Deployment of the Microsoft Windows Malicious Software Removal Tool in an enterprise environment (Thai version)
Win32/Conficker.B worm ระบาดในองค์กรซึ่งจะส่งผลกระทบกับระบบค่อนข้างมาก
ผมจึงศึกษาหาข้อมูลเพื่อหาแนวทางแก้ไข รายละเอียดเป็นดังนี้
Virus alert about the Win32/Conficker.B worm
เก็บ Log จาก Application Microsoft Windows Malicious Software Removal Tool
Deployment of the Microsoft Windows Malicious Software Removal Tool in an enterprise environment
1. Set up share folder ใน Share server โดยใช้ชื่อ share ว่า ShareName.
2. สร้าง Command code ไว้สำหรับ Run ที่ Client โดย Save ไว้ในชื่อ RunMRT.cmd
REM In this example, the script is named RunMRT.cmd.
REM The Sleep.exe utility is used to delay the execution of the tool when used as a
REM startup script. See the "Known issues" section for details.
@echo off
call \\ServerName\ShareName\Sleep.exe 5
Start /wait \\ServerName\ShareName\Windows-KB890830-V2.6.exe /q
copy %windir%\debug\mrt.log \\ServerName\ShareName\Logs\%computername%_%username%_mrt.log
โดยการทำงานของ Code เป็นดังนี้
* Runs Application Microsoft Windows Malicious Software Removal Tool ใน Mode silent (มองไม่เห็นขณะ Script ทำงาน)
* Copy log file ไปเก็บที่ Share server ที่เตรียมไว้
* กำหนดชื่อ log file ด้วยชื่อคอมพิวเตอร์ ตามที่ Tool อ่านค่าได้ ตามด้วยชื่อ user name ที่กำลังใช้งานอยู่
**ข้อสำคัญคือคุณต้อง set sharing permission ที่ Share server ให้ถูกต้องก่อนทำการ Run script**
3.กำหนดค่า share permissions และ NTFS file system permissions:
* Share permissions:
a. เพิ่ม domain user account ที่มีสิทธิในการ manage share folder แล้วกำหนดสิทธิให้เป็น Full Control.
b. เอา Everyone group ออก.
c. ในกรณีที่คุณใช้ computer startup script ให้ใส่ Domain Computers group เข้าไปด้วยโดยให้สิทธิเป็น Change and Read.
d. ในกรณีที่คุณใช้ logon script ให้ใส่ Authenticated Users group เข้าไปด้วย โดยให้สิทธิเป็น Change and Read.
* NTFS permissions:
a. เพิ่ม domain user account ที่มีสิทธิในการ managing share folder แล้วกำหนดสิทธิให้เป็น Full Control.
b. เอา Everyone group ออก.
Note กรณีที่มี error message ขณะที่คุณเอา Everyone group ออก ให้ click Advanced บน Security tab และเอาเครื่องหมายถูกออกจาก Check boxAllow inheritable permissions from parent to propagate to this object.
c. ถ้าคุณใช้ computer startup script ให้สิทธิ Domain Computers group Read & Execute permissions, List Folder Contents permissions, and Read permissions.
d.ถ้าคุณใช้ logon script method ให้สิทธิ Authenticated Users group Read & Execute permissions, List Folder Contents permissions, and Read permissions.
4. ใน ShareName folder, สร้าง folder ใหม่โดยใช้ชื่อว่า "Logs"
folder นี้จะเป็นที่เก็บ log file ที่ถูกสร้างขึ้นหลังจาก Tool run บน Client เรียบร้อยแล้ว
5. configure NTFS permissions ให้กับ Folder "Logs" folder.
Note อย่าเปลี่ยน Share permissions ในขณะทำข้อนี้.
a. เพิ่ม domain user account ที่มีสิทธิในการ managing share folder แล้วกำหนดสิทธิให้เป็น Full Control.
b. ถ้าคุณใช้ computer startup script ให้สิทธิ Domain Computers group Read & Execute permissions, List Folder Contents permissions, and Read permissions.
c.ถ้าคุณใช้ logon script method ให้สิทธิ Authenticated Users group Read & Execute permissions, List Folder Contents permissions, and Read permissions.
การ Deploy policy
*ในกรณีนี้จะขอพูดถึงเฉพาะการ Deploy ผ่าน Group Policy เท่านั้น*
การ Deploy Policy ผ่าน Group Policy-based computer startup script
วิธีนี้ต้อง Restart เครื่อง Computer หลังจาก setup script และทำการ Apply Group Policy เรียบร้อยแล้ว.
1. Set up shares server ตามวิธีการด้านบน.
2. Set up startup script.
2.1 ใน Active Directory Users and Computers MMC snap-in, คลิ๊กขวาที่ domain name, แล้ว click Properties.
2.2 Click Group Policy tab.
2.3 Click New เพื่อสร้าง new Group Policy object (GPO),แล้วพิมพ์ฺ MRT Deployment เป็นชื่อของ policy.
2.4 Click ที่ policy ที่สร้างขึ้นใหม่ แล้วเลือก Edit.
2.5เลือก Windows Settings ในส่วนของ Computer Configuration แล้ว click Scripts.
