Krytyczna podatność Active Directory

16 lutego 2015 at 12:01

Miniony tydzień oferował w wykryte luki bezpieczeństwa systemów Windows a także poprawki mające załatać te podatności. Jedną z najistotniejszych jest możliwość podszycia się pod zasoby udostępniane na kontrolerach domeny i wykonanie w ten sposób dowolnego kodu w kontekście konta systemu… Zostały udostępnione dwie poprawki w ramach biuletynu zabezpieczeń: MS15-011 Konkretnie są to poprawki: kb3004375 oraz kb3000483. Ich instalacja zabezpiecza klientów przed możliwością wykonania ataku, ale mimo wszystko nie zapewnia bezpieczeństwa całej domeny, bo nigdy nie ma pewności, że ktoś nie wyciągnie „gołego” lub nieaktualizowanego rok czasu systemu z szafy i nie wepnie się nim w naszą sieć z Active Directory. Aby temu zaradzi i podnieść poziom bezpieczeństwa należy wykonać następujące akcje: 1. Zainstalować ww. krytyczne poprawki bezpieczeństwa na kontrolerach domeny (wymagany restart serwerów) 2. Włączyć wzajemne uwierzytelnianie dla zasobów udostępnianych na kontrolerach domeny. 3. Włączyć wymaganie integralności SMB Dla domen, w których pracują tylko serwery Windows Server 2012 i wyższe oraz klienci Windows 8 i wyżsi – można dodatkowo włączyć wymaganie prywatności razem z szyfrowaniem żądań ścieżek SMB.   Plan działania wygląda w miarę prosto, ale jak zwykle gdzieś leży haczyk – a właściwie dwa haczyki. Pierwszym z nich jest GPO. Teoretycznie wystarczy dodać ustawienie w GPO: W gałęzi: Computer […]

Fizyczna architektura Active Directory

7 stycznia 2015 at 09:26

Czym jest Active Directory? – Empirycznie wie niemal każdy. Na to pytanie z pewnością łatwo można uzyskać poprawne odpowiedzi co do pełnionych funkcji, przeznaczenia, obsługi oraz codziennych zadań administracyjnych. Nie każdy jednak wie – jak działa Active Directory od środka, z czego się składa w rzeczywistości, jak przechowuje informacje oraz jak komunikuje się z klientami. Active Directory w dużym uproszczeniu i ogólności, jest to jedna z ról systemu operacyjnego, która może być świadczona przez serwerowe systemy firmy Microsoft. Usługi katalogowe zapewniają możliwość utrzymywania wielkiej ilości danych dotyczących użytkowników, urządzeń, podsieci, lokacji, grup oraz innych zasobów mogących podlegać katalogowaniu. Oferują przy tym możliwość uwierzytelniania z wykorzystaniem pojedynczego punktu logowania (ang. Single Sign-On) oraz łatwego przeszukiwania struktur katalogowych, które zwracają w odpowiedzi czytelne i usystematyzowane dane. Wydawać mogłoby się, że Active Directory po zainstalowaniu jest całkowicie odrębną i wy-separowaną rolą w systemie Windows mającą bezpośredni dostęp do jądra systemowego. Nic bardziej mylnego! Z perspektywy systemu operacyjnego Active Directory jest częścią systemu zabezpieczeń, który dodatkowo nie działa w trybie jądra (ang. Kernel mode), lecz w trybie użytkownika (ang. User mode). Co to oznacza? Oznacza to mniej więcej tyle, że proces, rola czy aplikacja działająca w trybie użytkownika nie ma bezpośredniego dostępu do systemu […]

© Marcin Krzanowicz