Bei vielen nicht gepatchten Windows-Versionen in einer Active Directory-Domäne kann ein Client in der Mitte verwaltet werden, wenn eine Verbindung zum Domänencontroller hergestellt wird und fügen Sie eine Gruppenrichtlinie ein, die einem Angreifer lokale Administratorrechte gewährt ( https://labs.mwrinfosecurity.com/blog/how-to-own-any-windows-network-with-group-policy-hijacking-attacks/ ). Die Lösung besteht darin, die UNC-Pfadhärtung für SYSVOL zu verwenden. Was macht das genau? Wie hängt es mit der SMB-Signatur zusammen? Vermutlich muss es sich letztendlich um x509-Zertifikate handeln. Wenn ja, wann werden die öffentlichen Schlüssel ausgetauscht?
Kommentare
- Ab 2016 gibt es ' s Kein Grund, nicht gepatchte Windows-Instanzen zu haben. Windows ist sehr gut kompatibel, sodass selbst die meisten in Windows integrierten Anwendungen mit gepatchten Versionen arbeiten müssen. Selbst diese gepatchten Versionen sind stabiler, da es auch Anwendungskorrekturen gibt (in Service Packs). Ab 2016 ähnelt das nicht gepatchte Betriebssystem eher einer Hintertür und sollte sehr ernst genommen werden.
- Ich ' sehe nicht, wie das ' ist für die Frage relevant.
Antwort
UNC Path Hardening kommt vom JASBUG -Anfälligkeiten (MS15-011 und MS15-014).
Microsoft schlägt vor, Problemumgehungen für die SMB MITM-Probleme zu implementieren, die in der Responder.py oder verwandte Tools und Techniken (z. B. CORE Impacket , Kartoffel , Tater , SmashedPotato et al.) Dazu gehören unter anderem die SMB-Signierung. Weitere Informationen finden Sie über diese Ressourcen:
- " Erweiterter Schutz " Primer und Implementierungshandbuch zur Verhinderung von MITM
- https://digital-forensics.sans.org/blog/2012/09/18/protecting-privileged-domain-accounts-network-authentication-in-depth
- http://www.snia.org/sites/default/orig/SDC2012/presentations/Revisions/DavidKruse-SMB_3_0_Because_3-2_v2_Revision.pdf
Die Grundlagen: Implementieren Sie den Schutz gegen SMB MITM und Replay mit ständig aktivierter SMB-Signatur, erweitertem Schutz für die Authentifizierung (EPA) und erzwingen Sie die Verwendung von SMB 3 (oder mindestens SMB 2.5 mit ordnungsgemäßem RequireSecureNegotiate – SMB 3 erfordert möglicherweise überall Win10-Clients und Win Server 2012 R2 mit Domänen- und Gesamtstrukturfunktionsebene von 2012 R2), wobei sichergestellt wird, dass NBT, LLMNR, WPAD und DNS keine anderen MITM-Protokollszenarien erstellen.
Danach kann JASBUG nach der UNC Hardened Path-Konfiguration gepatcht werden wird hinzugefügt. Beachten Sie, dass der Patch keine Korrektur impliziert, sodass die Person, die unter der ursprünglichen Frage einen Kommentar abgegeben hat, dies nicht versteht e JASBUG-Sicherheitsanfälligkeit (eine häufige Feststellung).