Postów otagowanych Bezpieczeństwo

Offline Domain Joining, Wirtualne maszyny i DATA_BLOB

0
1 rok temu
przez Kamil Skalski w ,

Kontynuując cykl przedstawiający nowe rozwiązania Windows Server 2008 R2 dzisiaj przyszła kolej na bezpołączeniowe przyłączenie komputera do domeny (offline domain joining). Jest to nowe rozwiązanie pozwalające na utworzenie konta komputera w Active Directory i przeniesienie informacji o domenie do komputera, który ma stać się członkiem domeny.

Pierwszym etapem jest zarejestrowanie konta w domenie i jednocześnie utworzenie pliku odpowiedzi, za pomocą którego zostaną przekazane informacje do nie podłączonego do sieci komputera (z systemem operacyjnym Windows 7 lub Windows Server 2008 R2). Wykonuje się to poleceniem: DJOIN /PROVISION /DOMAIN skalski.info /MACHINEOU „OU=Test Lab,DC=skalski,DC=info” /MACHINE off-client1 /SAVEFILE c:\off-client1.djoin

off2 300x89

Polecenie djoin pozwala zarówno na utworzenie pliku odpowiedzi jak i jego wykorzystanie do bezpołączeniowego przyłączenia stacji do domeny. Najważniejszymi parametrami są:

  • PROVISION - określa rezerwacje dla konta komputera w domenie według podanych dalej parametrów
  • DOMAIN – wskazuje na domenę do jakiej zostanie przyłączony komputer
  • MACHINEOU – definiuje położenie konta komputera w strukturze jednostek organizacyjnych
  • MACHINE – nadaje nazwę komputerowi, który zostanie podłączony. Uwaga: przyłączany komputer zmieni swoją nazwę na podaną w tym parametrze
  • SAVEFILE – określa ścieżkę w jakiej zostanie utworzony plik odpowiedzi służący dalej do podłączenia komputera docelowego

Kolejnym krokiem jest przeniesienie utworzonego wcześniej pliku odpowiedzi (w tym przypadku off-client1.djoin) do komputera docelowego oraz jego użycie. Wykonuje się to poleceniem: DJOIN /REQUESTODJ /LOADFILE c:\off-client1.djoin /LOCALOS /WINDOWSPATH C:\Windows

off3 300x72

Wynikiem wykonania ww. polecenia jest przekazanie stacji informacji o jej członkostwie w domenie. By zakończyć ten proces należy ponownie uruchomić komputer. Parametry zastosowane w poleceniu oznaczają:

  • REQUESTODJ – wykonuje żądanie bezpołączeniowego przyłączenia do domeny
  • LOADFILE – wskazuje ścieżkę do pliku odpowiedzi
  • LOCALOS - pozwala na wskazanie jako cel obecnie uruchomiony system operacyjny
  • WINDOWSPATH – wskazuje ścieżkę do folderu systemowego podłączanej stacji

Warto zwrócić uwagę na scenariusz przygotowania maszyn wirtualnych z wykorzystaniem tej metody:

  1. Przygotowujemy plik odpowiedzi
  2. Podłączamy dysk wirtualny maszyny, która ma zostać członkiem domeny
  3. Wykonujemy przyłączenie podając jako WINDOWSPATH ścieżkę do folderu systemu zainstalowanego na wirtualnym dysku

Ostatnią kwestią jaką należy poruszyć jest bezpieczeństwo tego rozwiązania. Plik odpowiedzi zwiera w sobie liczne informacje, które powinny być odpowiednio chronione. Matthieu Suiche stworzył narzędzie (dinfo.exe), które dekoduje plik odpowiedzi i ujawnia informacje zawarte w DATA_BLOB.

off4 300x257

Warto zwrócić szczególną uwagę na hasło w polu lpMachinePassword, nazwy domeny i lasu oraz liczne informacje o polisach i identyfikatorach.

Bitlocker vs Admin Share

2
2 lata temu
przez Kamil Skalski w

Ostatnio dość często mówi się o bezpieczeństwie zaszyfrowanych danych, jednym z ciekawych wątków jest aspekty automatycznego udostępniania zaszyfrowanych dysków przez udziały administracyjne. Przykładowo przenośny dysk został zaszyfrowany za pomocą Bitlocker to Go, po przyłączeniu do komputera zostaje on automatycznie udostępniony jako np. x$. Po odszyfrowaniu każda osoba posiadające uprawnienia może  przeglądać jego zawartość poprzez \\nazwa_serwera\x$. By wyłączyć takie zdarzenia (np. Windows 7) wymagane jest dodanie nowego klucza DWORD (32-bit) o nazwie AutoShareWks z wartością 0 w ścieżce Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters.Powyższa operacja na stałe wyłącza udziały administracyjne.

