Archive | February 2013

EEPC 7.0 – Offline activation, как это работает

Не так давно был анонсирован выход седьмой версии McAfee Endpoint Encryption, программного решения для шифрования жестких дисков серверов и рабочих станций. Среди нововведений помимо поддержки ОС Windows 8, Mac OS X 10.8, стандарта GPT, интеграции EEPC с технологией Intel AMT и решением ePO Deep Command, разработчиками также была заявлена возможность т.н. Offline Activation.

Offline activation позволяет инициировать шифрование жестких дисков на системах под управлением ОС семейства Windows без необходимости соединения с сервером McAfee ePolicy Orchestrator.  При этом, для pre-boot аутентификации используются локальные учетные записи пользователей, а значит данная опция позволит ИТ-специалистам обеспечить защиту систем, которые не являются членами домена Active Directory.

Данный функционал позволяет использовать EEPC 7.0 для шифрования:

  • домашних рабочих станций;
  • систем наемных сотрудников;
  • конечных точек, которые не будут управлятся ePO.

Давайте рассмотрим процесс Offline activation детально.

1. Подготовку лучше выполнять на сервере ePO, для начала выполним вход в консоль

2. Для установки расширений переходим к пункту Menu\Software\Extensions\Install Extension

ePO_ext

3. Распаковываем .zip файл с дистрибутивом EEPC7.0, переходим в каталог \EEPC ePO Extensions

eepc7_04

4. Устанавливаем по очереди, в строгой последовательности EEADMIN.zip, EEPC.zip, help_ee_700.zip

5. Для установки пакетов переходим к пункту Menu\Software\Master Repository\Check In Package

ePO_mrep

6. Из распакованного дистрибутива EEPC70 переходим в каталог \EEPC Software Packages

EEPC_pack

7. Устанавливаем по очереди MfeEEAgent.zip (из каталога Endpoint Encryption Host) и MfeEEPC.zip (из каталога Endpoint Encryption for PC). Zip архивы нам еще пригодятся, не следует их удалять или перемещать

8. Для подготовки off-line пакета нам понадобится дистрибутив McAfee Agent, для его получения переходим к пункту Menu\Systems\System Tree\System Tree Actions\New Systems

Выбираем вариант “Create and download agent installation package“, если необходимо/известно заранее, можем указать учетные данные локального Администратора той системы, на которой необходимо выполнить развертывание и активации EEPC в off-line режиме:

eepc7.0_offline_01

9. Создаем отдельный временный каталог (C:\McAfee\EEPC7_offline\), в который сохраняем сформированный пакет McAfee Agent (FramePkg.exe)

eepc7.0_offline_02

10. Из архивов MfeEEAgent.zip и MfeEEPC.zip необходимо извлечь MSI пакеты – MfeEEPcXX.msi и MfeEEAgentХХ.msi соответствующей разрядности (в зависимости от типа целевой системы). Извлеченные пакеты сохраняем в указанный выше временный каталог. В примере EEPC будет развернут на 64-разрядной Windows 8.

eepc7.0_offline_04eepc7.0_offline_06

11. Из дистрибутива EEPC70 нам понадобиться EpeOaGenXml.exe, который нужно извлечь из архива \Endpoint Encryption Misc\Endpoint Encryption Admin Tools\EEAdminTools.zip и сохранить во временном каталоге

eepc7.0_offline_08

12. Кроме прочего, необходимо экспортировать публичный ключ ePO, для чего переходим к пункту Menu\Policy\Policy Catalog, в поле Product выбираем “Endpoint Encryption 7.0.0“, а в поле Category выбираем “Product Settings

eepc7.0_offline_11

13. Экспортируем My Default как ePO_policy.xml во временный каталог

eepc7.0_offline_12

14. Таким образом, в результате выполненных действий во временном каталоге будут находится: EpeOaGenXml.exe, ePO_policy.xml, FramePkg.exe, MfeEEAgent64.msi и MfeEEPc64.msi

eepc7.0_offline_13

15. Создаем в каталоге текстовый документ UserList.txt в котором перечисляем локальных пользователей и тип используемого ими токена, в формате Username:  Password

* обратите внимание, тип токена чувствителен к регистру и может принимать значения:  Password, Gemalto, ActivID, PIV и CAC)

eepc7.0_offline_15

16. На основе созданного списка пользователей необходимо сгенерировать пакет offline активации с помощью EpeOaGenXml.exe, для чего запускаем командную строку от имени Администратора и переходим во временный каталог, дальше, с помощью ключей задаем параметры для активации шифрования в режиме offline:

