Active Directoryドメインにパッチが適用されていないバージョンのWindowsが多数ある場合、クライアントがドメインコントローラーに接続するときに中間者攻撃を行うことができます。攻撃者にローカル管理者権限を与えるグループポリシーを挿入します( https://labs.mwrinfosecurity.com/blog/how-to-own-any-windows-network-with-group-policy-hijacking-attacks/ )。解決策は、SYSVOLにUNCパス強化を使用することです。これは正確に何をしますか? SMB署名とどのように関連していますか?おそらく、結局のところ、それはx509証明書に似たものでなければなりません。その場合、公開鍵はいつ交換されますか?
コメント
- 2016年現在'パッチを適用していないWindowsインスタンスを使用する理由はありません。 Windowsは非常に優れた互換性を備えているため、ほとんどのWindows統合アプリケーションでさえ、パッチが適用されたバージョンで動作する必要があります。これらのパッチが適用されたバージョンでも、アプリケーションの修正(サービスパック内)があるため、より安定しています。 2016年の時点で、パッチが適用されていないオペレーティングシステムはバックドアのようなものであり、非常に真剣に受け止める必要があります。
- 'その方法がわかりません'は質問に関連しています。
回答
UNCパスの強化は JASBUG の脆弱性(MS15-011およびMS15-014)。
Microsoftは、
Responder.py または関連するツールとテクニック(例:CORE Impacket 、 Potato 、 Tater 、 SmashedPotato など)これには、SMB署名が含まれますが、これに限定されません。これらのリソースから入手できる詳細情報:
- "拡張保護" MITMを防ぐための入門書と実装ガイド
- https://digital-forensics.sans.org/blog/2012/09/18/protecting-privileged-domain-accounts-network-authentication-in-depth
- http://www.snia.org/sites/default/orig/SDC2012/presentations/Revisions/DavidKruse-SMB_3_0_Because_3-2_v2_Revision.pdf
基本:常時オンのSMB署名、認証の拡張保護(EPA)を使用して、SMB MITMおよびリプレイに対する保護を実装し、SMB 3(または少なくともSMB2.5と適切なRequireSecureNegotiate-SMB3はどこでもWin10クライアントとWinServer2012を必要とする場合があります)の使用を強制しますドメインとフォレストの機能レベルが2012R2のR2)で、NBT、LLMNR、WPAD、DNSが他のMITMプロトコルシナリオを作成しないようにします。
その後、UNC HardenedPath構成後にJASBUGにパッチを適用できます。パッチは修正を意味しないため、元の質問の下でコメントした人はthを理解していないことに注意してくださいe JASBUGの脆弱性(一般的な発見)。