viste heller ingen tydlige fejl.

Jeg havde dog forinden lagt mærke til at UAG installationen smider et “Default Web Site” SSL certifikat ind i personal certifkat storen.
Dette er et internt/privat certifkat hvor CRL ikke er public.

Ved at sammenligne “Certificate Hash” og Thumbprint fra “Default Web Site”, kunne jeg se, at UAG serveren fejlagtigt havde brugt dette certifikat under “SSL Certificate bindings”.
Det betyder at DirectAccess klienterne ikke kan lave et CRL check på certifikatet og således vil fejle.

Opgaven bestod nu i, at ændre bindings tilbage til mit GoDaddy SSL certifikat.
Jeg kopierede først “Application ID” for IP:port 0.0.0.0:443 og [::]:443 og satte det ind i et tekstfil.
Herefter slettede jeg de eksisterende IPports, som vist på dette billede.

Næste step, var at kopiere “Certificate Hash” fra mit GoDaddy certifkat ind i nedenstående kommandoer.
Samtidig skulle jeg også indsætte de før kopierede” Application ID’s” så de passede med de rigtige IPport.
netsh http add sslcert ipport=0.0.0.0:443 certhash=14bae9c801da96021b5d0a502e49dde47228b18a appid={4dc3e181-e14b-4a21-b022-59fc669b0914} certstorename=MY dsmapperusage=enable
netsh http add sslcert ipport=[::]:443 certhash=14bae9c801da96021b5d0a502e49dde47228b18a appid={1d40ebc7-1983-4ac5-82aa-1e17a7ae9a0e} certstorename=MY dsmapperusage=enable

Nedenstående billede viser at kommandoerne blev kørt igennem og “SSL certificate bindings” nu er ændret til mit GoDaddy SSL certifikat.

For at teste/force IP-HTTPS ude på en klient kørte jeg nedenstående kommandoer, som disabler “6to4″ og “Teredo”.
netsh interface teredo set state disabled
netsh interface 6TO4 set state disabled

Jeg kørte til sidst kommandoen netsh interface httpstunnel show interface igen og kunne se, at der nu var hul igennem. Case closed….

Denne blog-post serie omkring UAG og DirectAccess er nu afsluttet.

- DCA til DirectAccess klienter.
- Logning af DirectAccess traffik.
- Remote adgang til DirectAccess klienter.
- Fejlfinding på Teredo og IP-HTTPS.

Jeg starter her med et diagnostic tool som hedder “DirectAccess Connectivity Assistant (DCA)”.
http://www.microsoft.com/downloads/details.aspx?FamilyID=9A87EFE8-E254-4473-8A26-678ADEA6D9E9&displaylang=en

Det kan fortælle DirectAccess brugerne om de har forbindelse til firma netværket, samt generer logs til helpdesken om computer og netværks konfiguration.
Uden dette tool kommer der ingen besked til brugeren, om at forbindelsen til virksomhedsressourcer via DirectAccess er nede eller oppe igen.
Man installerer DCA klienten på de maskiner, som skal connecte via DirectAccess.
Nedenstående billede viser at DCA klienten er blevet installeret, men den mangler at blive konfigureret via group policies.

Opret en ny GPO, som jeg i dette tilfælde kalder “WIN_DA_Client”. Den skal også bruges til andre indstillinger, som kan være målrettet mod DA klienter.

Sæt “Security Filtering”, så den kun rammer DirectAccess computere og brugere.

Importer DCA GPO template i henhold til nedenstående link.
Deploying, Managing, and Using the DirectAccess Connectivity Assistant
http://technet.microsoft.com/en-us/library/ff453413(WS.10).aspx

Herefter kan vi se DCA templaten via GPO manageren.

De to DCA indstillinger, som skal konfigureres er “DTEs” og “Corporate Resources”.
For “DTE” sker det som følger.
Kør ipconfig på selve UAG serveren og kopier de to IPv6 adresser, som er listet under 6TO4 adapteren.

Enable policy og klik på knappen “Show”.

Indsæt de to IPv6 adresser med PING: foran.

Konfiguration af “Corporate Resources”, skal også konfigureres. Restern af DCA settings er valgfrie, men kan være nyttige at have med.
Feks kan man konfigurere support email adresse som brugerne kan sende log-filer til eller linke til en support portal.
Enable policy og klik på knappen “Show”.

Indtast de interne servere med FQDN. DirectAccess klienter får således en alert, hvis en af nedenstående servere i infrastrukturen ikke kan tilgås.
Igen skal man sætte PING: foran.

Nedenstående billede viser at DirectAccess klienten er connected og alle ressourcer kan tilgås.

Her har DirectAccess klienten mistet tilslutning til en af infrastruktur serverne.

Brugeren kan herefter højre musetast på DCA ikonet og vælge “Advanced Diagnostic”.

En support log bliver herefter genereret og brugeren kan sende den til support, ved at klikke på “Email logs”.
Support mail-adressen, kan som sagt også sættes via DCA GPO’en.

Support/Helpdesk kan hefter åbne log-filen og se, at en af fil-serverne har problemer.

Forefront UAG – DirectAccess Part 8 er nu afsluttet.

Windows 7 skal være enterprise eller ultimate versionen.

Windows 7 klienten skal være medlem af firma domænet.

Klienten skal have et personligt computer certifikat.

Klienten skal have DirectAccess Client GPO’er påtrykt.

Med Forefront UAG og DirectAccess skal vi som sagt tidligere, ikke lave noget om i vores eksisternede infrastruktur.
DirectAccess klienterne vil via NAT64/DNS64 kunne connecte til Windows 2000/XP/2003, som stadigvæk er aktive i ens infrastruktur.
For mere info se nedenstående links.

Forefront UAG DirectAccess connection process.
http://technet.microsoft.com/en-us/library/ee809074.aspx

UAG DirectAccess – Don’t Fear the Reaper or IPv6.
http://blogs.technet.com/tomshinder/archive/2010/03/12/uag-directaccess-don-t-fear-the-reaper-or-ipv6.aspx

Jeg starter her med at teste en Windows 7 klient (WIN-PC-007), som sidder direkte på WAN.
Den har lavet en tunnel connection via transition 6to4, fordi klienten har en public IP adresse.
Dette sker helt transperant for brugeren uden brug af 3 parts software eller manuelle OS indstillinger/tweaks.

Jeg kan pinge mine interne servere på netbios navn.

Jeg har fået mappet mine netværksdrev op mod den eksisterende Windows 2003 R2 filserver.

Min outlook er online, så jeg kan sende og modtage mail, som jeg plejer.

Jeg kan tilgå mine interne Web servere (Sharepoint, Citrix Web Interface mfl).

Jeg kan administrerer Active Directory via RSAT.

Nedenstående billede viser en Windows 7 klient der sidder bag en NAT/Firewall enhed med en privat IP adresse.
I dette tilfælde vil klienten benytte “Teredo IPv6 transition technology”. Det kræver dog at der tilllades udgående UPD traffik på port 3544.

Hvis DirectAccess klienten ikke kan benytte 6to4 eller Teredo, vil den falde tilbage på IP-HTTPS.
Nedestående billede viser dette.

Forefront UAG – DirectAccess Part 7 er nu afsluttet.

Klik på “Add” og vælg den føroprettese sikkerhedsgruppe “DirectAcces”. Det er kun computere i denne gruppe der kan benytte DirectAccess.
Klik “Finish”.

Under “DirectAccess Server”, klik på knappen “Configure”.
Vælg public ip adresse fra “Internet-facing” dropdown. Vælg Private IP adresse fra “Internal” dropdown. Klik “Next”.
Den finder selv den anden public IP adresse, som jeg har bundet SSL certifikatet “da.jravn.dk” op på.

Klik “Next” til default indstillinger.

Jeg vælger her “Root Certificate” fra min interne Enterprise CA.
For IP-HTTPS vælger jeg mit public SSL certifikat fra GoDaddy. Klik herefter “Finish”.

Under “Infrastructure Servers”", klik på knappen “Configure”.
Jeg indtaster link til NLS serveren og klikker på knappen “Validate”. Klik “Next”.

Klik “Next” til default indstillinger.

Vælg det interne domæne og klik på knappen “Finish”.

Under “Application Servers”", klik på knappen “Configure”.
Klik “Finish” for default indstilling.

Klik på knappen “Generate Policies”.

Klik på knappen “Apply Now”.

Klik “OK”.

Afslut med at starte “Group Policy Management” og se at de nye DirectAccess policy er oprettet.

Man kan se udfra “Security Filtering”, at den nye DA client policy kun rammer de klienter der medlem af sikkerhedsgruppen “DirectAccess”.
Ligeledes rammer DA server policy kun UAG serveren.

Forefront UAG – DirectAccess Part 6 er nu afsluttet.

Vælg “Next”.

Vælg som vist på nedenstående billede.

Klik “Next”.

Klik “Finish”.

Klik på “Define Server Topology”.

Klik på “Next”.

Vælg “Single server”. Klik “Next”.

Klik på “Join Microsoft Update”.

Vælg “Use Microsoft Update…”. Klik “OK”.

Klik “Yes”.

Indtast password og klik “Next”.

Klik på “Activate”.

Klik på Finish.

Man får herefter adgang til UAG management console.

Forefront UAG – DirectAccess Part 5 er nu afsluttet.

Tjek at LAN interfacet er konfigureret korrekt i forhold til blank gateway og intern DNS.

For LAN interface, tjek at DNS suffix er udfyldt med internt domæne navn.

For WAN interfacet fravælg “Client for Microsoft Networks” og “File and Printer Sharing for Microsoft Networks”.

Tjek at WAN interfacet står med korrekt IP informationer og blank DNS.

For WAN interfacet, sikre at det er de korrekte public IP adresser der er indtastet.

For WAN interface, tjek at DNS suffix er udfyldt med ekternt domæne navn og “Register this connection’s address in DNS” er fravalgt.

For WAN interface, tjek at “Enable LMHOSTS lookup” og “NetBIOS over TCP/IP” er fravalgt/disablet.

Gå til “Advanced” – “Advanced Settings”.

Konfigurer “connect order”, som vist på nedenstående billede.

Forefront UAG – DirectAccess Part 4 er nu afsluttet.

Vælg “Edit” på WIN_DA GPO’en og gå til:
Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies
Højre musetast på “Automatic Certificate Request Settings”, vælg “New” og klik på “Automatic Certificate Request”.

Klik “Next”.

Vælg “Computer” og klik “Next”.

Klik på “Finish” knappen”.

Jeg har nu følgende settings i min WIN_DA GPO.

Kør herefter kommandoen dnscmd /config /globalqueryblocklist wpad på alle de interne DNS servere. I mit tilfælde er det WIN-DC-002 og WIN-DC-003.
Denne kommando fjerner ISATAP fra DNS’ens globale “query block list”.

Opret en sikkerhedsgruppe (DirectAccess) med de Windows 7 computer der skal kunne anvende DirectAccess.

Jeg er nu kommet til opsætnings- og konfigurationsfasen af Forefront UAG serveren.
For mere info til konfiguration se nedenstående link.
Forefront UAG DirectAccess prerequisites.
http://technet.microsoft.com/en-us/library/dd857262.aspx

Installer Windows 2008 R2 Std. som en member server. Den skal være konfigureret med 2 netkort.
Computername = WIN-UAG-001. Sikre at Firewall er enablet og at den har fået firewall GPO settings.
På WAN netkortet skal man angive 2 public IPv4 adresser.

Angiv IP adresser som følger.

LAN: (Private IP)
IP = 192.168.35.5
Subnet = 255.255.255.0
Gateway = Blank
DNS = Interne DNS adresser
DNS suffix = win.local

WAN: (Public IP)
IP = 87.61.11.194 og 87.61.11.195
Subnet = 255.255.255.0
Gateway = 87.61.11.1
DNS = Blank
DNS suffix = jravn.dk

Opret herefter en DNS A-record for ISATAP, som peger på den private IP adresse for UAG serveren.
UAG serveren vil således fungere som  ISATAP router for IPv6 klienter på firma netværket.

Næste step er, at oprette en public DNS A-record, samt tilhørende certifikat til UAG serverens IP-HTTPS listner.
Hvis DirectAccess klienter sidder bag firewall-devices, som kun tillader HTTP/HTTPS traffik, vil klienterne benytte IP-HTTPS.
Public DNS A-record hedder i mit tilfælde “da.jravn.dk”, som peger på min public IP 87.61.11.195.
Jeg vælger her et standard SSL web certifikat fra GoDaddy. Jeg har forinden lavet et certifikat request fra en server med IIS installeret.

Mit public SSL certifikat er implementeret og jeg installere nu Forefront UAG.
Kør filen “splash.hta” og vælg “Install Forefront UAG”.
Under “Welcome”, vælg “Next”.

Klik herefter Next – Next – Next – Finish.
Afslut med at genstarte UAG serveren.

Download og installer “Forefront Unified Access Gateway (UAG) Update 1″. Genstart herefter serveren.
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=a862c57f-5c27-4cd0-8528-91b3cc5cd758

Forefront UAG – DirectAccess Part 3 er nu afsluttet.

Jeg er nu klar til at oprette og aktiverer firewall regler for ICMPv4 and ICMPv6 “Echo Request” traffik.
Jeg ønsker ikke at lave disse tilføjelser i “Default Domain Policy”, men vælger her at oprette en ny GPO, som jeg kalder WIN_DA.

Vælg “Edit” på WIN_DA GPO’en og gå til:
Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security-LDAP.
Højre musetast på “Inbound Rules” og vælg “New Rule”.

Vælg “Custom” og klik på knappen “Next”.

Klik “Next”.

Under “Protocol type”, vælg “ICMPv4″. Klik på knappen “Customize”.

Vælg “Specific ICMP types”. Vælg “select Echo Request”. Klik på “OK” knappen – “Next”.

For “Scope” – “Action” – “Profile”, vælg her “Next” med default værdier.
Under “Name”, skriv “Inbound ICMPv4 Echo Requests”. Klik på knappen “Finish”.

Udfør nøjagtig den samme øvelse for “Inbound ICMPv6 Echo Request”.
Jeg har nu 2 inbound firewall regler for ICMPv4 og ICMPv6.

Oprettelse af outbound ICMPv4/ICMPv6 Echo Request, sker som som følger.
Højre musetast på “Outbound Rules” og vælg “New Rule”.
Vælg “Custom” og klik “Next”.

Klik “Next”.

Under “Protocol type”, vælg “ICMPv4″. Klik på knappen “Customize”.

Vælg “Specific ICMP types”. Vælg “select Echo Request”. Klik på “OK” knappen – “Next”.

For “Scope”, vælg “Next”.
Under “Action”, vælg “Allow the connection”. Klik “Next”.

For “Profile”, vælg “Next”.
Under “Name”, skriv “Outbound ICMPv4 Echo Requests”. Klik på knappen “Finish”.

Udfør nøjagtig den samme øvelse for “Outbound ICMPv6 Echo Request”.
Jeg har nu 2 outbound firewall regler for ICMPv4 og ICMPv6.

Forefront UAG – DirectAccess Part 2 er nu afsluttet.

Forefront Unified Access Gateway (UAG) er afløseren for den tidligere Intelligent Application Gateway (IAG).
Den tilbyder sikker remote access i form af SSL VPN, DirectAccess, samt en applikations-portal (IIS,Exchange,Sharepoint,RDS,Citrix mfl).
For mere info, se nedenstående link.
http://www.microsoft.com/forefront/unified-access-gateway/en/us/

Jeg vil i denne blog-post serie opsætte og teste DirectAccess i Forefront UAG, udfra nedenstående step-by-step guide.
http://technet.microsoft.com/en-us/library/ee861167.aspx

Jeg har tidligere testet og bekrevet “Native DirectAccess” i Windows 2008 R2, som kan ses her.
Windows 2008 R2 – Native DirectAccess

DirectAccess teknologien gør at man under opstart af sine remote Windows 7 klienter, skaber en transperant og sikker forbindelse til firma domænet via UAG/DirectAccess serveren.
Man udvider således sit netværk, så alle klienter altid er opkoblet til firma netværket. Det giver en lang række fordele, også i forhold til klient management.
For mere overordnet info til UAG og DirectAccess, se nedenstående links.
http://blogs.technet.com/edgeaccessblog/archive/2009/06/22/introducing-uag-directaccess-solution.aspx
http://blogs.isaserver.org/shinder/2009/06/24/unified-access-gateway-uag-means-directaccess/

UAG DirectAccess giver følgende fordele, som ikke er med i “Native DirectAccess”.

1. Support for adgang mod IPv4 servere/klienter i infrastrukturen(Windows 2003/XP). Man skal således ikke lave noget om i infrastrukturen.
    Dette sker via NAT64 og DNS64. Disse teknologier er beskrevet her.
    http://blogs.technet.com/edgeaccessblog/archive/2009/09/08/deep-dive-into-directaccess-nat64-and-dns64-in-action.aspx
2. Support for remote access via SSL VPN til IPv4 klienter (XP), herunder klienter der ikke kører Windows.
3. Har et centralt management interface til flere UAG servere.
4. Fleksibel og redundant. Har indbygget failover via NLB.
5. Kan implementeres parallelt med firmates eksisterende frontend firewall. UAG bliver her beskyttet af en fuld version af TMG.
    Det derfor ikke nødvendigt at oprette en DMZ med public IP adresser.

Ok, ovenstående var en kort beskrivelse af Forefront UAG og DirectAccess. Jeg vil nu opsætte mit test-miljø, som består af følgende enheder.

- Domain Controller (Windows 2008 R2)
- Forefront UAG server (Windows 2008 R2)
- IIS server (Windows 2008 R2)
- Fil server (Windows 2003)
- Windows 7 klient direkte tilsluttet på WAN siden.
- Windows 7 klient bag en NAT/firewall device.

- Internt domæne = win.local
- Eksternt domæne = jravn.dk

Jeg vælger her i dette setup at sætte Forefront UAG parallelt med min frontend firewall, som vist på nedenstående billede.

Ovenstående skitse er taget fra dette link, som også beskriver andre løsningsforslag.
http://blogs.technet.com/tomshinder/archive/2010/04/01/uag-directaccess-server-deployment-scenarios.aspx

Se også dette link med hensyn til UAG og “Support boundaries”.
http://technet.microsoft.com/en-us/library/ee522953.aspx

Konfigurering af Domain Controller (WIN-DC-002).

IP = 192.168.35.8
Subnet = 255.255.255.0
Gateway = 192.168.35.1
DNS = 192.168.35.8/9
DNS suffix = win.local

Den er installeret med Windows 2008 R2 Std. og har følgende roller.
GC + DNS + DHCP + IIS + Enterprise CA.

Den skal yderligere have rollen som Network Location Server (NLS).
For mere info til NLS rollen, se nedenstående link.

Planning the placement of a network location server
http://technet.microsoft.com/en-us/library/ee809056.aspx

Første step er, at udstede et computer certifikat til NLS serveren (WIN-DC-002),via en version 2 (windows 2003) eller 3 (Windows 2008) template.
Det kræver at man har en intern Enterprise CA server, samt at det underliggende OS er enterprise for Windows 2003 og Windows 2008.
Med Windows 2008 R2, er dette ændret, så der nu er support for V2/V3 autoenrollment certifikater i standard OS versionen.
For mere info til dette, se nedenstående link.
http://blogs.technet.com/pki/archive/2009/09/03/active-directory-certificate-services-features-by-sku.aspx

Start “Certification Authority Console” og højre musetast på  “Certificate Templates”.
Jeg vælger manage og “Certificates Templates Console” bliver herefter åbnet.

Marker Web Server og vælg “Duplicate Template”.

Vælg “Windows Server 2003 Enterprise”.

I “Template display name” skriv Web Server 2003.

Gå til “Request Handling” fanebladet og sæt hak i “Allow private key to be exported”.

Gå til Security fanebladet og Add “Authenticated Users” og “Domain Computers” og giv dem “Enroll” rettigheder.

Luk herefter “Certificate Templates Console”.
Højre musetast på “Certificate Templates” og vælg “Certificate Template to Issue”.

Vælg “Web Server 2003″ template – Ok. Luk herefter “Certification Authority console”.

Jeg  er nu klar til at oprette et certifikat til “Network Location Server” rollen (WIN-DC-002) med værdien “nls.win.local”.

Start MMC – Add/Remove Snap-in – Vælg Certificates – Vælg Computer account – Gå til “Certificates (Local Computer)\Personal\Certificates”.
Højre musetast på Certificates – Vælg “All Tasks” – Vælg “Request New Certificate” – Next – Next.
Klik på linket for “Web Server 2003″ – “More information is required to enroll for this certificate”.

Under “Subject name”, vælg her “Common Name”. Angiv Value til “nls.win.local”.
Under “Alternative name”, vælg her DNS. Angiv Value til “nls.win.local”.
Klik på Add for “Subject name” og “Alternative name”.

Gå til fanebladet “General” og indtast “nls.win.local” under “Friendly name”. Klik OK.

Sæt hak udfra “Web Server 2003″ templaten og klik på knappen “Enroll”.

Certifikatet bliver herefter udstedt.

Tjek at certifikatet nls.win.lokal, er af typen “Server Authentication”.

Afslut konfigurationen for WIN-DC-002 med at enable “HTTPS security binding”.
Start IIS Manager – Vælg “Default Web Site” – Vælg Bindings under “Actions”.
Klik på Add under “Site Bindings”- Vælg Https – Vælg det føroprettede certifikat “nls.win.local” – OK – Close – Luk IIS manageren.

Forefront UAG – DirectAccess Part 1 er nu afsluttet.

Klik på nedenstående link
http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

Ude i højre side, Klik på linket “Run Process Explorer now from Live.Sysinternals.com”

Vælg “Kør”.

Vælg “Kør”.

Vælg “Agree”.

Vælg “View” og vælg “Select Columns”.

Under fanebladet “Process Image”, sæt hak udfra “Integrity Level”. For Windows XP, vil dette felt være nedtonet og skal ikke udføres.

Vælg fanebladet “Process Memory” og sæt hak i “WS Private Bytes”. Klik på “OK” knappen”.

Vælg “File” – “Save As”.

Vælg “Skrivebord” – angiv “Filnavn” – vælg “Gem”.

Vælg “File” – “Exit”.

Autoruns:

Klik på nedenstående link.
http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx

Ude i højre side, Klik på linket “Run Autoruns now from Live.Sysinternals.com”.

Vælg “Kør”.

Vælg “Kør”.

Vælg “Agree”.

Tryk på “Esc” tasten på dit tastatur/keyboard.
Vælg “Options” – Vælg “Very Code Sinatures”.

Vælg “File” – “Refresh”.

Vent indtil der stå “Ready” nede i venstre hjørne.

Vælg “File” – “Save”.

Vælg “Skrivebord” – angiv “Filnavn”. vælg “Gem”.

Vælg “File” – “Exit”.

Opret en ny folder på dit skrivebord, som du feks kalder SYSlog. Kopier de 2 filer (Procexp,AutoRuns) ind i denne mappe.
Vælg herefter at at komprimere SYSlog folderen. Højre mustetast på folderen. Vælg “Send til”. Vælg “ZIP-komprimeret mappe”.

Denne vejledning er nu afsluttet.

Jeg vil i denne blog-post beskrive installation og opsætning af OA, samt teste drive-by angreb.
Jeg har testet OA på Windows XP (SP3) og Windows 7 (32-bit).

Download Online Armor og gem den i en folder eller ude på skrivebordet.
Kør filen “OnlineArmor_Setup_Free.exe” (For Vista og Windows 7, højre musetast på filen og vælg kør som administrator).

Vælg “Next”.

Vælg “I accept the agreement” og klik på knappen “Next”.

Vælg “Next”.

Vælg “Next”.

Indtast din e-mail adresse to gange og vælg “Next”.

Vælg “Install”.

Installationen udføres. Når den er færdig, klik på knappen “Finish”.

En konfigurationsguide fremkommer herefter. Vælg “Next”.

Vælg “Next”, når Online Armor har færdiggjort scannings-processen.

Fravælg “Send anonymous information….”. Klik på knappen “Next”.

Vælg “Finish”. Computeren genstarter herefter.

Efter genstart fremkommer nedenstående billede, når man logger ind på sin computer. Dette tager omkring 2 minutter.

Dobbeltklik herefter på “Online Armor” ikonet, som jeg har indrammet med gult. Ikonet findes nede ved systemuret nederst i højre hjørne.

Klik på ikonet “General”.

Fravælg “Firewall”. Vi er kun interesseret i “Program Guard” funktionen, som vil beskytte os effektivt mod, at malware sniger sig ind på systemet uden at vi har godkendt det.

Vælg “Yes”. Windows egen indbygget firewall vil herefter bliver aktiveret. Dette vil være den bedste løsning for almindelige hjemmebrugere.

Vælg “Close”.

Højre musetast på “Online Armor” ikonet nede ved systemuret. Vælg “Set Password”.

Vi låser herefter OA konsollen, så drive-by malware automatisk bliver blokeret.
Skriv dit ønskede password 2 gange og sæt hak udfra “Enable autolock” og “Lock GUI now”.
Afslut med klikke på “OK” knappen.

Hvis man downloader og installere såkaldt trusted software, som ikke findes i “Online Armor” whitelist databasen, vil dette program blive blokeret.
Som eksempel ønsker jeg i dette tilfælde at installere programmet “KeePass”.
http://keepass.info/

Jeg downloader programmet og gemmer det på mit skrivbord. Jeg dobbeltklikker på filen for at installere det.

OA kender ikke programmet i whitelistdatabasen og blokerer det.

For at installere KeePass eller andre programmer, skal man gøre følgende:
Højre musetast på OA ikonet nede ved systemuret og vælg “Unlock GUI”.

Indtast dit føroprettede password og klik “OK”.

Kør KeePass setup filen. OA promter nu om du ønsker at stole på dette program.
Sæt hak udfra “Trust this program” og “Install mode”. Afslut med “Allow”.

Efter installationen af det ønskede program. Vælger jeg igen at låse OA konsollen.
Høre musetast på “Online Armor” ikonet igen og vælg “Lock GUI”.

Så proceduren er som følger, hver gang man skal installere nye trusted programmer.

1. Hent og gem det ønskede program fra en side du stoler på. Søg forinden på google hvis du er i tvil om programmet.
2. Unlock GUI.
3. Kør setup-filen.
4. Ved OA prompt, Vælg “Trust this program” og “Install mode”.
5. Efter installation, vælg “Lock GUI” igen.

Nedenstående billeder viser drive-by malware der automatisk bliver blokeret af “Online Armor”.
Ved at have låst OA konsollen, bliver alle ikke godkendte filer automatisk blokeret.

Med ovenstående konfiguration, vil OA effektivt beskytte dig mod nuværende og fremtidige malware angreb,
som udnytter sårbarheder i de programmer du har installeret på din computer. Herunder din browser (Internet Explore-Firefox mfl.).

Jeg vil i denne blog-post beskrive installation og opsætning af Executable LockDown, samt teste drive-by angreb.
Jeg har testet Executable LockDown på Windows XP (SP3) og Windows 7 (32-bit).

Download prøve-versionen af Executable LockDown og gem den i en folder eller ude på skrivebordet.

Udpak zip-filen og kør filen “Exe Lockdown.exe” (For Vista og Windows 7, højre musetast på filen og vælg kør som administrator).

Vælg “Next”.

Indtast “Username” og “Company Name”. Indtast prøve nøglen som er = 580997-912391-999797.
Klik på knappen “Next”.

Vælg “Next”.

Klik på knappen “Finish”.

Executable LockDown ikonet fremkommer herefter nede ved systemuret, nederst i højre hjørne.

Dobbeltklik på Executable LockDown ikonet. Vælg fanebladet “Password” og angiv et password. Afslut med at klikke på “OK” knappen.

Klik på “OK” knappen. Luk herefter Executable LockDown på krydset op i højre hjørne.

Du er nu beskyttet mod malware der udnytter sårbarheder i dine applikationer der er installeret på din maskine.
Alle nye filer/programmer vil ikke kunne afvikles på dit system, før du har godkendt dem.
Alle programmer du havde installeret inden Executable LockDown blev installeret er whitelistet og kan afvikles.
Malware kan således ikke auto-eksekveres på dit system, uden at du får en alarm. Se nedenstående billeder.
Hvis man kommer til at klikke på knappen “Allow” ved en fejl, bliver man derefter afkrævet et password.

Hvis man ønsker at hente og installere såkaldt trusted software, skal man forinden gøre følgende med Executable LockDown.
Dobbeltklik på Executable LockDown ikonet og angiv dit før indtastede password.

Under “Main” fanebladet, klik her på knappen “Stop Executable LockDown”, for midlertidigt at stoppe Executable LockDown.

Installer herefter det ønskede program og start det op en gang efter installationen er afsluttet.
Start herefter Executable LockDown igen og luk menuen ved krydset oppe i højre hjørne. Programmet er nu whitelistet.

Hvis man ønsker at købe og registrer Executable LockDown, skal man gøre følgende.
Klik på nedenstående link og vælg “Pricing / Order” i menuen til venstre.
http://www.horizondatasys.com/169602.ihtml

Klik herefter på “Home and Small Office License”.

Angiv om du ønsker “Annual Maintenance”. Fravælg “CD Media Pack”. Du kan hente programmet fra deres hjemmeside. så en CD/DVD er ikke nødvendigt.
Udfyld herefter dine personlige oplysninger og køb programmet. Du modtager registreringskoden via e-mail.

Registrering af Executable LockDown, sker som følger.
Højre musetast på Executable LockDown ikonet nede ved systemuret. Vælg “About”.

Klik på knappen “Activate”.

Klik på knappen “Next”.

Indtast “Product ID”, som du modtog via e-mail. Klik på knappen “Activate”.

Identitetstyveri
Systemnedbrud
Data tab
Økonomisk tab

IT-sikkerhed er for mange privat brugere stadigvæk et kompliceret område, som byder på rigtig mange udfordringer.
Mange ser det som en uoverskuelig opgave, som de helst vil være foruden.
På arbejdet bliver der taget hånd omkring sikkerheden, men derhjemme, skal man selv bruge tiden på det og tage stilling til en lang række ting.
Hvis man ikke har famile, venner eller kollegaer der kan hjælpe en med spørgsmål eller opsætning, ja så kan det godt være svært.
Jeg vil i denne blog-post prøve at beskrive/formulere en sikkerhedsstrategi, som jeg håber de fleste kan forstå og vil være med på.
Inden vi går i gang, er det vigtigt først at slappe helt af og prøve at se tingene fra en lidt anden vinkel.

Mange nyhedsmedier, IT-forums og blogs elsker sensations-overskrifer, som:

Ny virus kan lænse din konto.
120 millioner Facebook-brugere trues af virus.
Ny virus kræver løsepenge for dine data.
100.000 pc’er er inficeret med virus.
50.000 hjemmesider er hacket.

Disse sensations/skræmme/katastorfe overskrifter giver hele historien et ekstra pift og er således med til at gøre den meget mere interessant.
Samtidig er der en økonomisk interesse for alle producenter af sikkerhedssoftware i at piske en stemning op omkring faren ved af færdes på internettet.
Læg også mærke til hvor få, af alle disse medier/artikler/nyheder, der formidler en god forebyggelsesstrategi mod alle disse farer/trusler til den interesseret læser.
Med det i mente, så lad os prøve at kigge på de angrebsmetoder/faldgrupper en privat bruger kan blive udsat for, når han/hun færdes på nettet.

Jeg vælger her at opdele angrebsmetoderne i 2 hovedgrupper, med tilhørende underpunkter.
I den forbindelse vil jeg bruge ordet malware flere gange. Malware er betegnelsen for alt ondsindet kode. For mere info, se nedenstående link.
http://da.wikipedia.org/wiki/Malware

Social engineering (manipulation med brugeren):

Sociale netværkstjenester, som LinkedIn ,Facebook, Myspace og Twitter, hvori man modtager links til ondsindet websider eller malware.
Phishing (Identitetstyveri) er også et oplagt mål for disse tjenester.

Messenger/Spam mails, som udgiver sig for at være en troværdig afsender. Det kan være en bank, netbutikker, afsendere med fantastiske tilbud som gavekort, mfl.
Fælles for denne angrebsmetode (Identitetstyveri), er at de prøver at lokke brugeren til at videregive personlige oplysninger, som kontonumre, cpr-numre eller pin-koder,
enten via mail eller en falsk hjemmeside.

Malware inficeret codec. Brugeren lokkes her til at installere et nødvendigt codec for at se/afvikle en video eller et online spil.

Malware inficeret software. Det findes mange steder på diverse crack/piratsider/torrent.
Her fristes brugeren til at installere det ønskede program med tilhørende crack nøgle.

Falsk Sikkerhedssoftware. Falske Antivirus produkter med en troværdig hjemmeside og betegnelse, som Anti-Cleaner 2010 eller Anti-Remover 2010 mfl.

Find selv på flere undergrupper. Det vigtige er, at man begynder at få en forståelse for disse angrebsmetoder og forholder sig til dem.

Remote Code execution (onsindet kode der afvikles via et program, som ens Browser, PDF Reader, Mediaplayer, Office Pakken, Java mfl):

Drive-by download – browser angreb (exploit). Man bliver via en hacket hjemmeside videresendt til malware.
Dette sker typisk via et ondsindet javascript som afvikles i browseren (IE, Firefox mfl).

Inficeret PDF filer. PDF Reader angreb (exploit). Man bliver via en hacket hjemmeside videresendt til malware der udnytter sårbarheder i PDF Readeren (typisk Adobe).
En ondsindet PDF-fil bliver indlæst i browersen. Koden I PDF-filen downloader og installerer malware via PDF Readeren.

Inficeret medie filer. Det kan være ondsindet kode i feks MP3/ASF-filer der udnytter sårbarheder i Windows Mediaplayer og via denne forsøger at downloade og installere malware.

Inficeret office dokumenter.  Det kan være ondsindet kode i office dokumenter der udnytter sårbarheder i Office pakken eller Vieweren.

Find selv på flere undergrupper. Det vigtige er, at man begynder at få en forståelse for disse angrebsmetoder og forholder sig til dem.

Ok, vi har nu defineret en række typiske angrebsmetoder til de 2 hovedgrupper.
Vi har nu en basal forståelse hvad vi er oppe imod og vi kan udfra det, prøve at designe og planlægge vores sikkehedsstrategi/politik.
Som udgangspunkt skal denne strategi være så simpel/nem og effektiv som overhovedet muligt.
Ordet simpel dækker her over, at vi skal kunne forstå de enkelte punkter i vores strategi.
Vi ønsker feks ikke, at skulle bruge meget tid på kompliceret sikkerhedspakker/firewall’s og alle deres funktioner.
Ordet effektiv betyder i denne sammenhæng, at vores strategi skal baserer sig på forebyggelse frem for helbredelse.
Vores mål er således at fjerne success kriterierne for at at malware kan eksistere. Vores strategi begynder nu at tage form.
Vi skal herefter beslutte hvilke punkter/værn der skal indgå i vores forsvarsstrategi.

Punkt 1. Windows firewall:
Brug den indbyggede firewall i Windows. Den beskytter computeren effektivt,ved at at blokkere for alle indgående forbindelser.
Den beskytter mod diverse internet orme og potentielle script kiddies/hackere.
Windows firewallen er standard aktiveret i Windows XP SP2 og fremefter.

Punkt 2. Windows og Program opdateringer:
Malware udnytter de sårbarheder/fejl (exploit) der findes i Windows og programmer generelt.
Derfor er sikkerhedsopdateringer meget vigtige at installere, idet de retter op på disse programfejl.
Det nemmeste er her, at lade Windows Update hente dem ned automatisk på et fast tidpunkt.
Det samme gælder for andre applikationer som Adobe, Flash,Java

Punkt 3. Antivirus:
Som udgangspunkt skal man installerer et antivirus program.
Det kan være med til at forhindre, at man installere malware via et program man havde fuld tillid til.
Jeg anbefaler her, at man vælger et AV program der bruger et minimum af system-ressourcer, samt er let at forstå og anvende.
Det kunne feks være følgende produkter, som alle er gratis/freeware.
Microsoft Security Essentials
Avira AntiVir
avast

Punkt 4. Data backup:
Dette punkt bliver tit overset og kommer først i fokus, når skaden er sket, i form af nedbrud eller datatab.
Data backup er en løbende process, som optimalt skal kører hele tiden.
For at denne blog-post ikke skal blive alt for lang har jeg lavet et et separat skriv omkring online data backup, via nedenstående link.

Microsoft Skydrive. Man kan her hente sine data fra andre computere. Der findes også en række danske udbydere der tilbyder online backup (bzcure.dk – saveme.dk).
Spørg her famile, venner, forums, hvad de har gode erfaringer med.
Data Backup 

Ovenstående punkter udgør således grundstammen i vores sikkerhedsstrategi og vil sjældent kræve justeringer når det først er konfigureret.
Vi opfylder således kriteriet til, at det skal være en simpel/nem sikkerhedsstrategi. Vi forstår ovenstående punkter og kender betydningen af dem.

Punkt 5. Forhindre Social engineering:
Lad os nu kigge på hvordan vi forhindre at bliver ofre for “Social Engineering”. Udgangspunktet er her, at bruge sin sunde fornuft, når man færdes på nettet.
Hvis vi skal præcisere det yderligere, kan det være følgende regler/råd.

Download kun programmer fra steder du har tillid til (Microsoft, Adobe, Sun Java mfl.). Søg evt først på google, før du downloader og installere et program.
Sig altid nej til at installere plugins/programmer du ikke selv har bedt om, når du surfer på nettet.
Fravælg altid at installere reklame programmer adware/plugins/toolbars.
Undgå programmer fra Fildelingstjenester og P2P netværk.
Afvis at videregive dine personlige oplysninger via mail eller web, som du ikke selv har bedt om (Phishing).
Klik aldrig på links eller vedhæftede filer i email’s du ikke har tiltro til (Spam). Slet dem uden tøven.

Som eksempel til om man kan stole på et program eller et website, så lad os kigge på nedenstående side.
Den ser jo meget troværdig ud og “Windows Enterprise Defender” lyder også godt.

 
Men hvad får man at vide, hvis vi laver en google søgning på samme navn.
Som man kan se er der masse link til hvordan man fjerner den. Dette burde få alle advarelses lamper til at lyse, selv hos de mest uopmærksome brugere.
Der er selvfølgelig tale om et falsk sikkerhedsprogram, som prøver at lokke brugeren til at downloade og installere det.
Man bliver herefter via en række skræmme-popups lokket til at købe det.

En anden metode kan være at benytte såkaldte site advisors.
Hvis man er i tvil om en hjemmeside er falsk eller indeholder malware kan man her indtaste linket.
http://www.siteadvisor.com/sites/
http://safeweb.norton.com/

Punkt 6. Forhindre Remote Code execution:
Denne angrebsmetode kan ramme alle. Selv hjemmesider man stoler på, kan før eller siden blive hacket eller kompromitteret.
Som sagt tidligere, sker angrebet typisk ved at man klikker på et link i en mail eller går ind på en hjemmeside, hvorefter man bliver videresendt til malware.
Remote Code execution udnytter fejl eller sårbarheder i de programmer man har installeret på sin computer, som typisk vil være en browser eller en PDF reader.
Fælles for denne angrebsmetode er, at den altid prøver at downloade og afvikle en eksekverbar fil på den lokale computer.
Når filen bliver eksekveret vil den typisk åbne en bagdør for andet malware, som virus, rootkits, orme, keyloggere mfl.
Disse eksekverbare filer vil ofte gå under betegnelsen trojaner. Navnet og signaturerne på filerne er ikke ens og skifter konstant (feks mp3codec.exe eller antivirus.exe).
Nogle af disse angreb kan udføres uden at det kræver bruger-input eller godkendelse fra brugeren.
Dette gælder for ikke opdateret systemer eller applikationer. Derudover er der de berømte zero-day exploit, hvor der endnu ikke er lavet en fejlrettelse.
Her har Internet Explorer og Adobe Reader/Flash været hårdt ramt igennem tiderne.
Som eksempel på zero-day exploit i nyere tid kan nævnes

Trojan.Hydraq – Aurora – En såbarhed i IE hvor en eksekverbar fil afvikles uden bruger-input.
http://www.microsoft.com/technet/security/advisory/979352.mspx

Adobe Reader og Adobe Acrobat. En såbarhed i Adobe hvor en eksekverbar fil afvikles uden bruger-input
http://www.adobe.com/support/security/bulletins/apsb09-15.html