Błąd w SMB2.0 jeszcze bardziej niebezpieczny…

0
2 lata temu
przez Kamil Skalski w

7 września Laurent Gaffié na swoim blogu opublikował kod pozwalający na atak skutkujący B.S.O.D., wkrótce po tym utworzony został exploit pozwalający na wykorzystanie luki do zdalnego wykonania kodu. Kod wykorzystujący błąd negocjacji smb2.0 został przetworzony na wiele języków (python, c# itp.) oraz jako moduł do aplikacji typu Metasploit.

Komponent odpowiedzialny za lukę to srv2.sys, podprogram w nim zawarty po otrzymaniu żądania ustanowienia właściwej komunikacji (NEGOTIATE PROTOCOL REQUEST) kończy swoją pracę powodując wystąpienie błędu systemowego PAGE_FAULT_IN_NONPAGED_AREA.

Zagrożone są wszystkie nowe systemy wykorzystujące SMB2.0 (zarówno Windows Client jak i Windows Server) łącznie z najnowszymi ich wersjami np. Windows 7.

Na tą chwile jedyna możliwa obron to wyłączenie udostępniania lub użycie narzędzia FixIt (KB975497) opublikowanego 17 września przez Microsoft  wyłączający smb2.0.

BitLocker to Go

0
2 lata temu
przez Kamil Skalski w

Coraz częstsze przypadki wycieku danych na zewnętrznych nośnikach takich jak PenDrive spowodowały konieczność lepszego ich zabezpieczania, jednym z takich rozwiązań jest BitLocker to Go, aby skorzystać z jego funkcji kryptograficznych należy wybrać menu Bitlocker Drive Encrytpion w Control Panel, a następnie przy dysku który ma zostać zaszyfrowany wybrać opcję „Turn on BitLocker”.

bitlock1 300x210

Konieczne jest wybranie czy do uzyskania dostępu użytkownik będzie wykorzystywał hasło czy też kartę elektroniczną (smart card).

bitlock2 300x231

Odzyskanie danych w przypadku utraty karty elektronicznej lub hasła odbywa się na podstawie klucza odzyskiwania, który można zapisać do pliku lub wydrukować, środowiska firmowe mogą wykorzystać do odzyskiwania Active Directory jeśli będzie ono przechować klucz odzyskiwania.

bitlock3 300x231

Pozostaje już tylko potwierdzić chęć zaszyfrowania dysku…

bitlock4 300x231

Proces szyfrowania w zależności od wielkości dysku trwa od kilku minut do kilku godzin, w przypadku pendrive wielkości 4GB szyfrowanie trwało ok. 5min.

bitlock5 300x188

Po podłączeniu urządzenia zaszyfrowanego BitLocker to Go, pojawia się komunikat z żądaniem podania hasła, gdy zostanie podane poprawne hasło dalsza praca z urządzeniem odbywa się normalnie.

bitlock6 300x248

W przypadku utraty hasła można uzyskać tymczasowy dostęp do urządzenia  np. w celu zmiany hasła, odbywa się to poprzez wybór opcji „i forgot my password”, po czym pojawi się kolejne okno pozwalające na wybór metody odzyskiwania – warto zwrócić uwagę, że BitLocker to Go obsługuje wyłącznie wpisanie klucza odzyskiwania.

bitlock7 300x248

Poniższy screen przedstawia przykładowy plik zawierający klucz odzyskiwania oraz identyfikator takiego klucza.

bitlock8 300x118

Poprawna weryfikacja klucza odzyskiwania pozwala na uzyskanie tymczasowego dostępu do urządzenia.

bitlock9 300x248

Dalsze czynności związane są z konsolą zarządzania BitLocker to Go dla danego urządzenia, w przypadku dostępu w trybie odzyskiwania kolejnym krokiem może być np. zmiana hasła.

bitlock10 300x231

Biometryka w Windows 7

0
2 lata temu
przez Kamil Skalski w

Coraz częściej używana biometryka np. badanie linii papilarnych została wsparta przez Windows 7. Dotychczas do obsługi urządzeń (zewnętrznych lub tych zintegrowanych) konieczna była instalacja specjalnego oprogramowania, Windows 7 posiada własne rozwiązanie przeznaczone do pracy z urządzeniami biometrycznymi.

bio1 300x125

Dostęp do ustawień – rejestracji własnych odcisków i wykorzystania ich, jako alternatywnej metody logowania, jest dostępny zarówno z poziomu panelu sterownia w sekcji Biometric Devices lub z poziomu ustawień kont użytkowników.

