Unter Windows 10 werden bei uns Gruppenrichtlinien beim Computerstart nicht zuverlässig angewendet. Am einfachsten sieht man das daran, dass nicht alle Netzlaufwerke verbunden werden.
Gruppenrichtlinien beim Computerstart
1 Antwort
Archiv der Kategorie: Sicherheit
E-Mail Alarm bei Erkennung von Malware
Ich habe mir angewöhnt jeden Monat einmal zu überprüfen, ob das Erkennen von Malware funktioniert. Diesen Monat auch für die erst wenigen mit SCCM 2012 R2 verwalteten Windows 10 Clients. Zum Überprüfen kann man einfach eine Eicar-Testdatei erstellen, indem man die folgenden Zeichen in eine ausführbare Datei kopiert:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Nach einem Test wird in SCCM eine Warnung generiert.
Schneller reagieren kann man aber, wenn zudem noch eine Meldung per Mail verschickt wird, sobald Malware erkannt wurde.
Damit man zusätzlich zu den Warnungen auch noch eine Mail erhält, muss man bei “Überwachung” -> “Warnungen” -> “Abonnements” ein “Abonnement erstellen”.
Danach funktioniert auch der Alarm per Mail.
Windows Defender ersetzt Endpoint Protection
Microsoft bietet einen eigenen Virenschutz an, den man mit SCCM (System Center Configuration Manager) verwalten kann. Da aber SCCM auch viele Vorteile bei der Verteilung von Software und Betriebssystemimages bietet, ist das für eine grössere Schule mit Schweizer Schulkonditionen eine empfehlenswerte Kombination, vor allem, weil die Kombination aus SCCM und Virenschutz günstiger als die meisten anderen Antivirenlösungen ist.
Wie man Endpoint Protection zusammen mit SCCM konfiguriert wird im Technet oder in dieser Schritt für Schritt Anleitung beschrieben. Bei der Installation von Windows 10 wird der Defender als Virenschutz installiert. Dieser wird aber bei der Installation des SCCM Clients mit aktiviertem “Endpoint Protection-Punkt” nicht wie erwartet mit Endpoint Protection ersetzt.
Neu bleibt Windows Defender installiert. Dieser erhält aber trotzdem über SCCM Updates und Richtlinien (Policies).
Wichtig ist also, dass man bei der Konfiguration des Softwareupdatepunkts auch an diesen Umstand denkt. Unter “Klassifizierungen” sollte also “Definitionsupdates” aktiviert und bei Produkte “Windows Defender” ausgewählt sein.
Ansonsten habe ich alles analog dieser Anleitung für Endpoint Protection konfiguriert.
Dass die Richtlinien greifen, kann man überprüfen, indem man bei “Hilfe” –> “Info” auswählt.
Wenn man auf Einstellungen geht, stellt man auch fest, dass beispielsweise der Echtzeitschutz ausgegraut ist und nicht mehr vom Benutzer deaktiviert werden kann.
Phishing Mail Test
McAfee bietet unter https://phishingquiz.mcafee.com/ einen Test mit 10 Mails, bei denen man entscheiden muss, ob es sich um ein Phishing Mail handelt oder nicht. Aus der Statistik kann man entnehmen, dass da sehr viele Mails falsch beurteilt werden.
Neben aktuellen Systemen (Betriebssystem, PlugIns, Virenschutz,…) und Schutz beim Übergang vom resp. ins Internet (Firewall, Content Filter, Intrusion Prevention, ausführbare Anhänge bei Mails blockieren, …) sollte man also auch immer mal wieder die Benutzer sensibilisieren.
Leider ist der Test auf Englisch. Zum einen können nicht alle Lehrkräfte Englisch und zum anderen eignet er sich darum auch nur bedingt, um das Thema mit den Schüler/-innen im Informatikunterricht zu besprechen. Wer seine Schüler/-innen zu diesem Thema sensibilisieren möchte, findet übrigens auch im Kapitel 13 vom Medienkompass Unterstützung.
