Microsoft ATA (Advanced Threat Analytics) – odgrzewany kotlet?

11 maja 2015 at 16:53

Była sobie kiedyś firma AORATO, która wydevelopowała pionierskie narzędzie działające jako Software Firewall dla usług Active Directory. Następnie firma została wykupiona przez Microsoft i lekko słuch o niej zaginął, aż do teraz, kiedy Microsoft udostępnił (prawie) to samo rozwiązanie do testów użytkownikom. Narzędzie nosi nazwę Advanced Threat Analytics (ATA) i działa prawie na takiej samej zasadzie jak wcześniej. A o co tak naprawdę tyle szumu? (Chociaż de facto uważam, że media trochę przemilczały tego news’a… – czyżby uznały to za odgrzewany kotlet? ) Duże środowiska Active Directory narażone są ataki głównie „od środka”. Stacje użytkowników końcowych infekowane są przez ich nierozwagę, pobieranie niezaufanych plików, załączników mailowych itp. Dodatkowo wykorzystywanie nieaktualnego oprogramowania + fakt że złośliwe oprogramowanie jest zawsze kilka kroków przez antywirusami. Oczywiście infekcja takiego użytkownika końcowego nie jest żadnym powodem do paniki (dopóki nie jest to administrator ) ale fakty są takie, że atakujący „rozglądają się w sieci” wyszukując kolejnych obiektów i celów ataków. Problem zaczyna się, gdy środowisko jest coraz bardziej eksplorowane i wyszukiwane są kolejne dziury i podatności. Jak donoszą raporty – takie eksploracje trwają najczęściej niezważone ponad 200dni!!! i zasadniczo ciężko je wyłapać mając w organizacji kilkadziesiąt tysięcy użytkowników końcowych. Tutaj właśnie z pomocą przychodzi ATA. […]

Nowości Active Directory – 2012 R2 – wprowadzenie.

10 marca 2015 at 08:50

Chociaż Windows Server 2012R2 na naszych serwerach gości już stosunkowo długi czas, to wiele organizacji dopiero teraz realnie myśli o przejściu ze starszych wersji systemów operacyjnych na Windows Server 2012R2. Kluczowym pytaniem zawsze jest „co zyskamy dzięki Windows Server 2012 R2?”. Rozważmy to oczywiście w kontekście Active Directory. Proponuję mini-cykl o nowościach Active Directory na poziomie funkcjonalności 2012 R2. Cześć I – Wprowadzenie Wprowadzone zmiany można podzielić na kilka zasadniczych grup: Poprawione bezpieczeństwo. Mimo, że usługi Active Directory są bardzo bezpieczne, to inżynierowie Microsoftu znaleźli jeszcze kilka miejsc, które mogły być potencjalnie niebezpieczne oraz kilka, które dzięki zmianom stały się jeszcze bezpieczniejsze. Ochrona pamięci LSASS.exe – dotychczas podstawową metodą ataków na konta Active Directory była iniekcja zapamiętanych hashy haseł do podsystemu zabezpieczeń systemu operacyjnego. LSASS.exe jako integralna część tegoż podsystemu zabezpieczeń był miejscem, skąd atakujący byli w stanie pobrać zapamiętane hashe haseł. Od czasu wprowadzenia Windows Server 2012 R2 udostępniona została ochrona pamięci, która pomaga również w usuwaniu zapamiętanych hashy haseł. Chronione konta użytkowników – nowe Active Directory udostępnia nową grupę „Protected Users”, która może być wykorzystywana do ochrony wrażliwych i narażonych na ataki kont Active Directory. Między innymi konta takie mogą się uwierzytelniać tylko w sposób bezpieczny, a stare […]

CPasswords i zmiana haseł w GPO

27 stycznia 2015 at 07:07

Od czasu wprowadzenia GPP (Group Policy Preferences) automatyczna zmiana haseł kont lokalnych stała się prosta łatwa i przyjemna. Niestety przyszedł dzień 13.05.2014 i znaleziona (znana już wcześniej) „luka” bezpieczeństwa spowodowała, że Microsoft całkowicie wycofał się z możliwości zmiany haseł dla kont lokalnych z wykorzystaniem GPP… Co więcej nie dotyczyło to tylko nowych systemów operacyjnych, lecz wraz z zainstalowaniem którejś z kolejnych poprawek – wycięło tą możliwość również z już działających starszych systemów. O co tak naprawdę zrobiono tyle szumu? – Burza w szklance wody Przeanalizujmy z czego wynika zamieszanie: 1. Zarówno GPO jako i GPP są utrzymywane na zasobie SYSVOL w postaci plików konfiguracyjnych XML oraz towarzyszących im metadanych. 2. Aby móc pobrać i przetworzyć GPO lub GPP należy mieć do nich uprawnienia – uprawnienia z GPO są przenoszone na SYSVOL 3. Atrybut CPassword jest szyfrowany 32-bitowym AES’em i w takiej postaci jest zapisywany do pliku XML   Zatem zamiast zmienić szyfrowanie na bezpieczniejsze – Microsoft wyciął możliwość zarządzania hasłami lokalnymi w jakże prosty i intuicyjny sposób… Swoją drogą wystarczyło być świadomym administratorem i do GPO obsługującego hasła lokalne przyciąć uprawnienia jedynie dla stacji domenowych (odebrać uprawnienia odczytu i przetworzenia zasad użytkownikom) – dzięki czemu użytkownik w swoim imieniu nie […]

© Marcin Krzanowicz