Ovenstående lyder meget skræmmende og kompliceret. Men igen, lad os prøve at slappe helt af og se om vi ikke kan prøve at gennemskue det.
Der er intet malware (trojan, rootkit mfl.) der på magisk vis kan komme ind på vores computere via det store internet (vores firewall er jo aktiveret).
Hvis malware skal komme ind på vores system, kræver det forinden, at en eksekverbar fil bliver kørt/afviklet.
Vi er således nået til det punkt i vores sikkerhedsstrategi, hvor vi skal finde en simpel og effektiv metode til at forhindre dette.
Med andre ord, ønsker vi en form for applikationskontrol/whitelist, der ikke tillader nogle eksekverbare filer at blive kørt, uden at vi har godkendt dem.
Til det formål har jeg fundet en applikation som hedder Anti-Executable fra  Faronics. Den er også supportet på Windows 7.
Programmet er desværre ikke gratis, men det er utroligt nemt at installere og benytte.
For at denne blog-post ikke skal blive alt for lang og uoverskuelig, har jeg lagt selve installationsguiden ud i en separat blog-post.
Se nedenstående link for denne guide.
http://jravn.dk/?p=272

Anti-Executable whitelister automatisk alle eksisterende applikationer som kører på vores computer. Herefter blokerer den for alle nye eksekverbare filer, som vi ikke har godkendt.
Denne simple teknik vil således forhinde alt “Remote Code execution”, som bliver forsøgt eksekveret via web, mail, USB, DVD.
Lad os se på nogle af de typiske malware trusler vi kender i dag og teste dem med Anti-Executable.

Falsk Antivirus.
Brugeren bliver her videresendt til hjemmeside som indeholder ondsindet kode.
En række skræmme-billeder dukker op og fortæller os, at vores computer er i fare.

Brugeren kan her let blive forvirret og klikke på knappen “Repair All”.
Men med Anti-Executable bliver dette angreb let afvist, netop fordi den eksekverbare fil ikke er godkendt.

Zeus Trojan.
Brugen bliver videresendt til en trojan og kan komme til at køre den. Igen bliver den afvist.

RootKit.TDDS.
Anti-Executable blokerer den eksekverbare fil.

Prøv også at se nedenstående billede, hvor få Antivirus programmer der kender denne fil (usr32.exe). Scannet hos jotti og virustotal.

Vi har nu udformet og testet en simpel og effektiv sikkerhedsstrategi, som holder vores system fri for malware.
Den baserer sig på forebyggelse, hvor en opsummeret konklusionen er som følger:

Udlever ikke personlige oplysninger via mail eller web, som du ikke selv har bedt om (Identitetstyveri/Phishing).
Sig altid nej til at installere plugins/programmer du ikke selv har bedt om, når du surfer på nettet
Lad være med at downloade og installerer software og filer fra høj risiko hjemmesider som crak/pirat/fildelingstjenester, hvor du ikke kender eller stoler på ophavsmanden.
Benyt applikation kontrol/whitelist teknologi, som sikre dig mod drive-by, PDF og zero-day exploit/angreb.

Malware er ikke noget problem og kan let undgås, hvis du ønsker det.

Vælg “Next”.

Vælg “Accept og klik på knappen “Next”

Indtast de ønskede informationer og indtast licensnøgle eler vælg “Evaluation. Klik på knappen “Next”.

Klik “Next”.

Indtast administrator password, som skal benyttes hver gang man godkender nye applikationer. Klik “Next”.

Enable automatisk whitelist af alle programmer der kører på computeren. Klik “Install”.

Whitelisten over godkendte programmer og eksekverbare filer bliver oprettet.

Klik “Finish”

Afslut installationen med at genstarte computeren. Klik “Yes”.

Efter genstart, er computeren nu beskyttet mod at der afvikles eksekverbare filer, som ikke er godkendt.
For at komme ind i menuen og se de enkelte konfigurations muligheder, skal man holde SHIFT tasten nede, mens man dobbertkliker på “Anti-Executable”
ikonet, nede ved system-uret.

Man bliver promptet for administrator passwordet, som vi angav tidligere under intstallationen.

Man kommer her ind til selve menuen, hvor der som udgangspunkt ikke skal laves nogle konfigurationsændringer.

Nedenstående billede viser her den automatisk genereret whitelist, af de programmer der var installeret på computeren.

Når man installerer nye programmer og kører dem vil man bliver promtet for at whiteliste. Man kan her tilføje dem til whitelisten.
Man bliver herefter promptet for admin password, idet programmet ikke er godkendt endnu.

En anden måde at gøre det på, er at disable Anti-Executable midlertidigt mens man installere programmet og aktivere beskyttelsen igen, når det er færdig installeret.
Dette gøres ved at højre mustast på Anti-Executable ikonet. Igen blive man bedt om admin password for at godkende handlingen.

Anti-Executable går på tværs af de profiler der er oprettet på computeren. Det betyder, at man også er beskyttet hvis ens mindreårige famile medlemmer benytter computeren.
De vil ikke være i stand til at installere eller eksekverer nye programmer/filer, idet de ikke kender admin passwordet.

 
Man modtager herefter en bekræftelses e-mail fra Microsoft kundesupport.
Når jeg er logget ind på Skydrive, ser det ud, som vist på nedenstående billede.
Det er vigtigt at skelne mellem, hvilke foldere der er private og hvilke du ønske at dele med andre.

Opret nu en folder som du kalder Backup og og som er privat.

Jeg har nu mulighed for at overfører filer fra min egen computer op til Backup folderen på Skydrive.

 
Man kan også installere RichUpload (overførelsesværktøjet) eller Skydrive Explorer, så man får mulighed for drag and drop af sine filer.

Ovenstående er for mig ikke optimal, idet det er en manuel og tidskrævende process.
Jeg ønsker en automatisk online backup/synkronisering af de folder/filer jeg opretter/ændre på min lokale pc’er.
Med programmet Gladinet vil man kunne automatisere selve online-backuppen (Skydrive) udfra valgte foldere og filer.
Programmet findes i en gratis (Starter) og betalingsversion (Professional).
Nedenstående guide omhandler installation og setup af professional udgaven, idet det gør det muligt at lave en automatisk online-backup.
Sammenligning af de 2 versioner kan ses via nedenstående link.
http://www.gladinet.com/compare_editions.htm

Man kan få samme funktionalitet med Gladinet starter versionen, men så kræver det at man også installerer og opsætter programmet SyncBack.
For den almindelige hjemmebruger kan det gå hen og blive lidt for teknisk.
Så jeg anbefaler derfor at man benytter Gladinet Professional, som p.t koster $39.99. Denne licens giver også adgang til den kommende version 2.0.
Det er en billig, nem og effektiv måde at beskytte sine data på.
Fremgangsmåden er som følger. Download og installer Gladinet Professional.
http://www.gladinet.com/p/download_professional.htm
http://www.gladinet.com/store/p/BuyNow.aspx

Start Gladinet exe-filen – Next – Next. Vælg som vist på nedenstående billede – Next – Next – Next.

Vælg at åbne og “Gladinet Cloud Desktop” og Klik på knappen Close.

