Ostatnio dużo sie zmienia w świecie zaufanych wystawców certyfikatów. Najpierw GoDaddy przepuścił ofensywę na pozycje, na których okopały się Thawte, Verisign czy Equifax, wypuszczając najprostsze zaufane certyfikaty za 50$ rocznie (a nie jak inni >150$). Po jakimś czasie ceny spadły nawet < 30$ rocznie, co skutecznie wykosiło konkurencje dla najtańszych certyfikatów. Odstraszać jedynie może niezbyt “poważna” nazwa wystawcy.

Ale to nie wszystko - 22 sierpnia Microsoft do listy zaufanych urzędów certyfikacji dopuścił StarCom. Oznacza to, że wszystkie wersje Windows 2008 R2 oraz Windows 7 mają już wbudowanego tego wystawcę. A starsze systemy operacyjne automatycznie dostają aktualizacje za pomocą Windows Update.

Co nam daje StarCom? Darmowe certyfikaty poziomu 1. Zaufane przez większość przeglądarek z IE, oraz także przez Google Chrome, Mozillę FireFox, czy Safari na jabłku . Niestety brakuje jeszcze wsparcia dla zaufania w Operzę, czy istnienia w domyślnych magazynach na Windows Mobile.

Oczywiście certyfikaty poziomu 1mają wady - weryfikowana jest tylko nazwa domeny wystawcy, a informacje o organizacji nie są wyświetlane przy certyfikacie.

Ale i tak lepszy certyfikat poziomu 1, niż lokalny. W szczególności, kiedy jest za darmo.

https://www.startssl.com/

Teoretycznie uruchomienie konsolki Forefront Client Security na innej maszynie niż na serwerze FCSa jest niewspierane. Jednakże jest na to sposób :) Johan Blom napisał kiedyś jak to zrobić, a ja pozwolę sobie przetłumaczyć :)

• Zainstaluj klienta FCSa na maszynie i upewnij się, że usługi forefrontowe są uruchomione
• Uruchom FCSMS.MSI z płytki instalacyjnej (jest w katalogu “server”), a następnie zignoruj wszystkie ostrzeżenia
• Z serwera FCS wyeksportuj klucz [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Forefront\Client Security\1.0\Config], a następnie zaimportuj go na komputer, na którym chcesz uruchamiać konsolkę
• Zatrzymaj usługę “Microsoft Forefront Client Security Management Service”
• potem w menu start Start\Programs\Microsoft ForeFront\Client Security jest działająca konsola :)
• jedna uwaga – działa tylko na systemach x86

Klonując dyski z systemami Windows, Microsoft od zawsze ostrzegał nas o konieczności używania narzędzia systemowego Sysprep. Narzędzie to, oprócz sprzątania zależności sprzętowych w systemie, miało też generować nowy SID.

Oczywiście nie wszyscy admiistratorzy używali sysprep. Niektórzy, wliczając w tym mnie, woleli używać narzedzia firmy Symantec - ghostwalk. Prostsze i przyjemniejsze - zamiast sprzątać w całym systemie, po prostu zmieniało SID komputera w trybie offline.

Później przyszła era internetu i prostych narzędzi z Sysinternals - w tym graficznego narzędzia NewSID. Proste, okienkowe, i działało. SID komputera był bez problemu zmieniany, podobnie jak nazwa komputera.

Aż pewnego pięknego dnia Mark Russinovitch zadał sobie pytanie - do czego jest wogóle komputerowi zmiana SID-a? Przecież konta systemowe, czy konta specjalne mają taki sam sid na każdym komputerze. A jednak się wszystko działa. Wykorzystując to że Microsoft kiedyś przejął Sysinternals, Mark postanowił zapytać się grupy produktoweco daje zmiana SID-u, i dlaczego jest wymagana. Nikt mu nie odpoiwedział. Po kilku testach które wykonał, okazało się że zmiana SID-u na komputerze nie jest wykorzystywana. Przez sieć przy uwierzytelnianiu nigdy nie są przekazywane SID-y w czystej formie. Jedyny wyjątek stanowią urządzenia przenośne, ale kto jeszcze wierzy że uprawnienia na pendrivie przy zapisie NTFS będą respektowane przez system operacyjny, a użytkownik nie nadpiszę ich po prostu korzystając z uprawnień administracyjnych na innej stacji?

