Virus sender atter Rødovre i sort

Rødovre Kommunes it-systemer er for anden gang på seks måneder blevet smittet med virus. Kommunen vil nu beskytte sig med flere antivirus-leverandører på én gang.

Så er den gal igen. De ansatte i Rødovre Kommune er ramt af it-systemer, der ikke virker, efter at en ny variant af virussen w.32.virut i sidste uge blev opdaget, efter at den ubemærket havde sneget sig ind under virus-radaren.

Hvis det lyder bekendt, er det fordi kommunen stod i samme situation i november 2008. Dette angreb fortalte kommunens it-chef Lars Roark om i sin blog på Version2.dk, og at der nu er problemer igen, er et spørgsmål om tilfældighed.

»I de ni år, jeg har været her, er det de to eneste tilfælde af virus-angreb, jeg har oplevet. Det ligger forholdsvis tæt,« siger Lars Roark.

Angrebet i november var mere uskyldigt, men gav problemer, fordi virusskjoldets automatiske modangreb var hårdhændet og skete i weekenden. Sletning eller karantæne af de inficerede filer betød, at mange systemer ikke virkede mandag morgen.

Den nye virus, der nu jages i kommunen, var i sig selv mere ondskabsfuld og blev opdaget ved, at for eksempel fagsystemer fra KMD hos nogle brugere ikke virkede. Men med erfaringen fra november, blev antivirus-softwaren ikke bare sluppet løs.

»Da vi fik et virusskjold, der kunne fange den, besluttede vi at undgå problemerne fra sidst. Vi har derfor udviklet en kur, som i ét hug renser en pc og reinstallerer de vigtigste KMD-fagsystemer,« siger Lars Roark.

Serverne gik fri

Hårdest ramt var de særlige kommunale it-systemer fra for eksempel KMD. Almindelige kontorprogrammer og den elektroniske dokumenthåndtering gik fri.

Samtidig var det kun på klient-siden, at virussen hærgede, så kommunens servere har ikke været i fare. Og da alle data opbevares på serverne, er der ingen grund til bekymring om, at fortrolige oplysninger er faldet i forkerte hænder, fortæller it-chefen. Detektivarbejdet i forbindelse med oprydningen tyder heller ikke på, at virussen har forsøgt at snage.

»Vi har analyseret realtime og bagudrettet på al netværkstrafik. Der er helt klart ikke noget, der tyder på, at den har sendt oplysninger ud,« siger Lars Roark.

Han mener, at virussen er kommet ind, ved at en bruger har besøgt en inficeret webside. Og da denne mutation af virussen ikke blev genkendt af virusskjoldet, kunne den sprede sig uden modstand og rumstere i noget tid, før den blev opdaget.

Flere leverandører

Kommunens it-folk er nu i fuld gang med at rydde op og få systemerne på fode igen, i samarbejde med leverandørerne Symantec/Ezenta og Kaspersky/HeraIT. Dette arbejde kan vare en uges tid, og derefter vil Lars Roark se grundigt på, hvad han kan gøre for at undgå et tredje malware-angreb.

»Efter oplevelsen for et halvt år siden så vi tiden lidt an, men havde egentligt en meget god fornemmelse af, at vi var godt beskyttede. Den fornemmelse har vi ikke længere,« siger han.

En af tankerne er at få flere antivirus-leverandører ind hos kommunen, for det har efterfølgende vist sig, at konkurrerende antivirus-produkter godt kunne genkende denne mutation af virussen.

»Vi er nødt til at se på, om det er den rigtige leverandør, vi har. En anden strategi, vi overvejer, er en fler-leverandørløsning. Det vil blive dyrere, men ikke dobbelt så dyrt,« siger Lars Roark.

I dag bruger Rødovre Kommune i forvejen flere anti-virus-leverandører til scanningen af indkomne mails.

»Vi har tre niveauer af sikring på vores mailhåndtering, fordi det i lang tid var her, at langt de fleste vira kom ind. Det skal vi også have nu på internet-browsing,« siger han.

