Mengesahkan Integriti Media Pemasangan

Di dalam ini Tanya Pentadbir, Saya akan menunjukkan kepada anda bagaimana untuk memastikan media sumber yang anda gunakan untuk memasang perisian dalam perniagaan anda tidak diganggu.

Dalam sebelumnya Tanya Pentadbir, Saya bercakap tentang prinsip sumber bersih, yang menyatakan bahawa sistem boleh bergantung kepada sistem amanah yang lebih tinggi tetapi tidak pada sistem amanah yang lebih rendah. Sebahagian daripada pelaksanaan prinsip ini adalah untuk menentukan sistem dependensi keselamatan yang ada pada satu sama lain, termasuk pelayan, pengguna, perkakasan, dan alat pengurusan. Persediaan pelayan dan PC bermula dengan sumber pemasangan, seperti fail yang dimuat turun atau media fizikal.

Sekiranya media yang digunakan untuk memasang atau mengemas kini perisian telah diubahsuai oleh pelaku yang berniat jahat, maka peranti yang dipasang perisian akan dikompromikan daripada get-go, bersama-sama dengan mana-mana sistem yang bergantung kepadanya. Jadi, penting untuk memahami bahawa media pemasangan juga merupakan pergantungan keselamatan.

Memohon prinsip sumber bersih kepada media pemasangan (Image Credit: Microsoft)

Memohon Prinsip Sumber Bersih untuk Media Pemasangan (Kredit Imej: Microsoft)

Amalan terbaik untuk mengesahkan integriti media sebelum digunakan. Setelah integriti telah disahkan, media harus disimpan di lokasi yang dibatasi pada sistem dengan tingkat kepercayaan yang sama atau lebih tinggi sebagai perangkat di mana perangkat lunak akan dipasang. Sebagai contoh, pemasang aplikasi harus dilindungi daripada akses tulis dari hos yang disambungkan ke Internet.

Certutil dan Sigcheck

Ia mungkin kelihatan seperti berlebihan tetapi anda harus menyemak kesahan setiap fail pemasang yang anda muatkan daripada menganggap anda mempunyai salinan asli. Fail boleh dimuat turun dari tapak yang nampaknya menjadi vendor tetapi, sebenarnya, dialihkan ke pelayan berniat jahat. Ini amat penting untuk sistem kritikal misi, seperti Windows Server.

Dalam langkah-langkah di bawah, saya akan menunjukkan kepada anda bagaimana untuk menghasilkan dan membandingkan nilai hash dua fail. Nilai hash fail adalah nombor tetap tetap yang unik mengenal pasti fail. Anda akan memuat turun fail pada dua peranti berasingan dan menjana hash untuk setiap fail. Sekiranya nilai hash adalah sama pada kedua-dua fail, anda pasti dapat memastikan bahawa fail itu asli.

Menjana nilai hash menggunakan certutil (Kredit Imej: Russell Smith)

Menjana Nilai Hash Menggunakan Certutil (Kredit Imej: Russell Smith)

  1. Muat turun fail pemasang pada dua peranti berasingan yang terpencil dari satu sama lain. Iaitu tidak disambungkan ke rangkaian yang sama atau sebahagian daripada kumpulan kerja atau domain yang sama. Peranti harus disambungkan ke sambungan Internet yang berbeza.
  2. Penggunaan certutil, alat baris arahan dibina ke dalam Windows, untuk menghasilkan hash untuk fail pada kedua-dua peranti.
certutil -hashfile "C: UsersPublicDownloadsMARSAgentInstaller.EXE"

Ia mungkin terdengar seperti kesakitan untuk mencari dua peranti yang disambungkan ke sambungan Internet yang berbeza tetapi anda boleh memuat turun fail di rumah dan bekerja dan kemudian bandingkan nilai hash.

Ia juga bernilai memeriksa tandatangan digital fail. Bukan semua perisian ditandatangani secara digital. Tetapi pakej pemasang yang ditandatangani membantu anda mengesahkan kesahihan dan integriti fail. Untuk menyemak butiran sijil fail, muat turun SysInternals Microsoft sigcheck alat baris arahan. Perintah di bawah akan memaparkan maklumat asas mengenai tandatangan digital fail.

Menggunakan sigma SysInternals untuk melihat tandatangan digital fail (Image Credit: Russell Smith)

Menggunakan SysInternals Sigcheck untuk Melihat Tanda Tangan Digital Fail (Image Credit: Russell Smith)

sigcheck "C: UsersPublicDownloadsMARSAgentInstaller.EXE"

Di dalam ini Tanya Pentadbir, Saya menunjukkan kepada anda bagaimana untuk memeriksa integriti media pemasangan menggunakan certutil dan sigcheck.

Jawatan Mengesahkan Integriti Media Pemasangan muncul pertama pada Petri.

Sila tinggalkan balasan anda

Laman web ini menggunakan Akismet untuk mengurangkan spam. Ketahui bagaimana data komen anda diproses.