| Minulý týden byla konference HackerFest, údajně se během ní konal nějaký kvíz pro účastníky, a kdo nejlépe odpovídal, něco asi dostal :-)
Pro zábavu, zde jsou otázky, kterými jsem já přispěl do kvízu. Jo a nejprve ještě prezentace z konference a ještě jedna z TechEd 2017, která se hodí tématicky a byl o ni zájem
HackerFest 2017 - Credentials guard and (non)shielding TechEd 2017 - UEFI, Secure Boot, TPM and Device Guard
A teď už ty slíbené otázečky. A rovnou upozorňuju, že slovo "renovovanější" je v otázce číslo 3 schválně :-)
- Na jedné PC stanici ve větší podnikové Active Directory síti byl při pravidelné noční kontrole souborů na disku objeven malware. IT oddělení odpojilo počítač od sítě, odvezlo na incident response oddělení, kde ho borci odvirovali přímo pomocí stejného antiviru, který nákazu detekoval. Opětovná kontrola souborů na disku už žádný další malware nehlásí. Je možné vrátit počítač zpět do provozu?
- ano, je to čisté, když se to odvirovalo
- ne, protože stejný antivirus, který to detekoval, to nedokáže spolehlivě odvirovat
- ne, protože nákaza se už musela rozšířit po síti a jednoznačně už napadla i další počítače
- ne, protože nevíme, co na počítači malware způsobil, jestli to nebyl jenom trojský kůň, skrz kterého se do stroje dostaly další, kdovíjaké nákazy
- Na Windows operačních systémech v Active Directory doméně se používá služba (service), která se spouští pod doménových uživatelským účtem. Jedná se o účet vyhrazený pro běh této služby na více počítačích. Heslo tohoto účtu služby se zadává ručně při instalaci této služby na počítačích. Jak je na počítačích dlouhodbě uloženo?
- ve formě MD4 hash v HKLM registrech
- ve formě MD5 hash pomocí DPAPI
- ve formě LM hash v HKCU registrech
- v plné formě v HKLM registrech
- Podniková Active Directory síť s několika stovkami stanic využívá naplno všechny dostupné software ochrany, které nabízí používané Windows 10 1703 x64 operační systémy. Jedná se zejména o BitLocker, UEFI Secure Boot, Device (Credentials) Guard, UAC, Remote Credentials Guard, Windows Defender, Windows Firewall a pod. Admini se tedy ke správě stanic neobávají používat přímo uživatelské účty, které jsou členem skupiny Domain Admins a to jak pro přihlašování lokálně, tak přes RDP apod. Je to chyba?
- není to chyba, v pořádku, tyto technologie je ochrání
- není to chyba, jen by to chtělo vyměnit antimalware za nějaký pokročilejší, renovovanější, který navíc optimalizuje registry a paměť
- není to chyba, stačí mít hesla dlouhá alespoň 15 znaků a vše je v pořádku
- je to chyba, evidentně nikdy neslyšeli pojmy jako SSO, hardware/software keylogger, špionážní kamera atd. Doporučujeme buď vyměnit doktora, nebo alespoň nějaké jiné prášky
- V podnikovém prostředí Active Directory sítě je implementována separace privilegovaných účtů správců od účtů uživatelských pro běžnou práci. Ke správě se vždy používají pouze vyhrazené admin účty. Správci mají samozřejmě i osobní uživatelské účty pod kterými pracují s aplikacemi jako je prohlížení internetu, email, helpdesk a různé další podnikové agendy. Privilegované účty jsou používány přesně tak, jak to má být, jen pro správu omezených skupin počítačů na definovaných úrovních rizikovosti. Například účty pro správu Active Directory, účty pro správu serverů, nebo účty pro správu různých skupin stanic a notebooků. I přesto se jeden z obyčejných zaměstnanců dokázal nabourat skrz celou síť. Evidentně nějak zjistil heslo účtu doménového admina. Je to účet správce, který má pod svou kontrolou jak účet člena skupiny Domain Admins, tak i jiný účet správce stanic a další oddělený účet pro správu serverů. Je potvrzeno, že účet žádného doménového admina se na žádné stanici nikdy nepoužil. Útočník nikdy neměl přístup nikam jinam, než ke své doménové stanici a měl k dispozici pouze svůj obyčejný omezený uživatelský účet. Co je nejpravděpodobnější příčina toho, že útočník zjistil heslo účtu doménového admina?
- uhádl ho z hlavy na několik pokusů
- vyzkoušel ho online přes LDAP spojení na DC pomocí automatického hádače hesel
- získal hash tohoto hesla z logon keše na své stanici a kreknul heslo pomocí 3D GPU grafické karty
- ten blázen správce má na všech svých oddělených účtech stejné heslo
|