Sophos UTM: Advanced Threat Protection
Die Sophos UTM bietet unter “Network Protection” –> “Advanced Threat Protection” eine Funktion an, mit der man das Netzwerk nach Malware überwachen kann. Dabei wird ausgenutzt, dass viele Malware eine Verbindung mit sogenannten “Command and Control” Servern aufnimmt, um Daten zu übermitteln oder neue Befehle entgegen zu nehmen. Wenn ein Computer versucht, eine Verbindung mit einem bekannten “Command and Control” Server aufzunehmen, wird die Verbindung geblockt und ein Alarm angezeigt (und per Mail verschickt).
Dies bietet neben einem lokal installierten Virenschutz auf den Clients eine weitere Barriere gegen Malware in einem Netzwerk. Genauere Informationen über den Vorfall erhält man, wenn man unter “Logging & Reporting” –> “View Log Files” –> “Advanced Threat Protection” –> “View” auswählt.
In dieser Datei wird angezeigt, welcher Client mit welchem Server Kontakt aufnehmen wollte. Dummerweise wird hier der DNS Server angezeigt.
Wenn die Malware eine Verbindung zu ihrem “Command and Control” Server über einen Domänennamen und nicht über eine fixe IP Adresse herstellen will, stellt der Computer zuerst eine DNS Anfrage an den DNS Server. Wenn dieser den Eintrag nicht selber liefern kann, stellt dieser eine weitere Anfrage an den externen DNS Server (häufig derjenige des Providers), um die entsprechende IP Adresse zu erhalten. Dies bedeutet also, dass auf der Firewall der DNS Server der erste ist, der eine Anfrage nach dem betroffenen DNS Namen resp. der IP auslöst. Dies ist meiner Meinung nach ein Fehlverhalten der UTM. Besser wäre es, wenn die DNS Abfrage zugelassen wäre (dies ist ja nur Verkehr mit dem vorgelagerten DNS Server) und erst der direkte Kontakt des Clients mit dem entsprechenden Server unterbunden würde. Dann könnte man im Logfile auch den Client identifizieren. Da ich nicht ganz sicher bin, habe ich eine Anfrage im Forum gestellt).
Da ich schon einmal so einen Vorfall hatte und wissen wollte, welches der betroffene Client ist, habe ich auf dem DNS Server Logging aktiviert. Weil das viel Last auf dem Server generiert, sollte man das nur zu Testzwecken aktivieren. Habe nun aber gesehen, dass es eine andere Möglichkeit gibt, die nicht so viel Last erzeugen sollte.
Auf jeden Fall findet man in den DNS Logs dann den Client, der die Anfrage ausgelöst hat, wenn man z.B. nach dem Domänennamen sucht (in meinem Fall cwporter).
Nun kann man diesen Client weiter überprüfen. Die beste ist wohl, den Client neu aufzusetzen, die zweitbeste, den Computer mit mehreren Virenscannern aus einer verlässlichen Umgebung zu testen und am Schluss kann man noch mit dem im Betriebssystem installierten Virenscanner einen Vollscan auslösen, was die unsicherste Methode ist.
Die Seite cwporter hat mit dem zweiten Weltkrieg zu tun.
Es ist also gut möglich, dass eine Lehrperson nur durch eine Internetrecherche auf diese Seite gekommen ist. Auch wenn auf dieser Seite ein “Command and Control” Server aktiv wäre (z.B. weil der Webserver gehackt wurde) wird der Alarm von der Sophos UTM reproduzierbar wieder ausgelöst, wenn man versucht, in einem Browser die Seite aufzurufen. Die UTM kann ja nicht entscheiden, ob eine Malware diesen Aufruf ausgelöst hat, oder ein Benutzer durch eine Internetrecherche. Es kann sich also genauso gut um eine sogenannte “false positive” Meldung handeln.
Auf jeden Fall handelt es sich bei Advanced Threat Protection um eine weitere sinnvolle Möglichkeit, sein Netzwerk gegen Malware zu schützen.
