Archive for May 2010

URLVoid – Scan websites for malware

Denne web-service giver mulighed for at scanne websites for ondsindet kode(malware).
URLVoid benytter p.t. 12 forskellige scan-services. Se nedenstående billede.

URLVoid kan benyttes via nedenstående link. Tjek den ud.
http://www.urlvoid.com/

Sandboxie – sikker web browsing Part 2

Vi har fået installeret og konfigureret Sandboxie. Tiden er nu kommet til at starte ens browser op i den beskyttet sandbox.
Tegnet/symbolet [#] viser at vores browser kører i et isoleret sandbox-miljø.

 

Samtidig kan man se, at Sandboxie ikonet nu har fået røde prikker. Det betyder at der er noget aktivt (filer/sessioner) i sandboxen.

Hvis Sandboxie ikke er aktiv/tom, vil ikonet være gult, som vist på nedenstående billede.

Lad os nu prøve at downloade et program, som vi ønsker at installere og benytte.
Når man kører sin browser i Sandboxie, skal man som udgangspunkt altid vælge at gemme filen, fremfor at køre den.
Hvis man kører filen vil programmet bliver installeret i en sandbox og vil således blive slettet, når vi lukker vores browser session.
Det er ligeledes vigtigt at man gemer filen i de mapper/områder, som har support for “Øjeblikkelig Genskabelse”.
Som tidligere vist, er det som standard følgende områder.

– Overførelser
– Skrivebord
– Documents

Jeg downloader i dette eksempel en applikation, som hedder Notepad++.
Læg igen mærke til symbolet [#], som vises, når diverse handlinger foregår i sandboxen.
Jeg vælger “Gem”.

Jeg vælger mappen “Overførelser” og klikker “Gem”.

Sandboxie kommer nu op med formen “Øjeblikkelig Genskabelse”. Jeg vælger her “Genskab”.

Nedenstående billede viser, at min applikation Notepad++ nu er gemt udenfor sandboxen og jeg kan nu installere den, på mit rigtige system.

Lad os se hvad der sker, når jeg afvikler ondsindet kode (malware) i en browser, som kører i en isoleret sandbox.
Nedenstående billeder viser, at jeg at har afviklet et par “fake AV” programmer.



 

Her kan vi se, at de ondsindet filer er isoleret i sandboxen.

Diverse malware ikoner og alerts kommer frem på mit system.

 

Ved at fjerne malwaren, skal man nu bare højre musetaste på Sandboxie ikonet og vælge “Afslut Alle Programmer”.
I nogle tilfælde kan malwaren fryse ens skrivebord eller mus og man bliver derfor nødt til at slukke computeren.

Malwaren har lagt et gevejsikon ud på skrivebordet. det er et af de områder, som tillader “Øjeblikkelig Genskabelse”.
Derfor bliver man spurgt om man vil genskabe gervejen. Det ønsker vi ikke og vælger her “Slet Sandbox”.

Vi har nu et rent system igen. Simpelt og effektivt.

Hvis man kommer til at afvikle malware der prøver at skrive i C:Programmer eller C:Windows vil Sandboxie komme med nedenstående besked.
Vi har konfigureret Sandboxie med kun “Læse/read” adgang til disse foldere. Malwaren kan således ikke afvikles og vil fejle.

En sidste ting, som er vigtig, i forhold til netbank og andre personfølsomme services/tjenester.
Man kan ved et uheld komme til at afvikle user-mode malware som indeholder keyloggere eller password stealers.
Derfor er det vigtigt, altid at lukke alle sine browser sessioner og derved slette sandboxen inden man feks går på sin netbank.
Man kan også oprette en seperat sandbox, som man kun benytter til netbank,E-Boks mfl.

Denne blog-post serie omkring Sandboxie er nu afsluttet.

Sandboxie – sikker web browsing Part 1

Med Sandboxie kan man surfe sikkert på nettet. Sandboxie afvikler de ønskede applikationer i et isoleret lag på computeren, som beskytter den effektivt mod uønskede ændringer.
Hvis man således afvikler sin browser (IE/FF/Chrome) fra Sandboxie og downloader og eksekverer onsindet kode (malware), vil det bliver fanget og isoleret af Sandboxie.
Det betyder, at malware som er fanget i et Sandbox-lag ikke dynamisk kan bryde ud og inficerer brugerens computer.
Ved at lukke ens browser/session vil alt inden i Sandboxie blive slettet inklusiv malwaren.
Se nedenstående link og grafisk illustration for mere info.
http://www.sandboxie.com/


 

Lad os se, hvordan det kan virke i praksis. Nedenstående guide er testet på en Windows 7 32-bit platform med betalingsversionen af Sandboxie.
Jeg starter her med at downloade og installere nyeste version af Sandboxie fra nedenstående link.
http://www.sandboxie.com/index.php?DownloadSandboxie

Højre musetast på “SandboxieInstall.exe” og vælg “Kør som administrator”.


