Kun Active Directory -toimialueella on paljon Windows-versioita, joita ei ole vielä ladattu, asiakas voi olla keskellä, kun se muodostaa yhteyden toimialueen ohjaimeen ja injektoi ryhmäkäytäntö, joka antaa hyökkääjälle paikallisen järjestelmänvalvojan oikeudet ( https://labs.mwrinfosecurity.com/blog/how-to-own-any-windows-network-with-group-policy-hijacking-attacks/ ). Ratkaisu on käyttää UNC-polkukovetusta SYSVOL: lle. Mitä tämä tekee tarkalleen? Kuinka se liittyy pk-yritysten allekirjoittamiseen? Oletettavasti päivän lopussa sen on oltava jotain samanlaista kuin x509-varmenteet. Jos on, milloin julkiset avaimet vaihdetaan?
Kommentit
- Vuodesta 2016 lähtien ' s ei ole syytä olla avaamattomia Windows-esiintymiä. Windowsilla on erittäin hyvä yhteensopivuus, joten jopa useimpien Windows-integroitujen sovellusten on työskenneltävä korjaustiedostoilla. Jopa nämä korjaustiedostot ovat vakaampia, koska siellä on myös sovelluksen korjauksia (huoltopaketeissa). Vuodesta 2016 lähtien käyttämätön käyttöjärjestelmä on enemmän kuin takaovi, ja siihen tulisi suhtautua erittäin vakavasti.
- En näe ' en ymmärrä miten ' kysymykseen.
Vastaus
UNC: n polun kovettuminen tulee JASBUG -heikkoudet (MS15-011 ja MS15-014).
Microsoft ehdottaa kiertotapojen käyttöönottoa pk-yritysten MITM-ongelmiin, jotka löytyvät helposti Responder.py tai siihen liittyvät työkalut ja tekniikat (esim. CORE Impacket , Peruna , Tater , SmashedPotato , et ai.) joita ovat muun muassa pk-yritysten allekirjoittaminen. Lisätietoja on saatavana näiden resurssien kautta:
- " Laajennettu suojaus " aluke ja toteutusopas MITM: n estämiseksi
- https://digital-forensics.sans.org/blog/2012/09/18/protecting-privileged-domain-accounts-network-authentication-in-depth
- http://www.snia.org/sites/default/orig/SDC2012/presentations/Revisions/DavidKruse-SMB_3_0_Because_3-2_v2_Revision.pdf
Perustiedot: Suojaa SMB MITM ja Replay vastaan aina päällä olevalla SMB-allekirjoituksella, EPA-suojauksella ja pakottamalla SMB 3 (tai vähintään SMB 2.5 asianmukaisella RequireSecureNegotiate-toiminnolla) – SMB 3 kaikkialla saattaa edellyttää Win10-asiakkaita ja Win Server 2012 R2, jolla on toimialueen ja metsän toiminnallinen taso vuonna 2012 R2), samalla kun varmistetaan, että NBT, LLMNR, WPAD ja DNS eivät luo muita MITM-protokollan skenaarioita.
Tämän jälkeen JASBUG voidaan korjata UNC: n karkaistun polun kokoonpanon jälkeen Huomaa, että korjaustiedosto ei tarkoita korjausta, joten alkuperäisen kysymyksen kommentoinut henkilö ei ymmärrä e JASBUG-haavoittuvuus (yleinen havainto).