Content-Filter für SSL Seiten auf Sophos UTM einrichten
In diesem Beitrag habe ich beschrieben, dass wir neu auch https Verkehr scannen.
Um die https Filterung zu aktivieren, entfernt man unter “Web Protection” –> “Web Filtering” –> Registerkarte “HTTPS” das Häklein bei “Do not proxy HTTPS traffic in Transparent Mode” und wählt “Decrypt and scan”.
Damit wird nun der SSL Verkehr aufgebrochen und gescannt. Nun kann kann die SafeSearch Einstellungen der einzelnen Suchdienste erzwingen, indem man unter “Web Protection” –> “Web Filtering” –> Registerkarte “Policies” –> “Additional Options” die entsprechenden Häklein auswählt.
Damit wäre nun das Ziel erreicht. Eine entsprechende Bildersuche auf Google läuft nun dank SafeSearch ins Leere.
Wie in diesem Dokument beschrieben, reklamieren die Browser, dass das verwendete Zertifikat nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde.
Das Zertifikat findet sich unter “Web Protection” –> “Filtering Options” –> Registerkarte “HTTPS CAs” –> “Download”.
Das Zertifikat ohne privaten Schlüssel (.cer) kann nun über eine Gruppenrichtlinie auf alle Computer verteilt werden. Dazu importiert man das Zertifikat unter “Computerkonfiguration” –> “Richtlinien” –> “Windows-Einstellungen” –> “Sicherheitseinstellungen” –> “Richtlinien für öffentliche Schlüssel” –> “Vertrauenswürdige Stammzertifizierungsstellen”.
Danach funktioniert der Aufruf von https Seiten ohne Warnhinweis, da dem Zertifikat vertraut wird. Wenn man aber auf das Schloss in der Adresszeile klickt, sieht man, dass der Herausgeber des Zertifikats durch “Schule Altstaetten Proxy CA” ersetzt wurde.
Für die internen Computer ist also alles wie gewünscht umgesetzt. Ein Problem bleibt aber. Die privaten Geräte von Lehrpersonen und Schüler/-innen müssen das Zertifikat manuell auch installieren, wenn die Fehlermeldung nicht mehr kommen soll.
Sophos hat dafür die Domain fw-notify.net registriert, auf der aber nichts veröffentlicht ist. Die Sophos UTM besitzt aber diesen DNS Eintrag, der auf die UTM selber zeigt. Das Zertifikat ist so unter http://passthrough.fw-notify.net/cacert.pem erreichbar.
Da diese Seite nicht einfach zu merken ist, habe ich sie auf unserer Homepage verlinkt. Ausserdem habe ich den Hotspot so angepasst, dass man nach erfolgreicher Eingabe des Tagespassworts direkt auf diese Seite weitergeleitet wird.
Damit ist auch sichergestellt, dass alle, die unser WLAN benutzen, darauf hingewiesen wurden, dass SSL aufgebrochen wird.
Nachtrag
Das Zertifikat, das unter http://passthrough.fw-notify.net/cacert.pem erreichbar ist, kann unter Android nicht installiert werden. Daher muss für Android das Zertifikat anders abgespeichert werden. Dazu kann man das importierte Zertifikat unter Windows exportieren.
Das Zertifikat für Android muss man dann noch von .cer auf .crt umbenennen. So musste ich also zwei Zertifikate veröffentlichen, eines für Windows und iOS und ein anderes für Android.
Eine Anleitung für die verschiedenen Geräte findet sich hier.
Nachtrag 2
Der AppStore auf iPads funktioniert nach der Umstellung nicht mehr richtig. Ich habe unter “Filtering Options” –> “Exceptions” eine Ausnahme für “URL Filter” und “SSL scanning” für die Seiten von Apple und mzstatic (gehört zu Apple) erstellt. Danach funktioniert auch der AppStore wieder.
Content-Filter für SSL Seiten
Wir haben unseren Internetzugang von Swisscoms “Schulen ans Internet” Angebot auf einen lokalen Kabelnetzbetreiber gewechselt.
