Mål: Förhindra lateral spridning mellan system via administrativa ”shares”
Vissa Ransomware varianter försöker identifiera administrativa och dolda ”shares” (share = katalog delad på nätverket), för att utnyttja dessa till att sprida sig till fler datorer.
Ett steg i att isolera virus som tagit sig in är genom att snabbt inaktivera dessa shares, vilket kan göras genom modifiering av ”registret” (Registret = databas med inställningar, finns i alla windows datorer)(OBS! Det är viktigt att ta backup innan ändringar av registret utförs.) Alternativt kan man inaktivera tjänster från att starta. Och för att utföra dessa ändringar på många datorer samtidigt kan man nyttja Group Policies.
Vanliga administrativa shares,
- ADMIN$
- C$ (varje hårddiskpartition har en share bestående av enhetsbokstav, $ symbolen indikerar att den är dold)
- D$
- IPC$
Anmärkning: Inaktivering av administrativa och dolda shares på servrar och speciellt ”Domain Controller Server” (PDC och BDC) kan påverka dess funktionalitet i en Windows domän.
Dessutom, om PsExec nyttjas in i miljön kan inaktivering av ADMIN$ begränsa funktionaliteten för detta verktyg i möjligheten att interagera med arbetsstationerna på distans.
Nu är ni förmodligen ganska många som tänker att detta är inte rimligt. Dels för att administrationen av datorerna blir ohållbar osv… Jag kommer komma tillbaka till alternativa sätt att angripa detta på, så håll ut.
Alternativa metoder
Register metoden:
Ändra följande värden i registret för att inaktivera administrativa shares.
Workstations:
HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\
DWORD Name = ”AutoShareWks”
Value = ”0”
Servers:
HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\
DWORD Name = ”AutoShareServer”
Value = ”0”
Service metoden:
Genom att stoppa ”Server” tjänsten på en windows dator, möjligheten att nå shares på datorn förhindras genom detta.
Group Policy metoden:
Genom att använda ”MSS (Legacy)” Group Policy mallen kan administrativa shares inaktiveras på arbetstationer och servrar via en GPO i ett domännätverk.
- Computer Configuration > Policies > Administrative Templates > MSS (Legacy) > MSS (AutoShareServer)
- Computer Configuration > Policies > Administrative Templates > MSS (Legacy) > MSS (AutoShareWks)
Behöriga användare?
Eftersom dessa dolda delade ytor nyttjas för administration av datorerna behövs en annan metod för att skydda datorerna från angrepp av obehöriga. Apropå obehöriga, vem är det? Jag skulle vilja påstå, alla som inte har till uppgift att sköta nätverk och datorer, dvs alla vanliga användare som normalt bara nyttjar sin dator för att skicka e-post skapa dokument eller arbeta i andra system som tex. ekonomisystem. Dessa personer har andra roller och saknar oftast kunskap om hur datorer fungerar och än mindre hur man felsöker och lagar dem. Med för hög behörighet går det väldigt fort att förstöra en eller flera datorer utan att för den del vara medveten om det. Därför skall inte vanliga användare aldrig tilldelas mer behörighet än de behöver för att kunna utföra sin arbetsuppgift. Miljöer där användarna har fulla administratörs-rättigheter är som en tickande bomb, där en härdsmälta bara är ett musklick bort.
Alternativa metoder?
Hur gör man då för att kunna verka effektivt i arbetet med nätverk och datorer?
Här finns lika många svar som det finns lösningar på marknaden och säkert några till.
Enklaste varianten är att särskilja konton med förhöjd behörighet så att dessa inte nyttjas till annat. Detta kräver förstås att lösenord på dessa konton även byts regelbundet (om inte ett förstärkt autentisering finns implementerat) med tex engångskoder, biometrisk eller annan teknik. Vi lämnar det nu, innan vi spårar ur från ämnet, det får bli en separat artikel.
Dynamiskt skapad temporär användare
Detta är inbyggd teknik som vanligtvis används på Windows Terminal Servrar där fjärranvändare när de logga in skapas ett lokalt konto för livstiden av deras besök på servern. Dessa konton kan förstås även skapas i andra sammanhang. I administrationsverktyget ZENworks från Micro Focus är det möjligt att för ett enskilt jobb / åtgärd låta uppgiften exekveras under ett användarkonto som skapas enkom för detta ändamål och sedan tas bort från systemet.
Avancerade lösenord med kort livslängd
En annan möjlighet är att den lokala administratörens lösenord bara gäller i 24h och därefter automatiskt byts till något helt nytt som ingen person känner till. Nu kan man fråga sig hur detta kan vara möjligt att använda? Jo, lösenordet finns lagrat centralt i ett system dit förstås bara vissa har åtkomst, och där all aktivitet loggas. Dvs. vem hämtade ut vilket lösenord och med kommentar om varför. En fördel med denna metod är att inte ens Domain Admins har behörighet lokalt på arbetsstationerna, vilket minimerar risken för angrepp om någon kommer över ett systemkonto med hög behörighet.