Zip-i-zip-fil sneg sig uden om kommunale antivirus-løsninger

Den ransomware, der forleden ramte flere danske kommuner, sneg sig formentlig uden om kommunernes mail-filtre, fordi den var skjult i flere zip-filer. Den kunne dog godt være opdaget, vurderer eksperter.

shareline

Her er årsagen til at kommunerne blev hacket - en zipfil

En zip-fil i en zip-fil i en zip-fil. Som en anden babushka (også kaldet Matryoshka) dukke, har den malware, der i denne uge ramte blandt andet Nordfyns Kommune, forsøgt at skjule sig for de mail-filtre, der ellers er på plads for at undgå, at netop den slags uvæsen slipper igennem til de kommunale computere. Og zip-camouflagen ser ud til at være lykkedes.

I hvert fald fik både Nordfyns Kommune og Gribskov Kommune krypteret adskillige filer, da medarbejdere klikkede sig gennem zip-filerne for til sidst at klikke på den ransomware-fil, der har eksekveret kode på den lokale maskine. Derefter gik krypteringen, af også de tilsluttede netværksdrev gik i gang, for så at kvittere med en besked om, at brugeren kan betale for at få låst filerne op igen. Kommunerne har dog ikke betalt.

Læs også: Sådan blev kommuner udsat for ransomware-angreb

Af sikkerhedsmæssige årsager, tillader mail-filtre ofte ikke, at eksekverbare filer vedhæftet en mail, når igennem til modtageren. I hvert fald ikke med vedhæftningen intakt. Hvorvidt en uzippet, eksekverbar fil ville være sluppet ind til Norfyns Kommune, kan it-chef Per Stenaa dog ikke sige med sikkerhed. Men ifølge partner og leder af Security og Technology i revisions- og rådgivningsfirmaet PwC Mads Nørgaard Madsen, bliver den slags filer normalt blokeret af mail-filtre.

PwC: Scanner ikke zip-filer

»De fleste scannere fjerner eksekverbare filer. Og det er jo derfor, man finder på alle de kreative workarounds. Det med zip-filer er en af dem. Og zip-filer inde i zip-filer er en anden. Set fra brugerens synspunkt, der klikker man jo bare nogle gange for at komme ind, og tænker måske ikke mere over det,« siger Mads Nørgaard Madsen.

PwC har assisteret Nordfyns Kommune i forhold til det konkrete angreb.

Og selvom zip-formatet altså måttet have forhindret mail-filteret i at opdage den skadelige fil, så har formatet ikke forhindret en enkelt medarbejder i Nordfyns Kommune, der modtog mailen, i at klikke sig gennem zip-arkiverne for så til sidst at klikke på den eksekverbare ransomware-fil.

It-sikkerhedsekspert Peter Kruse fra CSIS fortæller, at metoden med at zippe malware netop bliver brugt for netop at undgå detektion fra diverse mail-filtre, der måske blokerer for eksekverbare filer - eksempelvis med fil-endelsen .exe - men ikke for .zip-filer.

I en lille test, Version2 har foretaget i Googles Gmail-system, bliver zip-filer indeholdende eksempelvis en exe-fil dog også blokeret. Ligesom en zip-fil med en zip-fil indeholdende en exe-fil heller ikke slipper gennem Googles system. Og principielt ville der ikke være noget til hinder for, at det samme var implementeret i kommunernes mail-filtre, fortæller Peter Kruse.

»Det kunne man godt gøre. Man kunne meget nemt kigge ned i data i zip-filen for at se, hvad der ligger i zip-arkivet. Det kunne man i princippet godt, men de fleste gateway-filtre, kigger udelukkende på filtypen, og ikke andet,« siger han.

Hvad med antivirus

Ransomwaren er altså sluppet - godt zippet ind - gennem diverse filtre til kommunernes ansatte. Men hvad med det lokale anti-virusprogram, som kommunerne har anvendt? Hvorfor har det ikke reageret, da brugerne har aktiveret den skadelige software?

Dels bliver malware generelt markedsført som havende lav antivirus-detektion ud fra devisen, at hvis alverdens antivirus-programmer kan registrere det, så er det de facto ikke særlig meget værd.