Damit sind wir auch selber zuständig für das vom Kanton verlangte “Web Content Screening”. Auch wenn einige Gründe gegen ein Aufbrechen des SSL Verkehrs sprechen (vgl. z.B. Blogbeitrag von Beat Döbeli), machen wir das nun auch.
- Da der Kanton dies vorgibt, ist der Spielraum sehr klein. Wenn Schüler/-innen z.B. bei der Bildersuche von Google z.B. nach pornografischen Begriffen suchen, kommen sie definitiv auf Bilder, die zu den unerwünschten Inhalten gehören, die gemeint sind.
- Auf den Computern in der Schule müssen nur Seiten aufgerufen werden, die einen schulischen Bezug haben. Wer den Personen, die Zugang zur Firewall haben, nicht traut, sollte private https Seiten nicht mehr in der Schule aufrufen.
- Viele Seiten sind immer noch unverschlüsselt, dort kann jeder, der unterwegs Zugang zu dem Datenverkehr hat, mitlesen.
- Die Daten liegen dem Serverbetreiber unverschlüsselt vor. Bei einer Google-Suche wertet Google alle gesuchten Daten aus und versucht ein Profil des Benutzers zu erstellen.
- Wenn bei einem Mailprovider ein Spamfilter auf dem Server aktiviert ist, muss dieser auch alle Mails durchsuchen, um sie als Spam zu klassifizieren.
Trotz all dieser Gründe ist und bleibt es ein Eingriff in die Privatsphäre der Benutzer. Daher erscheint mir sehr wichtig, dass die Benutzer auf diesen Umstand hingewiesen werden. Wir haben daher auf unserer Homepage ein Dokument veröffentlicht, das auch technisch nicht so versierten Benutzern erklären soll, was denn da genau passiert.
Nachtrag
Hier ist beschrieben, wie man das mit einer Sophos UTM umsetzen kann.
Office 365: Ausführbare Anhänge blockieren
Das ist nun schon das zweite Mal, dass uns Malware per Mail erreicht.
Auch dieses Mal befindet sich die Malware in einem Zip-Archiv. Die Absenderadresse ist gefälscht und kann aber durchaus eine sein, die man kennt. Scheinbar kommen Absender und Empfänger aus einem infizierten Adressbuch, so dass die Chance gross ist, dass der Empfänger den Absender kennt und für vertrauenswürdig hält.
Wenn man das angehängte “Report.zip” (oder ähnlich) herunterlädt, handelt es sich um eine ausführbare “exe” Datei, die aber durch ein falsches Symbol (z.B. PDF) vertrauenswürdig erscheinen möchte.
Bei beiden Malen war es so, dass der Virenscanner die Datei noch nicht als Virus oder Trojaner erkennt. Auch bei diesem Mal wird die Datei auf www.virustotal.com nur von 3 aus total 57 Scannern als Malware erkannt wird.
Erfahrungen vom letzten Mal haben gezeigt, dass die gleiche Datei am nächsten Tag von allen 57 Scannern erkannt wird. Aber in dieser Zeit kann ein Befall stattfinden. Wir setzen Endpoint Protection von Microsoft ein. Um zu erreichen, dass der Scanner noch schneller angepasst wird, kann man ein “sample” an Microsoft schicken. Dazu verpackt man die Datei in ein mit dem Passwort “infected” geschütztes Archiv.
Dieses kann man über diese Seite an Microsoft zur Überprüfung senden, damit der Virenscanner möglichst schnell angepasst wird.
Eine Möglichkeit ist es, die Anwender per Mail zu informieren. Zum einen weiss ich aber, dass meine Mails oft nicht oder nicht richtig gelesen werden 
und zum anderen haben wir auch noch Schüler/-innen, die nach einer solchen Mitteilung vielleicht erst recht die Datei ausführen.
Es gibt aber nicht viele Gründe, wieso ausführbare Dateien überhaupt per Mail geschickt werden müssten. Besser ist es also, wenn man diese schon blockiert, bevor sie beim Benutzer ankommen.