Angiv den tilsendte licenskode.

Fravælg at connecte til “Gladinet Cloud Gateway Server”.

Som online backup storage, vælg her ” Windows Live Skydrive”. Afslut med at klikke på knappen “udfør”.

Jeg får således et nyt drev (Z) på min computer. Klik herefter på “Windows Live Skydrive” folderen.

Herefter bliver jeg bedt om at indtaste brugernavn og password for min føroprettede Live ID account. Næste – Udfør

Svar “Yes” til nedenstående skærmbillede.

Jeg får herefter tilknyttet mine Skydrive web-folder under drevet Z.

Der startes herefter en såkaldt “Backup Guide”. Vælg her “Backup My Folders” og klik på knappen “Yes Create Backup Rask Now”.

Vælg her de ønskede folder du ønsker der skal laves en backup af.
Som udgangspunkt skal du vælge de foldere der ligger i din profil. (vist på billedet).

Vælg nu den folder på Skydrive du ønsker at placere dine backup filer i. Jeg vælger her den backup folder jeg oprettede tidligere.
Klik knappen Næste – Udfør.

Backuppen går herefter automatisk i gang.

Hvis man bagefter ønsker at tilføje flere foldere til backuppen fra sin lokal PC, skal man gøre følgende.
Klik på Gladinet ikonet nede ved system uret. Vælg “Backup My Files Online” – “Open Backup Manager”

Marker “Backup Tasks” og vælg menuen “More Actions” og “Add Source Folder”.

Jeg kan nu vælge/tilføje de ekstra foldere jeg ønsker at tage backup af.

Med Skydrive har man som sagt 25 GB til rådighed. Hvis man når at fylde dem op, har man mulighed for at få 25 GB ekstra.
Det kræver bare at du opretter en ny Live ID samt registrere en ny Skydrive service på denne. Og bingo, så har man fået 25 GB ekstra online diskplads helt gratis.
Gladinet understøtter flere Skydrive accounts. For at tilføje en ekstra Skydrive account/service, skal man gøre følgende.
Klik på Gladinet ikonet og vælg “Mount Cloud Storage”.

Vælg “Windows Live Skydrive”, som “Provider”. Angiv et navn til den nye online diskplads.

Angiv dit nye Live ID, samt password.

Vælg Udfør og få tilføjet den nye Skydrive folder/services.

Jeg kan herefter se min nye Skydrive online diskplads under drevet Z. jeg har nu 50 GB ialt.

Nedenstående billede viser, at jeg via Gladinet kan vælge at lave online-backup til min nye Skydrive diskplads/storage.
Jeg havde forinden oprettet en ny folder, som jeg også kaldte backup.

Malware infektion
Korrupt fil-system eller boot loader
Defekt driver eller system konfiguration
Glemt password

Den baserer sig på WinPE 3.0 (Windows 7) og udmærker sig bla ved at den har en nem og overskuelig GUI, samt en lang række nyttige tools.
For at komme igang, skal vi downloade og installere følgende software. Jeg har testet det på en Windows 7 x86 pc’er.

Windows Automated Installation Kit (WAIK) for Windows 7
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=696dd665-9f76-4177-a811-39c26d3b3b34

WinBuilder – seneste version
http://winbuilder.net/download.php?list.3

Installer WAIK (ændre ikke installation sti) og vælg close ved afslutning.

Opret herefter en folder på C-drevet, som kaldes WinBuilder.
Udpak den downloadede WinBuilder zip-fil og kopier WinBuilder.exe til C:\WinBuilder
Fra folderen C:\WinBuilder, højre musetast på WinBuilder.exe og vælg “Kør som Administrator”. Nedenstående billede fremkommer.
Vælg her “rescue.w07.net/Projects” og klik på knappen download.

Efter endt download process, fremkommer nedenståene billede.

Gå til “Configuration” og ændre “Screen resolution” til 1024×768, klik herefter på knappen “Save”.

Opret nu en ny folder på C-drevet som feks kaldes da_w7_x86.
Fremskaf et Windows 7 installations medie (DVD) eller en ISO-fil og kopier hele indholdet af denne til mappen C:\da_w7_x86.
Det er her vigtigt at benytte Windows 7 x86, som source kilde, idet WinBuilder ikke understøtter x64.
Man kan godt kompilere ISO filen på en Windows 7 x64, men source filerne skal være 32-bit.
Klik på knappen “Source” og angiv sti til Windows 7 installations-filer. Lad target og ISO directory være uændret (default).

Gå til “Build” og vælg “PreConfig”. Klik på knappen “Get Info”. Klik på knappen “Play”.

Oprettelse af ISO filen Win7RescuePE.iso går i gang. Selve processen tager ca 30 min. Ved afslutning ligger den sig i folderen C:\WinBuilder\ISO.
Vi har nu mulighed for at brænde den på en CD/DVD. Afslut WinBuilder.exe

Oprettelse af en Bootable USB device, sker på følgende måde. Start WinBuilder.exe igen med “Kør som adminstrator”.
Indsæt en USB device i desktop/laptop. I Denne test var min USB device på en 1 GB.
Gå til “Finalice” og marker “Copy to USB-Device”. Vælg USB device og klik på den grønne knap “Play”.

Klik OK.

Angiv evt en label. Vælg “Quick Format”. Klik på knappen “Start”.

Vælg “Ja/Yes”. Klik OK.

Vælg USB device. Vælg “Dont search floppy”. Klik på knappen “Install”.

Oprettelse af bootable USB device går i gang og nedenstående skærmbilleder fremkommer.

Vi er nu klar til at boote op på en CD/DVD/USB. Boot menuen ser ud som vist på nedenstående billede.
Default vælger den selv Win7RescuePE og jeg syntes den booter lynhurtigt op til GUI desktoppen.

På nedenstående billede ser vi default desktop/grænseflade.

Ved at klikke på “PENetwork” kan jeg initiallisere mit netkort og få en DHCP addresse.
Jeg kan opdatere og scanne med Antivir og jeg kan via Computer/Explorer redde filer ud til en ekstern USB disk eller et network share.
Jeg kan via NTPWedit resette password.
Jeg kan lave en repair/systemgenoprettelse mfl.

Jeg har testet på virtuelle og fysiske maskiner hvor det spiller max.
En ting der er trist, er at GRUB4DOS boot-loader ikke virker på Hyper-V guest maskiner. Det betyder at når jeg mounter ISO filen fejler den under boot.
På VMware, XenServer og Virtual PC 2007 kører det uden problemer. ovenstående skærm-billeder er fra en guest der bliver bootet op i VPC 2007.
Jeg syntes WinBuilder er en af de bedste og nemeste måder i dag, at lave en rescure/recovery CD/DVD/USB.
Samtidig har den de nødvendige tools, som kan redde dagen, hvis det skulle gå galt. Tjek den ud.

WinBuilder forum (Win7PE):
http://www.boot-land.net/forums/index.php?s=d87b541fee5cdb889124a41bbed38c2f&showforum=91