2.6 Double-click Logon แล้ว click Add.
2.7 ใน Script Name box ให้พิมพ์ \\ServerName\ShareName\RunMRT.cmd.
2.8 Click OK แล้ว click Apply.
3. Restart client computers ที่เป็น members ภายใน domain.
การ Deploy Policy ผ่าน Group Policy-based user logon script
วิธีนี้ logon user account ต้องมีสิทธิ(อยู่ในกรุ๊ป) Administrator บน client computer ด้วย.
1. Set up shares server ตามวิธีการด้านบน.
2. Set up logon script.
1. ในActive Directory Users and Computers MMC snap-in, คลิ๊กขวาที่ domain name, แล้ว click Properties.
2. Click ที่ Group Policy tab.
3. Click New เพื่อสร้าง GPO ใหม่และใส่ชื่อเป็น MRT Deployment.
4. Click the ที่ policy ที่สร้างขึ้นใหม่ แล้วเลือก Edit.
5. เลือก Windows Settings ในส่วนของ User Configuration แล้ว click Scripts.
6. Double-click Logon, แล้ว click Add.
7. ใน Script Name box,ให้พิมพ์ \\ServerName\ShareName\RunMRT.cmd.
8. Click OK,แล้ว click Apply.
3. Log off แล้ว log on ใหม่.
**วิธีนี้ตัว Script และ Tool จะ Run ภายใต้สภาพแวดล้อมของ user ที่ logon ซึ่งถ้าหาก User ไม่มีสิทธิ Local Administrator หรือสิทธิที่เทียบเคียงกันที่เพียงพอ Tool จะไม่สามารถ Run และส่งค่าที่ถูกต้องกลับมาได้**
ค่า Return Code
0 = No infection found
1 = OS Environment Error
2 = Not running as an Administrator
3 = Not a supported OS
4 = Error Initializing the scanner. (Download a new copy of the tool)
5 = Not used
6 = At least one infection detected. No errors.
7 = At least one infection was detected, but errors were encountered.
8 = At least one infection was detected and removed, but manual steps are required for a complete removal.
9 = At least one infection was detected and removed, but manual steps are required for complete removal and errors were encountered.
10 = At least one infection was detected and removed, but a restart is required for complete removal
11 = At least one infection was detected and removed, but a restart is required for complete removal and errors were encountered
12 = At least one infection was detected and removed, but both manual steps and a restart is required for complete removal.
13 = At least one infection was detected and removed, but a restart is required. No errors were encountered.
ผมจึงศึกษาหาข้อมูลเพื่อหาแนวทางแก้ไข รายละเอียดเป็นดังนี้
Virus alert about the Win32/Conficker.B worm
เก็บ Log จาก Application Microsoft Windows Malicious Software Removal Tool
Deployment of the Microsoft Windows Malicious Software Removal Tool in an enterprise environment
1. Set up share folder ใน Share server โดยใช้ชื่อ share ว่า ShareName.
2. สร้าง Command code ไว้สำหรับ Run ที่ Client โดย Save ไว้ในชื่อ RunMRT.cmd
REM In this example, the script is named RunMRT.cmd.
REM The Sleep.exe utility is used to delay the execution of the tool when used as a
REM startup script. See the "Known issues" section for details.
@echo off
call \\ServerName\ShareName\Sleep.exe 5
Start /wait \\ServerName\ShareName\Windows-KB890830-V2.6.exe /q
copy %windir%\debug\mrt.log \\ServerName\ShareName\Logs\%computername%_%username%_mrt.log
โดยการทำงานของ Code เป็นดังนี้
* Runs Application Microsoft Windows Malicious Software Removal Tool ใน Mode silent (มองไม่เห็นขณะ Script ทำงาน)
* Copy log file ไปเก็บที่ Share server ที่เตรียมไว้
* กำหนดชื่อ log file ด้วยชื่อคอมพิวเตอร์ ตามที่ Tool อ่านค่าได้ ตามด้วยชื่อ user name ที่กำลังใช้งานอยู่
**ข้อสำคัญคือคุณต้อง set sharing permission ที่ Share server ให้ถูกต้องก่อนทำการ Run script**
3.กำหนดค่า share permissions และ NTFS file system permissions:
* Share permissions:
a. เพิ่ม domain user account ที่มีสิทธิในการ manage share folder แล้วกำหนดสิทธิให้เป็น Full Control.
b. เอา Everyone group ออก.
c. ในกรณีที่คุณใช้ computer startup script ให้ใส่ Domain Computers group เข้าไปด้วยโดยให้สิทธิเป็น Change and Read.
d. ในกรณีที่คุณใช้ logon script ให้ใส่ Authenticated Users group เข้าไปด้วย โดยให้สิทธิเป็น Change and Read.
* NTFS permissions:
a. เพิ่ม domain user account ที่มีสิทธิในการ managing share folder แล้วกำหนดสิทธิให้เป็น Full Control.
b. เอา Everyone group ออก.
