Kamil Skalski – Blog Techniczny

W poprzednich wpisach pokazałem kilka nowości wprowadzonych w Windows Server 2008 R2, dzisiaj przyszła kolej na Best Practices Analyzer (BPA). Jak sama nazwa wskazuje dzięki temu narzędziu można sprawdzić czy konfiguracja serwera jest zgodna z najlepszymi praktykami. Narzędzie to jest instalowane razem z każdą obsługiwaną rolą (warunkiem jest posiadanie odpowiedniego modelu roli dla BPA), a jego uruchomienie odbywa się poprzez wybór opcji w sekcji podsumowania roli (konsola Server Manager). Wcześniejsze wersje tego narzędzia były oddzielnymi aplikacjami, a pierwsza wersja została udostępniona w roku 2006.

Uruchomienie analizy odbywa się poprzez wybór polecenia “Scan This Role”, która po kilku sekundach jest gotowa do weryfikacji. Dla każdej rekomendacji tworzony jest dokładny raport przyczyny nie spełnienia wymogów, ewentualne konsekwencje awarii oraz  zalecane rozwiązanie problemu. Warto zwrócić uwagę, że obecnie obsługiwane są następujące role:

1. Active Directory Certificate Services
2. Active Directory Domain Services
3. Domain Name System (DNS)
4. Dynamic Host Configuration Protocol (DHCP)
5. Internet Information Services (IIS)
6. Remote Desktop Services (RDS)
7. Network Policy and Access Services

Warto pamiętać, że podobne narzędzia dla różnych aplikacji są dostępne w Centrum Pobierania na stronach Microsoft.

Kontynuując cykl przedstawiający nowe rozwiązania Windows Server 2008 R2 dzisiaj przyszła kolej na bezpołączeniowe przyłączenie komputera do domeny (offline domain joining). Jest to nowe rozwiązanie pozwalające na utworzenie konta komputera w Active Directory i przeniesienie informacji o domenie do komputera, który ma stać się członkiem domeny.

Pierwszym etapem jest zarejestrowanie konta w domenie i jednocześnie utworzenie pliku odpowiedzi, za pomocą którego zostaną przekazane informacje do nie podłączonego do sieci komputera (z systemem operacyjnym Windows 7 lub Windows Server 2008 R2). Wykonuje się to poleceniem: DJOIN /PROVISION /DOMAIN skalski.info /MACHINEOU “OU=Test Lab,DC=skalski,DC=info” /MACHINE off-client1 /SAVEFILE c:\off-client1.djoin

Polecenie djoin pozwala zarówno na utworzenie pliku odpowiedzi jak i jego wykorzystanie do bezpołączeniowego przyłączenia stacji do domeny. Najważniejszymi parametrami są:

• PROVISION - określa rezerwacje dla konta komputera w domenie według podanych dalej parametrów
• DOMAIN – wskazuje na domenę do jakiej zostanie przyłączony komputer
• MACHINEOU – definiuje położenie konta komputera w strukturze jednostek organizacyjnych
• MACHINE – nadaje nazwę komputerowi, który zostanie podłączony. Uwaga: przyłączany komputer zmieni swoją nazwę na podaną w tym parametrze
• SAVEFILE – określa ścieżkę w jakiej zostanie utworzony plik odpowiedzi służący dalej do podłączenia komputera docelowego

Kolejnym krokiem jest przeniesienie utworzonego wcześniej pliku odpowiedzi (w tym przypadku off-client1.djoin) do komputera docelowego oraz jego użycie. Wykonuje się to poleceniem: DJOIN /REQUESTODJ /LOADFILE c:\off-client1.djoin /LOCALOS /WINDOWSPATH C:\Windows

Wynikiem wykonania ww. polecenia jest przekazanie stacji informacji o jej członkostwie w domenie. By zakończyć ten proces należy ponownie uruchomić komputer. Parametry zastosowane w poleceniu oznaczają:

• REQUESTODJ – wykonuje żądanie bezpołączeniowego przyłączenia do domeny
• LOADFILE – wskazuje ścieżkę do pliku odpowiedzi
• LOCALOS - pozwala na wskazanie jako cel obecnie uruchomiony system operacyjny
• WINDOWSPATH – wskazuje ścieżkę do folderu systemowego podłączanej stacji

Warto zwrócić uwagę na scenariusz przygotowania maszyn wirtualnych z wykorzystaniem tej metody:

1. Przygotowujemy plik odpowiedzi
2. Podłączamy dysk wirtualny maszyny, która ma zostać członkiem domeny
3. Wykonujemy przyłączenie podając jako WINDOWSPATH ścieżkę do folderu systemu zainstalowanego na wirtualnym dysku

Ostatnią kwestią jaką należy poruszyć jest bezpieczeństwo tego rozwiązania. Plik odpowiedzi zwiera w sobie liczne informacje, które powinny być odpowiednio chronione. Matthieu Suiche stworzył narzędzie (dinfo.exe), które dekoduje plik odpowiedzi i ujawnia informacje zawarte w DATA_BLOB.

Warto zwrócić szczególną uwagę na hasło w polu lpMachinePassword, nazwy domeny i lasu oraz liczne informacje o polisach i identyfikatorach.

Na prośbę słuchaczy warsztatów Windows Server 2008 R2, które prowadziłem w ABC Data Centrum Edukacyjne w Katowicach umieszczam do pobrania swoją prezentację. Zapraszam, również do monitorowania mojego bloga, na którym w najbliższych dniach będa pojawiać się opisy technologii i ich przykładowe zastosowania.

Ostatnio dość często mówi się o bezpieczeństwie zaszyfrowanych danych, jednym z ciekawych wątków jest aspekty automatycznego udostępniania zaszyfrowanych dysków przez udziały administracyjne. Przykładowo przenośny dysk został zaszyfrowany za pomocą Bitlocker to Go, po przyłączeniu do komputera zostaje on automatycznie udostępniony jako np. x$. Po odszyfrowaniu każda osoba posiadające uprawnienia może  przeglądać jego zawartość poprzez \\nazwa_serwera\x$. By wyłączyć takie zdarzenia (np. Windows 7) wymagane jest dodanie nowego klucza DWORD (32-bit) o nazwie AutoShareWks z wartością 0 w ścieżce Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters.Powyższa operacja na stałe wyłącza udziały administracyjne.

7 września Laurent Gaffié na swoim blogu opublikował kod pozwalający na atak skutkujący B.S.O.D., wkrótce po tym utworzony został exploit pozwalający na wykorzystanie luki do zdalnego wykonania kodu. Kod wykorzystujący błąd negocjacji smb2.0 został przetworzony na wiele języków (python, c# itp.) oraz jako moduł do aplikacji typu Metasploit.

Komponent odpowiedzialny za lukę to srv2.sys, podprogram w nim zawarty po otrzymaniu żądania ustanowienia właściwej komunikacji (NEGOTIATE PROTOCOL REQUEST) kończy swoją pracę powodując wystąpienie błędu systemowego PAGE_FAULT_IN_NONPAGED_AREA.

Zagrożone są wszystkie nowe systemy wykorzystujące SMB2.0 (zarówno Windows Client jak i Windows Server) łącznie z najnowszymi ich wersjami np. Windows 7.

Na tą chwile jedyna możliwa obron to wyłączenie udostępniania lub użycie narzędzia FixIt (KB975497) opublikowanego 17 września przez Microsoft  wyłączający smb2.0.

Użytkownicy Windows 7 mogą dodawać do swojego konta informację o swojej tożsamości online, funkcja ta nosi nazwę Online ID i jest dostępna z poziomu zarządzania kontem użytkownika.

Jak to zrobić?

We właściwościach konta użytkownika należy wybrać opcję Link online ID’s.

Aby móc przechowywać swoją tożsamość online konieczne jest wcześniejsze zainstalowanie providera danej usługi w systemie – dodanie nowego providera odbywa się przez wybór Add an online ID provider.

Aktualnie dostępny jest tylko provider dla Windows Live, który należy pobrać ze strony i zainstalować.

Lista zainstalowanych providerów zaktualizuje się automatycznie po zakończeniu instalacji.

Dodanie nowej tożsamości online odbywa się poprzez wypełnienie odpowiedniego formularza, a następnie weryfikację poprawności wykonywaną online.

Mechanizm ochrony sieci Network Access Protection w Windows Server 2008 wzbudził spore zainteresowanie oraz wywołał ogromną ilość pytań. Większość z nich dotyczy konfiguracji klienta oraz sposobów ułatwienia pracy z tym mechanizmem.

Jako, że jestem zwolennikiem ułatwiania sobie pracy przygotowałem listę zawierającą ścieżki istotnych ustawień w GPO przydatnych w konfiguracji NAP.

Do poprawnego działania Network Access Protection wymaga by w systemie klienckim włączone zostało Centrum zabezpieczeń:

Aby system kliencki mógł poprawnie komunikować się z serwerami architektury NAP należy włączyć (skonfigurować automatyczny start usługi) usługę Agenta stacji klienckiej:

Konfiguracja ustawień Klienta NAP w celu konfiguracji rodzaju wymuszenia, interfejsu, HRA:

Określenie rodzaju stosowanego wymuszenia

Konfiguracja interfejsu użytkownika

Definiowanie ustawień kryptograficznych

Tworzenie grup zaufanych serwerów HRA

Gdy rozmawiałem z różnymi osobami o Network Access Protection w Windows Server 2008 padały różne pytania, także to czy możliwa jest współpraca z systemami innych producentów niż Microsoft. Taka współpraca jest możliwa jednak w ograniczonym zakresie jeśli chodzi o mechanizmy wymuszające ograniczenie dostępu do sieci klientom nie posiadającym certyfikatów zdrowia. W przypadku systemów Linux wspierany jest tylko jeden mechanizm wymuszający – uwierzytelnienie 802.1x. Kolejnym ograniczeniem są także edycje systemu Linux wspierane przez Agenta NAP:

• Redhat Enterprise Linux 5
• CentOS 5
• Fedora Core 6
• SUSE Linux 10.x

(Nowsze edycje tych systemów także powinny poprawnie współpracować)

Drugim elementem wymaganym w tym rozwiązaniu jest Linux NAP System Health Validator (SHV) dla Microsoft NPS (Network Policy Server), czyli składnik przeznaczony do instalacji na serwerze w celu poprawnego wspierania Agenta NAP systemu Linux.

Jakie elementy można monitorować z wykorzystaniem Network Access Protection dla Linux ?

• Status Firewall
• Stan usług
• Działanie programu antywirusowego

Możliwe jest oczywiście zastosowanie mechanizmów automatycznej korekty pozwalające na: włączenie firewalla oraz otwarcie lub blokadę portów, uruchomienie lub zatrzymanie usługi, włączenie programu antywirusowego…

Oba składniki można pograć ze strony producenta: http://www.avendasys.com/products/nap/

Czytając liczne publikacji o bezpieczeństwie sieci bezprzewodowych oraz przeglądając statystyki użytych zabezpieczeń, postanowiłem sprawdzić na ile są one prawdziwe. Oczywiście bez problemu w centrum jednego z większych miast znalazłem 3 sieci bez żadnych zabezpieczeń, 4 sieci zabezpieczone WEP, oraz tylko jedną wykorzystującą WPA2…

Na początek odrobina teorii, WEP jest stosunkowo przestarzałym zabezpieczeniem 64/128 bit (klucz 40/104 bitów + IV 24 bity) – o zgrozo stosowanym wciąż jako domyślne w urządzeniach Neostrady ?!

Postanowiłem sprawdzić jak długo trwa złamanie takiego zabezpieczenia… w przypadku wybranej przeze mnie sieci (testowej) trwało to 15 minut !! Czas oczywiście zależy od wielu czynników ale najważniejsza jest aktualnie trwająca komunikacja użytkownika z access point’em. W moim przypadku odbywał się transfer pliku, a zatem szybko mogłem uzyskać wystarczającą ilość pakietów (65000 pakietów IV). Największym zagrożeniem jednak jest prostota samego procesu włamania, przeciętny użytkownik posiadając instrukcje ( która z łatwością można znaleźć) jest wstanie skutecznie go wykonać. Test przeprowadziłem z użyciem laptopa wyposażonego w kartę wlan Intel Pro Wireless 2200b/g oraz Aircrack.

Czy warto stosować tak nieskuteczne zabezpieczenia? sami zdecydujcie…

Network Access Protection (NAP) należy rozumieć jako mechanizm zarówno kontroli stanu systemów jak i w konfiguracji, pomagający administratorowi sieci w zapewnieniu przestrzegania założeń polityki zabezpieczeń dla komputerów klienckich. Z wykorzystaniem NAP można stworzyć bezpieczne, zautomatyzowane środowisko, w którym każdy komputer na bieżąco podlega kontroli bezpieczeństwa. Wiążą się z tym także certyfikaty zdrowia wydawane klientom spełniającym wymogi…

Jeśli chcesz dowiedzieć się więcej o tej interesującej technologi zapraszam do przeczytania mojego artykułu na stronach TechNet.

Wstęp do Network Access Protection w Windows Server 2008 – cz. I

Wstęp do Network Access Protection w Windows Server 2008 – cz. II

Wstęp do Network Access Protection w Windows Server 2008 – cz. III