Praha 2013 11. ročník největší odborné IT konference v ČR! Ondřej Ševeček MCM:Directory | MVP:Security | CEH | sevecek.com Co by skutečný.

Prezentace na téma: "Praha 2013 11. ročník největší odborné IT konference v ČR! Ondřej Ševeček MCM:Directory | MVP:Security | CEH | sevecek.com Co by skutečný."— Transkript prezentace:

1 Praha 2013 11. ročník největší odborné IT konference v ČR! Ondřej Ševeček MCM:Directory | MVP:Security | CEH ondrej@sevecek.com | sevecek.com Co by skutečný hacker udělal vaší Active Directory

2 O čem bude řeč?  Nejdřív musí zjistit něco o vaší síti –anonymní LDAP čtení –ověřené LDAP čtení  Potom se musí stát domain adminem –hardware keylogger –nezašifrovaný LDAP simple bind –Kerberos delegation with protocol transition –fyzický přístup k DC a usnadnění –hekněte si forest ze subdomény  A nakonec chce v síti zůstat na vždy –neviditelné naplánované úlohy –"originální" MS root autorita

3 Scan všech DC  PORTQRY -n IP.IP.IP.IP -e 389  LDP

4 Anonymní LDAP čtení  Výchozí, pokud první DC bylo Windows 2003 a starší  Celoforestové zapínátko –dsHeuristics ~ 0000002  Pre-Windows 2000 Compatible Access –obsahuje Anonymous Logon  nebo někdě uvnitř LDAPu je přímo použito Anonymous Logon

5 Ověřené LDAP čtení  Každý vidí skoro všechno

6 Hardware keylogger  Toho si opravdu nevšimnete  Používejte čipové karty

7 LDAP simple bind  Basic autentizace  Využívá ji mnoho zařízení a aplikací –NAS –hardware routery, switche, VPN gateway –VMWare konzole  Pokud nemáte TLS tak to lítá nezašifrované  Odposlech pomocí ARP poisoningu –na stejné VLAN

8 Kerberos delegation Client App Server DB LDAP FS Kamil

9 Neeebezpečná delegace  Když to zapnete špatně, budou se dít divy  Any authentication protocol –Kerberos protocol transition –umožňuje přihlašovat uživatele bez znalosti jejich hesla

10 Usnadnění  Nešifrujete DC?  Šifrujte je!

11 Forest je "security boundary"  Všechna DC si vzájemně věří  Všechna DC replikují Configuration oddíl  Uvnitř forestu není SID filtering  Není cesta, jak zabránit členovi Domain Admins ze subdomény, aby se stal členem Enterprise Admins v root doméně a pánem celého forestu

12 Kontrola "co se spouští"  SysInternals Process Explorer  NOD32 System Inspector

13 Naplánované úlohy pomocí WMI  SELECT * FROM __InstanceModificationEvent WHERE TargetInstance ISA 'Win32_LocalTime' AND TargetInstance. = 5  Second, Minute, Hour, DayOfWeek, Month, Quarter, Year, WeekInMonth

14 Důvěra je důvěra  Něčemu prostě musím věřit  Co když si to digitálně podepíšu vlastní důvěryhodnou CA?

15 MS certifikační autorita a podpis  CA –CN=Microsoft Root Authority,OU=Microsoft Corporation,OU=Copyright (c) 1997 Microsoft Corp.  Issuer –CN=Microsoft Corporation,OU=MOPR,O=Microsoft Corporation,L=Redmond,S=Washington,C=US

16 AD CS configuration  Delší platnost vydávaných certifikátů –CERTUTIL -setreg CA\ValidityPeriodUnits 5  Vynechat jméno certifikační šablony z vydaných certifikátů –CERTUTIL -setreg policy\DisableExtensionList +1.3.6.1.4.1.311.21.7  Nedávat CRL do vydávaných certifikátů –certutil -setreg DBFlags +DBFLAGS_ENABLEVOLATILEREQUESTS

17 Související kurzy  GOC171 - Active Directory Troubleshooting  GOC172 - Kerberos Troubleshooting  GOC173 - PKI Deployment