Kontynuując cykl przedstawiający nowe rozwiązania Windows Server 2008 R2 dzisiaj przyszła kolej na bezpołączeniowe przyłączenie komputera do domeny (offline domain joining). Jest to nowe rozwiązanie pozwalające na utworzenie konta komputera w Active Directory i przeniesienie informacji o domenie do komputera, który ma stać się członkiem domeny.

Pierwszym etapem jest zarejestrowanie konta w domenie i jednocześnie utworzenie pliku odpowiedzi, za pomocą którego zostaną przekazane informacje do nie podłączonego do sieci komputera (z systemem operacyjnym Windows 7 lub Windows Server 2008 R2). Wykonuje się to poleceniem: DJOIN /PROVISION /DOMAIN skalski.info /MACHINEOU „OU=Test Lab,DC=skalski,DC=info” /MACHINE off-client1 /SAVEFILE c:\off-client1.djoin

Polecenie djoin pozwala zarówno na utworzenie pliku odpowiedzi jak i jego wykorzystanie do bezpołączeniowego przyłączenia stacji do domeny. Najważniejszymi parametrami są:

• PROVISION - określa rezerwacje dla konta komputera w domenie według podanych dalej parametrów
• DOMAIN – wskazuje na domenę do jakiej zostanie przyłączony komputer
• MACHINEOU – definiuje położenie konta komputera w strukturze jednostek organizacyjnych
• MACHINE – nadaje nazwę komputerowi, który zostanie podłączony. Uwaga: przyłączany komputer zmieni swoją nazwę na podaną w tym parametrze
• SAVEFILE – określa ścieżkę w jakiej zostanie utworzony plik odpowiedzi służący dalej do podłączenia komputera docelowego

Kolejnym krokiem jest przeniesienie utworzonego wcześniej pliku odpowiedzi (w tym przypadku off-client1.djoin) do komputera docelowego oraz jego użycie. Wykonuje się to poleceniem: DJOIN /REQUESTODJ /LOADFILE c:\off-client1.djoin /LOCALOS /WINDOWSPATH C:\Windows

Wynikiem wykonania ww. polecenia jest przekazanie stacji informacji o jej członkostwie w domenie. By zakończyć ten proces należy ponownie uruchomić komputer. Parametry zastosowane w poleceniu oznaczają:

• REQUESTODJ – wykonuje żądanie bezpołączeniowego przyłączenia do domeny
• LOADFILE – wskazuje ścieżkę do pliku odpowiedzi
• LOCALOS - pozwala na wskazanie jako cel obecnie uruchomiony system operacyjny
• WINDOWSPATH – wskazuje ścieżkę do folderu systemowego podłączanej stacji

Warto zwrócić uwagę na scenariusz przygotowania maszyn wirtualnych z wykorzystaniem tej metody:

1. Przygotowujemy plik odpowiedzi
2. Podłączamy dysk wirtualny maszyny, która ma zostać członkiem domeny
3. Wykonujemy przyłączenie podając jako WINDOWSPATH ścieżkę do folderu systemu zainstalowanego na wirtualnym dysku

Ostatnią kwestią jaką należy poruszyć jest bezpieczeństwo tego rozwiązania. Plik odpowiedzi zwiera w sobie liczne informacje, które powinny być odpowiednio chronione. Matthieu Suiche stworzył narzędzie (dinfo.exe), które dekoduje plik odpowiedzi i ujawnia informacje zawarte w DATA_BLOB.

Warto zwrócić szczególną uwagę na hasło w polu lpMachinePassword, nazwy domeny i lasu oraz liczne informacje o polisach i identyfikatorach.

Ostatnio dość często mówi się o bezpieczeństwie zaszyfrowanych danych, jednym z ciekawych wątków jest aspekty automatycznego udostępniania zaszyfrowanych dysków przez udziały administracyjne. Przykładowo przenośny dysk został zaszyfrowany za pomocą Bitlocker to Go, po przyłączeniu do komputera zostaje on automatycznie udostępniony jako np. x$. Po odszyfrowaniu każda osoba posiadające uprawnienia może  przeglądać jego zawartość poprzez \\nazwa_serwera\x$. By wyłączyć takie zdarzenia (np. Windows 7) wymagane jest dodanie nowego klucza DWORD (32-bit) o nazwie AutoShareWks z wartością 0 w ścieżce Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters.Powyższa operacja na stałe wyłącza udziały administracyjne.

7 września Laurent Gaffié na swoim blogu opublikował kod pozwalający na atak skutkujący B.S.O.D., wkrótce po tym utworzony został exploit pozwalający na wykorzystanie luki do zdalnego wykonania kodu. Kod wykorzystujący błąd negocjacji smb2.0 został przetworzony na wiele języków (python, c# itp.) oraz jako moduł do aplikacji typu Metasploit.

Komponent odpowiedzialny za lukę to srv2.sys, podprogram w nim zawarty po otrzymaniu żądania ustanowienia właściwej komunikacji (NEGOTIATE PROTOCOL REQUEST) kończy swoją pracę powodując wystąpienie błędu systemowego PAGE_FAULT_IN_NONPAGED_AREA.

