|
|
|
Το mcse.gr παρέχει πληροφορίες για την πιστοποίηση MCSE (Microsoft Certified Systems Engineer) αλλά και νέα σχετικά με Microsoft operating systems & software. Ευχόμαστε να σας φανεί χρήσιμο!
|
|
|
Athens Security Forum |
|
|
|
|
|
|
|
Σαν τίτλος... |
|
|
Δεν είναι blog, δεν είναι και site... Στο χώρο αυτό θα βρείτε σκόρπιες σκέψεις, πληροφορίες, συμβουλές για προϊόντα server και λειτουργικά συστήματα της Microsoft. Εδώ θα βρείτε περίπου ότι θα βρείτε και στο blog μου (εννοώντας άρθρα με παρόμοια θεματολογία).
|
|
|
|
RODCs και security |
|
|
Πολλοί νομίζουν ότι οι Read-Only Domain Controllers (RODCs) δεν έχουν βάση Active Directory αλλά απλά κρατούν μια cached κόπια του. Η αλήθεια είναι διαφορετική και ισχύει ότι οι RODCs διαθέτουν κανονική βάση αλλά -όπως υποδεικνύει και το όνομά τους- απλά δεν μπορεί κανείς να γράψει κάτι στη βάση και αυτό να μεταφερθεί σε όλο το Active Directory (AD). Με λίγα λόγια, για όσους έχουν εμπειρία από Windows NT, ένας RODC είναι ότι ήταν ο BDC για ένα Windows NT domain.
Αυτό είναι πολύ σημαντικό για την ασφάλεια ενός δικτύου που διαθέτει domain controllers σε σημεία (κυρίως εκτός κεντρικού datacenter) που δεν υπάρχει φυσική ασφάλεια. Έτσι, αν κάποιος αποκτήσει πρόσβαση σε ένα domain controller που είναι RODC και προσπαθήσει να σβήσει κάτι ή γενικά να δημιουργήσει πρόβλημα στο AD, οι αλλαγές που θα πραγματοποιήσει δεν θα μετακυλήσουν σε όλο το AD.
|
|
|
|
Reversible encryption - γιατί υπάρχει |
|
|
Υπάρχει μια επιλογή στα user accounts στο Active Directory για εφαρμγοή reversible encryption στους κωδικούς τους. Δεν είναι επιλεγμένο by default - και σωστά, γιατί δεν πρέπει σε καμία περίπτωση να ενεργοποιηθεί, αφού επιτρέπει την εύκολη μετατροπη του κωδικού σε απλό κείμενο. Γιατί υπάρχει όμως αυτό;
Βασικά, μόνο σε δύο περιπτώσεις θα ήταν χρήσιμο:
1) Αν χρησιμοποιηθεί πρωτόκολλο ταυτοποίησης (authentication) το CHAP σε απομακρυσμένη σύνδεση (dial-up, VPN κλπ) ή το Digest σε IIS authentication.
2) Αν πρόκειται να κάνετε penetration testing στους κωδικούς των χρηστών σας προκειμένου να διαπιστώσετε αν είναι αρκετά "δύσκολα" ή μη.
3) Αν υπάρχει εφαρμογή που προϋποθέτει τη χρήση reversibly encrypted κωδικών.
|
|
|
|
Roles & features στα Windows Server 2008 |
|
|
Ένα από τα νέα χαρακτηριστικά των Windows Server 2008 είναι ο διαχωρισμός των χαρακτηριστικών του λειτουργικού σε roles και features. Η λογική είναι ότι όλα πλέον γίνονται με την προσθήκη ρόλων, ενώ για πιο "light" προσθήκες στο λειτουργικό χρησιμοποιούνται τα features. Έτσι, τουλάχιστο, λέει η θεωρία, αφού στην πράξη δε μπορεί κανείς να καταλάβει γιατί ένας server αν στηθεί ως DNS server έχει το ρόλο (role) του DNS, ενώ αν στηθεί σαν WINS server, πρέπει να προστεθεί το WINS feature. Μια εξήγηση ίσως είναι ότι ένα σημαντικό κομμάτι των features είναι μάλλον "υποχρεωτικά" στον κατάλογο αυτό, για λόγους backward compatibity, αλλά και πάλι αυτό δεν εξηγεί -ούτε καν μερικώς- το διαχωρισμό. Αν λοιπόν αναρωτηθείτε με ποια λογική έγινε ο διαχωρισμός, μην προσπαθήσετε πολύ να το καταλάβετε, γιατί ακόμα όλοι το ψάχνουμε...
|
|
|
|
256-bit κρυπτογράφηση στα Windows Server 2008 |
|
|
Ένα από τα μειονεκτήματα στον τομέα της κρυπτογράφησης δεδομένων που υπήρχε με τα Windows Server 2003 είναι η απουσία εκδόσεων πρωτοκόλλων στα 256-bit. Με τα Windows Server 2008, έχουμε για πρώτη φορά υποστήριξη των πρωτοκόλλων AES στα 256-bit για συνδέσεις L2TP/IPSec, ενώ ταυτόχρονα δεν παρέχεται πλέον υποστήριξη για τα πρωτόκολλα κρυπτογράφησης MPPE στα 40- και 56-bit (αν και με ένα registry setting υπάρχει η δυνατότητα ενεργοποίησής τους, για τις πολύ σπάνιες περιπτώσεις που αυτό θα καταστεί αναγκαίο).
|
|
|
|
Aσφαλείς επικοινωνίες και Certificate Services |
|
|
Έχουμε πολλές επιλογές για να εξασφαλίσουμε ασφαλείς επικοινωνίες. Aυτές είναι οι παρακάτω:
- IPSec
- SSL/TLS
- RPC Encryption (που χρησιμοποιείται απο το DCOM)
To IPSec είναι ένα packet level τεχνολογία κρυπτογράφησης. Τα IP πακέτα κρυπτογράφονται και αποκτούν ταυτότητα. Το καλό εδώ είναι ότι δημιουργούνται αυτόματα απο το λειτουργικό.
Το SSL (Secure Socket Layer) λειτουργεί με παρόμοιο τρόπο όπως το IPSec και χρησιμοποιείται ευρέως για ασφαλή σύνδεση του Web browser ενός χρήστη με ένα web site. Το SSL πάντα πιστοποιεί την αυθεντικότητα ενός server και αν επιθυμούμε και το χρήστη χρησιμοποιώντας ψηφιακά πιστοποιητικά (digital certificates). Τόσο ο browser όσο και ο IIS έχουνε SSL υποστήριξη ενσωματωμένη.
Το TLS (Transport Level Security) ουσιαστικά είναι SSL 3.1 μέσα σε ένα IETF standard (Internet Engineering Task Force).
Εγκατάσταση των Certificate Services.
Όταν σχεδιάζουμε ένα σύστημα το οποίο πρέπει να παρέχει ασφάλεια ώστε να προστατέψει τα δεδομένα μιας εταιρείας ένα απο τα εργαλεία που μπορούμε να επιλέξουμε είναι η τεχνολογία των Certificate Services που παρέχεται ως service απο την Microsoft στα server λειτουργικά της. Μπορούμε να εγκαταστήσουμε το Microsoft Certificate Services, να δημιουργήσουμε και να διαχειριστούμε Certificate Authorities (CAs) τα οποία εκδίδουν ψηφιακά πιστοποιητικά. Τα Digital certificates είναι ηλεκτρονικά διαπιστευτήρια τα οποία βεβαιώνουν την ταυτότητα υπολογιστών, οργανισμών και χρηστών. Τα certificates λειτουργούν ως κάρτες αναγνώρισης π.χ αστυνομική ταυτότητα. Αυτά παρέχουν:
- Προσωπικές πληροφορίες για αναγνώριση ενός χρήστη
- Την Υπογραφή του σωστού ιδιοκτήτη για έμπιστη αναγνώριση
- Εκδίδεται απο ένα authority το οποίο μπορεί να το ακυρώσει οποιαδήποτε στιγμή
Τα Digital Certificates μπορούνε να χρησιμοποιηθούν:
- Ασφαλή e-mails
- Ασφαλή επικοινωνία μεταξύ Web χρήστών και Web Servers
- Τοπικό και απομακρυσμένο login σε servers
- IPSec authentication
Συγγραφέας: Μουστάκας Χρήστος
Επιμέλεια-προσθήκες: webmaster @ mcse.gr
|
|
|
|
Αναβάθμιση Exchange KMS σε Windows 2003 CA - μέρος 1ο |
|
|