W związku z tym NewSid został wycofany, nie przez to że nadszedł jego kres, a po prostu dla tego że wymiana SID-u na komputerze była jedną wielką mystifikacją microsoftu mającą na celu zmuszenie administratorów do używania sysprepa - chociażby po to aby wymusić aktywacje systemu.

Zachęcam też do orginalnego artykuły Marka Russinovicha  - The Machine SID Duplication Myth

Joanna Rutkowska popełniła bardzo ciekawy wpis na blogu Invisible Things Lab. Okazuje się, że TC można połamać… i to w miarę łatwo… Czas kupić sprzęt z TPM…

Wreszcie eMeSowi udało mi się wyprowadzić mnie z równowagi. Ogłosili opóźnienie Forefront Endpoint Protection 

Przecież to jakaś paranoja. wydają qpy w stylu WS2008R2, które nic nie wnoszą i zbierają mieszane opinie przez skopane licencjonowanie, a FCS, który nigdy nie dostał złej opinii, którego sobie chwalą wszyscy, którzy go znają zostaje olany. W dodatku FEP2010 będzie oparty o SCCM2007! Heloł! żeby to postawić razem ze Stirlingiem/FPS trzeba będzie z 8 giga pamięci (ten stoi na SCOM). I najprawdopodobniej Multihomming będzie na podstawie przenikających się Site-ów. pomijając fakt, że wdrożenie na jednym pudełku będzie strasznie bolesne (SCCM i SCOM razem? no fukkkkkin way!) Poza tym po co zmieniać pomysł, gdzie FEP (client sec) i FPS (Stirling) są połączone? w betach działało to na prawdę dobrze. Aż tak, że pokusiłbym się o postawienie jej do produkcji.

Podsumowując wpis na blogu FF rozumiem tak – przepisujemy produkt od nowa. poczekajcie rok albo i więcej. Przypomina się sytuacja z Service Managerem, który już ma prawie 3 lata obsuwy (miał być najpóźniej rok po SCOMie)

FUKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKK

Jak zwykle obiecanki cacanki. Tak dla sportu przeglądałem dokumentację do Stirlinga w poszukiwaniu braków i bubli 9a takich na technecie nie brakuje ;) ) i trafiłem na coś takiego:

Upgrading or migrating Stirling

[This topic is pre-release documentation and is subject to change in future releases. Blank topics are included as placeholders.]

This document describes upgrade and migration scenarios for this beta release of Stirling. Material in this document replaces the content in the topic “Upgrading or migrating Stirling” in the Stirling Deployment Guide.

The following upgrade and migration scenarios are supported:

• Upgrading FCS 1.0 clients to this release of Stirling.
• Upgrading the public Beta 2 client components to this release of Stirling. For instructions, see Upgrading Stirling client components.
• Migrating policies, groups, and bindings from the public Beta 2 version to this release of Stirling. For instructions, see Migrating Stirling policies, groups, and bindings.

The following upgrade or migration scenarios are not supported:

• Upgrading server components from the public Beta 1 or public Beta 2 version to this version of Stirling
• Upgrading client components from public Beta 1 to this version of Stirling
• Migrating from one server topology to another
• Migrating from a third-party solution to Stirling

Czyli jednym słowem – będzie można aktualizować końcówki, ale i scenariuszu in-place dla topologii serwerowej można zapomnieć. Pięknie. Po prostu pięknie! tak z czystej ciekawości chyba zrobię infrastrukturę mieszaną i zobaczę jak FCS się kłóci z FEP :D

Na blogu zespołu AD pojawił się wpis o zastosowaniu pojedynczego certyfikatu do logowania wielu użyszkodników. Więcej szczegółów tutaj: http://blogs.technet.com/askds/archive/2009/08/10/mapping-one-smartcard-certificate-to-multiple-accounts.aspx

I znów o mojej ulubionej rodzinie produktowej :) Wszyscy liczyli, że na WPC w Nowym Orleanie M$ ogłosi RTM dla W7/W2k8R2. Niestety jeszcze jakiś czas będziemy musieli na to poczekać. Ale za to pojawiły się fajniejsze doniesienia dotyczące Forefront vNext (“Stirling”):

• Cała rodzina będzie się nazywać Forefront Protection Suite (FPS)
• Konsolka Stirlinga będzie się nazywać Forefront Protection Manager (FPM)
• Client Security przyjmie nazwę Forefront Endpoint Protection 2010 (FEP)
• Produkty do ochrony serwerów dostaną numerek 2010 (exchange, sharepoint, ocs)
• Nowa generacja ISA będzie miała pełną nazwę Forefront Threat Management Gateway Web Security Service
• Sposób licencjonowania się nie zmieni – pozostanie na zasadach subskrypcji (wyjątkiem będzie TMG sprzedawane per procesor)
• Udostępniono beta 2 UAGa
• Produkty z pakietu “Geneva” dostały nazwy
• Nie ustalono dat premier produktów wymienionych powyżej – wiadomo tylko, że będą rozstrzelone pomiędzy 2H2009 i 1H2010

Dodania numerków 2010 można się było spodziewać (Office i Exchange się będą ładnie zgrywać), ale niestety ciągle brakuje konkretnych dat premier (wiadomo tylko, że TMG pojawi się na pewno jeszcze w tym roku).

WSUS blog informuje, że dziś w systemie aktualizacji automatycznych pojawi się łatka do FCS. Daje ona między innymi:

• usprawnienia w obsłudze i skanowaniu sterowników działających w trybie jądra (teraz przed instalacją/załadowaniem będą one dokładniej skanowane)
• Zlikwidowanie buga w obsłudze COMów w Software Explorer, który powodował wywalanie się agenta na W2k
• Zmiana w obsłudze linków symbolicznych do plików (*.lnk) – jeśli pokazuje na udział sieciowy, to cel nie zostanie sprawdzony

W momencie wyjścia warto zrobić slipstream z waszą instalacją zgodnie z tą instrukcją :)

Jako wasz ulubiony korespondent ze świata nowinek security przynoszę kolejne wieści.

1. Beta Forefront Unified Access Gateway – następcy Forefront Inelligent Application Gateway pojawi się w ciągu paru najbliższych tygodni.
Źródło: http://blogs.technet.com/edgeaccessblog/archive/2009/06/11/forefront-uag-beta-is-coming-to-town.aspx

2. Gigant z Redmond planuje wypuścić pod koniec roku darmowe rozwiązanie antywirusowe dla biurkowych edycji systemów Windows. Projekt ma nazwę kodową “Morro”. Ma on zastąpić niewypał z Live One Care (który swoją drogą psuje całkowicie W7). Czyżby wreszcie porządny Windows Defender. Niestety nie będzie najprawdopodobniej wbudowany w system, tylko stanie się częścią Live Essentials (wiecie – prawa antymonopolowe).
Źródła: http://www.reuters.com/article/technologyNews/idUSTRE5585IV20090611
http://www.informationweek.com/news/security/antivirus/showArticle.jhtml?articleID=217800827

JUŻ JEST! Trzecia Beta Forefront Threat Management Gateway! Co ważniejsze – ma ona już wszystkie zaplanowane funkcjonalności – przede wszystkim cieszy obecność tuneli VPN SSL :D

Źródło: http://blogs.technet.com/isablog/archive/2009/06/09/forefront-tmg-beta-3-is-released.aspx

Ukazał się ciekawy raport nt wirusów w bankomatach:

http://regmedia.co.uk/2009/06/03/trust_wave_atm_report.pdf

Najciekawszy w tym raporcie jest sposób w jaki aktywuje się “wirusa” do zrzucania zapisanych danych - otóż wkłada się odpowiednio spreparowaną kartę która aktywuje “tryb administratora” bankomatu jak i samego wirusa. W ten sposób można zrzucić pełne logi ATMa łącznie z saldami, numerami PIN hasłami etc.

Wirus póki co został wykryty w Rosji - więc jest szansa bliska 100%, że za niedługo pojawi się szerzej na świecie..

Jako, że dawno nic nie pisałem, to postanowiłem skrobnąć coś większego. Ten wpis jest początkiem serii na temat nowej generacji produktów zabezpieczających systemy Windows – Forefront.

Jakiś czas temu skrobnąłem kilka słów a temat VHD z Beta 2 Stirlinga. teraz pora na kontynuację (;

Testuję konfigurację dla Client Security z naciskiem na różnice pomiędzy starym/obecnym FCSem a Stirlingiem. Gwoli przypomnienia schemat konfiguracji:

Po uruchomieniu wita nas ekran logowania – z od razu wypisanym hasłem, żeby nie zapomnieć :)

Jak to w labach mamy specjalne tapety na każdej maszynie, żeby było łatwo nam się połapać gdzie jesteśmy.

To jak już jesteśmy zalogowani, to odpalamy konsolkę. Ci, którzy widzieli SCOM i/lub SCSM będą czuli się jak w domu.

Raportów jest od groma. Spory skok jakościowy od starego Forefront Client Security.

Oczywiście można raportować też z Reporting Services (szczególnie fajne jest subskrybowanie raportów – nie ma to jak dostać rano mail ze snapshotem dashboardu :D

Samo zarządzanie polisami także zostało mocno wzbogacone. Tak wygląda w wersji 1:

 
A tak w nowej:

Przede wszystkim uderza mnogość ustawień:
Najpierw ustawiamy na jaką grupę maszyn chcemy nałożyć polisę (grupy są wewnętrzne w Stirlingu – tworzone na podstawie discovery z SCOMa i AD – więcej na ten temat tutaj)
Zakładka Antimalware zawiera praktycznie te same ustawienia co FCS1 z wyjątkiem NAP. Możemy wymusić na klientach skanowanie i aktualizację. Oczywiście to było już wcześniej, ale tym razem wsio jest w jednym miejscu :)

Dalej możemy skonfigurować Firewalla – z tym, że musi to być firewall Visty/W7 ze względu na obecność profili (swoją drogą – Zapora w Vista/W7/2008/2008r2 jest świetna :D ). Jako, że polisy FCSa to zwykłe GPO łatwo się połapać jakie ustawienia są do skonfigurowania d; Warto zauważyć, że znów możemy wymusić NAPa :D

Dalej jest NIS – Network Instection System. Strasznie fajny bajer – pozwalacie serwerowi TMG zaglądać w wasz ruch sieciowy i wykrywać potencjalne zagrożenia – więcej info tutaj i w kolejnych częściach artykułu :)

Software restriction policies nazywają się tutaj Authorized Software Manager – kolejna “nowość” – już było ale ciężej dostępne.

Dalej funkcja, która była w FCS1, ale nie na takim wypasie. Modyfikowanie elementów do Security State Assessment odbywało się przez modyfikacje plików i wysyłanie ich na końcówki. Tutaj jest GUI i duuuużo ustawień:

Jak i kiedy klient musi się restartować:
 

Jakie usługi mamy monitorować (działa jak coś pomiędzy desired configuration na SCCM a monitorowaniem usług w SCOM):

Ustawienia DEPa:
 

Ustawienia systemu plików:

Weryfikacja zabezpieczeń IISa:

Ustawienia kont użytkowników – fajnie, że nie musi dokładnie spełniać best practices :D

Weryfikacja ustawień SQL Servera (takie best practices kolejne (; )

No i oczywiście IE – trzeba sprawdzić, czy jest pozabezpieczany ;)

UAC:

I uprawnienia dotyczące urządzeń peryferyjnych:

Tylko należy pamiętać, że SSAS jest tylko do weryfikacji ustawień, a nie ich wymuszania.

Dalej mamy ustawianie instalacji aktualizacji automatycznych:

Oraz ustawienia ogólne dotyczące NAPa:

Dalej fajny bajer – jak system ma reagować na wykryte zagrożenia:

Dobra – jak już skonfigurowaliśmy polisy, to nałożą się one na klientów. tutaj tez jest poprawa – nowa plikacja kliencka FCSa jest prześliczna (;
 
W porównaniu do starej jest lepiej – wreszcie nie jest to Windows Defender na sterydach:

Podsumowując – mamy spory krok naprzód – więcej opcji konfiguracji, uproszczenie procesu wdrażania polis, poprawione raportowanie. Zastanawia mnie tylko jak będzie wyglądać upgrade z FCS1 do Stirlinga – jak wszyscy doskonale wiemy, to nie ma ścieżki aktualizacji z MOM2005 do SCOM2007 ;)

I to by było na tyle jeśli chodzi o nowego FCSa. W następnym odcinku przyjrzymy się Threat Management Gateway.