Zagrożone są wszystkie nowe systemy wykorzystujące SMB2.0 (zarówno Windows Client jak i Windows Server) łącznie z najnowszymi ich wersjami np. Windows 7.

Na tą chwile jedyna możliwa obron to wyłączenie udostępniania lub użycie narzędzia FixIt (KB975497) opublikowanego 17 września przez Microsoft  wyłączający smb2.0.

Coraz częstsze przypadki wycieku danych na zewnętrznych nośnikach takich jak PenDrive spowodowały konieczność lepszego ich zabezpieczania, jednym z takich rozwiązań jest BitLocker to Go, aby skorzystać z jego funkcji kryptograficznych należy wybrać menu Bitlocker Drive Encrytpion w Control Panel, a następnie przy dysku który ma zostać zaszyfrowany wybrać opcję „Turn on BitLocker”.

Konieczne jest wybranie czy do uzyskania dostępu użytkownik będzie wykorzystywał hasło czy też kartę elektroniczną (smart card).

Odzyskanie danych w przypadku utraty karty elektronicznej lub hasła odbywa się na podstawie klucza odzyskiwania, który można zapisać do pliku lub wydrukować, środowiska firmowe mogą wykorzystać do odzyskiwania Active Directory jeśli będzie ono przechować klucz odzyskiwania.

Pozostaje już tylko potwierdzić chęć zaszyfrowania dysku…

Proces szyfrowania w zależności od wielkości dysku trwa od kilku minut do kilku godzin, w przypadku pendrive wielkości 4GB szyfrowanie trwało ok. 5min.

Po podłączeniu urządzenia zaszyfrowanego BitLocker to Go, pojawia się komunikat z żądaniem podania hasła, gdy zostanie podane poprawne hasło dalsza praca z urządzeniem odbywa się normalnie.

W przypadku utraty hasła można uzyskać tymczasowy dostęp do urządzenia  np. w celu zmiany hasła, odbywa się to poprzez wybór opcji „i forgot my password”, po czym pojawi się kolejne okno pozwalające na wybór metody odzyskiwania – warto zwrócić uwagę, że BitLocker to Go obsługuje wyłącznie wpisanie klucza odzyskiwania.

Poniższy screen przedstawia przykładowy plik zawierający klucz odzyskiwania oraz identyfikator takiego klucza.

Poprawna weryfikacja klucza odzyskiwania pozwala na uzyskanie tymczasowego dostępu do urządzenia.

Dalsze czynności związane są z konsolą zarządzania BitLocker to Go dla danego urządzenia, w przypadku dostępu w trybie odzyskiwania kolejnym krokiem może być np. zmiana hasła.

Coraz częściej używana biometryka np. badanie linii papilarnych została wsparta przez Windows 7. Dotychczas do obsługi urządzeń (zewnętrznych lub tych zintegrowanych) konieczna była instalacja specjalnego oprogramowania, Windows 7 posiada własne rozwiązanie przeznaczone do pracy z urządzeniami biometrycznymi.

Dostęp do ustawień – rejestracji własnych odcisków i wykorzystania ich, jako alternatywnej metody logowania, jest dostępny zarówno z poziomu panelu sterownia w sekcji Biometric Devices lub z poziomu ustawień kont użytkowników.

Pierwszym krokiem do rejestracji swoich danych biometrycznych jest potwierdzenie uprawnień do tej czynności czyli, weryfikacja hasła użytkownika.

Po poprawnej weryfikacji dostępny jest panel, w którym należy wybrać palec do zeskanowania.

Do poprawnego odczytu danych o liniach papilarnych konieczne jest kilku krotne zeskanowanie tego samego palca.

Po zakończeniu procesu skanowania i zapisaniu danych można już cieszyć się logowaniem z użyciem czytnika linii papilarnych, bez wpisywania hasła (którym także można się wciąż zalogować).

Użytkownicy Windows 7 mogą dodawać do swojego konta informację o swojej tożsamości online, funkcja ta nosi nazwę Online ID i jest dostępna z poziomu zarządzania kontem użytkownika.

Jak to zrobić?

We właściwościach konta użytkownika należy wybrać opcję Link online ID’s.

Aby móc przechowywać swoją tożsamość online konieczne jest wcześniejsze zainstalowanie providera danej usługi w systemie – dodanie nowego providera odbywa się przez wybór Add an online ID provider.

Aktualnie dostępny jest tylko provider dla Windows Live, który należy pobrać ze strony i zainstalować.

Lista zainstalowanych providerów zaktualizuje się automatycznie po zakończeniu instalacji.

Dodanie nowej tożsamości online odbywa się poprzez wypełnienie odpowiedniego formularza, a następnie weryfikację poprawności wykonywaną online.

Mechanizm ochrony sieci Network Access Protection w Windows Server 2008 wzbudził spore zainteresowanie oraz wywołał ogromną ilość pytań. Większość z nich dotyczy konfiguracji klienta oraz sposobów ułatwienia pracy z tym mechanizmem.

