Ha az Active Directory tartományban sok a Windows nem javított verziója van, akkor a kliens a közepén állhat, amikor csatlakozik a tartományvezérlőhöz és injektáljon egy olyan csoportházirendet, amely a támadó számára helyi rendszergazdai jogosultságokat ad ( https://labs.mwrinfosecurity.com/blog/how-to-own-any-windows-network-with-group-policy-hijacking-attacks/ ). A megoldás az UNC útvonal-edzés használata a SYSVOL-nál. Mit csinál ez pontosan? Hogyan függ össze az SMB aláírással? Feltehetően a nap végén valami hasonlónak kell lennie az x509 tanúsítványokhoz. Ha igen, mikor cserélik a nyilvános kulcsokat?
Megjegyzések
- 2016-tól ' s nincs oka a nem javított Windows-példányoknak. A Windows nagyon jól kompatibilis, így a legtöbb Windows integrált alkalmazásnak is javított verziókon kell dolgoznia. Még ezek a javított verziók is stabilabbak, mert vannak alkalmazásjavítások is (szervizcsomagokban). 2016-tól a nem javított operációs rendszer inkább egy hátsó ajtóhoz hasonlít, és nagyon komolyan kell venni.
- Nem látom ', hogy ' s relevánsak a kérdés szempontjából.
Válasz
Az UNC útvonal-keményítése a JASBUG biztonsági rések (MS15-011 és MS15-014).
A Microsoft javasolja a Responder.py vagy a kapcsolódó eszközök és technikák (pl. CORE Impacket , burgonya , Tater , SmashedPotato és mtsai) amelyek magukban foglalják, de nem kizárólagosan, az SMB aláírást. További információ ezeken az erőforrásokon keresztül érhető el:
- " Kiterjesztett védelem " alapozó és megvalósítási útmutató a MITM megakadályozásához
- https://digital-forensics.sans.org/blog/2012/09/18/protecting-privileged-domain-accounts-network-authentication-in-depth
- http://www.snia.org/sites/default/orig/SDC2012/presentations/Revisions/DavidKruse-SMB_3_0_Because_3-2_v2_Revision.pdf
Az alapok: Védelmet nyújt az SMB MITM és a visszajátszás ellen, mindig bekapcsolt SMB-aláírással, kiterjesztett védelmi hitelesítéssel (EPA) és az SMB 3 használatának kényszerítésével (vagy legalább az SMB 2.5 megfelelő RequireSecureNegotiate használatával – az SMB 3 mindenhol Win10 klienseket és Win Server 2012-t igényelhet R2 a tartomány és erdő működési szintjével 2012 R2), miközben biztosítja, hogy az NBT, az LLMNR, a WPAD és a DNS ne hozzon létre más MITM protokoll forgatókönyveket.
Ezt követően a JASBUG javítható az UNC Hardened Path konfigurációja után Ne feledje, hogy a javítás nem jelenti a javítást, ezért az eredeti kérdés alatt kommentelő személy nem érti e JASBUG biztonsági rés (gyakori megállapítás).