Mere åbenhed, tak

Da Lars Roark måtte slås mod malware i november, skrev han åbent om problemet på sin blog på Version2.dk. Og han har heller intet imod at fortælle vidt og bredt om denne omgang, for mere åbenhed vil være en hjælp for alle, mener han.

»Jeg ved, at alle angribes af virus. Mange får det og renser, og mange fortæller ikke om det. Men det fører ingen vegne. Jeg er ikke tilhænger af lukkethed i de her sager. Vi kunne lære af hinanden ved at være mere åbne,« siger han.

Rødovre Kommunes it-afdeling forsøger også selv at samle oplysninger ind, der kan hjælpe i kampen mod malware. Da Version2 skrev om Frederiksberg Kommunes problemer med Downadup-ormen, ringede Rødovre Kommunes it-folk til Frederiksberg og spurgte, hvordan det var foregået.

Læs Lars Roarks blog-indlæg via fanen 'eksterne links'

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (30)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Martin Kofoed

Da den her familie af virus meget, meget nemt kan mutere, er det utroligt svært for AV-industrien at lege katten efter musen. Den nævnte virus udmærker sig i øvrigt ved at kunne ligge på "lur" på en maskine indtil en bruger med domain-admin rettigheder logger på. Så rammer lorten ventilatoren. Jeg så et sted, at anbefalingen er, at man logger på med VNC eller lignende, da den ikke er bundet op på domain authentication. Hvis man logger på med mstsc (som admins ellers normalt godt kan finde på, når en bruger ringer til helpdesk, og klager over en underlig PC), siger det bang. Men optimalt set skal alle mistænkte maskiner isoleres fra netværket. Det sker bare ikke altid.

Hvis kommunen virkelig har tænkt sig at løse problemet ved at installere flere AV-tools samtidig på maskinerne, så håber jeg godt nok for dem, at de er nyere, kraftige maskiner, og at de er proppet med RAM. Ellers bliver det en kedelig sag for brugerne.

Når jeg en sjælden gang booter Windows på den samme maskine som jeg normalt kører Linux på, må jeg finde mig i et helt utroligt ressourceforbrug, som sløver maskinen ned i en grad, som får én til at længes mod reboot og load af standardinstallationen. Pyyyh!

Men Linux er slet ikke inde i overvejelserne, kan jeg forstå. Og så er det jo bare at læne sig tilbage og vente på det næste angreb.

Spændende job.

  • 0
  • 0
Jesper Lund Stocholm Blogger

Christian,

Hvordan får virusen igen adgang til at overskrive system filer og program filer ... er dette ikke lukket land for brugerne?

Fra beskrivelsen du refererer til står der, at man skal bruge stærke passwords. Derfor kunne det tyde på, at den brute-forcer konti på netværket.

  • 0
  • 0
Lars Roark

Sådan som første kommentar vil jeg lige udtale mig om overskriften.

Rødovre Kommune er efter min bedste overbevisning IKKE i nærheden af at være "i sort" i dette angreb. Jeg er sikker på at mange brugere kan fortælle om ting de ikke kan / problemer de oplever. Og mange brugere har oplevelsen af at det hele virker for dem.

Kommunen fungerer. Og jeg vil ikke undlade at nævne at jeg har en oplevelse af at brugerne i områderne er rigtig gode til at samarbejde rundt om problemerne for at levere vores "services" til omverdenen.

  • 0
  • 0
Lars Roark

Vi har ikke en forestilling om flere virus skjolde på samme pc, men at forskellige led i kæde har forskellig skjold. Som en kommentar eksemplificere med proxy, klient osv. (Og som vi allerede har i mail-flowet)

Linux på desktoppen er stadig ikke i overvejelse, af flere årsager. Dels brugevendte, dels portefølgen af fagsystemer. For begge områder skal man (som "nørd" - hvilket omfatter eksempelvis min afdelings medarbejdere) være opmærksom på at en kommune er en af de bredeste virksomheder i landet. Med vidt forskellige arbejdspladser, medarbejdergruppe og "forretningsområder". Og deraf følgende vanskeligheder ved "bare" at gøre noget.