Pierwszym krokiem do rejestracji swoich danych biometrycznych jest potwierdzenie uprawnień do tej czynności czyli, weryfikacja hasła użytkownika.

bio2 300x225

Po poprawnej weryfikacji dostępny jest panel, w którym należy wybrać palec do zeskanowania.

bio3 300x225

Do poprawnego odczytu danych o liniach papilarnych konieczne jest kilku krotne zeskanowanie tego samego palca.

bio4 300x201

Po zakończeniu procesu skanowania i zapisaniu danych można już cieszyć się logowaniem z użyciem czytnika linii papilarnych, bez wpisywania hasła (którym także można się wciąż zalogować).

bio5 300x225

Online ID w Windows 7

0
2 lata temu
przez Kamil Skalski w

Użytkownicy Windows 7 mogą dodawać do swojego konta informację o swojej tożsamości online, funkcja ta nosi nazwę Online ID i jest dostępna z poziomu zarządzania kontem użytkownika.

Jak to zrobić?

We właściwościach konta użytkownika należy wybrać opcję Link online ID’s.

7057 online id1 300x192

Aby móc przechowywać swoją tożsamość online konieczne jest wcześniejsze zainstalowanie providera danej usługi w systemie – dodanie nowego providera odbywa się przez wybór Add an online ID provider.

7057 online id2 300x192

Aktualnie dostępny jest tylko provider dla Windows Live, który należy pobrać ze strony i zainstalować.

7057 online id3 300x193

Lista zainstalowanych providerów zaktualizuje się automatycznie po zakończeniu instalacji.

7057 online id4 300x193

Dodanie nowej tożsamości online odbywa się poprzez wypełnienie odpowiedniego formularza, a następnie weryfikację poprawności wykonywaną online.

7057 online id5 265x300

Konfiguracja klienta Network Access Protection przez GPO

0
3 lata temu
przez Kamil Skalski w

Mechanizm ochrony sieci Network Access Protection w Windows Server 2008 wzbudził spore zainteresowanie oraz wywołał ogromną ilość pytań. Większość z nich dotyczy konfiguracji klienta oraz sposobów ułatwienia pracy z tym mechanizmem.

Jako, że jestem zwolennikiem ułatwiania sobie pracy przygotowałem listę zawierającą ścieżki istotnych ustawień w GPO przydatnych w konfiguracji NAP.

Do poprawnego działania Network Access Protection wymaga by w systemie klienckim włączone zostało Centrum zabezpieczeń:

Computer Configuration\Administrative Templates\Windows Components\Security Center
Opcja: Turn On Security Center (Domain PCs Orly)
Ustawienie Enabled

Aby system kliencki mógł poprawnie komunikować się z serwerami architektury NAP należy włączyć (skonfigurować automatyczny start usługi) usługę Agenta stacji klienckiej:

Computer Configuration\Policies\Windows Settings\Security Settings\System Services\
Opcja: Network Access Protection Agent
Ustawienie Automatic

Konfiguracja ustawień Klienta NAP w celu konfiguracji rodzaju wymuszenia, interfejsu, HRA:

Określenie rodzaju stosowanego wymuszenia

Computer Configuration\Policies\Windows Settings\Network Access Protection

\NAP Client Configuration
Opcja: \Enforcement Clients\
Ustawienie: Enabled this enforcement client
Uwagi: konfiguracji należy dokonać dla każdego, używanego rodzaju wymuszenia

Konfiguracja interfejsu użytkownika

Computer Configuration\Policies\Windows Settings\Network Access Protection

\NAP Client Configuration
Opcja: \User Interface Settings\
Ustawienie: Title, Description Image
Uwagi: należy zdefiniować poszczególne elementy interfejsu użytkownika

Definiowanie ustawień kryptograficznych

Computer Configuration\Policies\Windows Settings\Network Access Protection

\NAP Client Configuration
Opcja: \Health Registration Settings\Request Policy\
Ustawienie: Hash Algorithm, Cryptographic Service Provider
Uwagi: należy wybrać algorytm oraz dostawce usług kryptograficznych, których użyje klient do komunikacji z HRA (Health Registration Authority)

Tworzenie grup zaufanych serwerów HRA

Computer Configuration\Policies\Windows Settings\Network Access Protection

\NAP Client Configuration
Opcja: \Health Registration Settings\Trusted Server Group\
Ustawienie: Group Name, Server
Uwagi: należy określić zaufaną grupę (grupy) serwerów – konfiguracja z użyciem kreatoraścieżki do serwera należy definiować w następujący sposób:
https://nazwa_serwera.domena/domainhra/hcsrvext.dll
https://nazwa_serwera.domena/nondomainhra/hcsrvext.dll

