Cu o mulțime de versiuni neperectate de Windows într-un domeniu Active Directory, se poate gestiona un client atunci când se conectează la controlerul de domeniu și injectați o politică de grup care oferă unui atacator privilegii de administrator local ( https://labs.mwrinfosecurity.com/blog/how-to-own-any-windows-network-with-group-policy-hijacking-attacks/ ). Soluția este de a utiliza întărirea căii UNC pentru SYSVOL. Ce face asta exact? Cum este legată de semnarea SMB? Probabil, la sfârșitul zilei trebuie să fie ceva similar cu certificatele x509. Dacă da, când se schimbă cheile publice?
Comentarii
- Începând din 2016 există ' niciun motiv pentru a avea instanțe Windows neperfectate. Windows are o compatibilitate foarte bună, astfel încât chiar și majoritatea aplicațiilor integrate Windows vor trebui să funcționeze pe versiuni corecte. Chiar și aceste versiuni cu patch-uri sunt mai stabile, deoarece există și remedieri ale aplicațiilor (în pachetele de service). Începând din 2016, sistemul de operare neplăcut seamănă mai mult cu un backdoor și ar trebui luat foarte în serios.
- Nu ' nu văd cum ' este relevant pentru întrebare.
Răspuns
UNC Path Hardening provine din vulnerabilități JASBUG (MS15-011 și MS15-014).
Microsoft sugerează implementarea unor soluții la problemele SMB MITM ușor de găsit în Responder.py sau instrumente și tehnici conexe (de exemplu, CORE Impacket , Cartof , Tater , SmashedPotato și colab.) care includ, dar nu se limitează la semnarea SMB. Mai multe informații disponibile prin intermediul acestor resurse:
- " Protecție extinsă " ghid de implementare și implementare pentru a preveni MITM
- https://digital-forensics.sans.org/blog/2012/09/18/protecting-privileged-domain-accounts-network-authentication-in-depth
- http://www.snia.org/sites/default/orig/SDC2012/presentations/Revisions/DavidKruse-SMB_3_0_Because_3-2_v2_Revision.pdf
Noțiunile de bază: Implementați protecție împotriva SMB MITM și Replay cu semnarea permanentă SMB, protecție extinsă pentru autentificare (EPA) și forțarea utilizării SMB 3 (sau cel puțin SMB 2.5 cu RequireSecureNegotiate adecvat – SMB 3 pretutindeni poate necesita clienți Win10 și Win Server 2012 R2 cu nivel funcțional de domeniu și pădure din 2012 R2) asigurându-se în același timp NBT, LLMNR, WPAD și DNS nu creează alte scenarii de protocol MITM.
După care, JASBUG poate fi reparat după configurația UNC Hardened Path Rețineți că patch-ul nu implică o remediere, astfel încât persoana care a comentat sub întrebarea inițială nu înțelege e vulnerabilitatea JASBUG (o constatare obișnuită).