Men vi bruger jo Linux på over halvdelen af vores servere - hvilket har mange fordele, også ud over den aktuelle situation :-)

  • 0
  • 0
Jarnis Bertelsen

Derfor kunne det tyde på, at den brute-forcer konti på netværket.

Et brute force angreb (hvad enten det kommer udefra eller indefra fra en inficeret maskine) burde være relativt nemt at opdage og derefter enten at advare brugeren om et problem eller isolere maskinen fra netværket. Er der ikke en del antivirus produkter, der kigger efter lignende symptomer, i stedet for udelukkende at bruge virus-signaturer?

  • 0
  • 0
Jon Bendtsen

Linux på desktoppen er stadig ikke i overvejelse, af flere årsager. Dels brugevendte, dels portefølgen af fagsystemer. For begge områder skal man (som "nørd" - hvilket omfatter eksempelvis min afdelings medarbejdere) være opmærksom på at en kommune er en af de bredeste virksomheder i landet. Med vidt forskellige arbejdspladser, medarbejdergruppe og "forretningsområder". Og deraf følgende vanskeligheder ved "bare" at gøre noget.

Så brug mac på desktoppen. Eller Sun Ray terminaler.

I kunne også i tide have stillet krav om at portofølgende af fagsystemer kunne køres på andre platforme end Windows.

Med hensyn til brugervendte årsager, så er "Linux" kommet rigtig langt på desktoppen. Har du prøvet nyeste KDE, gnome eller XFCE desktop?

  • 0
  • 0
Michael Nielsen

Flere led af virus scanning, vil ikke hjælpe, det er en absolut spild af tid - hvorfor..

Jo ser du, hvis det første led ikke fanger det, er det meget stor sansynlighed for at den virus der er overset, er en ny variant, hvorfor de næste 10.000 led ikke vil finde den, og virusen går lige igennem.

Den eneste måde at beskytte systemet på er at sørge for at resultatet af et angreb er begrændset, og ikke kun håbe på at stoppe det for at komme ind.

Kerne problemet ligger i at web browsere har for meget automatik, og tillader ting som feks adgang til filsystemet uden at brugeren fortælles om det, samt det er muligt at skrive koder hvor det ikke er tydligt hvad man godkender, fordi websiden kan få en skrive godkendelse til at se ud som en "forlader siden" request eller andet m.v.

Desuden ting som ActiveX, Flash, m.v. har frit adgang til systemet uden væsentligt kontrol, og er listed af mange sikkerheds firmaer som et stort hul, fordi man kan abuse authoriseringen som en komponent har, til at bryde ind (hvis jeg forstod den advisery).

Java havde den korrekte ide med deres implementation, hvor systemet køret i en "Sandbox", hvor - i teorien i det mindste - programmet kun kunne komme ud hvis brugeren explicit tillod operationen. Men reelt skal operativ systemet, eller browseren implementere denne sandbox, således at rogue plugins ikke bryder sikkerhedsmodelle.

Løsningen er at ændre browser, således at plugins aldrig kan få adgang til system resourcer, altså de køres i en reel sandbox. Hvor hvis man skal havde adgang til system resourcer, så kan brugeren vælge at godkende altid, eller folk som mig kan sige, jeg vil bekræfte hver gang, imens man får mulighed for at se hvad systemet reelt bad om at få fat i.

Men da kommunen ikke har muligheden for at få den rigtige løsninge, er det nødvendigt at de kigger på hvordan man kan begrænse effekten af at blive kompromiteret, end bare at putte flere scannere ind.

Men man kan lave andre tricks, hvor man bygger en sandbox ind i systemet.

Hvis man har fundet at email, og webben er hovede entry punkter for vira, kan man feks, benytte VirtualBox (eller andre virtualiserings produkter), til at bygge en isoleret sandbox, hvor i man kan læse post, og browse webben. denne sandbox er isoleret fra hovedet systemet, og man kan derefter specificere en meget minimal tilgang til det interne system. Ved denne teknik har man låst virusen ind i en kasse, og dermed reduceret skaden.

Fordelen ved sådan en løsning er at feks Virtual box har snapshotting, hvor man kan reveret den virtuelle maskine til baseline ganske simplet, og derved fjerne infektioner dagligt, som om man lavede en ny install.