EpeOaGenXml.exe –user-file UserList.txt –BackupMachineKey true –DontDisplayUser true –Sso true –RequirePwdChange true –MatchUsername true –UserSelfRec true

eepc7.0_offline_16 eepc7.0_offline_17

17. После успешного выполнения команды (если аргументы были введены правильно, без ошибок) мы получаем пакет OfflineActivation.exe, который потребуется запустить на целевой системе для инициации шифрования.

eepc7.0_offline_18

18.  Переходим на целевую систему – Windows 8, которая не является членом домена. На данную систему нужно будет переместить FramePkg.exe, MfeEEAgent64.msi, MfeEEPc64.msi, OfflineActivation.exe

eepc7.0_offline_19

19. Выполняем поочередную установку McAfee Agent (FramePkg), EEPCAgent (MfeEEAgent), EEPC (MfeEEPc). После установки последнего потребуется перезагрузка.

eepc7.0_offline_20 eepc7.0_offline_22 eepc7.0_offline_24

20. После перезагрузки проверяем свойства McAfee Agent и видим, что соединений с сервером ePO не осуществлялось:

eepc7.0_offline_25

21. От имени локального администратора запускаем OfflineActivation.exe

eepc7.0_offline_26 eepc7.0_offline_27

22. После успешной off-line активации шифрование жесткого диска активированно.

* обратите внимание – будут зашифрованы лишь те разделы, которым назначена буква

eepc7.0_offline_29 eepc7.0_offline_30

23. После завершения шифрования и перезагрузки системы будет активирована процедура pre-boot аутентификации, доступ к данным на жестком диске уже защищен от НСД

eepc7.0_offline_31

24. В процессе первого входа в систему каждому из пользователей, которые были перечислены в файле UserList.txt, понадобится использовать пароль по умолчанию [12345], который сразу же необходимо будет сменить:

eepc7.0_offline_32 eepc7.0_offline_33

25. После смены пароля, пользователю нужно выбрать три секретных вопроса и указать верные ответы на них, которые будут использоваться, в случае SelfRecovery, если пользователь забудет пароль. После указания ответов на эти вопросы процесс pre-boot аутентификации завершен, фильтр-драйвер McAfee EEPC разблокирует доступ к данным на жестком диске и далее процесс загрузки ОС пойдет своим чередом, в конце пользователь получает доступ к системе. Если при формировании OflineActivation.exe был активирован механизм SSO, при входе в систему ввод пароля не потребуется (механизм Single Sign On).

eepc7.0_offline_35 eepc7.0_offline_36 eepc7.0_offline_37 eepc7.0_offline_38

На этом процесс offline активации EEPC на целевой системе завершен. Данные зашифрованы.

Advertisements

10 типичных ошибок опытных (и не очень) ИТ-специалистов

grabli

Человеку свойственно ошибаться – данное утверждение трудно оспорить. Однако, некоторые ошибки могут иметь весьма серьезные последствия, особенно если их совершает человек, от действий которого зависит стабильная работа целой ИТ-инфраструктуры компании.

Сотрудники исследовательского департамента компании McAfee составили перечень, в который включили 10 основных ошибок, часто становящихся источниками угроз информационной безопасности или причиной простоя бизнес-процессов современных компаний.

Как отмечают исследователи, квалификация ИТ-специалистов зачастую не играет особой роли, поскольку и новичкам, и их более опытным коллегам присуще осознанное совершение перечисленных ниже ошибок. В этом легко убедится, ознакомившись со списком.

Отсутствие обновлений ОС и ПО

Любой программный код, от простейшего «Калькулятора» до современной ОС, с ее разветвленной архитектурой зависимостей, содержит ошибки, которые в ИТ терминологии именуются багами.

Те из них, которые явно влияют на результат функционирования ПО, как правило, обнаруживаются еще на этапе бета-тестирования или в первые месяцы эксплуатации.

Тем не менее, большую опасность, с точки зрения информационной безопасности, представляют ошибки, которые при нормальных условиях эксплуатации никак себя не проявляют – ошибки переполнение буфера, ошибки обработки пользовательского ввода и другие. Данный класс ошибок, будучи правильно «активированным», позволяет атакующему скомпрометировать программу и заставить ее выполнять действия, которые в той или иной степени представляют угрозу для целостности/доступности обрабатываемой информации.

Ежедневно электронные СМИ пестрят заголовками об очередных найденных уязвимостях в ПО, которое широко используется на серверах и рабочих станциях как неофитами, так и профессионалами по всему миру. Каждая уязвимость представляет собой незакрытую лазейку для злоумышленника. Найденные ошибки являются угрозой, даже если разработчик вовремя озаботился выпуском исправления. Зачастую информация об уязвимости просачивается в сеть задолго до появления исправления. Виной тому, как правило, медленная реакция компании-разработчика и энтузиазм исследователей, находящихся на темной стороне силы (т.е. злоумышленников). Любая компания, которая использует ПО  в той или иной мере представляет мишень для атакующих. Вопрос в том, насколько адекватно ИТ-специалисты компании реагируют на появление информации об уязвимостях. В корпоративных средах процесс своевременного обновления ПО может существенно затягиваться по причине разрозненности инфраструктуры.

Ситуация с уязвимостями напоминает порочный круг – не успели обновить программу 1, как узнаем об уязвимости в программе 2, и так до бесконечности. Очевидно, что некоторые ИТ-специалисты позволяют себе непростительную роскошь – махнуть рукой и не заниматься обновлением всего «зоопарка» ПО. Как правило, такие «экспериментаторы» рано или поздно становятся жертвами своей халатности.

Вывод один – обновления необходимы. Причём в данном вопросе неприемлемо разделение приоритетов между обновлениями кода ОС и ПО, так как любая незакрытая уязвимость может стать потенциальной «точкой входа» для кибер-атаки. В тех же случаях, когда обеспечить своевременное обновление не представляется возможным, на помощь может прийти программное решение, к примеру,  McAfee Aplication Control.

Если же углубляться в сторону информационной безопасности, то стоит отметить, что необходимо постоянно проводить поиск уязвимостей по всей инфраструктуре и на основе результатов оценивать риски. Для этой задачи существуют специальные решения, например McAfee Vulnerability Manager.

Неосторожность при работе в Интернете

Еще одной крупной брешью в безопасности любой компании является вредная привычка пользователей и ИТ-специалистов заниматься веб-серфингом из-под учетной записи с повышенными привилегиями. Причина очевидна: любой вредоносный скрипт, не говоря уже о загруженном файле, получает выгодный «плацдарм», т.е полный доступ к системе. Мораль проста – используйте повышение привилегий только для установки / удаления ПО или изменения настроек, но никак не для ежедневной работы. Неплохим барьером на пути вредоносных / инфицированных веб-ресурсов могут стать расширения браузеров, такие как NoScript и AdBlock.

Для более надежной защиты может быть использовано решение McAfee SiteAdvisor, бесплатную версию для домашнего (некоммерческого) использования можно загрузить по ссылке.


Использование ненадежных паролей

Несмотря на широкое распространение различных методов двух- и более факторной аутентификации (токены, биометрия), использование паролей по сей день является самым простым и потому самым распространенным методом аутентификации пользователей в системах различного уровня сложности. Все бы ничего, но человек в большинстве своем ленив, а значит, не любит придумывать и тем более запоминать стойкие сложные комбинации символов.

Доступность разнообразных готовых парольных словарей и слабые пароли играют на руку злоумышленникам, которым для получения доступа подчас достаточно просто перебрать дату рождения / телефон / имя кого-то из близких беспечной жертвы. Привычка использовать один общий пароль для множества ресурсов / систем также погубила не одного ИТ-специалиста.

Не будьте следующим. И да, не стоит записывать пароль на бумажке – тренируйте память. И уж тем более не стоит прибегать к помощи онлайн-генераторов или «гуглить» придуманный пароль.

Если же говорить о двухфакторной аутентификации, то в качестве примера, для использования в корпоративном секторе, можно рассматривать решение McAfee One Time Password.

Отсутствие резервных копий

Несмотря на то, что данная тема является притчей во языцех, отсутствие актуальных бэкапов представляет реальную угрозу непрерывности бизнеса, процессы которого тесно связанны с ИТ. Казалось бы, ничего сложного, необходимо просто определить критичность информации и выполнять резервирование любыми доступными средствами, начиная со встроенного функционала ОС и заканчивая специализированными решениями. В реальности, как правило, по закону подлости, в самый нужный момент выясняется, что бэкапов нет вообще, либо они есть, но годичной давности, либо есть, но не те.

