Validér integriteten af ​​installationsmedier

I denne Spørg Admin, Vil jeg vise dig, hvordan du er sikker på, at kildemediet, du bruger til at installere software i din virksomhed, ikke er blevet manipuleret med.

I en tidligere Spørg Admin, Jeg talte om princippet om ren kilde, hvori det hedder, at et system kan være afhængigt af et højere tillidssystem, men ikke på et lavere tillidssystem. En del af implementeringen af ​​princippet er at bestemme systemerne for sikkerhed afhængigheder på hinanden, herunder servere, brugere, hardware og styringsværktøjer. Server- og pc-opsætning starter med installationskilden, f.eks. En downloadet fil eller fysisk medie.

Hvis medierne, der bruges til at installere eller opdatere software, er blevet ændret af en ondsindet skuespiller, vil den enhed, som softwaren installeres på, blive kompromitteret fra get-go sammen med alle systemer, der er afhængige af det. Så det er vigtigt at forstå, at installationsmedier også er en sikkerhedsafhængighed.

Anvend princippet om ren kilde til installationsmedier (billedkredit: Microsoft)

Anvend princippet om ren kilde til installationsmedier (billedkredit: Microsoft)

Det er bedste praksis at validere mediernes integritet, inden det bruges. Når integriteten er bekræftet, skal medierne opbevares på et sted, der er begrænset til systemer med samme eller højere tillid som de enheder, hvor softwaren vil blive installeret. For eksempel skal applikationsinstallatører beskyttes mod skriveadgang fra internetforbundne værter.

Certutil og Sigcheck

Det kan virke som overkill, men du bør kontrollere gyldigheden af ​​hver installationsfil, du downloader, snarere end at antage, at du har en ægte kopi. Filer kunne downloades fra et websted, der ser ud til at være sælgerens, men bliver faktisk omdirigeret til en ondsindet server. Dette er især vigtigt for missionskritiske systemer, såsom Windows Server.

I trinene nedenfor viser jeg dig, hvordan du genererer og sammenligner hashværdien af ​​to filer. En fils hashværdi er et fastlængdsnummer, der unikt identificerer filen. Du henter filen på to separate enheder og genererer hash for hver fil. Hvis hashværdien er den samme på begge filer, kan du være rimelig sikker på, at filen er ægte.

Generer en hashværdi ved hjælp af certutil (Billedkredit: Russell Smith)

Generer en Hash-værdi ved hjælp af Certutil (Billedkredit: Russell Smith)

  1. Download installationsfilen på to separate enheder, der er isoleret fra hinanden. Dvs. det er ikke forbundet til det samme netværk eller en del af samme arbejdsgruppe eller domæne. Enhederne skal være forbundet til forskellige internetforbindelser.
  2. Brug certutil, et kommandolinjeværktøj indbygget i Windows, for at generere en hash for filen på begge enheder.
certutil -hashfile "C: UsersPublicDownloadsMARSAgentInstaller.EXE"

Det kan lyde som en smerte at finde to enheder forbundet til forskellige internetforbindelser, men du kunne downloade filen hjemme og arbejde og derefter sammenligne hashværdierne.

Det er også værd at kontrollere filens digitale signatur. Ikke alle software er digitalt signeret. Men en underskrevet installationspakke hjælper dig med at validere filens ægthed og integritet. For at kontrollere detaljerne i en fils certifikat skal du downloade Microsofts SysInternals sigcheck kommandolinjeværktøj. Kommandoen nedenfor viser grundlæggende oplysninger om filens digitale signatur.

Brug SysInternals sigcheck til at se en fils digitale signatur (Billedkredit: Russell Smith)

Brug SysInternals Sigcheck til at se en fils digitale signatur (billedkredit: Russell Smith)

sigcheck "C: UsersPublicDownloadsMARSAgentInstaller.EXE"

I denne Spørg Admin, Jeg viste dig, hvordan du kontrollerer integriteten af ​​installationsmedier ved hjælp af certutil og sigcheck.

Stillingen Validér integriteten af ​​installationsmedier dukkede først på Petri.

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.