Network Access Protection i Linux

0
3 lata temu
przez Kamil Skalski w

Gdy rozmawiałem z różnymi osobami o Network Access Protection w Windows Server 2008 padały różne pytania, także to czy możliwa jest współpraca z systemami innych producentów niż Microsoft. Taka współpraca jest możliwa jednak w ograniczonym zakresie jeśli chodzi o mechanizmy wymuszające ograniczenie dostępu do sieci klientom nie posiadającym certyfikatów zdrowia. W przypadku systemów Linux wspierany jest tylko jeden mechanizm wymuszający – uwierzytelnienie 802.1x. Kolejnym ograniczeniem są także edycje systemu Linux wspierane przez Agenta NAP:

  • Redhat Enterprise Linux 5
  • CentOS 5
  • Fedora Core 6
  • SUSE Linux 10.x

(Nowsze edycje tych systemów także powinny poprawnie współpracować)

Drugim elementem wymaganym w tym rozwiązaniu jest Linux NAP System Health Validator (SHV) dla Microsoft NPS (Network Policy Server), czyli składnik przeznaczony do instalacji na serwerze w celu poprawnego wspierania Agenta NAP systemu Linux.

Jakie elementy można monitorować z wykorzystaniem Network Access Protection dla Linux ?

  • Status Firewall
  • Stan usług
  • Działanie programu antywirusowego

Możliwe jest oczywiście zastosowanie mechanizmów automatycznej korekty pozwalające na: włączenie firewalla oraz otwarcie lub blokadę portów, uruchomienie lub zatrzymanie usługi, włączenie programu antywirusowego…

Oba składniki można pograć ze strony producenta: http://www.avendasys.com/products/nap/

WEP (Welcome Every People) ?!

2
3 lata temu
przez Kamil Skalski w

Czytając liczne publikacji o bezpieczeństwie sieci bezprzewodowych oraz przeglądając statystyki użytych zabezpieczeń, postanowiłem sprawdzić na ile są one prawdziwe. Oczywiście bez problemu w centrum jednego z większych miast znalazłem 3 sieci bez żadnych zabezpieczeń, 4 sieci zabezpieczone WEP, oraz tylko jedną wykorzystującą WPA2…

Na początek odrobina teorii, WEP jest stosunkowo przestarzałym zabezpieczeniem 64/128 bit (klucz 40/104 bitów + IV 24 bity) – o zgrozo stosowanym wciąż jako domyślne w urządzeniach Neostrady ?!

Postanowiłem sprawdzić jak długo trwa złamanie takiego zabezpieczenia… w przypadku wybranej przeze mnie sieci (testowej) trwało to 15 minut !! Czas oczywiście zależy od wielu czynników ale najważniejsza jest aktualnie trwająca komunikacja użytkownika z access point’em. W moim przypadku odbywał się transfer pliku, a zatem szybko mogłem uzyskać wystarczającą ilość pakietów (65000 pakietów IV). Największym zagrożeniem jednak jest prostota samego procesu włamania, przeciętny użytkownik posiadając instrukcje ( która z łatwością można znaleźć) jest wstanie skutecznie go wykonać. Test przeprowadziłem z użyciem laptopa wyposażonego w kartę wlan Intel Pro Wireless 2200b/g oraz Aircrack.

Czy warto stosować tak nieskuteczne zabezpieczenia? sami zdecydujcie…

Network Access Protection

0
4 lata temu
przez Kamil Skalski w ,

Network Access Protection (NAP) należy rozumieć jako mechanizm zarówno kontroli stanu systemów jak i w konfiguracji, pomagający administratorowi sieci w zapewnieniu przestrzegania założeń polityki zabezpieczeń dla komputerów klienckich. Z wykorzystaniem NAP można stworzyć bezpieczne, zautomatyzowane środowisko, w którym każdy komputer na bieżąco podlega kontroli bezpieczeństwa. Wiążą się z tym także certyfikaty zdrowia wydawane klientom spełniającym wymogi…

Jeśli chcesz dowiedzieć się więcej o tej interesującej technologi zapraszam do przeczytania mojego artykułu na stronach TechNet.

Wstęp do Network Access Protection w Windows Server 2008 – cz. I

Wstęp do Network Access Protection w Windows Server 2008 – cz. II

Wstęp do Network Access Protection w Windows Server 2008 – cz. III

Do góry