Men det kræver en mindre adfærds ændring af brugere.

  • 0
  • 0
Jon Bendtsen

I stedet for Virtualbox kunne man bruge noget "remote desktop" som kun viser mail/browser vinduet på brugerens skærm. Der er indtil flere teknologier som kunne bruges, både frie og ufrie. Både gratis og betalings.

VNC
Nomachine NX/Free NX
X11

  • 0
  • 0
Dennis Harris

Først til Lars - det er dejligt med åbenheden omkring virusangreb - jeg er enig - jo mere åbenhed jo hurtigere kan vi reagere sammen på sådanne trusler. Og held og lykke med udrensningen.

Til jer som konstant foreslår linux og alternative OS'er som løsning på problemerne: Det er lidt trættende i længden. Vi er mange i de kommunale IT-afdelinger som er vel vidende om MS systemernes begrænsninger, og om nogle af de positive sider ved at bruge OpenSource software/OS'er, og det bliver da også brugt flere steder. Men med en software portefølje på måske flere hundrede KMD fagsystemer, samt andre tudsegamle applikationer lavet specielt til windows miljøerne, er det altså ikke en umiddelbar løsning, at antage at man kan skifte til OpenSource OS inden for en synlig fremtid. Ligeledes kan kommentaren om at man i tide skulle have stillet krav til softwareleverandørerne heller ikke, i hvert fald fra min vinkel, betragtes som særlig konstruktiv.

Min holdning - og det er kun min - er at der er mange som har erfaring med at køre linux på deres lokale maskiner, eller i faglige (ofte studie- og udviklings-)miljøer med et begrænset antal applikationer, og har oplevet disse situationer som meget stabile. Og det er meget fint. Men det betyder ikke at de erfaringer uden videre kan overføres til komplekse kommunale IT-systemer, med de ovennævnte udfordringer. Jeg har tidligere bl.a. haft det overodnede ansvar for en større SUN/ORACLE løsning, og den var desværre heller ikke fejlfri - Ligeledes er der mange store, missionskritiske systemer verden over, som afvikles på MS systemer, og gør det stabilt.

Og så er der lige spørgsmålet med kompetencerne. Er der overhovedet kompetencer til stede i landet (eller udlandet?) som hurtigt og smertefrit kan implementere eksempelvis linux OS'er i på flere hundrede servere med dedikerede windows fagsystemer i så store organisationer? Jeg synes i hvert fald det lyder som en meget, meget dyr omgang - og ikke noget som kommunerne har råd til. Men jeg kan tage fejl ;-)

Jeg ved at diskussionen ofte betegnes som grænsende til religionskrig, og for min skyld må folk have den religion de vil - men vi er bare nogle som også har brug for at forholde os til en meget virkelig - ja, virkelighed, og derfor ville det være rart hvis den evige "skift hele molevitten ud med Linux" kunne skiftes ud med en mere konstruktiv dialog.

  • 0
  • 0
Jon Bendtsen

Godt indspark Dennis.

Jeg savner dog oplysninger om hvad der gøres for at undgå en single platform i fremtiden?

Når i får nye fagsystemer, stiller i så krav om at det skal kunne køres på noget andet end Windows? Formodentlig ikke, og så vil jeg egentlig gerne høre hvilken begrundelse i har for ikke at gøre det?

Jeg tror ikke at der er nogen som realistisk set taler for at i skifter platform i morgen. Men derfor kan man godt planlægge for fremtiden.

  • 0
  • 0
Michael Nielsen

I stedet for Virtualbox kunne man bruge noget "remote desktop" som kun viser mail/browser vinduet på brugerens skærm. Der er indtil flere teknologier som kunne bruges, både frie og ufrie. Både gratis og betalings.

VNC
Nomachine NX/Free NX
X11

Beklageligvis er performance af disse ret dårlige, hvis man ikke har en stor båndbredde, og man er bundet til at hvis det centrale system går ned (vira etc), så har du tabt adgang til post og webben, som kan være en utålelige situtation.

