Tietoturvatiedotuksista

Yleisiä huomiota tietoturvatiedotteista

Microsoft tiedottaa tietoturvaan liittyvistä asioista, esimerkiksi julkaistuista tietoturvaan liittyvistä korjauksista sekä webin että sähköpostin välityksellä.

Tietoturvapäivitysten luokittelusta:
Tietoturvatiedotteissa käytetään luokitusta, jossa on neljä luokitustasoa. Ne ovat järjestyksessä Critical - Important - Moderate - Low (suomenkielisissä tiedotteissa käytetään termejä Kriittinen - Tärkeä - Keskitaso - Alhainen).
Katso tarkempia tietoja luokittelutasoista ja niiden kriteereistä 

Tietoturvatiedotteissa kerrotaan tiedotteen kuvaamien haavoittuvuuksien korkein luokitustaso. Tiedotteissa kuvattujen haavoittuvuuksien luokitustaso voi vaihdella eri tuoteversioiden välillä, ja osa haavoittuvuuksista ei välttämättä koske kaikkia tuoteversioita. Lisäksi luokitustaso saattaa olla myös erilainen eri haavoittuvuuksille, jos tiedotteessa kuvataan useita eri haavoittuvuuksia. Tarkemmat luokitustasot haavoittuvuuksittain ja versioittain löytyvät Executive summary -osiosta englanninkielisten tiedotteiden alussa.

Tuoteversioista:
Microsoft julkaisee korjauksia kullakin hetkellä tuetuille ohjelmistoversioille. Luettelo kunkin tuotteen, version ja Service Pack -tason tuesta ja sen päättymisestä löytyy osoitteesta www.microsoft.fi/elinkaari

Windows 98, 98SE ja ME-käyttöjärjestelmien tuki on päättynyt 31.3.2006, joten näihin käyttöjärjestelmäversioihin ei enää tehdä tietoturvakorjauksia.

Windows XP -käyttöjärjestelmän Service Pack 1:n tuki on päättynyt 10.10.2006. Windows XP:lle tehdään korjauksia ainoastaan Service Pack 2:lla varustettuihin järjestelmiin.

Windows NT 4.0 -käyttöjärjestelmän tuki on päättynyt, joten korjauksista ei ole saatavilla NT 4.0:lle tehtyjä versioita. Microsoft suosittelee, että Windows NT 4.0 -käyttöjärjestelmillä varustetut järjestelmät päivitetään uudempiin Windows-versioihin mahdollisimman nopeasti.

Windows 2000 -käyttöjärjestelmän Service Pack 3:n tuki päättyi 30. kesäkuuta 2005, joten korjauksista ei ole saatavilla Service Pack 3:lle tehtyjä versioita. Microsoft suosittelee, että Windows 2000 -käyttöjärjestelmillä varustetut järjestelmät päivitetään Service Pack 4 -tasolle mahdollisimman nopeasti.

Windows XP -käyttöjärjestelmän tuki Itanium-prosessoriin perustuvissa järjestelmissä päättyi 30. kesäkuuta 2005, joten korjauksista ei ole saatavilla Windows XP 64-Bit Edition (Itanium) -käyttöjärjestelmälle tehtyjä versioita. Microsoft tukee edelleen Windows Server 2003 -käyttöjärjestelmää Itanium-pohjaisissa järjestelmissä ja suosittelee, että järjestelmiin päivitetään tämä käyttöjärjestelmä.

Linkit korjauksiin kutakin versiota varten löytyvät englanninkielisistä tietoturvatiedotteista.

Työkaluista:
Kaikki Windows-käyttöjärjestelmää tai jotain sen komponenttia koskevien tiedotteiden korjaukset asentuvat yleensä Windows Update- ja Microsoft Update -sivuston, Auto Update -toiminnon avulla sekä Software Update Service- ja Windows Software Update Service -palvelujen avulla.