Jako, że jestem zwolennikiem ułatwiania sobie pracy przygotowałem listę zawierającą ścieżki istotnych ustawień w GPO przydatnych w konfiguracji NAP.

Do poprawnego działania Network Access Protection wymaga by w systemie klienckim włączone zostało Centrum zabezpieczeń:

Aby system kliencki mógł poprawnie komunikować się z serwerami architektury NAP należy włączyć (skonfigurować automatyczny start usługi) usługę Agenta stacji klienckiej:

Konfiguracja ustawień Klienta NAP w celu konfiguracji rodzaju wymuszenia, interfejsu, HRA:

Określenie rodzaju stosowanego wymuszenia

Konfiguracja interfejsu użytkownika

Definiowanie ustawień kryptograficznych

Tworzenie grup zaufanych serwerów HRA

Gdy rozmawiałem z różnymi osobami o Network Access Protection w Windows Server 2008 padały różne pytania, także to czy możliwa jest współpraca z systemami innych producentów niż Microsoft. Taka współpraca jest możliwa jednak w ograniczonym zakresie jeśli chodzi o mechanizmy wymuszające ograniczenie dostępu do sieci klientom nie posiadającym certyfikatów zdrowia. W przypadku systemów Linux wspierany jest tylko jeden mechanizm wymuszający – uwierzytelnienie 802.1x. Kolejnym ograniczeniem są także edycje systemu Linux wspierane przez Agenta NAP:

• Redhat Enterprise Linux 5
• CentOS 5
• Fedora Core 6
• SUSE Linux 10.x

(Nowsze edycje tych systemów także powinny poprawnie współpracować)

Drugim elementem wymaganym w tym rozwiązaniu jest Linux NAP System Health Validator (SHV) dla Microsoft NPS (Network Policy Server), czyli składnik przeznaczony do instalacji na serwerze w celu poprawnego wspierania Agenta NAP systemu Linux.

Jakie elementy można monitorować z wykorzystaniem Network Access Protection dla Linux ?

• Status Firewall
• Stan usług
• Działanie programu antywirusowego

Możliwe jest oczywiście zastosowanie mechanizmów automatycznej korekty pozwalające na: włączenie firewalla oraz otwarcie lub blokadę portów, uruchomienie lub zatrzymanie usługi, włączenie programu antywirusowego…

Oba składniki można pograć ze strony producenta: http://www.avendasys.com/products/nap/

Czytając liczne publikacji o bezpieczeństwie sieci bezprzewodowych oraz przeglądając statystyki użytych zabezpieczeń, postanowiłem sprawdzić na ile są one prawdziwe. Oczywiście bez problemu w centrum jednego z większych miast znalazłem 3 sieci bez żadnych zabezpieczeń, 4 sieci zabezpieczone WEP, oraz tylko jedną wykorzystującą WPA2…

Na początek odrobina teorii, WEP jest stosunkowo przestarzałym zabezpieczeniem 64/128 bit (klucz 40/104 bitów + IV 24 bity) – o zgrozo stosowanym wciąż jako domyślne w urządzeniach Neostrady ?!

Postanowiłem sprawdzić jak długo trwa złamanie takiego zabezpieczenia… w przypadku wybranej przeze mnie sieci (testowej) trwało to 15 minut !! Czas oczywiście zależy od wielu czynników ale najważniejsza jest aktualnie trwająca komunikacja użytkownika z access point’em. W moim przypadku odbywał się transfer pliku, a zatem szybko mogłem uzyskać wystarczającą ilość pakietów (65000 pakietów IV). Największym zagrożeniem jednak jest prostota samego procesu włamania, przeciętny użytkownik posiadając instrukcje ( która z łatwością można znaleźć) jest wstanie skutecznie go wykonać. Test przeprowadziłem z użyciem laptopa wyposażonego w kartę wlan Intel Pro Wireless 2200b/g oraz Aircrack.

Czy warto stosować tak nieskuteczne zabezpieczenia? sami zdecydujcie…

Network Access Protection (NAP) należy rozumieć jako mechanizm zarówno kontroli stanu systemów jak i w konfiguracji, pomagający administratorowi sieci w zapewnieniu przestrzegania założeń polityki zabezpieczeń dla komputerów klienckich. Z wykorzystaniem NAP można stworzyć bezpieczne, zautomatyzowane środowisko, w którym każdy komputer na bieżąco podlega kontroli bezpieczeństwa. Wiążą się z tym także certyfikaty zdrowia wydawane klientom spełniającym wymogi…

Jeśli chcesz dowiedzieć się więcej o tej interesującej technologi zapraszam do przeczytania mojego artykułu na stronach TechNet.

Wstęp do Network Access Protection w Windows Server 2008 – cz. I

Wstęp do Network Access Protection w Windows Server 2008 – cz. II

Wstęp do Network Access Protection w Windows Server 2008 – cz. III