Dazu wählt man im “Exchange Admin Center” –> “Nachrichtenfluss” –> “Regeln”.
Durch einen Klick auf das Plus kann man eine neue Regel erstellen.
Nun wählt man zuerst “weitere Optionen…”
Der Regel muss man einen Namen geben und dann wählt man “Mindestens eine Anlage hat ausführbaren Inhalt” und “Die Nachricht ohne Benachrichtigung anderer Benutzer löschen”. Man könnte die Nachricht auch an den Absender zurückschicken mit einer Meldung, dass wir keine angehängten ausführbaren Dateien akzeptieren. Aber bei gefälschten Absenderadressen ist das eher kontraproduktiv (am Schluss meint man noch wir seien die Virenversender).
Gemäss diversen Internetressourcen dauert es eine gewisse Zeit, bis die neue Regel aktiviert ist. Danach sollte man die Regel unbedingt mit einem Testdokument von einer externen Adresse überprüfen.
Hier findet sich ein entsprechender Blogbeitrag auf MSDN und hier auf dem Technet. Falls es zu Problemen kommt, findet man hier einen Beitrag, der allenfalls eine Lösung bietet.
Nachtrag
Schon kurze Zeit später werden Mails mit ausführbaren Anhängen korrekt gelöscht. Es wurde sogar erkannt, dass ein umbenanntes Worddokument keine ausführbare Datei ist. Ich musste eine richtige exe nehmen um zu testen…
Kindergärten mit Sophos RED anbinden
Drei unserer Kindergärten haben einen eigenen Internetzugang und sind von dort über eine VPN Verbindung mit dem grossen Schulnetzwerk verbunden.
Neu binden wir diese nicht mehr mit einem IPSec Tunnel ein, sondern mit einer zu unserer Firewall passenden RED.
Sophos UTM – Problem mit Mailempfang wegen Poodle
Wegen einer Sicherheitslücke mit dem Namen Poodle gilt SSL in Version 3 als nicht mehr sicher. Eine anschauliche Erklärung zum grundsätzlichen Problem findet sich hier.
Mit dem Update 9.210-20 hat Sophos die Unterstützung für SSLv3 in seinem Firewallprodukt Sophos UTM deaktiviert. Dies ist grundsätzlich ein richtiger Entscheid, da SSLv3 nicht mehr sicher ist.
Nun gibt es aber noch diverse Mailserver, die mit SSLv3 verschlüsseln wollen, statt mit dem neueren TLS 1.2. So wurde uns zurückgemeldet, dass Mails mit der Fehlermeldung “4.7.0 TLS handshake failed” nicht an uns zugestellt werden konnten.
Ein Test unter https://ssl-tools.net lieferte dann das Ergebnis, dass der eingesetzte Mailserver nur SSLv3 und TLSv1.0 unterstützt.
Unsere Firewall unterstützt seit dem Update zur Behebung des Poodle Bugs aber nur noch die sicherste Version TLSv1.2
Die betroffenen IP’s kann man im SMTP Protokoll finden. Vielen Dank für diesen Blogbeitrag, der mir weitergeholfen hat.
In der Version 9.303 sollte das Problem behoben sein (ich gehe davon aus, dass dann zumindest TLSv1.0 und TLSv1.1 auch unterstützt werden, aber nicht SSLv3). Leider kann ich nicht auf Version 9.303 updaten, da es noch keinen Updatepfad für die Version 9.210 gibt. Dieser sollte diese Woche verfügbar sein.
In der Zwischenzeit habe ich für die betroffenen Mailserver (bisher zwei) eine Ausnahme generiert, damit sie wenigstens unverschlüsselt senden können und melde deren Admins, dass sie trotzdem am besten TSLv1.2 unterstützen (und vor allem die Unterstützung von SSLv3 deaktivieren) sollten.
Um die Ausnahme einzutragen, kann man unter “Email Protection” –> “SMTP” –> Registerkarte “Advanced” bei “TLS settings” unter “Skip TLS negotiation hosts/nets” die betroffenen IP’s eintragen.
ictschule 