O KMS server είναι ένα Registration Authority (RA) το οποίο "φροντίζει" για ψηφιακά πιστοποιητικά και είναι ο ενδιάμεσος μεταξύ των χρηστών και ενός Windows 2000 Certification Authority σε εγκαταστάσεις Windows 2000 & Exchange 2000. Χρησιμοποιείται -αναγκαστικά σε Exchange 2000 αν θέλουμε χρήση ψηφιακών πιστοποιητικών- λόγω των χαρακτηριστικών Key Archival & Recovery, τα οποία επιτρέπουν την επανάκτηση ενός χαμένου private key ενός χρήστη και κατ' επέκταση ενός χαμένου ψηφιακού πιστοποιητικού. Αυτά τα χαρακτηριστικά δεν υπήρχαν σε ένα Windows 2000 Certification Authority, έτσι ο KMS ήταν ο απαραίτητος ενδιάμεσος που έδινε αυτές τις δυνατότητες. Ωστόσο, σε εγκαταστάσεις Windows Server 2003 & Windows Server 2008 με Exchange 2003 και 2007, αυτές οι δυνατότητες υπάρχουν ήδη, οπότε ο KMS πρέπει να αναβαθμιστεί σε Windows 2003 Enterprise Edition Certificate Services. Τα τελευταία, επιτρέπουν και Manual και Automatic Key Archival. Το Manual Key Archival γίνεται μέσω ενός χειροκίνητης εξαγωγής του private key του χρήστη με τη χρήση εξαγωγής τύπου PKCS #12 (.pfx αρχείο) μέσω της τοπικής MMC κονσόλας ενός χρήστη, επιλέγοντας το snap-in “Certificates”. Εναλλακτικά, αυτό γίνεται και απευθείας μέσω του Outlook: Tools -> Options -> Security tab -> Import/Export button (export as a .epf file). To Automatic Key Archival & Recovery αναλύεται αμέσως παρακάτω.
|
|
|
|
Αναβάθμιση Exchange KMS σε Windows 2003 CA - μέρος 2ο |
|
|
Βήματα μετάβασης:
1) Αναβάθμιση In-place του Windows 2000 CA σε Windows 2003 Enterprise CA. Πρέπει να εγκατασταθεί κατά προτίμηση η έκδοση Windows 2003 Enterprise Edition λόγω της δυνατότητας Key Archival. Ιδιαίτερη σημασία πρέπει να δωθεί ώστε να υπάρχει ένα σωστό backup του KMS server πριν τη μετάβαση, αλλά και εξαγωγή όλων των private keys των χρηστών. Το Windows Certification Authority θα αναβαθμιστεί αυτόματα ως μέρος της αναβάθμισης του λειτουργικού.
2) Ενεργοποίηση του Key Archival στο Windows 2003 Enterprise CA . Η ενεργοποίηση του Key Archival θα κάνει το νέο CA να έχει τις δυνατότητες του KMS. Τα βήματα που απαιτούνται γι' αυτό είναι τα εξής:
Βήμα α: Έκδοση πιστοποιητικού τύπου Key Recovery Agent (KRA)
Πρέπει να γίνουν configure τα Certificate Templates: ένα certificate template ειδικό για τη δημιουργία KRA certificates είναι ήδη εγκατεστημένο στο Active Directory.
Προσοχή: Στην περίπτωσή μας -upgrade από Windows 2000 CA- δεν υφίσταται KRA certificate template μετά την αναβάθμιση μέχρι να κάνουμε δεξί κλικ στο Certificate Templates -> Manage. Τότε, ένα μήνυμα μας ενημερώνει ότι βρέθηκαν νέα templates και πρέπει να εγκατασταθούν.
Πρέπει να γίνουν τα εξής
i) Certificate Templates -> Manage
ii)δεξί κλικ Key Recovery Agent (template) -> Duplicate template
iii) δεξί κλικ Certificate Templates -> New Certificate Template to issue και επιλογή “Key Recovery Agent.”
Αμέσως μετά, θα ζητήσουμε την έκδοση ενός KRA certificate ενώ είμαστε logged on σαν Enterprise Admin: Start -> Run -> MMC -> Add/remove snap-in -> Certificates -> User account. Θα ζητήσουμε το πιστοποιητικό μέσω MMC: Certificates –> Current User -> Personal -> δεξί κλικ Ceritificates -> All Tasks -> Request new certificate. Στο "Certificate Request Wizard" επιλέγουμε το "Adavnced" και για μεγαλύτερη ασφάλεια του certificate private key, επιλέγουμε το “Enable strong private key protection” έτσι ώστε να ζητείται ένας κωδικός κάθε φορά που θα πραγματοποιείται μια ενέργεια με αυτό το πιστοποιητικό.
Προσοχή: Το πιστοποιητικό KRA που πρόκειται να εκδοθεί δεν προστίθεται στον KRA container στο Active Directory Sites and Services, όπως θα έπρεπε. Σύμφωνα με ένα post ενός υπαλλήλου της Microsoft στο public security newsgroup το 2003, “The KRA object in the DS is created when a Windows 2003 CA is installed or has its CA cert renewed. It is not created during upgrade from Windows 2000 to Windows 2003 - in fact, it cannot be created at that time, because the upgrade code runs without appropriate network access.” Το post υπάρχει εδώ. Κατ' επέκταση, πρέπει να εκδώσουμε χειροκίνητα το KRA certificate στο AD, εξάγοντάς το από το CA και σώζοντάς το ως αρχείο με επέκταση .cer. Αμέσως μετά, πρέπει να το εκδώσουμε στο AD μέσω της εντολής certutil –f –dspublish certificatename.cer.
Αφού τελειώσει αυτή η διαδικασία, ένα κουτί διαλόγου θα πεταχτεί και θα μας ζητήσει να κάνουμε set το security level του private key protection. Πρέπει να επιλέξουμε “high” αν το certificate δεν πρόκειται να εξαχθεί (πχ, σε flash key, smart card κλπ). Επιλέγουμε κωδικό, πατούμε Finish. Η τελική ενέργεια έιναι να κάνουμε retrieve το πιστοποιητικό από το CA, μέσω του Certification Authority MMC snap-in -> Όνομα του CA -> Pending Certificates -> δεξί κλικ KRA certificate στο δεξί pane ->All Tasks -> Issue.
Προσοχή : Αν και το KRA certificate είναι user-specific, βρίσκεται μόνο στο Certificates Local Computer) -> KRA container και όχι στο Certificates – Current User MMC snap-in.
Βήμα β: Ρυθμίζοντας το CA για Key Archival
Certification Authority -> δεξι κλικ στο όνομα του CA -> Properties -> Recovery Agent tab. Πρέπει να επιλέξουμε το “Archive the key” και μετά να πατήσουμε το κουμπί “Add” για να προσθέσουμε το KRA certificate που εκδόσαμε πριν.
|
|
|
|
Αναβάθμιση Exchange KMS σε Windows 2003 CA - μέρος 3ο |
|
|
Είμαστε πλέον έτοιμοι να ξεκινήσουμε το migration. ΠΡΟΣΟΧΗ: πριν ξεκινήσετε το migration, το αναβαθμισμένο Windows 2003 Certification Authority πρέπει να είναι offline. Αν δεν γίνει αυτό, όλα τα version 3 user certificates που εκδώθηκαν από το CA θα γίνουν revoked (θα ανακληθούν). Πριν ξεκινήσει το migration, πρέπει να εξάγουμε ένα certificate (οποιοδήποτε, αρκεί να είναι computer certificate) από το Windows 2003 CA στον KMS server, για να κρυπτογραφηθεί το exported KMS database file. Ωστόσο, πρέπει να σημειώσουμε ποιό certificate χρησιμοπoιήσαμε, ώστε να επιλέξουμε το ίδιο όταν έρθει η ώρα για την εισαγωγή των KMS user certificates.
Σημείωση: το certificate πρέπει να εξαχθεί σε φορμά .cer , ΌΧΙ pfx. Η διαδικασία γίνεται ως εξής: δεξί κλικ Key Manager -> All Tasks -> Export Users -> input password -> Next -> επιλογή Certificate από το CA για την κρυτπογράφηση της KMS database-> πρέπει να κάνουμε copy τους πρώτους 8 χαρακτήρες του certificate thumbprint, που βρίσκεται ανοίγοντας το original certificate από το Windows 2003 CA. Τότε, πρέπει να δώσουμε ένα όνομα στο αρχείο που είναι να εξαχθεί. Σημαντικό: στο “Export Filename” ΔΕΝ πρέπει να εισάγουμε πληροφορίες για το path. Το αρχείο εξαγωγής του KMS πρέπει να τοποθετηθεί στο C:\program files\excsrvr\KMSDATA και δεν θα έχει extension. Το τελικό στάδιο περιλαμβάνει την επιλογή των χρηστών που είναι να εξαχθούν. Μπορούμε να τους επιλέξουμε από λίστα ή να επιλέξουμε συγκεκριμένα mailbox stores. Αφού τελειώσουμε την εξαγωγή, πρέπει να σταματήσουμε το KMS service.
Το τελικό στάδιο του migration είναι η εισαγωγή του KMS database/αρχείου στο Windows 2003 CA αντιγράφοντάς το στο δίσκο του υπολογιστή που έχει το CA. Πριν εισάγουμε την KMS database, πρέπει να ξεκινήσουμε το Windows 2003 CA service, το οποίο έχει σταματήσει πριν την εξαγωγή του KMS. Επίσης, μπορούσαμε να επιτρέψουμε το Foreign Certificate Import τρέχοντας το certutil setreg ca\KRAFlags +KRAF_ENABLEFOREIGN. Μετά, χρησιμοποιηούμε το certutil για να εισάγουμε χρήστες: certutil.exe –f –importkms [kmsfilename]. Ένα pop up θα μας ειδοποιήσει για την επιλογή του computer certificate που κάναμε εξαγωγή από το 2003 CA και χρησιμοποιήσαμε για να κρυπτογραφήσουμε την KMS database. Αφού γίνουν import τα keys, θα πρέπει να εμφανιστεί το παρακα΄τω μήνυμα: certutil: –ImportKMS completed successfully.
|
|
|
|
Key Recovery (ανάκτηση κλειδιών) σε ένα Windows 2003 Certification Authority |
|
|
Σε ένα Windows 2003 CA, το key recovery γίνεται με δύο τρόπους:
α) μέσω ενός Windows 2003 Resource Kit utility (GUI) που ονομάζεται Key Recover Tool (krt.exe)
β) την command-line εντολή certutil.
Και τα δύο εργαλεία, για να ανακτήσουν κλειδιά, προϋποθέτουν γνώση ενός εκ των παρακάτω στοιχείων ενός πιστοποιητικού:
- Το σειρικαό αριθμό (serial number) του πιστοποιητικού που είναι να ανακτηθεί
- Το CN (CommonName) του χρήστη που εξέδωσε το πιστοποιητικό
- Το UPN (User Principal Name) του χρήστη του πιστοποιητικού
- Το hash (SHA-1 thumbprint) του πιστοποιητικού που είναι να ανακτηθεί.
Αρχικές ενέργειες:
Για παράδειγμα, ο σειριακός αριθμός ενός πιστοποιητικού που έχει γίνει archived μπορεί να βρεθεί ως ακολούθως:
1.Log on στο CA ή σε ένα Windows XP Professional μηχάνημα που έχει το Administration Tools pack εγκατεστημένο, ως CA Officer που έχει δικαιώματα στο Certificate Management authority του χρήστη.
2.Administrative Tools -> Certification Authority.
3.Στο console tree, αναπτύξτε το Certification Authority -> κλικ Issued Certificates.
4.Στο μενού View, πατήστε Add/Remove Columns.
5.Στο Add/Remove Columns, στη λίστα Available Column, επιλέξτε Archived Key , και μετά κάντε click Add. Το Archived Key πρέπει να εμφανιστεί στη λίστα των Displayed Columns.
6.Κλικ OK.
7.Στο details pane, κάντε scroll προς τα δεξιά και σιγουρευτείτε ότι το κλειδί που εκδώθηκε τελευταίο έχει μια τιμή στη στήλη Archived Key.
8.Κάντε διπλό κλικ στο user certificate.
9.Κλικ στο Details tab.
10.Σημειώστε το σειριακό αριθμό του certificate (χωρίς το κενό μεταξύ των διψήφιων αριθμών). Αυτό είναι απαραίτητο για την ανάκτηση.
11.Κλικ OK.
12.Κλείστε το Certification Authority.
Ανάκτηση μέσω command-line:
Η διαδικασία γίνεται σε δύο στάδια. Στο πρώτο, η εντολή certutil χρησιμοποιείται για να δημιουργήσει ένα BLOB αρχείο που θα χρησιμοποιηθεί για την ανάκτηση των archived keys σε ένα exported PFX certificate: Certutil –getkey [serialnumber] [outputfile].
Σημείωση: Τα Key Recovery certificates βρίσκονται στον KRA container στο τοπικό certificate store, αλλά το certutil τα ψάχνει στο Personal container για την αποκρυπτογράφηση. Πρέπει να κάνουμε export το KRA cert σαν ένα .cer αρχείο και να το εισάγουμε στο Personal Store του υπολογιστή που θα γίνει η αποκρυπτογράφηση.
Στο δεύτερο στάδιο, χρησιμοποιούμε την εξής εντολή για να φτιάξουμε ένα PFX file του εξαγόμενου πιστοποιητικού: Certutil –recoverkey [outfile] certificatename.pfx p [password]. Μετά απο αυτό, δημιουργείται το PFX αρχείο με τα ανακτημένα keys .
|
|
|
|
|
|
|
|
| Portal engine source code is copyright 2002-2012 by DotNetNuke. All Rights Reserved |
|