Wiadomość może i stara, ale warto wiedzieć – Kaspersky for Lotus Notes/Domino będzie w pełni kompatybilny ze Stirlingiem. Więcej informacji w informacji prasowej.

na hacking pojawiła się informacja o dodatku .NET Framework assistance. po pierwsze funkcjonalność ta w IE ma lukę – dla tego profilaktycznie zaleca się odinstalowanie wtyczki w FF. cały problem polega na tym, że wtyczki odinstalować się nie da – po dwukrotnym uruchomieniu FF pojawia się znów. jedynym sposobem jest grzebanie w rejestrze.

po raz kolejny emes staje pod ostrzałem oskarżeń – po pierwsze czemu ten dodatek się sam instaluje , po drugie czemu nie można go odinstalować. pierwszy punkt jest dyskusyjny – z jednej strony to WU więc jaki problem.. z drugiej jednak – czemu ‘Windows Update’ rusza aplikacje firm trzecich? to nie jest kawałek systemu. natomiast fakt, że nie da się tego odinstalować jest już niewybaczalny – tak się robić po prostu nie powinno. tego rodzaju praktyki nazywa się malware’em – zwłaszcza, że jest to obecnie potencjalna luka.

przy całej nagonce na emes i czekanie na potknięcie giganta, na prawdę dziwię się, że pojawiają się takie krzaczki – emesowi potrzeba dobrego PiaRu – o czym sami głośno mówili i tworzą kampanie, które mają zmienić wizerunek… po czym wychodzą takie krzaczki.

n.

w UAC dla w7 wprowadzono kilka zmian, które powodują, że na prawdę jest bardziej przyjazny [czyt. mniej wqrzający] – wyświetla dużo mniej komunikatów, dzięki czemu da się z nim lepiej żyć. osobiście, na swoim systemie i tak nie przekonałem się do tego mechanizmu, ale wynika to ze specyfiki tego, co na nim robię. na komputerze domowym, na którym pracuje end-user [ (; ] UAC jest włączony [Vista] i przy “normalnej” pracy fatycznie nie jest zbyt częstym gościem na ekranie.

UAC vs Run As

od zarania dziejów mam sporo pretensji do Microsoft o kilka decyzji – imho kluczowych, dotyczących kilku mechanizmów, które mogły być wprowadzone wraz wersją w2k – kiedy wprowadzane były tak drastyczne zmiany w całej koncepcji systemu. jedną z takich decyzji jest to, iż pierwszy zakładany użytkownik standardowo dodawany jest do grupy administratorów. pomimo wielkiego halo wokół bezpieczeństwa, zmiany myślenia przez emes i tak dalej… nie zmieniło się to w Vista [gdzie znów była szansa to zmienić] ani nie zmieni się to w w7. drogi były [co najmniej] dwie:

• pierwszy użytkownik jest zwykłym userem, interfejs powinien być zmodyfikowany tak, aby tak gdzie dziś pojawia się “run as administrator” był faktycznie tym, co znaczy – linkiem do ‘run as’ z parametrem aplikacji. dzięki temu każdy użytkownik byłby standardowo wyizolowany, a niezbędne aplikacje uruchamiałyby się we własnym środowisku z maksymalnymi uprawnieniami dla komputera lokalnego
• drugim scenariuszem jest wprowadzenie User Account Control. pokrótce czym jest UAC: mechanizm ten dodaje w całym systemie dodatkowy poziom bezpieczeństwa tzw. “integrity level” – zarówno dla plików, kluczy rejestrów czy procesów. dzięki temu dodawany jest dodatkowy poziom zabezpieczenia – poza autoryzacją niezbędny jest odpowiedni poziom integralności. pomimo, że poziomów takich jest więcej, wykorzystywane są 3 podstawowe – low,midim,high. System – pliki i procesy działają w “high”, użytkownik w “mid” a część aplikacji [np. przeglądarka w trybie IESC] w “low”. dzięki prostej zasadzie “nie masz praw do kogoś nadrzędnego” użytkownik – pomimo, że ma odpowiednie uprawnienia bo należy do grupy administratorów [a co za tym idzie – aplikacje z których korzysta], nie ma możliwości interakcji bezpośrednio z procesami/plikami systemowymi. jeśli proces próbuje się do nich dostać – pojawia się komunikat UAC z prośbą o autoryzację.

to tak w dużym skrócie, bo artów na temat UAC jest całkiem sporo – chociaż jeszcze kilka kwestii technicznych będę próbował poruszyć. pozostaje pytanie – które rozwiązanie jest lepsze, i dla czego emes zdecydował się na UAC?

Zalety i Wady RunAs

podstawową zaletą jest to, że nie wymagałoby to ingerencji w architekturę systemu – wykorzystanie tego mechanizmu sprowadzałoby się do dobrego zaprojektowania interfejsu [np. dodania możliwości zapamiętywania hasła, wygodnego zarządzania które aplikacje można tak uruchomić etc]. drugą zaletą – bardzo istotną ze względu na ogólne bezpieczeństwo jest fakt, że użytkownicy byliby realnie zmuszeni do wpisania jakiegoś hasła. z jednej strony mało wygodne, z drugiej strony dzięki temu każdy realnie by odczuł, że nie powinien czegoś robić, i musi wpisać jakieś hasło, a więc jest to faktycznie “coś niebezpiecznego”.

Wadą takiego rozwiązania jest trochę skomplikowania życia użytkownikowi – np. podczas instalacji systemu jest proszony o wprowadzenie hasła, a potem o założenie jeszcze jednego użytkownika. to jednak kwestia edukacji, odpowiedniej informacji i propagandy – która imho w przypadq UAC jest dużo trudniejsza i jak się okazuje – stała się jednym z bardziej znaczących gwoździ w trumnie dogorywającej “vista”.
jak się jednak okazuje poważniejszym problemem były same aplikacje. niestety liczna rzesza developerów nie dba o to dla kogo pisze aplikacje i nie jest świadoma faktu, iż od dawien dawna z komputera korzysta wielu userów, czy że system wprowadza pewne ograniczenia ze względu na bezpieczeństwo samego siebie – jak np. zakaz zapisywania w katalogu systemowym czy w program files. wiele aplikacji po prostu nie chce działać “na drugim” koncie. problemem w przeważającej mierze jest konieczność powtórnego uwierzytelnienia, działanie na innym tokenie, a w przypadq aplikacji np. wymagającej uprawnień w domenie, powstaje problem przekazania tokena zalogowanego usera. w końcu ‘run as’ to uruchomienie równoległej sesji, de facto zalogowanie się na innego użytkownika z innymi uprawnieniami – w tym przypadq, administratora lokalnego. tego aplikacje przeważnie nie przeżywają. żeby dobić ten pomysł pozostaje jeszcze fakt, iż podczas wykonywania ‘run as’ nie jest to dokładnie to samo, co zalogowanie się obok – nie jest ładowany/generowany pełny profil użytkownika, w kontekście którego uruchomiona zostanie aplikacja, i tego również część aplikacji nie przeżywa.

Zalety i Wady UAC

podstawową wadą UAC jest jego mała skuteczność - UAC wyświetla krótkie pytanie tak/nie i w zasadzie obserwując userów i rozmawiając z nimi – większość kieruje się zasadą “pozbądź się tego przerażającego okienka z pytaniem jak najszybciej” – co ono oznacza, o co pytało, o czym informowało? mało kogo obchodzi. użytkownicy i tak będą zatwierdzać “byle szybciej zniknęło”. jaki to daje poziom bezpieczeństwa?

pozostawiając jednak dylematy psychologiczne osobom, które się tym zajmują i prowadzą na pewno jakieś statystyki [których niestety nie znam – mogę tylko oceniać to, co sam obserwuję], warto się zastanowić nad potęgą jaką od strony technicznej, czyli przynajmniej teoretycznie, daje UAC.
podstawową działania mechanizmu jest przyznanie użytkownikowi dwóch tokenów – jego własnego, oraz administracyjnego. oczywiście dzieje się tak jeśli:

• użytkownik należy do grupy administratorów
• jest włączony UAC

dzięki temu user może pracować w poziomie integracyjnym “mid”, gdzie wszystko spokojnie działa i nie może nic popsuć w systemie, który “jest piętro wyżej”. jeśli natomiast uruchamia się coś, co w system musi zaingerować – np. źle napisana aplikacja, która próbuje coś pisać w katalogu systemowym, rejestruje jakieś biblioteki etc – wyświetla się okno z prośbą o świadome potwierdzenie, że aplikacja ta ma do tego prawo. po wyrażeniu zgody, przekazywany jest aplikacji token administracyjny, dzięki któremu może uruchomić się na wyższym poziomie integracyjnym. dzięki temu obchodzi się problem podwójnego uwierzytelnienia, ponieważ aplikacja de facto będzie mieć uprawnienia użytkownika ORAZ uprawnienia administratora lokalnego. do tego nie będzie generowany dodatkowy profil, nie będzie dodatkowego logowania w systemie.

aby zabezpieczyć się przed takimi aplikacjami, mechanizm wprowadza dodatkowe zabezpieczenie, które jest częścią UAC – wirtualizacja kluczy rejestru oraz aplikacji. jeśli aplikacja uruchamia się z podwyższonymi uprawnieniami, nie oznacza to, że może robić niedozwolone rzeczy, do których należy pisanie po kluczach HKLM, katalogu “program files” czy systemowym “windows”. dla tego system automatycznie przekierowuje takie żądania do wirtualnych odpowiedników – aplikacja myśli, że zapisała tam, gdzie chciała, dane są przechowywane obok – “wilk syty i owca cała”:

• dla rejestru jest to klucz “HKEY_USERS\< User SID >_Classes\VirtualStore\”
• dla systemu jest to katalog "$env:USERPROFILE\appdata\Local\VirtualStore”

uwaga! trzeba pamiętać, że po wyłączeniu UAC aplikacje znów będą pisać/czytać z realnych katalogów i kluczy – może się więc okazać, że skonfigurowana i działająca aplikacja po włączeniu/wyłączeniu nagle jest ‘zresestowana’. należy wtedy ręcznie przenieść konfigurację ze/do wskazanych miejsc.

Dodatkowo “konto administratora” jest traktowane inaczej niż “konto z uprawnieniami administratora” – dzięki czemu po zalogowaniu się na administratora, ekrany UAC nie zatruwają pracy. zachowanie mechanizmu UAC można skonfigurować za pomocą GPO.

Płaszczyzna działania

ponieważ UAC był pod bardzo mocnym ostrzałem warto zastanowić się, jaki jest realny target tego mechanizmu, czyli “dla kogo ten pomysł”:

• dotyczy to kont z uprawnieniami administratora a więc standardowo stacji domowych, nie należących do domeny
• mechanizm ten jest łatwo wyłączyć jeśli przeszkadza – na prawdę nie rozumiem czemu duża część ludzi tak agresywnie reagowała. nie pasuje – wyłącz.
• w kontekście sieci korporacyjnej jego zastosowanie jest dość niszowe – w końcu jeśli jakaś aplikacja bussiness-critical nie chce działać, wtedy można dodać usera do grupy administratorów lokalnych. czy to dobrze, że w ogóle można pozostaje kwestią sporną – z punktu widzenia bezpieczeństwa i wszelkich best-practices, to developer/firma powinna w swoim dobrym interesie aplikację poprawić. rzeczywistość jednak zmusza do kompromisów.

o co więc ten raban? cóż… nowości bolą, no i fajnie jest kopnąć giganta w kostkę q:

whoami

poziom integralności w jakim się działa, można sprawdzić wykorzystując polecenie “whoami /groups”. przy wyłączonym UAC lub po uruchomieniu konsoli ‘as administrator’ na liście pojawi się:

Mandatory Label\High Mandatory Level Label    S-1-16-12288

jeśli zaloguje się jako zwykły user, lub należący do grupy administracyjnej z włączonym UAC:

Mandatory Label\Medium Mandatory Level    S-1-16-8192

jeśli użytkownik zaloguje się jako “power user”:

<brak nazwy> S-1-16-8448

to właśnie jest różnica pomiędzy tokenami. jakie prawa systemowe ma user można sprawdzić przy pomocy “whoami /priv”.

ps. w Vista doszła jeszcze jedna zmiana – każda usługa ma własny SID dzięki czemu jest identyfikowalna w systemie. żeby sprawdzić SID usługi należy wykonać polecenie “sc showsid <service_name>”. bardzo ciekawie polecenie zachowuje się, kiedy poda się złą/nieistniejącą nazwę…

n.

Siedzę właśnie na konferencji CompTIA dotyczącej  “Cyber Security” i jestem w mega szoku. To jest działka informatyki, którą znamy jedynie z filmów i książek, a ona dzieje się naprawdę wokół nas. Nawet nasza ulubiona korporacja ma niezłe osiągnięcia na froncie (dosłownie) obrony przed cyber zorganizowaną przestępczością. Pierwsza prezentacja należała do Estońskiej Minister Obrony (kolejny raz Estonia pokazuje, że informatycznie jest lata świetlne przed nami), po niej gość z US Secret Services opowiadający o milionach dolarów nakładów, setkach biur na całym świecie i dziesiątakach aresztowań za przechwycenie milionów tożsamości (takie amerykańskie liczby). I kolejno dwóch gości z polskiego MSu opowiadający o tym na jakich obszarach działa MS i jak Francuski policjant napisał list do Gates’a, po czym ruszył program do walki z pedofilami. … Teraz przerwa kawowa … po kawie chyba będzie James Bond ;)  …

… już po …
Skąd w ogóle to moje zaskoczenie. Siedząc w takim miejscu do człowieka zaczyna docierać kilka faktów. Po pierwsze HELLLOOO jest rok 2009! To jest mniej więcej ten rok, w którym na filmach z naszego dzieciństwa nie było już nic …. albo było wszystko tylko lepsze. Mało kto poważnie myślał o czymś takim jak wojny cyfrowe między państwami a to na przykładzie Estonii okazało się faktem (Estonia przeżyła zmasowany atak DoS w 2007 roku). Niestety dotyka nas to w czasach, gdy o bezpieczeństwie IT ma pojęcie kilka osób w firmie. Członkowie zarządu często są tzw. “main security hole” “… co mi pan tu będzie zabierał uprawnienia … ja tu mam móc wszystko … i bez tych żadnych głupich kodów…” Ciężko uzasadnić wdrożenie skutecznych (drogich) systemów zabezpieczeń, a szkolenia pracowników z zakresu bezpieczeństwa danych są nieefektywne … lub nawet bez sensu ze względu na opór materii.
Co możemy zrobić? …. Walczyć z ignorancją, tępotą ,i robić dalej swoje. Ewangelizować i naprawiać błędy innych. Walczyć ze złośliwcami i potępiać tych, co wandalizują systemy IT dla własnej zabawy, satysfakcji itp. …
Pojechałem trochę poważnie … ale okazuje się, że mamy w łapkach poważne systemy …
CISCO, Microsoft, IBM i inni próbują szkolić, zakładają akademie
… oczywiście że też dla kasy … ale jednak np.. MS chyba z 80% zysku czerpie z Office’a wiec pole “Security” mogło by oddać innym … krótko mówiąc próbują uświadamiać zagrożenia ….to nadal ponad 30% włamań (kradzieży) jest wynikiem niezamierzonej winy człowieka. Tego, że ktoś zapomniał ustawić hasła … że zapomniał zamknąć portu … że nie wiedział, że jak zostawi laptopa w pociągu, to ktoś może przeczytać jego dane ….. Dodatkowo, jak powiedział gość z Msa, nadal UE woli dawać kase na szkolenia dla fryzjerek … bo są tańsze i mniej złożone więc wygrywają we wszystkich zestawieniach. Na podnoszenie świadomości IT dla ludu kasy nie ma.
Pozostawiam do przemyślenia … a kiedyś to jeszcze rozwinę.

Wczoraj ściągnąłem sobie wirtualne laby do nowego Forefronta. Dziś je odpaliłem i jakież było moje zaskoczenie jak ujrzałem bardzo ładny setup (do tej pory ściągałem pliki VHD i dodawałem je do Hyper-V)

Zarejestrowało mi wirtualki na Hyper-V, każda ma undo snapshot. Ogólnie najs :)

Ale najlepsze jeszcze przed nami. Pliczek Stirling-lab (Start Page).vbe daje parę fajnych możliwości :)
W widoku ogólnym pokazuje całą infrastrukturę

Dla zainteresowanych tylko Client Security (czyli ja ;P ) jest Widok FCS:

Zabezpieczenie serwerów:

No i Edge Security:

Oczywiści jeszcze możliwość naprawienia jak coś popsuliśmy (nałożenie Snapshotu):

Każda maszyna po najechaniu na nią myszą jest ładnie opisana:

Co więcej – po kliknięciu w taką maszynkę, uruchamia się ona i od razu jesteśmy do niej podłączani :) Podsumowując jestem pod sporym wrażeniem i zachęcam do testowania :)

http://www.offensive-security.com/movies/vistahack/vistahack.html

n.