Offline zmena SID History

24. mája 2015 | Michael Grafnetter | 2 komentáre na Offline zmena SID History

Jedným z možných útokov na bezpečnosť Active Directory je podvrhnutie SID History. V Microsofte sú si toho plne vedomí a preto sú v Active Directory implementované 2 mechanizmy, ktoré zabraňujú efektívnemu zneužitiu SID History:

  • Hodnoty atribútu sIDHistory prichádzajúce z externých trustov sú vo východzom stave ignorované vďaka funkcii SID Filtering.
  • Atribút sIDHistory sa nedá len tak zmeniť na ľubovoľnú hodnotu ani pomocou konzoly Active Directory Users and Computers, ani cez PowerShell či nejaké API. Jediný podporovaný spôsob je použitie nástroja ADMT, ktorý vie prekopírovať existujúci SID z dôverovanej domény do SID History v dôverujúcej  doméne.

Ako však zapísať do SID History akúkoľvek hodnotu a obísť tak druhý z uvedených mechanizmov?

(viac…)

Značky:, , ,

Ako resetovať heslo účtu krbtgt

30. marca 2015 | Michael Grafnetter | Žiadne komentáre na Ako resetovať heslo účtu krbtgt

V prípade kompromitácie niektorého z doménových radičov hrozí, že sa útočník dostal k heslu krbtgt účtu, vďaka čomu môže začat vystavovať ľubovoľné Kerberos tikety a získať tak práva ktoréhokoľvek používateľa či služby. To je katastrofický scenár, pretože si nikdy nemôžete byť istí, čo všetko tam útočník stihol napáchať a kde všade si ponechal zadné vrátka. V takejto situácii je najbezpečnejšie obnoviť celý AD forest zo zálohy, alebo ho rovno preinštalovať.

Pokiaľ sa rozhodnete pre obnovu forestu, nezabudnite 2-krát po sebe resetovať heslo účtu krbtgt. Táto operácia môže mať tiež nepríjemné následky, lebo si prestanú dôverovať doménové kontroléry a nebude medzi nimi fungovať replikácia. Ak to nastane, je nutné dočasne zakázať službu Kerberos na všetkých serveroch, ktoré zatiaľ nemajú doreplikovanú novú verziu hesla a následne ich reštartovať. Po reštarte si natiahnu Kerberos tikety od serveru s novým heslom a mali by sa s ním úspešne zreplikovať. Potom je na nich možné službu Kerberos znovu spustiť.

Je vidno, že v závislosti od veľkosti prostredia sa jedná o komplikovaný proces náchylný na chyby a výpadky. Páni z Microsoft Consulting Services našťastie zverejnili skript, ktorý tento postup značne zjednodušuje. Stačí spustiť nasledujúcu sekvenciu príkazov a nechať sa previesť Wizardom:

Skript pred zmenou najprv overí dostupnosť všetkých doménových kontrolérov a po resete vynúti replikáciu nového hesla na všetky DC.

Značky:, ,

Správa hesiel lokálnych administrátorov

28. marca 2015 | Michael Grafnetter | Žiadne komentáre na Správa hesiel lokálnych administrátorov

Chceli by ste mať na každom doménovom PC lokálny účet Administrator s unikátnym, náhodným a pravidelne meneným heslom, bez nutnosti to riešiť manuálne? Potom Vám môžem doporučiť veľmi zaujímavý open-source nástroj Local admin password management solution, ktorého autorom je Jiří Formáček z Microsoftu.

AdmPwd GUI

Značky:, ,

Pozvánka na WUG Bratislava: Ako narába Active Directory s Vaším heslom

10. marca 2015 | Michael Grafnetter | Žiadne komentáre na Pozvánka na WUG Bratislava: Ako narába Active Directory s Vaším heslom

WUGĎalšiu zo série prednášok o bezpečnosti hesla v AD budem mať 26. 3. 2015 o 17:00 v Bratislave na pobočke Microsoftu. Viac info nájdete na webe WUGu.

Teším sa na stretnutie s Vami.

Značky:, , , , ,

Certifikačná autorita ČAK: Sodoma Gomora

26. januára 2015 | Michael Grafnetter | Žiadne komentáre na Certifikačná autorita ČAK: Sodoma Gomora

Česká Advokátní Komora (ČAK) vydáva všetkým advokátom a advokátskym koncipientom čipové identifikačné preukazy postavené na kartách HID Crescendo C700. Nedávno som sa k jednému takémuto preukazu dostal, keď som pomáhal kamarátke s prístupom do dátovej schránky. Pri pohľade na certifikát vystavený certifikačnou autoritou ČAK, ktorý bol na čipe nahraný, som sa nestačil diviť vlastným očiam. Jedná sa o ukážkový príklad toho, ako by sa nemala nakonfigurovať certifikačná autorita.

(viac…)

Značky: