Download - Top 10 mistakes running a windows network
?מי אני
.שנים בפיתוח וטכנולוגיה אבטחת מידע12מעל •
מאמרים בתחום אבטחת המידע 100-פרסמתי יותר מ •: MS04-025, MS05-005כולל
בחברת " "MCRCהייתי מנהל צוות אבטחת מידע ומחקר•Finjan 2004בשנת.
פעמיים שותף לזכייה ב , 8200בוגר היחידה הטכנולוגית •".פרס בטחון ישראל"
".Citadel"ל טכנולוגיות ב "סמנכ, בעבר•
2
“The shoemaker's son always goes barefoot”
ולא ב Windows XPאדמיניסטרטורים שמשתמשים ב •
Windows 7 או הWindows 7 בליUAC(כמעט שקול)
אדמיניסטרטורים שהסיסמא של החשבון האישי שלהם חלשה•
ZORIK:12345: דוגמא מלקוח–
אדמיניסטרטורים שהמחשב שלהם הוא לא חלק מסריקות •
אבטחת המידע
ים'אדמיניסטרטורים שלהם עצמם חסר פאטצ•
וירוס -אדמיניסטרטורים שלהם עצמם אין אנטי•
אדמיניסטרטורים עם מחשב נייד לא מוצפן•
9
Domain Administrators on Users VLAN
ברוב הארגונים בישראל אדמיניסטרטורים ומשתמשים מחוברים •
VLANלאותו ה
:משתמש מסוגל•
(NetBIOS Brute Force)לתקוף את מחשבו של האדמיניסטרטור –
(NBNS Race Condition)של שרת מקומי NetBIOSלזייף שם –
:להשתלט על תעבורת הרשת ו–
Domain Administratorשירוצו בהרשאות EXEלהחליף קבצי •
Domain Administratorsשל Hashes & Passwordsלגנוב •
על חיבורים מאובטחים כגון Downgrade Attacksעם MiTMלבצע מתקפות •
SSH, SSL וRDP
10
(LM and NTLM v1) vs. (NTLM v.2)
הזהות שלו , עובר ברשתAdministratorשל ה Hashברגע שה •
:יכולה להגנב
Pass-The-Hashבאמצעות Hashניתן להשתמש ב –
Dictionary, Brute Force, Rainbowבאמצעות Hashניתן לשבור את ה –
13
Daily logon as a Domain Administrator
?"אלוהים"האם יש ישות בין בני אדם העונה להגדרה •
גם במחשבים לא צריכה להיות ישות כזאת–
מחובר למחשבו האישי הוא איננו Administratorהאם כאשר •
?משתמש רגיל
?האם הוא גולש לאתרי אינטרנט–
?האם הוא נכנס לפייסבוק–
?האם הוא מקבל אימיילים ופותח אותם–
?האם הוא מוריד ומתקין אפליקציות–
?האם באפליקציה שהוריד יכול להיות וירוס–
Domain Administrator?18מה מסוגל וירוס שרץ בהרשאות –
Using Domain Administrator For
Services
?Domain Administratorצריך הרשאות MSSQLלמה שרת •
נשמרת מוצפנת במכונה ואדמין ( Hashלא ה )הגולמיתהסיסמא •
Clear Textמקומי מסוגל לשלוף אותה ב
Domain Administratorהמקרה בו השירות צריך הרשאות •
כמעט ולא קיים
Localההרשאות הכי נפוצות שיש בהם צורך הן , בפועל•
Administratorעל השרת עצמו , מקומי
המקרים בהם צריכים את ההרשאות הכי גבוהות יש צורך רק ב •
Local Administratorעל משתמשים ושרתים, מקומי
19
Managing the network with Local
Administrator Accounts
:ברוב המקרים הצורך המרכזי הוא•
היכולת להתקין בשרתים ומשתמשים–
Remote Registryו $Cלהתחבר מרחוק ב –
ביצוע סריקות מרוחקות–
מהמשימות באמצעות חלוקת תפקידים 99%אפשר לבצע •
(Separation Of Duties )לתפקידים הבאים
–Users Group – Local Administrators
–Servers Group – Local Administrator
–Change Password Privilege
20
The NetLogon Folder
היא הדרך הקלאסית להשגת Netlogonשימוש לגוי בתיקיית •
Domain Administrator
:המקרים הכי נפוצים הם•
Clear Textב Local Administratorsסקריפטים עם סיסמאות של –
משתמש פשוט הרשאות כתיבה לתיקיה זו–
כמעט לא ניתנת לאיתור באופן אוטומטי–בעיה לוגית •
בתיקיה זו רבים יותר" אוצרות"ה , ככל שהארגון ותיק יותר•
21
LSA Secrets & Protected Storage
מערכת ההפעלה מייצאת פונקציונאליות לעבודה מאובטחת עם •
סיסמאות
:מפתחות ההצפנה מ/במערכת זו נשמרות הסיסמאות•
–Internet Explorer
–NetBIOS Saved Passwords
–Windows Service Manager
25
Cached Logons
לא מסוגל , ממחשב ניידDomainמשתמש המחובר ל •
כאשר הוא בביתDomainלהתחבר ל
:לכן מתבצעת סימולציה כך ש•
של הסיסמא של המשתמש נשמר במחשבHashה –
והוא Hashכאשר הוא מזין את הסיסמא בתהליך ההזדהות מיוצר ממנה ה –
השמוריםHashesמושווה מול אוסף ה
השונים Hashesה 10ברירת המחדל היא שמירת : הבעיה•
האחרונים שהתחברו למכונה
כנראה שמשתמש דומיין אדמין מופיע , אלא אם מדובר בשרת•
ברשימה זו
31
Cached Logons
לא מבצעים את ההבדלה במדיניות זו בין רוב הארגונים •
לניידיםמחשבים נייחים
:רוב הארגונים לא מקשיחים•
0את העמדות הנייחות ל –
1את המחשבים הניידים ל –
2-3את השרתים ל –
תוקף עם הרשאת אדמין מקומי יכול /משתמש–מסקנה •
.מהזכרון של כל מחשב בארגוןDomain Adminלהשיג
32
Password History
בכדי למנוע ממשתמשים להזין את אותה הסיסמא בכל פעם שנדרשת •
של הסיסמאות הישנות Hashהחלפת סיסמא המערכת שומרת את ה
.במחשב המקומי
סיסמאות אחורנית24הגדרת ברירת המחדל היא שמירת •
משיג את כל משפחות הסיסמאות , תוקף שמשיג הרשאות על מחשב•
של כל חשבונות המשתמשים הקיימים על אותו המחשב
48מחשב שבממוצע שימש רק מישהו אחד נוסף בעבר יכיל עד •
סיסמאות
.כ בשימוש במחשבים וחשבונות אחרים בארגון"סיסמאות אלו בד•
33
Users as Local Administrators
, Local Administratorכאשר משתמש מקומי מחובר בהרשאות •
של המערכת המקומית בסיכוןIntegrityכל ה
של הסיסמאות הישנות Hashesמשתמש מסוגל להוציא את ה •
של כל המשתמשים
של הסיסמאות הנוכחיות Hashesמשתמש מסוגל להוציא את ה •
Domain Adminכולל , של כל המשתמשים שהתחברו למכונה
34
Weak Passwords / No Complexity
Enforcement
מוצלחBrute Force= סיסמאות חלשות •
(!Password1)סיסמאות חזקות שמופיעות במילון •
סיסמאות ישנות או ברירת מחדל של הארגון•
36