Peter Kruse fortæller, at malwaren i den seneste bølge af ransomware-angreb, der har ramt Danmark i går, torsdag - og efter Gribskov og Nordfyns Kommune blev ramt - havde en meget lav detektionsrate blandt antivirussoftware til at starte med.

Læs også: Nye ransomware-angreb vælter ind over Danmark

»En almindelig zip-fil med en binær fil inde i, som har en lav antivirus-detektion, så flyver det gennem filtrene. Sådan er det. Der er ikke så meget at rafle om,« siger Peter Kruse.

Derudover kan der være en anden, ganske lavpraktisk forklaring på, hvorfor netop malware i ransomware-genren, kan have lettere ved at undslippe signatur-baserede antivirus-produkter.

Ikke virus-mønster

Her er det nødvendigt at se på, hvad ransomware gør på computeren: filkryptering.

Og da filkryptering kan være en hel valid brugerhandling, er det ikke nødvendigvis i sig selv en adfærd, der får alarmklokkerne til at ringe i et anti-virusprogram, forklarer Mads Nørgaard Madsen.

»Mønsteret i det her, er jo ikke noget, der er en virus i den forstand.«

Og når selve malwarens adfærd ikke i sig selv er mistænkelig, og malwaren er lavet med en unik signatur, der ikke optræder i antivirus-programmernes databaser, så er det vanskeligt at opdage, der er noget lusk på færde, mener Mads Nørgaard Madsen.

Han påpeger, at hvis en programmør laver en stump kode til at kryptere filer på sin egen harddisk, så ville den næppe heller blive opfattet som skadelig af et anti-virusprogram. Og derfor er det vigtigt også at bekæmpe den form for angreb, som blandt andet Gribskov og Nordfyns Kommune har været udsat for, med bruger-awareness, forklarer Mads Nørgaard Madsen.

Eksempelvis så brugerne tænker sig om en ekstra gang, inden de dobbeltklikker på en vedhæftet fil.

»En af de ting, der virkeligt kan gøre en forskel, det er den generelle awareness. Det vil sige, at brugere og ansatte i virksomheden begynder at tænke mere på den generelle sikkerhedskultur,« siger Mads Nørgaard Madsen.

Og derudover er han enig med Peter Kruse i, at det konkrete ransomware-angreb kunne være blevet afværget, hvis mail-filtreringssoftware, som kommunerne anvender, var gået et spadestik dybere ned i zip-filerne, så det eksekverbare indhold var blevet opdaget, og filerne aldrig var nået frem til brugerne.

Version2 forsøger at få en kommentar fra Nordfyn Kommunes mail-filter leverandør i forhold til, hvordan den skadelige fil slap igennem filteret i første omgang.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (34)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Knud Jensen

Det hurtige gæt må være at det er en medarbejder som måske har troet at personen i den anden ende bare ville være venlig og lave filen så lille som overhovedet mulig, med flere komprimeringer.
At nogle Zip-programmer så har mulighed for at pakke som en "Self-Extracting EXE" gør det bare endnu mere troværdigt.

I øvrigt ikke et sjældent syn.

Lægger man dertil at email-klienter i det offentlige som regel har en begrænsning på hvor store filer man må sende ad gangen, så giver det endnu mere mening.

Ved sidste system vi havde(lotus notes) var begrænsningen sat til 25MB per mail, hvilket betød at en del mail skulle splittes op i 3-5 mails.

Men derfor vil jeg nu alligevel give dig ret i, at det ville være rart med mere uddannelse, tror "PC-kørekort"-niveau er bedste beskrivelse på langt det fleste af dem jeg har haft med at gøre.

  • 3
  • 1
ab ab

Det hurtige gæt må være at det er en medarbejder som måske har troet at personen i den anden ende bare ville være venlig og lave filen så lille som overhovedet mulig, med flere komprimeringer.


Det er vist mere sandsynligt, at de tre 'niveauer' blot har vist sig som tre på hinanden følgende undermapper i medarbejderens downloadmappe jfr. Windows indbyggede understøttelse af ZIP-arkiver, der vises som mapper. Den lynlås som indikerer, at der er tale om et ZIP-arkiv og ikke en ægte undermappe er jo grafisk set ret subtil.

  • 8
  • 0
Rune Jensen

Det hurtige gæt må være at det er en medarbejder som måske har troet at personen i den anden ende bare ville være venlig og lave filen så lille som overhovedet mulig, med flere komprimeringer.

Og det er så ikke hvad der sker. Hver komprimering kræver en overhead, så filen bliver nærmest større, hvis man komprimerer den igen.

Men vil det sige, man er fuldstændigt ukritisk fra kommunernes side mht. hvordan data bliver afsendt fra en borger og hvilke formater?

Så ikke kun hos kommunens medarbejdere, der kræves mere uddannelse, men også hos borgerne selv, hvis det er hverdagen.

Og fortæl så, hvad der STOD i den mail, version2!

  • 1
  • 1
ab ab

Men filens format er jo oplyst i mailen som .wav.


Jeg er ked af at sige det, men du ville muligvis også være faldet i phishing-fælden idet det er ret åbenlyst, at teksten der påstår, at filens format er "WAV" er genereret af de it-kriminelle, mens det reelle format impliceres af boghylde/skruetvinge-ikonen ud for filnavnet, som i øvrigt eksplicit oplyses som havende endelsen ".ZIP".

  • 2
  • 0
Jacob Rasmussen

Hvorfor er det at jeg i 2013, stadig kan ødelægge en fil, ved at omdøbe dens 'efternavn'? Indholdet ændrer sig ikke, men omdøber jeg en .exe til .exe.txt, så har jeg ikke kun fjernet muligheden for at afvikle programmet, jeg har også gjort det muligt for mig at se nogle spændende tegn i min notepad...

Og hvorfor er det at antivirus scanneren ikke også genkender de her formater?
Hvis der vitterligt er sendt en PE exe fil, inden i et par lag af zip filer, hvorfor kan den så ikke genkende det?

En grund til ikke at kigge dybt i zip filer er i øvrigt zip-bomber. Scanneren skal både kunne skelne mellem PE exe filer og andre, hamløse datafiler, og kunne håndtere 'ugyldige' zip filer.

Løsningen må være at have et filter, der whitelister de formater borgerne 'normalt' bruger, og har en definition for hvad der er 'ok' i de filtyper. Hvis borgerne fx. sender word dokumenter, er de kun ok hvis de ikke indeholder Makroer og andre sjove ting. Alle filer der falder for filteret, bliver pillet ud af mailen inden de bliver modtaget af sagsbehandleren, og gemt i et centralt karantæneområde, hvorfra en superbruger / admin, kan frigive filen, hvis den senere viser sig at være nødvendig for sagen. Den skal i så fald først testes i en 'sandkasse' maskine, hvor den ikke kan ødelægge noget...

  • 2
  • 0
Per Gøtterup

Måske der skulle LIDT mere uddannelse til medarbejderne.
Hvem pokker ville sende en legitim zipfil der indeholder zip filer ned i flere lag ? Og så ende med en exe fil ?


Jeg glæder mig til den dag hvor man tager det her alvorligt og FYRER de medarbejdere som trods en klar sikkerhedspolitik (sådan er er der faktisk næsten alle steder) alligevel klikker på sådan noget. Folk tager ikke den slags regler alvorligt før der statueres et eksempel, gerne med økonomisk ansvarspligt hægtet på.

  • 1
  • 8
Knud Jensen

Og det er så ikke hvad der sker. Hver komprimering kræver en overhead, så filen bliver nærmest større, hvis man komprimerer den igen.

Helt korrekt. Men det forudsætter at den ansatte ved at det foregår sådan. Mange af de brugere jeg supporterer ved ikke engang hvor man ser størrelsen på en fil.

Men vil det sige, man er fuldstændigt ukritisk fra kommunernes side mht. hvordan data bliver afsendt fra en borger og hvilke formater?

Så ikke kun hos kommunens medarbejdere, der kræves mere uddannelse, men også hos borgerne selv, hvis det er hverdagen.

Mig bekendt er der kun 2 standarder for hvilke filer man kan sende til det offentlige, som borger.
1. blanketter man har hentet på kommunernes hjemmesider og udfyldt. Som så sendes med email efterfølgende.
2. Nogle enkelte jobopslag angiver hvilket format man ønsker filerne i.

Det er dog langt fra altid tydeligt skrevet at det skal være som .pdf eller som en specifik udgave af et Microsoft Word dokument.

  • 1
  • 0
Rune Jensen

Jeg er ked af at sige det, men du ville muligvis også være faldet i phishing-fælden idet det er ret åbenlyst, at teksten der påstår, at filens format er "WAV" er genereret af de it-kriminelle, mens det reelle format impliceres af boghylde/skruetvinge-ikonen ud for filnavnet, som i øvrigt eksplicit oplyses som havende endelsen ".ZIP".

Nu åbner jeg konsekvent aldrig voicemail beskeder, så den ville aldrig være kommet så langt.

Men helt sikkert, jeg ville undersøge først, credibility bag den meddelelse.

https://www.google.dk/?gws_rd=cr,ssl&ei=Fl_CVNfVEsH_ygOl_oCoCw#q=%22Down...

Jeg er kun blevet snøret tre gange, første gang via referer spam i min hosters log, anden gang via en mail fra en ven i spanien, sidste gang er vel tre-fire år siden, hvor der blev sendt en mail fra en ven i Italien om en skype-besked eller sådan noget.

De to beskeder var naturligvis sendt udfra høstede adresser i deres email-kartotek, og de havde ingen anelse om, de var afsendt fra deres maskine, så jeg kunne pænt fortælle dem de "nok havde malware af en art".

Men man lærer jo af sine fejl, ikk. Så nu ved jeg efterhånden godt, at selvom det kommer fra "trusted source", så er det ikke nødvendigvist "trusted". Derfor jeg også har "Vis som ren tekst" i email læseren. Stoler ikke på nogensomhelst som udgangspunkt.

  • 1
  • 0
Christian Nobel

Jeg glæder mig til den dag hvor man tager det her alvorligt og FYRER de medarbejdere som trods en klar sikkerhedspolitik (sådan er er der faktisk næsten alle steder) alligevel klikker på sådan noget. Folk tager ikke den slags regler alvorligt før der statueres et eksempel, gerne med økonomisk ansvarspligt hægtet på.

Ja fint og flot at lave lidt rituelle henrettelser af medarbejdere på laveste niveau - det løser bare ikke det reelle problem, nemlig at PC'er i det store hele er blevet udrullet tankeløst i stor stil, uden man har tænkt sikkerhed ind før udrulning.

  • 11
  • 0
Rune Jensen

mens det reelle format impliceres af boghylde/skruetvinge-ikonen ud for filnavnet, som i øvrigt eksplicit oplyses som havende endelsen ".ZIP".

Jeg forsøgte faktisk at zippe en mp3, som jeg havde omdøbt til .exe, som jeg så ville zippe igen.

Min fil-editor (Pantheon-files) nægter mig at zippe mere end én gang (hvilket vel er et fair sanity-check), så jeg har ingen idé om, hvordan den reagerer på zip-zip-zip-zippede filer eller ellers viser dette.

Andet end at hvis jeg tager "Vis i arkiv" for en enkelt-zipped fil, så viser den hele filen med den oprindelige endelse.

Nu kører jeg så Linux, men i en anden diskussion her på V2 kunne det tyde på, at Linux ville have (nogenlunde) samme sårbarhed som Windows, hvis brugeren er fuldstændigt ukritisk med hvad der åbnes.

Så vidt jeg forstod, ville man ikke kunne køre den direkte fra maillæseren, men man kunne køre den, hvis man gemte den først på HDen, derefter kørte den (hvis executable bit var sat inden zipping).

  • 0
  • 0
Troels Henriksen

Nu kører jeg så Linux, men i en anden diskussion her på V2 kunne det tyde på, at Linux ville have (nogenlunde) samme sårbarhed som Windows, hvis brugeren er fuldstændigt ukritisk med hvad der åbnes.

En stor brugergrænseforskel er at man på Unix-systemer typisk ikke kan afvikle programmer ved at dobbeltklikke på en fil. Det skyldes både GUI-konventioner (men de kan jo ændre sig, og har det for alt hvad jeg ved måske også gjort det), men også en teknisk detalje: I Unix kan en fil kun afvikles, hvis dens "execute"-rettighedsbit er sat, og denne bit kan ikke lagres i ZIP-formatet, hvorfor intet der udpakkes af en ZIP-fil i princippet kan afvikles direkte.

I sidste ende, så er det store problem nok, at der i de fleste moderne grænseflader ikke skelnes nok mellem at "afvikle et program" og "åbne en fil" - begge kræver blot et dobbeltklik. Hvad sker der i øvrigt, hvis man på Windows laver en EXE-fil hvis indlejrede ikon er det samme som for et Word-dokument? Da Windows som standardindstilling skjuler filendelsen, så er det vel nemt at overse at der rent faktisk er tale om et program?

  • 4
  • 0
Sune Marcher

Og det er så ikke hvad der sker. Hver komprimering kræver en overhead, så filen bliver nærmest større, hvis man komprimerer den igen.


Med mindre den inderste zip-fil bruger Store (dvs. ingen komprimering) - hvilket resulterer i fattigmandens version af "solid compression", som de mere moderne arkivformater har indbygget :-)

(En person der ukritisk klikker på attachments har dog næppe brugt dette ræssonement)

  • 0
  • 0
Sune Marcher

I Unix kan en fil kun afvikles, hvis dens "execute"-rettighedsbit er sat, og denne bit kan ikke lagres i ZIP-formatet, hvorfor intet der udpakkes af en ZIP-fil i princippet kan afvikles direkte.


Indeed - men der er andre arkivformater der gemmer unix permissions. Dog vil jeg skyde på at brugerskaren på Linux stadig har en fordeling, der gør at det stadig ikke ville være en særligt effektiv angrebsvektor :-)

Da Windows som standardindstilling skjuler filendelsen, så er det vel nemt at overse at der rent faktisk er tale om et program?


Yep, og det at skjule filendelsen var en kæmpe fejl, eftersom filendelsen på Windows er yderst informationsbærende.

Det er efterhånden lang tid siden der blev indført "Zoneinformation" og et medfølgende API til Windows (kræver NTFS, default slået til i IE og FF, har ikke undersøgt Chrome). Men det nytter stadig ikke så meget, når brugere bare trykker "jaja, whatever" til advarselsboxe.

  • 3
  • 0
Sune Marcher

Og hvorfor er det at antivirus scanneren ikke også genkender de her formater?
Hvis der vitterligt er sendt en PE exe fil, inden i et par lag af zip filer, hvorfor kan den så ikke genkende det?


Der er to issues:
1) Der findes (fuldautomatiske, forøvrigt) metoder til at mutere standard-malware, så hverken simple signaturer, statisk analyse eller (de simple versioner af) heuristic-baserede metoder fanger det.
2) Der kan sagtens scannes inden i zip-filer, men nogle ransomware kampagner tilføjer kryptering (og skriver så passwordet i plaintext i mailen).

Zip-krytering er pænt svag, men (AFAIK) stadig for kraftig til at du vil bruteforce det i din gateway mailscanner. Der findes nogle ret avancerede malware-analyseværktøj (bl.a. baseret på instrumenterede virtuelle maskiner) der ville fange de her muterede trojanere, men det er noget antivirusfirmaerne holder tæt ind til kroppen... og de ville heller ikke fange krypterede zipfiler.

Men man kunne vel lave nogle heuristics, der markerer mistænkelige emails, og ikke blot forsøger at blokere for kendte trusler?

  • 0
  • 0
Rune Jensen

Med mindre den inderste zip-fil bruger Store (dvs. ingen komprimering) - hvilket resulterer i fattigmandens version af "solid compression", som de mere moderne arkivformater har indbygget :-)

OK, se det vidste jeg så ikke.

Men skal man nu gå linen helt ud, så ville en voice mail tjeneste vel næppe gemme lydfiler i ZIP-format.

Fra min tid som pirat, der har jeg da lært, at ZIP ikke er det korrekte kompressionsformat til lydfiler, da lydfilers data ligger efter en helt anden profil end ZIP-formatet er optimeret til. Man risikerer ret nemt, at det slet ikke bliver komprimeret.

Det helt korrekte format burde så være .flac, som er lossless, eller evt. MP3, som mister kvalitet ved kompression (der er vidst et par andre også, måske .ogg).

  • 1
  • 0
Jakob Nordström

"Derefter gik krypteringen, af også de tilsluttede netværksdrev gik i gang, for så at kvittere med en besked om, at brugeren kan betale for at få låst filerne op igen."
Det undrer mig, hvordan en almindelig bruger/maskine kan have tilladelse til at kryptere et netværksdrev? Jeg ved at mange bruger adminstrative rettigheder på lokalmaskinen (fordi det er nemt), men på et netværksdrev?

  • 3
  • 1
Christian Nobel

I Unix kan en fil kun afvikles, hvis dens "execute"-rettighedsbit er sat, og denne bit kan ikke lagres i ZIP-formatet, hvorfor intet der udpakkes af en ZIP-fil i princippet kan afvikles direkte.

Hva' ba'?

Jeg lavede eksperimentet:

Zippede en binær fil og sendte via Gmail til mig selv på min egen mailserver, modtog zip filen i Thunderbird.

Jag kan så lade Thunderbird åbne arkivet, men kan så ikke afvikle programmet ved at dobbeltklikke på det - så vidt, så godt.

Men hvis jeg gemmer zip filen, og efterfølgende pakker arkivet ud igen, så er x-bitten bevaret, dvs. programmet kan køres udelukkende ved at dobbeltklikke.

Hvis en binær fil derimod sendes ikke zippet (altså som direkte attachment), så fjernes x-bitten.

  • 2
  • 0
Rune Jensen

Men hvis jeg gemmer zip filen, og efterfølgende pakker arkivet ud igen, så er x-bitten bevaret, dvs. programmet kan køres udelukkende ved at dobbeltklikke.

Kan man gøre hele download bibiloteket non-executable?

Det ville da være en logisk løsning?


PS omkring det her med phishing...

http://www.geekzone.co.nz/foobar/6229

Hvis man ser bort fra den forkerte brug af ordet "virus", så har manden jo ret.

Svarer fuldstændigt til det nuværende scenarie på Windows.

Selve det tekniske i artiklen er selvfølgelig gammelt, men hans argumentation omkring "nye brugere på Linux" er efter min mening helt korrekt.

Samme er hans argumentation om, man ikke behøver root access for at kunne lave ballade.

Det viser også, at højere brugervenlighed i et OS, giver lavere sikkerhed generelt.

  • 1
  • 0
Helle Eriksen

Jeg er kommet i tvivl efter de seneste historier om hacking.

1) Kan en .exe fil pakket ind i 2 zipfiler køre uden man siger 'ja' til advarslen som normalt kommer når man klikker på en .exe

2) Kan en hacker overtage kameraet uden man siger 'ja' til at han må benytte kamera og mikrofon. Begge eventuelt i form af en avanceret 'clickjacking'

Håber en eller anden kan oplyse mig - på forhånd tak

  • 3
  • 0
Troels Henriksen

Men hvis jeg gemmer zip filen, og efterfølgende pakker arkivet ud igen, så er x-bitten bevaret, dvs. programmet kan køres udelukkende ved at dobbeltklikke.

Det lader til at ZIP-formatet understøtter noget (ikke-standardiseret) arbitrær metadata, som visse ZIP-programmer bruger til at pakke Unix-rettigheder.

Min erfaring er primært baseret på at hver gang jeg får en aflevering fra en studerende, der er i de ulyksalige omstændigheder at vedkommende bruger Windows og zip, så er +x-rettighederne ødelagt når jeg udpakker filen.

Min pointe var nu også mest at afvikling af programmer og åbning af filer bør adskilles meget klart i ethvert operativsystem - det med rettighederne var mest en kuriositet.