Мораль: не пренебрегайте резервным копированием, возможно, однажды, оно поможет Вам спасти занимаемую Вами должность.


«То, что ты видишь, – это не то, что ты получаешь» (WUS is not WUG)

Любая операционная система представляет собой достаточно сложный механизм. Современные кибер-угрозы нередко используют встроенные функции ОС для сокрытия результатов своего пребывания в системе или искажения следовой картины. Банальный пример – модификация одного из ключей реестра ОС семейства Windows, отвечающего за отображение скрытых файлов в окне Проводника. Такого рода трюки появились в арсенале вирусов довольно давно. Еще один пример – вирус-вымогатель, который, маскируясь под антивирус, якобы проводит сканирование, отображает кипу «зараженных» файлов и требует с пользователя денег за проведение очистки системы. Это Modus operandi (образ действия) простых, «глупых» вирусов, которые без труда будут распознаны и обезврежены опытным ИТ-специалистом подручными средствами.

Однако на смену старым изученным штаммам приходит новое поколение угроз, таких как руткиты (rootkit), которые предпочитают внедряться в MBR, сервисы ОС, благодаря чему могут не только обманывать защитное ПО, но и ввести в уныние самого искушенного охотника на представителей вредоносной фауны.

Что же делать? Ни в коем случае не опускать руки. Для защиты серверов и конечных точек от современных угроз необходимо использовать комплексное решение. Сам по себе антивирусный модуль или брандмауэр не может обеспечить полноценную защиту. В качестве примера можно рассмотреть комплекс McAfee Endpoint Protection Suite, в который помимо антивирусного сканера и сетевого брандмауэра также входит модуль предотвращения вторжений и упомянутый выше Site Advisor.


Использование модифицированного («пиратского») ПО

Многие ИТ–специалисты используют пиратское ПО. Причины их выбора являются темой для отдельного разговора. Для нас, прежде всего, важно то, что в «пиратском» ПО очень часто умышленно размещаются вредоносные «закладки», особенно это касается тех программ и ОС, которые пользуются высокой популярностью у пользователей.

Расчет злоумышленника прост: пользователь стремится сэкономить средства, необходимые на легальное приобретение нужной программы. А поскольку любителей бесплатного сыра меньше не становиться, «вшивание» различных троянов и бэкдоров в нелицензионное ПО даже в ближайшем будущем не утратит свою актуальность. Кроме того, используя продукт в обход лицензионного соглашения, в большинстве случаев мы сталкиваемся с проблемами обновления (либо это вообще невозможно, либо неактуально).

Таким образом, правильным решением будет постепенная легализация ПО, возможно, замена некоторых программ на их open-source аналоги.


Отсутствие шифрования важных данных

Криптография и криптоанализ развились задолго до появления персональных компьютеров. Но именно широкое распространение вычислительных мощностей дало мощный толчок развитию этих наук.

Стремление человека скрыть от чужих глаз информацию могло соперничать только со стремлением эту информацию заполучить. Что уж говорить о современном мире, где информация порой является самым ценным активом большинства компаний?

Передача информации по открытым каналам, которые мы не в состоянии проконтролировать, – рискованное дело, особенно если речь идет о пересылке финансовой документации или конфиденциальных данных иного характера. Всеобщая мобилизация, как дань современным трендам, вносит свои коррективы – тысячи тысяч сотрудников используют ноутбуки, смартфоны и планшеты и Бог знает что еще для более комфортной работы. Это, если можно так выразиться, хорошая сторона медали.

Плохая же заключается в том, что ежегодно часть этих сотрудников забывают / теряют устройства, в памяти которых хранится корпоративная переписка, информация о клиентах и т. д. При не самом удачном стечении обстоятельств порой достаточно, чтобы малая толика информации попала в чужие руки, как минимум, это будет стоить компании репутации и доверия клиентов, как максимум – жизнеспособности.

Решить проблему надежной криптографической защиты данных призван программный комплекс McAfee Endpoint Encryption, который предоставляет средства для шифрования как всего жесткого диска (защита данных от НСД при утере/кражи устройства), так и отдельных файлов и каталогов (защита данных, которыми пользователи активно обмениваются).

Если говорить о смартфонах и планшетах, то для их защиты и контроля существует отдельный класс решений – Mobile Device Management (MDM). В качестве примера можно порекомендовать McAfee Enterprise Mobility Management.

 

 Отсутствие / недостаточный мониторинг сетевого трафика

Парадигма защиты периметра в области информационной безопасности давно себя исчерпала. Это справедливое очевидное утверждение. На сегодняшний день благодаря принципу BYOD и технологиям удаленного доступа (VPN) понятие «границы периметра» стерто. Однако стереотип – это такая штука, от которой весьма трудно избавиться. Кто знает почему, но многие ИТ-специалисты уделяют максимум внимания защите / мониторингу периметра.

На то, что собственно творится в локальной сети, внутри размытого «периметра», внимания, как правило, не обращают. А зря, ведь человеческий гений, направленный на попытки умыкнуть информацию, может использовать стереотип «периметра» против защитников этого самого «периметра». В качестве PoC можно привести реализацию передачи данных, которые маскируются под DNS или ICMP–запросы. Такого рода стеганография зачастую остается незамеченной различными решениями, развернутыми на периметре. И в данной ситуации ИТ-специалисты оказываются в роли часовых, которых вражеский лазутчик обезвредил, неожиданно подкравшись сзади…

Если говорить о предотвращении таких ситуаций, то стоит отметить возможность использования McAfee IPS или модуль Network DLP Monitor для полного контроля того, что и кем пересылается по сети.


Халатность в вопросах ведения документации

Четкое пошаговое документирование совершаемых действий – извечная головная боль ИТ-специалистов. Чаще всего на это предпочитают не тратить время. В лучшем случае ограничиваются поверхностным описанием процессов или устным обсуждением.

А между тем, отсутствие документации представляет реальную проблему. О документации принято вспоминать в случае увольнения ИТ-персонала или, что хуже, при проведении модернизации инфраструктуры. Процессы масштабирования и / или интеграции существующих решений могут быть поставлены под угрозу, если специалисты, которые выполняли развертывание и сопровождение, не вели документацию.

Особенно резко ощущается недостаток документации в ситуации, когда в инфраструктуре используется целый «зоопарк» различных программных и программно-аппаратных комплексов.

«Лечится» данная проблема, как правило, административными методами, вплоть до наказания «рублем».

Компания McAfee, в чьем портфеле более 70 продуктов, которые обеспечивают решение практически любых задач по защите информации, к решению проблем «зоопарков» подошла серьезно. Решения McAfee интегрируются с единой консолью ePolicy Orchestrator, что позволяет выполнять централизованное развертывание клиентских модулей, управление политиками, формирование отчетов и реагирование на инциденты. Консоль ePO является фундаментом системы защиты информации компании, над которым «наслаиваются» необходимые заказчику модули. McAfee создала своего рода конструктор, который позволяет постепенно наращивать защитные возможности. Кроме того, использование ePO значительно упрощает вопросы масштабирования.

 

Недостаток компетенции

Последняя по списку, но не по значению ошибка. Высокие технологии, будь то системное администрирование или информационная безопасность, отличаются от других сфер человеческой деятельности гигантскими объемами информации и такими же гигантскими темпами устаревания этой информации. Чтобы быть действительно хорошим специалистом, мастером своего дела, мало обладать определенным статическим массивом знаний. Нельзя стоять на месте. Необходимо постоянно развиваться, изучать новые технологии. Сегодня пересылка информации по этим каналам передачи безопасна, завтра они могут быть скомпрометированы. Сегодня использование конкретного образца ПО не представляет угрозы, а завтра в нем может быть найдена всего одна уязвимость, которой, по закону подлости, воспользуется злоумышленник.

Специалист от дилетанта отличается не количеством сертификатов или перечнем дорогих фолиантов на книжной полке, нет. Специалист отличается скоростью реакции, адаптацией к постоянно изменяющимся правилам ИТ.

Вопросы правильной подготовки специалистов выходят за рамки данной статьи, важно понять, что человеческий фактор играет решающую роль, а значит самая современная и продуманная система может быть скомпрометирована из-за ошибки оператора.

Приведенный список далеко не полон. Он отражает лишь основные, ярко выраженные проблемы сферы ИТ. Устранение данных проблем является залогом успешного функционирования как департамента ИТ / ИБ в частности, так и компании в целом.

Владислав Радецкий, инженер Группы компаний БАКОТЕК