Med en lokal virtual løsning er der ikke et single point of failure, og performance er overraskende god.

Virtual desktops forøger bare chancen for at man får en stor down event.

Til Dennis Harris.

Jeg kommer fra en baggrund hvor vi kun arbejde på Unix systemet, helt fra 1989, og jeg har endnu ikke oplevet at noget var værre på UNIX end på Windows, det har mere at gøre med hvad brugeren vil havde.

Er man interesseret i Alternativer, så kan jeg anbefale at man kigger på en kombination af et alternativ operativ system og wine, eller virtualisering. Der er nogle meget valide grunde til at bruge dem, og det simplificere en brugers arbejde.

Jeg køre selv med linux på min desktop, som mit basis system, det køre meget stabilt, og jeg bruger alle de værktøjer jeg har brug for.

Men når man snakker om det her problem så er der en meget brugbar løsning, at benytte virtualisering for at isolere risiko fyldte software, feks ved at virtualisere et miljø for mail og web, via feks en VirtualBox virtuel maskine, men det kræver 2 windows licenser, og fordobler omkostninger ved licenser.

Men erstattede man basis systemet med Linux, og kørte VirtualBox med en windows installeret, så har man adgang til alle legacy systemer som kommunerne elsker at citere som grunden til at man ikke kan bruge alternativ software, samtidigt med at man åbner for muligheden for at migrere til den alternative platform. Men man har også isoleret infektions mulighederne, og en nulstilling er triviel, gå tilbage til en gammel snapshot, eller reloade den ca 2-10GB image fra filserveren.

Man kan også benytte Wine til at køre mange af windows applikationerne, nogle gange mere stabilt end på windows (det har jeg oplevet flere gange).

Men uanset hvad, ved at bruge virtualisering (som er min foretrukne, får man bedre kompatiblitet mellem windows og windows, end mellem wine og windows, eller linux og windows.

Men Virtualisering medbringer en ting som er svært at gøre på en alm. type installation, og det er versionering af hardisken, man kan lave en snapshot lige efter at man har lavet system installationen. Man kører så som man har lyst, og systemet kan nulstilles ved bare at gå tilbage til snapshottet, dette kan gøres automatisk en gang om dagen eller flere gange, hvor man så har fjernet alt der muligt kan havde inficeret maskinen.

Altså konklusionen er at man kan nulstille systemerne automatisk som betyder at en inficering betyder maksimalt en 10 minutter genstart af virtuelle maskinen for en bruger. Skulle det være nødvendigt er en download af 2-10Gb Disk image nødvendigt for at nulstille og rydde alle inficeringer m.v.

Alle vinder, og man åbner muligheden for at migrere til et alternativ systemet, og i fremtiden spare licens omkostninger.

  • 0
  • 0
Jesper Kleis

Min automatreaktion da jeg så overskriften (på computerworld, se http://www.computerworld.dk/art/50772/symantec-quot-uheldigt-quot-angreb..., hvor debatten egentlig blev konstruktiv) var også hvorfor kommuner ikke kører et "defineret" malware og virusfrit system ala mac osx, linux eller basalt set -Windows systemer.

Udover at der selvfølgelig er større omkostninger vedrørende et sådan skift - er jeg blev jeg noget i tvivl om hvorvidt Mac OSX, linux etc automatisk er så meget bedre end en ordentlig administreret windows computer. Eller om det blot skyldes den lavere udbredelse at systemet i store træk er gået forbi producenter af diverse exploits.

Hvis argumentet virkelig er så simpelt kan man på trods af migreringsomkostninger undre sig over hvorfor der ikke er sket flere platformsskift. Som udefrakommende er det jo altid let at pege fingre og tro at den eneste forklaring er at alle offentlige/private virksomheder har blind tro på MS - men det kunne jo være at der var et mere nuanceret billede af sagen.

  • 0
  • 0
Jon Bendtsen

(VNC, no-machine nx, X11)

Beklageligvis er performance af disse ret dårlige, hvis man ikke har en stor båndbredde, og man er bundet til at hvis det centrale system går ned (vira etc), så har du tabt adgang til post og webben, som kan være en utålelige situtation.

Det er lidt noget vrøvl. VNC bruger nok mest, men X11 er ikke særligt krævende og no-machine nx er en yderligere cached og comprimeret udgave af X11.

Kommunerne har jo allerede en existerende central post. Og den nuværende løsning har problemer med virus. Så kommunerne er allerede vant til nedetid.

Hvis maskinen som er linux terminal server med kun en post klient, fx. kde's kolab, går ned, så kunne det tænkes at brugerne kunne have en ren intern browser som kunne bruges til at kikke på en webmail på samme system. Den samme browser kunne også bruges til kommunens interne legacy systemer.

Men denne interne browser behøver ikke extern adgang andet end måske til nogle forud definerede andre offentlige websites, måske skat, ...

Det jeg så ville have ved siden af var en anden linux terminal server med en browser som kunne få adgang til resten af internettet. Altså, 2 forskellige browser systemer som er "fysisk" adskilt.

Med en lokal virtual løsning er der ikke et single point of failure, og performance er overraskende god.

Virtual desktops forøger bare chancen for at man får en stor down event.

Ja, men tilgengæld får man nogle andre fordele ved virtuelle desktops.

  • 0
  • 0
Dennis Harris

"Jeg savner dog oplysninger om hvad der gøres for at undgå en single platform i fremtiden?

Når i får nye fagsystemer, stiller i så krav om at det skal kunne køres på noget andet end Windows? Formodentlig ikke, og så vil jeg egentlig gerne høre hvilken begrundelse i har for ikke at gøre det?

Jeg tror ikke at der er nogen som realistisk set taler for at i skifter platform i morgen. Men derfor kan man godt planlægge for fremtiden."

Godt spørgsmål. Lad mig gætte - for jeg kender ikke svaret, synes jeg. Fordi der een stor leverandør, og nogle få andre som leverer, og ingen af dem vil bukke for et krav om at systemerne skal være unix/linux kompatible fra en enkelt kommune? Det leder videre til at kommunerne måske er for dårlige til at stille krav som en samlet bestiller (Lad os håbe KL's nye KF-IT kan hjælpe her)?

Og det sidste spørgsmål - tør man? Fordi ingen har tænkt på at gøre det, eller fordi ingen kommune har tænkt på det som et realistisk alternativ? Men måske leder det tilbage til de første spørgsmål...

  • 0
  • 0
Anonym

Hvad med om 'the good guys' står sammen?
Når Lars skriver

Vi er nødt til at se på, om det er den rigtige leverandør, vi har

synes jeg det kunne være en god idé hvis leverandørerne står sammen og udvikler fælles metoder til at identifice 'dagens angreb'.

Jeg får indtrykket af, at den ene dag er det den ene leverandør, der er 'bedst', og den anden dag er det den 'anden'.

Hvis man udvikler fælles 'algoritmer', og konkurrerer på andre parametre, tror jeg vi kunne komme længere.

I dag er firma 'A' bedst, fordi de først opdagede virus 'V', i morgen er det firma 'B' osv.

Jeg tror ikke det er den rigtige vej at 'the good guys' er fragmenteret, hvor 'the bad guys' står sammen og vidensdeler(eller sælger viden).

  • 0
  • 0
Michael Nielsen

Så bare fordi at kommunen er "vant til downtime", så man kan bare lave et system, der garantere downtime ? Beklager, men det er uakceptablet i mine øjne, som professionel i industrien, de fleste jeg har arbejdet for ville ikke akceptere en løsning med mindre end 98% oppe tid, og en mulighed for at samtlige medarbejder ikke kan udføre deres job, for bare 30 minutter i en dag er ikke akceptablet. (jeg ved godt det offentlige er lige glad med det da det bare er skatte borgene's penge de smider ud).

Den fysisk adskillelse er ikke nødvendigt i en verden med virtualisering. Men hvordan har din løsninge det lige med at overføre data fra det ene system til den anden? Så systemer kan ikke være totalt fysisk adskilt, da det kan være nødvendigt at modtage et brev med noget indhold, som du skal behandle i det fortrolige system.

Der er heller ikke god økonomi i tynde klienter, 30 tynde klienter koster sådan cirka det samme som 30 tykke klienter (ja man kan spare lidt ved ikke at havde diske), men så skal man lige havde et server komplex, som nemt når op omkring en million kroner, hvis den skal levere en ordenlig service, og havde en ordenlig oppetid, så økonomien for tynde klienter er ikke speciel god.

Administrationen af tykke klienter kan løses via netboot, og fjern opdateringer - gammel teknologi, ca 20 år gammelt, ved dog ikke hvordan det virker på windows, virker fint på linux, og UNIX.

  • 0
  • 0
Michael Nielsen

Der er god grund til at tynde/tykke klienter falder ind og ud af popularitet, fordi man beregner at man spare ved de tynde klienter, så flytter man over, men opdager man ikke spare noget, og har problemer med oppe tid og går tilbage til tykke klienter, som kræver mere administration, så tilbage til de tynde igen.

Det hvordan det har forgået i de sidste 30 år.

  • 0
  • 0
Jon Bendtsen

Email kunne flyttes ved at gemme i mail programmet og så tilgå den gemte fil via et netværks drev. Tilsvarende med browseren. Der skal så lige være noget som sikrer at der ikke gemmes .exe filer.

Men okay, nu begynder min ide måske at blive mere komplex.

Men jeg kan nu godt se fordelene i den hurtige flytning af desktops som sunray terminaler kan gøre. Hvis man lige skal diskutere noget med en kollega, så hiver man sit kort ud, går over til kollegaen og skifter kort der.

  • 0
  • 0
Anonym

Administrationen af tykke klienter kan løses via netboot, og fjern opdateringer - gammel teknologi, ca 20 år gammelt, ved dog ikke hvordan det virker på windows, virker fint på linux, og UNIX.

Et eksempel fra det virkelige liv.

I forbindelse med implementering af Navision Stat, skulle en styrelse have installeret, vistnok et par hundrede klienter.

Sammen med den ansvarlige lavede vi en 'diff' på registry før og efter en 'master installation'.

Selve klientfilerne samt denne 'regdiff' blev kopieret ud på brugernes maskiner ved logon, og ved brug af - vistnok - kixstart (noget shell scripting), blev registry opdateret vha regserv.

Keine hexerei, nur lurendrerei, og brugerne havde nu en køreklar installation af Navision.

  • 0
  • 0
Michael Nielsen

Email kunne flyttes ved at gemme i mail programmet og så tilgå den gemte fil via et netværks drev. Tilsvarende med browseren. Der skal så lige være noget som sikrer at der ikke gemmes .exe filer.

Men okay, nu begynder min ide måske at blive mere komplex.

Problemet er netop at hvis sikkerheden bliver for omstændigt, så finder folk en måde at omgå sikkerheden på, således at man ikke får den effekt man forventer, så man skal sørge for at det er nemt nok at følge, og der er en god effekt.

I forbindelse med implementering af Navision Stat, skulle en styrelse have installeret, vistnok et par hundrede klienter.

Det var så bare et program på platformen, virker ufatteligt omstændigt, hvad med selve operativ systemet ?

Ved en unix boot, har man en fil, på mellem 10-200Mb, som man booter fra, den indeholder det der skal til for at hardwaren kan initialiseres, og basale funktioner kommer op, feks login og net drev, evt X systemet.

Man loader derefter ind net drevene.

Man logger ind, og loader en's hjemme katalog fra net drevet.

Applikationer aktiveres ved at man tilføjer en path, og en LD_LIBRARY_PATH til en's private konto, hvor efter man kan bruge applikationerne uden bøvl.

Der skal ikke mystiske binary diffs til for at få en applikation til at virke på alle platforme.

Feks for at tilføje en applikation - feks Open Office til en ny maskine, og ny bruger, kan brugeren tilføje

. ./path to program/setup.sh

til sin .bashrc, eller .tcshrc

Setup.sh indeholder bare

export PATH=$PATH:/path to program/bin
export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:/path to program/lib.

evt

export $APP_CONFIG=/path to program/etc

All UNIX applikationer der ikke hardcoder sin path in kan sættes op på den måde..