 

Klik “Ja”.

 

Vælg “Dansk” og klik “OK”.

 
 
Klik på “Jeg Accepterer”.

 

Klik på “Installer”.

 

Vælg “Næste”.

 

Vælg “Næste”.

 

Klik på “Afslut”.

 
 
Sandboxie starter herefter automatisk op med et velkomst skærmbillde. Klik på “Luk”.

 

En genvej til “Sandboxed Web Browser” bliver placeret på skrivebordet. Samtidig er “Sandboxie Kontrol” startet op. Det er her, vi senere skal lave en række ændringer til standard konfigurationen.

For køb og registrering af Sandboxie skal man gøre følgende:
Gå til http://www.sandboxie.com/ og klik på “Buy” i menuen. Klik herefter på linket “Enter the store”.
 

Fjern/fravælg “Backup CD”. og gennemfør resten af betalings-proceduren.
For ca. 242 kr får man således en livstids-licens til Sandboxie, som jeg mener er et rigtig godt tilbud.
 
I “Sandboxie Kontrol” gå til “Hjælp” og vælg “Registrer Sandboxie”.

 

Indtast “Navn” og tilsendt “Nøgle”. Klik på “OK”.

Afslut installation og registrering ved at klikke “OK”.

 

I “Sandboxie Kontrol”, højre musetast på “Sandbox DefaultBox” og vælg “Sandbox Indstillinger”.

Nedenstående billede viser de default områder du kan downloade og gemme filer og som herefter kan gemmes udenfor sandboxen.

Under “Beskyttelse” vælg her at slette indholdet af sandboxen. Dette vil sikre dig, at alle filer/malware bliver slettet, hver gang du lukker din browser.

 

Vælg “Mindsk rettigheder fra Administrator…”

Under “Læs-Kun-Adgang”, tilføj Programmer/Program Files og Windows katalog.

Udfra “Internet Explorer” vælg her at sætte + udfra alle settings, som vist på nedenstående billede. Dette vil give den største flexibilitet.
Alle andre applikationer/plugins, som bliver startet via IE, bliver således også afviklet i Sandboxie. Det kunne være såbare programmer som Java, Adobe og Flash.

Afslut konfiguationen med at password beskytte den. Gå til “Konfigurer” og “Lock Configuration”.

Vælg ” Password must be entered….”.

 

Angiv “Adgangskode” 2 gange. Klik “OK” > “OK”. Luk herefter “Sandboxie Kontrol”.

 

Sandboxie – sikker web browsing Part 1 er nu afsluttet.

Citrix XenClient – Ny “bare metal hypervisor”

Man kan nu downloade og teste Citrix nye XenClient, som er en såkaldt “bare metal client hypervisor (Type 1)”.
Med XenClient kan du bla kører flere OS’er parallelt med hinanden. Perfekt til feks udvikler maskiner.
Man kan med “Citrix Synchronizer” deploy et virtuelt image ud til de enkelte XenClient.
Endvidere giver Synchronizer mulighed for central backup og lockdown.

Tjek det hele ud her.
http://www.citrix.com/English/ps2/products/product.asp?contentID=2300325

Forefront UAG – DirectAccess Part 9

Når man skal debugge eller logge DirectAcces traffik (6to4 – Teredo – IP-HTTPS), kan man med fordel gøre det indefra TMG (Threat Management Gateway).
Start her “Forefront TMG Management” og vælg “Logs & Reports”.

Under “Logging”, vælg “Edit Filter” og tilføj “Protocol” og “Source Network”. Konfigurer, som vist på nedenstående billede.

 

Klik på “Start Query”.


Man kan her se logs for DirectAccess transition traffik. Nedenstående Log-udsnit vises for 6to4.

 

Log udsnit for Teredo.

Log udsnit for IP-HTTPS.

For at få remote adgang til DirectAccess klienterne i forbindelse med support og helpdesk kald, kan man benytte følgende værktøjer.

– Remote Assistance i Windows 7
– Remote Desktop i Windows 7
– Teamviewer

For Remote Assistance i Windows 7, kan man lave en genvej ude på skrivebordet med følgende streng.
%windir%system32msra.exe /offerra

For at kunne lave en “Remote Assistance ” ude på klienterne, skal man forinden tillade det i en GPO (WIN_DA_Client).
Computer Configuration/Administrative Templates/System/Remote Assistance

Nedenstående billeder viser “Remote Assistance” anmodninger ude på en DirectAccess klient.