Kaikkien tiedotteiden korjaukset voidaan yleensä asentaa Systems Management Server -palvelimen (SMS) avulla. SMS:n yhteydessä voidaan käyttää joko MBSA-työkalua tai Security Update Inventory Tool -työkalua Windows-käyttöjärjestelmään liittyvien korjausten tunnistamista varten. Lisätietoja työkalun rajoituksista löytyy Microsoftin Knowledge Base -artikkelista osoitteessa http://support.microsoft.com/kb/306460 

Microsoft Baseline Security Analyzer -työkalu (MBSA) tunnistaa useimpiin tiedotteeseen liittyvät korjaukset. Huomautus: MBSA-työkalun käyttäjien kannattaa varmistaa, että käytössä on uusin versio 2.0. Lisätietoja MBSA-työkalusta ja sen käytöstä löytyy osoitteesta www.microsoft.com/technet/security/tools/mbsahome.mspx 

Muutamia yleisiä havaintoja:
Lisätietoja, erityisesti tarkempia teknisiä tietoja kustakin tiedotteesta löytyy kahdesta paikasta:

1. Kustakin tietoturvatiedotteesta on tarkka englanninkielinen tekninen kuvaus (esim. www.microsoft.com/technet/security/bulletin/MS05-016.mspx ), josta löytyy tietoja haavoittuvuudesta ja korjauksesta, järjestelmistä, joissa haavoittuvuus esiintyy, korjauksen käyttöönotosta SMS:n ja SUS:n avulla, analysoinnista esim. MBSA-työkalun avulla, mahdollisista tavoista pienentää haavoittuvuuden aiheuttamaa riskiä asentamatta korjausta jne.

2. Kuhunkin tiedotteeseen liittyy myös Knowledge Base -artikkeli, jonka numero on mainittu haavoittuvuuden otsikon perässä (esim. 893086). Artikkelit löytyvät Microsoftin tukisivustosta osoitteesta http://support.microsoft.com/kb/artikkelin_numero.

Osa tietoturvatiedotteista koskee ns. Remote Code Execution -tyyppisiä haavoittuvuuksia, joissa vihamielinen hyökkääjä voi etäältä aiheuttaa haluamansa ohjelmakoodin suorittamisen kohteena olevassa järjestelmässä, ja ohjelmakoodi suoritetaan joko järjestelmään kirjautuneen käyttäjän käyttöoikeuksilla tai sen käyttäjän käyttöoikeuksilla, jonka turvin kyseinen palvelu on käynnistetty. Tästä syystä on tärkeää, että käyttäjillä (ja myös palveluiden käynnistämiseen käytettävillä tunnuksilla) on normaalikäytössä mahdollisimman vähän oikeuksia käytössään, eli käyttäjä ei esimerkiksi kuulu paikalliseen Järjestelmänvalvojat-ryhmään (Administrators). On suositeltavaa määrittää käyttäjä aina tavalliseksi käyttäjäksi, ja antaa hänelle esim. Järjestelmänvalvojan käyttöoikeudet niin, että niitä käytetään ainoastaan tarvittaessa (esimerkiksi Run As -toiminnon avulla).

Joissakin tiedotteissa mainitaan Internet Explorerin vyöhykkeet eli zonet. Vyöhykkeitä voidaan ja kannattaa käyttää erilaisten tietoturvamääritysten tekemiseen erityyppisille sivustoille (luotetut sivustot, muut Internet-sivustot, rajoitetut sivustot jne). Lisätietoja vyöhykkeiden käytöstä ja määrittämisestä esim. Active Directoryn Group Policy –määritysten avulla löytyy dokumentista Managing Internet Explorer Security Configuration  sekä erityisesti Windows XP:n Service Pack 2:n tapauksessa dokumentista Managing Windows XP Service Pack 2 Features Using Group Policy 

Internet Explorerin vyöhykkeiden lisäksi kannattaa käyttää myös Outlook- ja Outlook Express -sähköpostiohjelmien toimintoja, joilla rajoitetaan HTML-muotoisten sähköpostiviestien näyttöä. HTML-viestit voidaan kummassakin sähköpostiohjelmassa määrittää näytettäväksi niin, että viestistä näytetään ainoastaan teksti - HTML-koodin joukkoon kirjoitettuja komentojonoja ja ActiveX-komponentteja ei suoriteta, viestin ulkopuolelle, esim. Johonkin ulkoiseen palvelimeen tallennettuja kuvia ei haeta, jne.
Lisätietoja löytyy osoitteista http://office.microsoft.com/assistance/preview.aspx?AssetID=HA010347501033&CTT=98#Outlook  (Outlook) ja http://support.microsoft.com/default.aspx?ID=FH;EN-US;oex  (Outlook Express).