Men det kan åbenbart gøres for applikationer på windows, men jeg syntes ikke det lyder som en gennemskuelig process.

  • 0
  • 0
Anonym

Der skal ikke mystiske binary diffs til for at få en applikation til at virke på alle platforme.

Det var nu ikke binary diffs, jeg mente.
Man kan eksportere registry til tekstfiler, som derefter han importeres.

Den 'diff' jeg omtalte var kun de entries, der blev lavet som følge af en installation.

Problemet er, at Windows (programmer) gemmer alt 'det der' i registry i stedet for .ini (eller .conf) filer, så man kan ikke bare kopiere tingene ud.

Det kan godt være det virker omstændigt, men alternativet var at 'installere' på hver enkelt PC, og det tager tid.

  • 0
  • 0
Anonym

»Jeg ved, at alle angribes af virus. Mange får det og renser, og mange fortæller ikke om det. Men det fører ingen vegne. Jeg er ikke tilhænger af lukkethed i de her sager. Vi kunne lære af hinanden ved at være mere åbne,« siger han.

..så sandt så sandt. Må man bukke i respekt for den indstilling. Ville ønske flere havde den..

Som en foreslog, kunne antivirusfabrikanterne også slå pjalterne sammen om nye virusser?

Er der ikke noget med en forskel i styrke på at knække én tændstik af gangen, og at knække en håndfuld samtidigt?

  • 0
  • 0
Jens Madsen

Steady State, og deep freeze, giver Windows omtrent samme sikkerhed som Linux - måske større. De låser harddisken fast, så den ikke umiddelbart kan ændres. Sletter en person en fil, modificerer en virus et .exe program, eller registreringsdatabasen, så vil alle ændringer gå tabt ved næste opstart.

Microsoft Steady State, har også mulighed for, at køre beskyttet - uden at sætte alle filer tilbage for hver opstart. Derved kører computeren som normal, og kan få virus. Men så snart, du opdager problemer, kan du gå ind, og gå tilbage til sidste sikre tilstand. Så er alle virusser væk, og alt indstalleret igen - det svarer omtrent til, at føre en backup tilbage af harddisken, bortset fra, at det går hurtigt.

Endeligt er mulighed for at indstallere programmerne, så de brugere der har behov for, at indstallere får password til deepfreeze, eller steady state på deres computer. Man kan forestille sig, at der vælges forskellige passwords, afhængigt af sikkerhedsniveau. Laveste sikkerhedsniveau, har alle password til, så de kan indstallere programmer på deres egen PC - den typiske bruger. Computere, der har højere sikkerhed, har kun administratorer adgang til, og på højeste sikkerhed såsom servere, kun få udvalgte administratorer. Køres deepfreeze, eller steady-state på alle computere, så vil alt føres tilbage ved næste genstart, med mindre programmet indstalleres med password.

Årsagen, til mange har dårlig erfaring med windows, tror jeg er at disk protection som standard er slået fra, og for at få disk protection aktiv, skal du downloade et program fra microsofts hjemmeside: http://www.microsoft.com/windows/products/winfamily/sharedaccess/default...

Med dette program, er muligt at aktivere windows disk protection. Typisk, vil du gøre det på en ren indstalleret computer, og så snart du indstallerer nyt software, så slå disk protection fra, og slå den til igen, så snart indstallationen er overstået.

Tester du nyt software, har du også mulighed for at indstallere det - og kan "undo" alt - image føres simpelthen tilbage, til før indstallationen. Det er mere sikker, end afindstallation, og svarer præcis til, at en backup føres tilbage, til fra før indstallation. Denne facilitet gør, at du ikke kommer til at indstallere software, uden at have prøvekørt det, før du gør det permanent.

Microsoft tilbyder meget software, som ikke er med som standard i operativsystemet - f.eks. også SCCM (System Center Configuration Manager). At køre på et standard blankt microsoft operativsystem, uden sikkerhedssoftware, er som at køre linux i administration mode uden password. Kun tåber gør det.

  • 0
  • 0
Log ind eller Opret konto for at kommentere