Note กรณีที่มี error message ขณะที่คุณเอา Everyone group ออก ให้ click Advanced บน Security tab และเอาเครื่องหมายถูกออกจาก Check boxAllow inheritable permissions from parent to propagate to this object.
c. ถ้าคุณใช้ computer startup script ให้สิทธิ Domain Computers group Read & Execute permissions, List Folder Contents permissions, and Read permissions.
d.ถ้าคุณใช้ logon script method ให้สิทธิ Authenticated Users group Read & Execute permissions, List Folder Contents permissions, and Read permissions.
4. ใน ShareName folder, สร้าง folder ใหม่โดยใช้ชื่อว่า "Logs"
folder นี้จะเป็นที่เก็บ log file ที่ถูกสร้างขึ้นหลังจาก Tool run บน Client เรียบร้อยแล้ว
5. configure NTFS permissions ให้กับ Folder "Logs" folder.
Note อย่าเปลี่ยน Share permissions ในขณะทำข้อนี้.
a. เพิ่ม domain user account ที่มีสิทธิในการ managing share folder แล้วกำหนดสิทธิให้เป็น Full Control.
b. ถ้าคุณใช้ computer startup script ให้สิทธิ Domain Computers group Read & Execute permissions, List Folder Contents permissions, and Read permissions.
c.ถ้าคุณใช้ logon script method ให้สิทธิ Authenticated Users group Read & Execute permissions, List Folder Contents permissions, and Read permissions.
การ Deploy policy
*ในกรณีนี้จะขอพูดถึงเฉพาะการ Deploy ผ่าน Group Policy เท่านั้น*
การ Deploy Policy ผ่าน Group Policy-based computer startup script
วิธีนี้ต้อง Restart เครื่อง Computer หลังจาก setup script และทำการ Apply Group Policy เรียบร้อยแล้ว.
1. Set up shares server ตามวิธีการด้านบน.
2. Set up startup script.
2.1 ใน Active Directory Users and Computers MMC snap-in, คลิ๊กขวาที่ domain name, แล้ว click Properties.
2.2 Click Group Policy tab.
2.3 Click New เพื่อสร้าง new Group Policy object (GPO),แล้วพิมพ์ฺ MRT Deployment เป็นชื่อของ policy.
2.4 Click ที่ policy ที่สร้างขึ้นใหม่ แล้วเลือก Edit.
2.5เลือก Windows Settings ในส่วนของ Computer Configuration แล้ว click Scripts.
2.6 Double-click Logon แล้ว click Add.
2.7 ใน Script Name box ให้พิมพ์ \\ServerName\ShareName\RunMRT.cmd.
2.8 Click OK แล้ว click Apply.
3. Restart client computers ที่เป็น members ภายใน domain.
การ Deploy Policy ผ่าน Group Policy-based user logon script
วิธีนี้ logon user account ต้องมีสิทธิ(อยู่ในกรุ๊ป) Administrator บน client computer ด้วย.
1. Set up shares server ตามวิธีการด้านบน.
2. Set up logon script.
1. ในActive Directory Users and Computers MMC snap-in, คลิ๊กขวาที่ domain name, แล้ว click Properties.
2. Click ที่ Group Policy tab.
3. Click New เพื่อสร้าง GPO ใหม่และใส่ชื่อเป็น MRT Deployment.
4. Click the ที่ policy ที่สร้างขึ้นใหม่ แล้วเลือก Edit.
5. เลือก Windows Settings ในส่วนของ User Configuration แล้ว click Scripts.
6. Double-click Logon, แล้ว click Add.
7. ใน Script Name box,ให้พิมพ์ \\ServerName\ShareName\RunMRT.cmd.
8. Click OK,แล้ว click Apply.
3. Log off แล้ว log on ใหม่.
**วิธีนี้ตัว Script และ Tool จะ Run ภายใต้สภาพแวดล้อมของ user ที่ logon ซึ่งถ้าหาก User ไม่มีสิทธิ Local Administrator หรือสิทธิที่เทียบเคียงกันที่เพียงพอ Tool จะไม่สามารถ Run และส่งค่าที่ถูกต้องกลับมาได้**
ค่า Return Code
0 = No infection found
1 = OS Environment Error
2 = Not running as an Administrator
3 = Not a supported OS
4 = Error Initializing the scanner. (Download a new copy of the tool)
5 = Not used
6 = At least one infection detected. No errors.
7 = At least one infection was detected, but errors were encountered.
8 = At least one infection was detected and removed, but manual steps are required for a complete removal.
9 = At least one infection was detected and removed, but manual steps are required for complete removal and errors were encountered.
10 = At least one infection was detected and removed, but a restart is required for complete removal
11 = At least one infection was detected and removed, but a restart is required for complete removal and errors were encountered
12 = At least one infection was detected and removed, but both manual steps and a restart is required for complete removal.
13 = At least one infection was detected and removed, but a restart is required. No errors were encountered.