For at kunne lave en “Remote Desktop” ude på klienterne, skal man forinden tillade det i en GPO (WIN_DA_Client).
Computer Configuration/Administrative Templates/Windows Components/Remote Desktop Services/Remote Desktop Session Host/Connections
Enable “Allow users to connect remotely using Remote Desktop Services”.

 

Man kan også vælge at benytte Teamviewer, som jeg personligt syntes er en rigtig god løsning.
http://www.teamviewer.com/da/

Da jeg skulle teste DirectAccess med en Windows 7 klient, kunne jeg ikke få “Teredo” til at virke.
Min test klient var på en anden lokation i et netværk med Active Directory.
Efter en del fejlsøgning, fandt jeg nedenstående link, som beskriver problemet.
http://technet.microsoft.com/en-us/library/ee844125(WS.10).aspx

If the Teredo state is offline and the error state is Client is in a managed network, the DirectAccess client has detected a local Active Directory domain. In this case, the Teredo client will not bring up the Teredo tunnel adapter unless the Teredo client has been configured as an enterprise client. You can view the Teredo client type from the netsh interface teredo show state command. If set to client, a reachable domain controller will prevent Teredo from becoming active. If it set to enterpriseclient, Teredo will be active even when a domain controller is reachable. You can change a Teredo client from client to enterpriseclient with the Computer ConfigurationPoliciesAdministrative TemplatesNetworkTCPIP SettingsIPv6 Transition TechnologiesTeredo State setting of the Group Policy object for DirectAccess clients or for an individual DirectAccess client with the netsh interface teredo set state enterpriseclient command.

Efter jeg satte “Teredo state” til “Enterprise Client”, virkede det uden problemer. Jeg brugte igen GPO’en WIN_DA_Client.

 

Et andet problem, som jeg også brugte en del tid på at fejlfinde, var at få IP-HTTPS til at virke for mine test klienter.
Nedenstående billede viser fejlmeddelsen ude på en DirectAccess klient.

Jeg havde købt et GoDaddy standard SSL certifikat og havde importeret det til UAG serveren inden installationen af UAG.
Så jeg vidste at “Certificate Revocation List (CRL)” var i orden og det således burde virke.
Jeg kørte først kommandoerne net stop iphlpsvc og net start iphlpsvc på selve UAG serveren og klienterne uden nogen possetiv effekt.
Jeg tjekkede flere gange GPO resultet på klienten med nedensående kommado og alt så fint ud.
gpresult /f /h c:report.html

Kommandoen netsh interface httpstunnel show interface på UAG serveren viste heller ingen fejl.

Kommandoen netsh http show sslcert på UAG serveren viste heller ingen tydlige fejl.

 

Jeg havde dog forinden lagt mærke til at UAG installationen smider et “Default Web Site” SSL certifikat ind i personal certifkat storen.
Dette er et internt/privat certifkat hvor CRL ikke er public.

Ved at sammenligne “Certificate Hash” og Thumbprint fra “Default Web Site”, kunne jeg se, at UAG serveren fejlagtigt havde brugt dette certifikat under “SSL Certificate bindings”.
Det betyder at DirectAccess klienterne ikke kan lave et CRL check på certifikatet og således vil fejle.

 

Opgaven bestod nu i, at ændre bindings tilbage til mit GoDaddy SSL certifikat.
Jeg kopierede først “Application ID” for IP:port 0.0.0.0:443 og [::]:443 og satte det ind i et tekstfil.
Herefter slettede jeg de eksisterende IPports, som vist på dette billede.

Næste step, var at kopiere “Certificate Hash” fra mit GoDaddy certifkat ind i nedenstående kommandoer.
Samtidig skulle jeg også indsætte de før kopierede” Application ID’s” så de passede med de rigtige IPport.
netsh http add sslcert ipport=0.0.0.0:443 certhash=14bae9c801da96021b5d0a502e49dde47228b18a appid={4dc3e181-e14b-4a21-b022-59fc669b0914} certstorename=MY dsmapperusage=enable
netsh http add sslcert ipport=[::]:443 certhash=14bae9c801da96021b5d0a502e49dde47228b18a appid={1d40ebc7-1983-4ac5-82aa-1e17a7ae9a0e} certstorename=MY dsmapperusage=enable

Nedenstående billede viser at kommandoerne blev kørt igennem og “SSL certificate bindings” nu er ændret til mit GoDaddy SSL certifikat.

For at teste/force IP-HTTPS ude på en klient kørte jeg nedenstående kommandoer, som disabler “6to4” og “Teredo”.
netsh interface teredo set state disabled
netsh interface 6TO4 set state disabled

Jeg kørte til sidst kommandoen netsh interface httpstunnel show interface igen og kunne se, at der nu var hul igennem. Case closed….

Denne blog-post serie omkring UAG og DirectAccess er nu afsluttet.