Praha 2013 11. ročník největší odborné IT konference v ČR! Ondřej Ševeček MCM:Directory | MVP:Security | CEH | sevecek.com Co by skutečný.

Slides:



Advertisements
Podobné prezentace
Eduroam na UK Ladislav Fikais
Advertisements

Praha ročník největší odborné IT konference v ČR! Ondřej Ševeček MCM:Directory | MVP:Security | CEH | sevecek.com Certifikační.
Enterprise řešení pro elektronický podpis VerisignIT
Mobilně a (ne)bezpečně
jak to funguje ? MUDr.Zdeněk Hřib
Skupinová politika Windows 200x - požadavky
Výkonná a pohodlná správa zařízení se systémem Windows Mobile® 6.1 v podnikovém prostředí Mezi nabízené funkce patří: Centralizovaná, bezdrátová správa.
Operační systémy a aplikační servery Tomáš ZACHAT SPŠ Praha 10, STIC.
ZMVŠ. Bezpečnost Windows 8 Dynamic Access Control (DAC) Volně – Dynamický kontrolní přístup) rozšíření NTFS access control listů (ACL) o složitá pravidla.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-3-20.
Adresářové služby – základní pojmy
Vaše jistota na trhu IT Důvěryhodná výpočetní základna Ladislav Šolc Microsoft, s.r.o. Solution.
Správa firemních mobilních zařízení. Proč si pořídit Cortado Corporate Server? Komplexní správa a monitoring firemních mobilních zařízení, včetně zabezpečení.
ESET - Chytré řešení bezpečnosti dat Filip Navrátil, Sales Engineer, ESET Software spol. s r.o.
Caché Security. Jak vypadá zabezpečení dnes Jak bude vypadat a co by Caché měla umět v budoucnu Včera, dnes a zítra.
Petr Šetka, MVP Exchange, MCSE:Messaging, MCT Windows Small Business Server 2003 R2.
Adresářová služba Active directory
Ing. Stanislav Bíža, Senior IT Architect, CISA © Copyright IBM Corporation 2007 IBM Global Technology Services Zabezpečení dat v elektronických pasech.
Firewall Sommer David 3.IT. Druhy FW O Softwarové brány firewall O Hardwarové firewally O “osobní” firewally O Podnikové firewally.
1 Přehled novinek v serveru Exchange 2007 Marian Henč Technology Specialist – AD & Messaging
Systémová integrace Administrace, datová centra a monitoring, virtualizace Ing. Roman Danel, Ph.D. Institut ekonomiky a systémů řízení.
Ing. Roman Danel, Ph.D. Institut ekonomiky a systémů řízení Hornicko – geologická fakulta.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-4-14.
Microsoft System Center Operations Manager
Serverové systémy Windows
OBSAH PREZENTACE Elegantní autentizace = Digipass GO 1 Snadné ovládání
JEDINÉ ŘEŠENÍ – OD HESEL K ČIPOVÝM KARTÁM! T-Soft s.r.o. Mgr.Pavel Hejl, CSc.
Jednotná autentizace Pavel Dobiš, ICT Security Architect Důvěřujte JEN PROVĚŘENÝM…
Operation Masters - správa Operation Masters - role Operation Masters - role Operation Masters - umístění Operation Masters - umístění Přesouvání versus.
Advanced Technologies 05 Jak zabezpečit váš Web Server Martin Pavlis (MCSE, MCT) Konzultant.
Public Key Infrastructure Přednášky z Distribuovaných systémů Ing. Jiří Ledvina, CSc.
Základy uživatelských a skupinových účtů
Advanced Technologies 05 Rozšířené monitorování infrastruktury pomocí MOM 2005 Ondřej Výšek Systémový Specialista Infinity a.s., member of Synergon Group.
Exchange Server 2003 představení Tomáš Kutěj Systems Engineer Microsoft, s.r.o.
Autentizace a účty v AD. Autentizace stanice v AD.
Active Directory Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
Databáze Lokální systémy a SQL servery VY_32_INOVACE_7B10.
[Public]—For everyone ©2003–2008 Check Point Software Technologies Ltd. All rights reserved. Moderní vzdálený přístup Martin Koldovský
1 Seminář 9 MAC adresa – fyzická adresa interface (rozhraní) Je zapsána v síťové kartě. Je identifikátor uzlu na spoji. MAC adresu v paketu čte switch.
Klomfar Petr.  Adresářová služba  specializovaná databáze optimalizovaná pro čtení a vyhledávání.  popisující objekt pomocí atributů. Na rozdíl od.
Copyright © Siemens IT Solutions and Services 2008.All rights reserved. Copyright© Siemens IT Solutions and Services All rights reserved. Sdílení.
Internetové protokoly Autor: Milan Bílek. Internet Internet je celosvětová systém propojených počítačových sítí. Počítače mezi sebou komunikují pomocí.
Pohled uživatele.
Advanced Technologies 05 Migrace a instalace klientských stanic Pavel Cach, Praha
DNS a Windows 200x Služba DNS je vyžadována pro vytvoření Active Directory Problémy 1.Dle RFC 1123 lze v DNS použít znaky: ‘A’-’Z’, ‘a’-’z’, ‘0’-’9’, and.
Doména Windows Serveru Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
Skupinové politiky.
Pavel Olšan & Ondřej Mrzena.  Co je server  Funkce  Verze Windows a instalace  Active Directory  Účty  DNS  DHCP  .
Správa MS Windows II Vladimír Pečený.
Zabezpečení. GPO Security Settings Comp Conf – Win Settings – Security Settings Account Policies – Password Policy – požadavky na hesla uživatelů Doménová.
PV175 SPRÁVA MS WINDOWS I Podzim 2008 Síťové služby Administrátor systému: Pracovní doba administrátora se sestává z výměny magnetických pásek v zálohovacích.
Překlad jmen, instalace AD
Ondřej Ševeček | GOPAS a.s. MCSM:Directory Services | MVP:Enteprise Security | CISA | CEH | CHFI | facebook: ondrej.sevecek.official.
Bezpečnostní technologie I IPSec Josef Kaderka Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg.
Unix a Internet 9. Samba © Milan Keršlágerhttp:// Obsah: ●
Elektronick ý podpis v Lotus Notes Josef Honc, M-COM LAN solution
Základy práce s portálem CzechPOINT HW, SW, tokeny, certifikáty, administrace.
Schůzka říjen 2005 Petr Vokáč říjen 2005
BEZPEČNOSTNÍ TECHNOLOGIE I Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ )
PREZENTUJÍCÍ SSO KV, AD WS Jaroslav Krotký Správa databází a aplikací Odbor informatiky.
Mailgw for FJFI Petr Vokáč říjen 2005
Ing. Martin Kořínek eGoncentrum ORP Nový Bydžov
Financováno z ESF a státního rozpočtu ČR.
NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně
Název školy: Autor: Název: Číslo projektu: Název projektu:
PKI, digitální podpis vs
Důvěra v certifikáty Pavel Vondruška
Elektronický (digitální) podpis
Windows Server 2003 Service Pack 1 z pohledu bezpečnosti
Ing. Jiří Šilhán IPv4.
Transkript prezentace:

Praha ročník největší odborné IT konference v ČR! Ondřej Ševeček MCM:Directory | MVP:Security | CEH | sevecek.com Co by skutečný hacker udělal vaší Active Directory

O čem bude řeč?  Nejdřív musí zjistit něco o vaší síti –anonymní LDAP čtení –ověřené LDAP čtení  Potom se musí stát domain adminem –hardware keylogger –nezašifrovaný LDAP simple bind –Kerberos delegation with protocol transition –fyzický přístup k DC a usnadnění –hekněte si forest ze subdomény  A nakonec chce v síti zůstat na vždy –neviditelné naplánované úlohy –"originální" MS root autorita

Scan všech DC  PORTQRY -n IP.IP.IP.IP -e 389  LDP

Anonymní LDAP čtení  Výchozí, pokud první DC bylo Windows 2003 a starší  Celoforestové zapínátko –dsHeuristics ~  Pre-Windows 2000 Compatible Access –obsahuje Anonymous Logon  nebo někdě uvnitř LDAPu je přímo použito Anonymous Logon

Ověřené LDAP čtení  Každý vidí skoro všechno

Hardware keylogger  Toho si opravdu nevšimnete  Používejte čipové karty

LDAP simple bind  Basic autentizace  Využívá ji mnoho zařízení a aplikací –NAS –hardware routery, switche, VPN gateway –VMWare konzole  Pokud nemáte TLS tak to lítá nezašifrované  Odposlech pomocí ARP poisoningu –na stejné VLAN

Kerberos delegation Client App Server DB LDAP FS Kamil

Neeebezpečná delegace  Když to zapnete špatně, budou se dít divy  Any authentication protocol –Kerberos protocol transition –umožňuje přihlašovat uživatele bez znalosti jejich hesla

Usnadnění  Nešifrujete DC?  Šifrujte je!

Forest je "security boundary"  Všechna DC si vzájemně věří  Všechna DC replikují Configuration oddíl  Uvnitř forestu není SID filtering  Není cesta, jak zabránit členovi Domain Admins ze subdomény, aby se stal členem Enterprise Admins v root doméně a pánem celého forestu

Kontrola "co se spouští"  SysInternals Process Explorer  NOD32 System Inspector

Naplánované úlohy pomocí WMI  SELECT * FROM __InstanceModificationEvent WHERE TargetInstance ISA 'Win32_LocalTime' AND TargetInstance. = 5  Second, Minute, Hour, DayOfWeek, Month, Quarter, Year, WeekInMonth

Důvěra je důvěra  Něčemu prostě musím věřit  Co když si to digitálně podepíšu vlastní důvěryhodnou CA?

MS certifikační autorita a podpis  CA –CN=Microsoft Root Authority,OU=Microsoft Corporation,OU=Copyright (c) 1997 Microsoft Corp.  Issuer –CN=Microsoft Corporation,OU=MOPR,O=Microsoft Corporation,L=Redmond,S=Washington,C=US

AD CS configuration  Delší platnost vydávaných certifikátů –CERTUTIL -setreg CA\ValidityPeriodUnits 5  Vynechat jméno certifikační šablony z vydaných certifikátů –CERTUTIL -setreg policy\DisableExtensionList  Nedávat CRL do vydávaných certifikátů –certutil -setreg DBFlags +DBFLAGS_ENABLEVOLATILEREQUESTS

Související kurzy  GOC171 - Active Directory Troubleshooting  GOC172 - Kerberos Troubleshooting  GOC173 - PKI Deployment

Kontaktní formulář: Ochrana osobních údajů Kontaktní formulář
O projektu: SlidePlayer Podmínky použití

© 2024 SlidePlayer.cz Inc. All rights reserved.