  • 2
  • 0
Rune Jensen

Jeg går ud fra, at det stadig handler om et Linux filsystem.

Det kan ikke umiddelbart lade sig gøre, med mindre man har en separat disk-partition, der mountes på download-biblioteket med 'noexec'.

OK, tak.

Jeg kan forstå på anden del af diskussionen, det kan lade sig gøre i Windows, men måske trods alt ikke er den rette fremgangsmåde helt fra start.

Det ville da også være meget lettere, hvis "alt udefra" bare blev opfattet automatisk som mindre sikkert, og så skulle man sætte via password for at få højere rettigheder.

Det ville være nemt at forstå også for den almindelige bruger.

Men det ville vel kræve, at man ikke sender executable bit sammen med den fil, som den skal sættes på. Det giver ikke mening (for mig), at man sender den bit sammen med filen i en ZIP-fil. Det bør udelukkende styres af OSet, måske på kernel niveau. Filen skal på en hvidliste, for at kunne executeres.

  • 0
  • 0
ab ab

Til de fleste netværksdrev vores brugere skal have adgang til, har de brug for skriveadgang, ikke kun læse


Jeg er lidt nysgerrig efter at vide mere om hvor finmasket, der gives skriveadgang rundt omkring i organisationerne?

Omfatter skriveadgangen til et netværksdrev typisk data for hele organisationen eller kun for de arbejdsområder, som den pågældende medarbejder faktisk har adkomst til at arbejde med?

De fleste directory-servere giver vel mulighed for at etablere et ret finmasket regime til styring af roller og adgange. Spørgsmålet er hvor udbredt det bruges i praksis?

  • 0
  • 0
Knud Jensen

Jeg er lidt nysgerrig efter at vide mere om hvor finmasket, der gives skriveadgang rundt omkring i organisationerne?

Omfatter skriveadgangen til et netværksdrev typisk data for hele organisationen eller kun for de arbejdsområder, som den pågældende medarbejder faktisk har adkomst til at arbejde med?

De fleste directory-servere giver vel mulighed for at etablere et ret finmasket regime til styring af roller og adgange. Spørgsmålet er hvor udbredt det bruges i praksis?

Skal ikke kunne svare på andre kommuners vegne, men her har vi et fællesdrev for hele kommunen, og så vidt jeg ved er der fuld skriveadgang.
Og så et lille privat drev for hver medarbejder.

Når det så er sagt, så er der nogle klare regler om hvad man må ikke må have liggende der.
Der må bla. ikke være noget personfølsomt, det skal over i et sagssystem i stedet.

så skulle der endelig være en virus som krypterer det hele, så er det kun ting som brevhoveder og skabeloner og den slags som kan gå tabt. Men dem burde der være rigeligt med backup af rundt omkring til at kunne genskabe det hele.

  • 1
  • 0
Jesper Lund Stocholm Blogger

De fleste directory-servere giver vel mulighed for at etablere et ret finmasket regime til styring af roller og adgange. Spørgsmålet er hvor udbredt det bruges i praksis?


Det tror jeg er meget svært at sige noget generelt om.

De sidste to kunder jeg har været hos (meget store danske virksomheder), har hver ansat haft sit eget "lille hjørne" på serveren, og adgang til fællesdrev udover dette sker/skete på projektniveau. Jeg har fx i dag skullet bede om adgang til fællesdrevet /folderen for det projekt jeg sidder og arbejder på nu. Der er her ikke adgang til hele serveren.

  • 1
  • 0
Jannik Toftegård

Med HIPS baserede løsninger, der ikke er afhængig af blacklist, såsom AppGuard, der bare lukker for alle eksekverbare filer, så payloaden ingen rettigheder har, hvis man indstiller HIPS'et til det, kunne være et must på steder, som kommuner,skoler, eller biblioteker, hvis der alligevel ikke som sådan skal installeres nye programmer af den almindelige medarbejder/elev/bruger.

En LUA (begrænset konto med begrænsede rettigheder ville også være både et supplement og nærmest en erstatning for diverse - i tilfælde af Zero-day-malware - nytteløse blacklists.

  • 0
  • 0
Log ind eller Opret konto for at kommentere