Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > Analýza nebezpečí použití Local Users uvnitř Group Policy Preferences
prosinec 14
Analýza nebezpečí použití Local Users uvnitř Group Policy Preferences

Zrovna včera tu vznikla taková zajímavá otázka. O Group Policy Preferences jsem tu už párkrát psal (tu a tu). Jak určitě víte, uvnitř máte možnost nastavit tzv. Local Users. Dají se tím nastavovat různé parametry lokálních uživatelů. Vytvářet takové uživatele, nastavovat jim hesla a přidávat a odebírat je ze skupin:

Jak si můžete všimnout, tak se do dialogového okénka dá zadat heslo. A to je právě ta otázka bezpečnosti.

Kde a jak je to heslo uloženo?

Heslo je samozřejmě uloženo uvnitř toho Group Policy Objectu (GPO). Tedy na disku řadiče domény (domain controller, DC), ve sdíleném adresáři SYSVOL. Do tohoto adresáře má přístup (pro čtení), ve výchozím nastavení, každý ověřený uživatel.

Je možné se nějak podívat na obsah té politiky? Ano, stačí kliknout pravým tlačítkem a vybrat Display XML:

Z obrázků je vidět, že se jedná o obyčejný, textový, XML soubor. V něm vidíte atribut cpassword, ve kterém je zřejmě ono heslo. A vypadá to zašifrované. Ale to je jenom zdání, samozřejmě.

Zašifrované heslo?

Ano, to heslo je skutečně zašifrované pomocí AES. Ale to znamená, že existuje nějaké heslo (klíč), kterým je to šifrované. A tento klíč musí znát každý klient (Group Policy Preferences Client Side Extensions), který má tu politiku aplikovat.

Stačí tedy, aby se někdo s debugerem podíval na kód toho klienta a vytvoří k tomu dešifrovač. A to se taky stalo, samozřejmě :-) Tady si můžete stáhnout PowerShell skriptík, kterým se to údajně dá dešifrovat. Nezkoušel jsem, ale to je principiálně nepodstatné.

Jak zní tedy závěr? Je to opravdu tak nebezpečné?

Analýza rizik vám řekne, že to nebezpečné není

Nejprve si uvědomme, jakým jiným způsobem byste dosáhli kýženého výsledku. Máte třeba několik poboček. V každé pobočce bych rád pro všechny stanice stejného lokálního administrátora. Se stejným heslem. Jsou to desítky stanic, například.

Můžete tedy ty stanice obejít, ručně na každé účet vytvořit, a ručně z klávesnice to heslo zadat.

Jaké je riziko ručního řešení? Riziko je v tom, že na nějaké ze stanic je nainstalován software, nebo hardware, keylogger. Jaké je riziko, když to heslo útočník získá? Stane se lokálním administrátorem na všech stanicích se stejným heslem. Tedy v celé pobočce.

Na to, aby útoční keylogger nainstaloval, musel už předtím být lokálním adminem na té jediné stanici.

Takže attack vector pro ruční nastavení je - lokální administrátor jedné ze stanic získá přístup na všechny stanice v pobočce.

Jaké je riziko použití Group Policy Preferences?

Ve výchozím stavu to heslo může čísto kdokoliv, kdo má účet v doméně. Ale to jde přece omezit. Stačí na tom GPO použít Security Filtering podle obrázků:

Vytvoříte si skupinu, která obsahuje všechny stanice z dané pobočky. Ve vlastnostech GPO použijete tuto skupinu na Security Filteringu. Výsledek je vidět na Security tabulce adresáře GPO v SYSVOL.

Najednou ten GPO (a tedy to .XML) může číst už jenom ona skupina stanic. A tím tedy i její lokální administrátor.

Jaký je pak attack vector a riziko v případě použítí Group Policy Preferences a Security Filteringu? Stejný jako v případě ručního zadávání. Lokální administrátor na jedné ze stanic na pobočce může získat přístup na ostatní stanice z dané pobočky.

Tak to klidně používejte!

Comments

Re: Analýza nebezpečí použití Local Users uvnitř Group Policy Preferences

ještě poznámka k síťovému odposlechu - samozřejmě je ještě riziko odposlechnout to ze sítě. Ale to je stejné - na odposlech byste museli být lokální administrátoři na některé ze stanic.

zdůrazňuju, že zde se jednalo o hesla pro stanice. Nikoliv pro servery, tam je trošku jiné riziko toho lokálního administrátora!
ondass on 14.12.2012 10:26

Lol

Ha, ha, ha tak som to vyskusal  a naozaj to funguje tak to je masko ...  alebo rovno steak medium well.  : -)
Marek on 14.12.2012 13:39

Lol

Ha, ha, ha tak som to vyskusal  a naozaj to funguje tak to je masko ...  alebo rovno steak medium well.  : -)
Marek on 14.12.2012 14:08

Re: Analýza nebezpečí použití Local Users uvnitř Group Policy Preferences

Nastesti to Microsoft nezatajuje, ze heslo neni ulozeny bezpecne a sam na to upozornuje: http://blogs.technet.com/b/grouppolicy/archive/2008/08/04/passwords-in-group-policy-preferences.aspx
 
"Na to, aby útoční keylogger nainstaloval, musel už předtím být lokálním adminem na té jediné stanici."

Coz neplati pro HW keylogger.

Kazdopadne omezit prava na to GPO me nenapadlo a pritom to v jinych pripadech sami pouzivame, dik za tip :)

Zmenu hesla stanic jsme resili jejich hromadnym zapnutim (ne vsechny porad bezi) pres wake on lan (trochu jsme se bali, ze tim vyhodime jistice minimalne v cely ulici, ale nestalo se :) a pak hromadne vzdalenym nastavovanim hesla. A pro jistotu zapsanim kontrolniho souboru na C:, ze bylo heslo zmeneno. Ten se pak kontroluje v logon scriptu, aby se odhalily zatoulany compy se starym heslem.
Borek on 15.12.2012 12:11

Re: Analýza nebezpečí použití Local Users uvnitř Group Policy Preferences

no já jsem si říkal, jestli se někdo ozve kvůli tomu hw. keyloggeru :-) Ale to je právě to, že když je někdo schopen nainstalovat hw. keylogger, tak to znamená, že má fyzický přístup k zařízení. A když má fyzický přístup k zařízení, tak je velmi pravděpodobné, že je schopen se také stát lokálním adminem (viz. https://www.sevecek.com/Lists/Posts/Post.aspx?ID=213)

a je pravda, že jsem zapomněl ještě poznamenat, že ano, ta politika tam přece může být jen chviličku. Jakmile mám jistotu, že se to nastavilo na všechny počítače, prostě tu politiku můžu smazat.
ondass on 16.12.2012 11:21

Re: Analýza nebezpečí použití Local Users uvnitř Group Policy Preferences

Tak jasně, ale je to složitější. Musí otevřít comp aby vyresetoval CMOS nebo si přepojil disk a pak získat admina. Ne že by to bylo složitý, ale průměrná uklizečka to na rozdíl od zastrčení klávesnicový "redukce" nezvládne. A navíc je to mnohem nápadnější a zhlouhavější, než se při vytírání schejbnout ke compu :)

btw: ten odkaz ti nefunguje.
Borek on 16.12.2012 17:53

Re: Analýza nebezpečí použití Local Users uvnitř Group Policy Preferences

Aha, odkaz to vzalo i se závorkou.
Borek on 16.12.2012 17:54

Add Comment

Sorry comments are disable due to the constant load of spam *


Omlouvám se, ale příval spamu nelze kontrolovat, takže mi prosím pošlete email, pokud máte nějaký dotaz, nebo připomínku.

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments