Kamil Skalski – Blog Techniczny

W poprzednich wpisach pokazałem kilka nowości wprowadzonych w Windows Server 2008 R2, dzisiaj przyszła kolej na Best Practices Analyzer (BPA). Jak sama nazwa wskazuje dzięki temu narzędziu można sprawdzić czy konfiguracja serwera jest zgodna z najlepszymi praktykami. Narzędzie to jest instalowane razem z każdą obsługiwaną rolą (warunkiem jest posiadanie odpowiedniego modelu roli dla BPA), a jego uruchomienie odbywa się poprzez wybór opcji w sekcji podsumowania roli (konsola Server Manager). Wcześniejsze wersje tego narzędzia były oddzielnymi aplikacjami, a pierwsza wersja została udostępniona w roku 2006.

Uruchomienie analizy odbywa się poprzez wybór polecenia “Scan This Role”, która po kilku sekundach jest gotowa do weryfikacji. Dla każdej rekomendacji tworzony jest dokładny raport przyczyny nie spełnienia wymogów, ewentualne konsekwencje awarii oraz  zalecane rozwiązanie problemu. Warto zwrócić uwagę, że obecnie obsługiwane są następujące role:

1. Active Directory Certificate Services
2. Active Directory Domain Services
3. Domain Name System (DNS)
4. Dynamic Host Configuration Protocol (DHCP)
5. Internet Information Services (IIS)
6. Remote Desktop Services (RDS)
7. Network Policy and Access Services

Warto pamiętać, że podobne narzędzia dla różnych aplikacji są dostępne w Centrum Pobierania na stronach Microsoft.

Ostatnio dość często mówi się o bezpieczeństwie zaszyfrowanych danych, jednym z ciekawych wątków jest aspekty automatycznego udostępniania zaszyfrowanych dysków przez udziały administracyjne. Przykładowo przenośny dysk został zaszyfrowany za pomocą Bitlocker to Go, po przyłączeniu do komputera zostaje on automatycznie udostępniony jako np. x$. Po odszyfrowaniu każda osoba posiadające uprawnienia może  przeglądać jego zawartość poprzez \\nazwa_serwera\x$. By wyłączyć takie zdarzenia (np. Windows 7) wymagane jest dodanie nowego klucza DWORD (32-bit) o nazwie AutoShareWks z wartością 0 w ścieżce Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters.Powyższa operacja na stałe wyłącza udziały administracyjne.

7 września Laurent Gaffié na swoim blogu opublikował kod pozwalający na atak skutkujący B.S.O.D., wkrótce po tym utworzony został exploit pozwalający na wykorzystanie luki do zdalnego wykonania kodu. Kod wykorzystujący błąd negocjacji smb2.0 został przetworzony na wiele języków (python, c# itp.) oraz jako moduł do aplikacji typu Metasploit.

Komponent odpowiedzialny za lukę to srv2.sys, podprogram w nim zawarty po otrzymaniu żądania ustanowienia właściwej komunikacji (NEGOTIATE PROTOCOL REQUEST) kończy swoją pracę powodując wystąpienie błędu systemowego PAGE_FAULT_IN_NONPAGED_AREA.

Zagrożone są wszystkie nowe systemy wykorzystujące SMB2.0 (zarówno Windows Client jak i Windows Server) łącznie z najnowszymi ich wersjami np. Windows 7.

Na tą chwile jedyna możliwa obron to wyłączenie udostępniania lub użycie narzędzia FixIt (KB975497) opublikowanego 17 września przez Microsoft  wyłączający smb2.0.

Coraz częstsze przypadki wycieku danych na zewnętrznych nośnikach takich jak PenDrive spowodowały konieczność lepszego ich zabezpieczania, jednym z takich rozwiązań jest BitLocker to Go, aby skorzystać z jego funkcji kryptograficznych należy wybrać menu Bitlocker Drive Encrytpion w Control Panel, a następnie przy dysku który ma zostać zaszyfrowany wybrać opcję “Turn on BitLocker”.

Konieczne jest wybranie czy do uzyskania dostępu użytkownik będzie wykorzystywał hasło czy też kartę elektroniczną (smart card).

Odzyskanie danych w przypadku utraty karty elektronicznej lub hasła odbywa się na podstawie klucza odzyskiwania, który można zapisać do pliku lub wydrukować, środowiska firmowe mogą wykorzystać do odzyskiwania Active Directory jeśli będzie ono przechować klucz odzyskiwania.

Pozostaje już tylko potwierdzić chęć zaszyfrowania dysku…

Proces szyfrowania w zależności od wielkości dysku trwa od kilku minut do kilku godzin, w przypadku pendrive wielkości 4GB szyfrowanie trwało ok. 5min.

Po podłączeniu urządzenia zaszyfrowanego BitLocker to Go, pojawia się komunikat z żądaniem podania hasła, gdy zostanie podane poprawne hasło dalsza praca z urządzeniem odbywa się normalnie.

W przypadku utraty hasła można uzyskać tymczasowy dostęp do urządzenia  np. w celu zmiany hasła, odbywa się to poprzez wybór opcji “i forgot my password”, po czym pojawi się kolejne okno pozwalające na wybór metody odzyskiwania – warto zwrócić uwagę, że BitLocker to Go obsługuje wyłącznie wpisanie klucza odzyskiwania.

Poniższy screen przedstawia przykładowy plik zawierający klucz odzyskiwania oraz identyfikator takiego klucza.

 Poprawna weryfikacja klucza odzyskiwania pozwala na uzyskanie tymczasowego dostępu do urządzenia.

 Dalsze czynności związane są z konsolą zarządzania BitLocker to Go dla danego urządzenia, w przypadku dostępu w trybie odzyskiwania kolejnym krokiem może być np. zmiana hasła.

Coraz częściej używana biometryka np. badanie linii papilarnych została wsparta przez Windows 7. Dotychczas do obsługi urządzeń (zewnętrznych lub tych zintegrowanych) konieczna była instalacja specjalnego oprogramowania, Windows 7 posiada własne rozwiązanie przeznaczone do pracy z urządzeniami biometrycznymi.

Dostęp do ustawień – rejestracji własnych odcisków i wykorzystania ich, jako alternatywnej metody logowania, jest dostępny zarówno z poziomu panelu sterownia w sekcji Biometric Devices lub z poziomu ustawień kont użytkowników.

Pierwszym krokiem do rejestracji swoich danych biometrycznych jest potwierdzenie uprawnień do tej czynności czyli, weryfikacja hasła użytkownika.

Po poprawnej weryfikacji dostępny jest panel, w którym należy wybrać palec do zeskanowania.

Do poprawnego odczytu danych o liniach papilarnych konieczne jest kilku krotne zeskanowanie tego samego palca.

Po zakończeniu procesu skanowania i zapisaniu danych można już cieszyć się logowaniem z użyciem czytnika linii papilarnych, bez wpisywania hasła (którym także można się wciąż zalogować).

Użytkownicy Windows 7 mogą dodawać do swojego konta informację o swojej tożsamości online, funkcja ta nosi nazwę Online ID i jest dostępna z poziomu zarządzania kontem użytkownika.

Jak to zrobić?

We właściwościach konta użytkownika należy wybrać opcję Link online ID’s.

Aby móc przechowywać swoją tożsamość online konieczne jest wcześniejsze zainstalowanie providera danej usługi w systemie – dodanie nowego providera odbywa się przez wybór Add an online ID provider.

Aktualnie dostępny jest tylko provider dla Windows Live, który należy pobrać ze strony i zainstalować.

Lista zainstalowanych providerów zaktualizuje się automatycznie po zakończeniu instalacji.

Dodanie nowej tożsamości online odbywa się poprzez wypełnienie odpowiedniego formularza, a następnie weryfikację poprawności wykonywaną online.

W poprzednim wpisie pisałem o najważniejszych moim zdaniem nowościach w Network Monitor 3.3, teraz przyszła kolej na dokładniejsze przyjrzenie się narzędziom eksperckim – NmSimpleSearch.

Aby zacząć pracę z narzędziami eksperckimi należy je zainstalować.

Po zakończeniu instalacji narzędzia są już dostępne z poziomu Network Monitor, jednak aby z nimi pracować konieczne jest zapisanie pliku z przechwyconymi informacjami i ponowne jego otworzenie z użyciem zapisanego wcześniej pliku.

Po uruchomieniu pojawia się właściwe okno narzędzia NmSimpleSearch.

Narzędzie eksperckie NmSimpleSearch pozwala na przeszukiwanie danych zebranych za pomocą Network Monitora, w poszukiwaniu takich informacji jak adresy e-mail, adresy www czy … numery kart kredytowych.

W zależności od wyboru generowany jest filtr według jakiego zostaną przeszukane pakiety np.

- Adresy stron www: http(s)?://([\w+?\.\w+])+([a-zA-Z0-9\~\!\@\#\$\%\^\&\*\(\)_\-\=\+\\\/\?\.\:\;\'\,]*)?

- Numery kart kredytowych: (?:4[0-9]{12}(?:[0-9]{3})?|5[1-5][0-9]{14}|6(?:011|5[0-9][0-9])[0-9]{12}|3[47][0-9]{13}|3(?:0[0-5]|[68][0-9])[0-9]{11}|(?:2131|1800|35\d{3})\d{11})

Wyniki pracy NmSimpleSearch jest podgląd znalezionych zawartości:

Niedawno miała miejsce odsłona nowego Network Monitor w wersji 3.3 – Beta (można ją pobrać z wirtryny http://connect.microsoft.com). Najnowsza wersja tego narzędzia do przechwytywania ruchu sieciowego oprócz kompatybilności z nowymi systemami m.in. Windows 7, przynosi kilka przydatnych zmian:

Auto Scroll

Pojawiła się bardzo przydatna opcja – automatycznego przewijania listy przechwyconych pakietów.

Aliasy

Możliwe jest także nadawanie aliasów dla źródeł i celów ruchu…

Komentarze

Pojawiła się możliwość komentowania przechwyconych pakietów.

Uwaga !

Aby dodać komentarz konieczne jest wcześniejsze zapisanie pliku z danymi.

Narzędzia eksperckie

Najważniejszą nowością jest udostępnienie współpracy z narzędziami eksperckimi, które mogą dokonywać bezpośredniej analizy ruchu sieciowego przechwyconego za pomocą Network Monitor. Aktualnie dostępne jest tylko jedno takie narzędzie NmSimpleSearch pozwalające na przeszukiwanie przechwyconych informacji.

Dzisiaj został opublikowany hotfix rozwiązujący problem błędnego certyfikatu podczas próby połączenia się z wirtualną maszyną. Błąd ten spotykany jest na Windows Server 2008 z rolą Hyper-V jak i na Hyper-V Server.

Objawy:

Podczas próby podłączenia:

Cannot connect to the virtual machine because the authentication certificate is expired or invalid. Would you like to try connecting again?

Podczas startu maszyny:

‘VMName’ failed to initialize.
Could not initialize machine remoting system. Error: ‘Unspecified error’ (0×80004005).
Could not find a usable certificate. Error: ‘Unspecified error’ (0×80004005).

Przyczyna:

Powyższy problem występuje gdy certyfikat Hyper-V Virtual Machine Management Service (VMMS) straci ważność – domyślnie jest on ważny przez 1 rok.

Hotfix:

http://support.microsoft.com/default.aspx?scid=kb;EN-US;967902

Mechanizm ochrony sieci Network Access Protection w Windows Server 2008 wzbudził spore zainteresowanie oraz wywołał ogromną ilość pytań. Większość z nich dotyczy konfiguracji klienta oraz sposobów ułatwienia pracy z tym mechanizmem.

Jako, że jestem zwolennikiem ułatwiania sobie pracy przygotowałem listę zawierającą ścieżki istotnych ustawień w GPO przydatnych w konfiguracji NAP.

Do poprawnego działania Network Access Protection wymaga by w systemie klienckim włączone zostało Centrum zabezpieczeń:

Aby system kliencki mógł poprawnie komunikować się z serwerami architektury NAP należy włączyć (skonfigurować automatyczny start usługi) usługę Agenta stacji klienckiej:

Konfiguracja ustawień Klienta NAP w celu konfiguracji rodzaju wymuszenia, interfejsu, HRA:

Określenie rodzaju stosowanego wymuszenia

Konfiguracja interfejsu użytkownika

Definiowanie ustawień kryptograficznych

Tworzenie grup zaufanych serwerów HRA