La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Rendere Sicura Active Directory

Presentazioni simili


Presentazione sul tema: "Rendere Sicura Active Directory"— Transcript della presentazione:

1 Rendere Sicura Active Directory

2 Agenda Introduzione alla sicurezza di Active Directory
Analisi dei rischi Attacchi contro Active Directory Recuperare sistemi compromessi Buone pratiche

3 Documento di riferimento!
Best Practice Guide for Securing Active Directory Installations

4 Introduzione La sicurezza concerne la protezione dei beni
Impatti della sicurezza compromessa Perdita o compromissione di informazioni Interruzione dei processi di business Perdita di guadagno Perdita di reputazione del marchio Danni ad investitori e clienti Potenziale esposizione di informazioni sensibili Principio base di un’adeguata protezione Un bene deve essere protetto ad un livello consistente con il suo valore

5 Policy, Procedure e Consapevolezza
Introduzione In questa sessione parleremo solo di AD Sistemi sicuri significa però server, client e rete sicuri Policy, Procedure e Consapevolezza Sicurezza fisica Dati ACL, criptatura Applicazioni Applicazioni blindate, antivirus OS blindato, gestione degli update, autenticazione, HIDS Host Rete interna Reti segmentate, IPSec, NIDS Perimetro Firewall, reti di quarantena (VPN) Guardie, chiavi, sistemi di controllo degli accessi Formazione ed educazione

6 Ruolo di AD nell’infrastruttura
Info sugli Account Privilegi Profili Policy Info sui Client Profilo Mgmt Info di rete Policy Info sui Server Profili Mgmt Info di rete Servizi Stampanti Share Policy Altre Directoy Active Directory Gestibilità, Sicurezza, Interoperabilità Info su device di rete Configurazione Policy QoS Policy di sicurezza Altri NOS Sicurezza Policy Info sui Firewall Configurazione Policy di sicurezza Policy di VPN Info sulle Appl Configurazioni Single Sign-On Info specifiche delle App Policy Info sui server di posta Info sulle Mailbox GAL Internet

7 Se AD è compromessa Aggiramento delle misure di controllo dei sistemi
Modifica delle policy di sicurezza e delle misure di sicurezza esistenti Password, Kerberos, Remote Access, Logon Scripts e altre policy Login come/impersonizzazione di qualsiasi persona nell’organizzazione Accesso, controllo dell’accesso a , distruzione e/o divulgazione di ogni informazione in qualche modo protetta da Active Directory

8 Quattro regole per la sicurezza di AD
Enterprise Admins (EA) possono accedere ad ogni servizio e dato nella foresta Domain Admins (DA) possono accedere ogni servizio e dato nel proprio dominio Domain Admins possono anche facilmente accedere a servizi e dati in altri domini della stessa foresta I domain controller non possono essere isolati l’uno dall’altro Il dominio non è un confine di sicurezza; lo è la foresta. Il dominio è solo un confine amministrativo e di replica

9 Analisi dei rischi – Modello STRIDE
Spoofing – Pretendere di essere qualcun altro Tampering – Effettuare modifiche non autorizzate ai dati Repudiation – Effettuare azioni non autorizzate ed eliminare ogni evidenza delle stesse e dell’identità dell’esecutore Information Disclosure – Accessi non autorizzati ai dati Denial of service – Causare perdita di servizi agli utenti legittimi Elevation of Privilege – Utilizzare metodi non autorizzati per elevare i propri privilegi

10 Analisi dei rischi DC a b.a Root domain Network service System
Anonymous user Authenticated Physical access DC Network service Root domain Delegated Admin System Administrator

11 Analisi dei rischi Tutti i sistemi hanno amministratori
Possono modificare le impostazioni di sistema (installazione di QFE, SP,...) Possono fare intenzionalmente, o meno, cose “cattive” Si deve avere un elevato livello di fiducia Obbiettivo degli attaccanti: Diventare amministratori di sistema o Avere accesso fisico ai DC per Modificare le impostazione del DC Installare o modificare applicazioni (filtri delle password, ...) Esportare e modificare “offline” il database degli account Attaccare il processo LSA

12 Attacchi contro AD Impossibile trattarli tutti in una sessione
Vedremo solo alcuni di questi (NT)LM Hash KerbCrack sIDHistory Exploit Attacchi DoS Modifiche “offline” del database degli account

13 (NT)LM Hash Due metodi differenti per effettuare l’hash delle password utente LM è stato sviluppato da IBM LM hash non è un vero metodo di hash Mette tutti i caratteri in maiuscolo Contiene due parti di 7 caratteri ciascuna Riempimento con NULL fino al 14° carattere È un criptatura DES di ciascuna metà di 7 caratteri Concatenamento dei due risultati in un testo cifrato di 128 bit

14 (NT)LM Hash Mitigazione Password con più di 14 caratteri
Problemi con versioni vecchie di OS LM Hash diventa aad3b435b51404eeaad3b435b51404ee Usare caratteri speciali nelle password (es. gli spazi) Disabilitare LM authentication (gli utenti devono cambiare password) Per i client vecchi installare DsClient.

15 Demo NoLmHash

16 KerbCrack Tutti conoscono i problemi di LM/NTLM
Lo sniffing di Kerberos è meno noto Molti amministratori pensano che Kerberos sia inattaccabile Attacco è stato spiegato la prima volta da Frank O’Dwyer nel 2002 Il problema risiede nei pacchetti Kerberos pre-autenticati Spedizione del timestamp criptato con una chiave derivata dalla password dell’utente

17 KerbCrack Brute force attack sui pacchetti pre-autenticati
la struttura è nota e definita in RFC 1510 Formato timestamp (parte criptata con chiave derivata dalla password utente): YYYYMMDDHHMMSSZ Facile da determinare Tool in due parti noto come KerbCrack KerbSniff – per sniffare i pacchetti Kerberos KerbCrack – per decriptare i pacchetti catturati L’attacco è mitigato da password complesse

18 Demo KerbCrack

19 Attacco sIDHistory Origine
Classico esempio di elevazione dei privilegi Descritto in MS Q289243 Deriva il nome dall’attributo sIDHistory dei security principal in AD Originariamente pensato per le migrazioni da NT4 a 2000 Il problema...

20 Attacco sIDHistory Il problema
Dopo il logon ad un domino il token utente contiene Il SID dell’account I SID dei gruppi cui appartiene Se il dominio è in Windows 2000 ‘native mode’ (o functional level superiore), l’attributo sIDHistory è aggiunto al token È possibile costruire un attributo sIDHistory che contenga il SID di Enterprise Admin Non ci sono API che consentano l’inserimento di SID in sIDHistory Attacco possibile solo con una modifica offline del database di AD

21 Demo sIDHistory exploit

22 Attacco sIDHistory Mitigazione
Per trust tra foreste ed esterni è possibile abilitare il SID Filtering Nessun tipo di mitigazione per domini nella stessa foresta Dove necessario usare foreste separate Svuotare la sIDHistory dopo la migrazione (Q fornisce uno script per effettuare l’operazione)

23 Attacchi Denial of Service (DoS)
Lo scopo di questi attacchi è interrompere un servizio di rete Ogni servizio è suscettibile di attacchi DoS Ci sono diversi possibili attacchi DoS contro AD Flood del Database di AD Flood di query LDAP Dimensione del token eccessiva Attacchi DNS Account lockout

24 Attacchi DoS Attacchi al Database
Pericolo: Utenti con i diritti di aggiungere oggetti ad Active Directory possono sovraccaricare il database Mitigazione: Delegare i diritti con molta attenzione Usare Active Directory Object quota in Windows Server 2003 per limitare la possibilità di creazione di oggetti

25 Attacchi DoS Dimensione del token eccessiva
Pericolo: Utenti delegati alla creazione/modifica di gruppi in AD I token possono contenere fino a 1023 SID Aggiunta di più di 1023 gruppi agli account L’utente non può più fare logon Può essere eseguito contro l’account Administrator Mitigazione: Delegare i diritti con attenzione Rimuovere il permesso di modificare I membri del gruppo Administrator Recupero Avviare il sistema in safe mode con rete e ripristinare AD da un backup

26 Dimensione eccessiva del token
Demo Dimensione eccessiva del token

27 Attacchi DoS Altri attacchi
Flood di query LDAP Un utente può saturare il server di query LDAP Usare le policy sulle query LDAP per mitigare il problema (Q315071) Non usare query anonime Attacchi DNS Modifiche offline al database Stessa tecnica usabile per l’attacco sIDHistory Possono essere eseguite con i tool di tbiro (www.tbiro.com) Account lockout Se attivo, un utente può effettuare tentativi falliti di logon per escludere altri (o tutti) gli account

28 Ripristino In caso di sistemi compromessi
Effettuare il reset di tutte le password del dominio Trovare e rimuovere i sistemi compromessi Cancella gli oggetti server dal container Configuration (CN=Configuration,DC=dominio) Cancellare gli account dei server nel dominio Verificare tutte le applicazione installate Su tutti i DC e le workstation di amministrazione Verificare tutti i DC alla ricerca di virus Verificare tutte le applicazioni che dipendono da AD Trovare e rimuovere gli account compromessi Verificare la presenza di modifiche ai gruppi importanti Verificare GPO, script di logon,... Verificare i backup

29 Ripristino Ripristino della foresta
Esempio ipotetico: L’amministrazione di sistema ha eseguito una modifica allo schema che determina un errore dei sistemi Procedura di ripristino: Ripristinare un DC in ogni dominio Reinstallare tutti gli altri DC Chiamare il PSS 

30 Buone Pratiche Username/password
Proteggere gli account amministrativi Controllare l’account “Administrator” per monitorare gli attacchi Delega e processo AdminSDHolder Rimuovere “LM hash” (Q147706, Q299656) Usare SID filtering per i trust esterni

31 Buone pratiche Domain controller
Rimuovere i servizi non necessari I computer account dei domain controller dovrebbero rimanere nella OU “Domain Controllers” Creare il proprio template di sicurezza Usare il template in una GPO diversa da quella di default per I DC Avere più di un DC per dominio Non delegare i diritti sui DC Porre speciale attenzione ai DC nei siti remoti Installare i nuovi DC da zero Rendere sicuro l’accesso fisico ai DC

32 Buone pratiche Active Directory
Dal punto di vista della sicurezza less is more !! Documentare le modifiche Usare le quote per gli utenti delegati (W2K3) Il gruppo Schema Admin dovrebbe essere vuoto Usare le GPO per le impostazioni di sicurezza Attenzione alle deleghe sulle GPO Usare Block Inheritance e No override con attenzione Controllare l’appartenenza ai gruppi con le GPO (Restricted Groups) o con script di startup (workstation)

33 Buone pratiche DNS e DHCP
Usa le zone integrate in AD se possibile Update dinamici sicuri ACL su RR Repliche avanzate Partizioni applicative in Windows Server 2003 DHCP DHCP non dovrebbe essere su DC (se possibile) Q255134

34 Risorse Best Practice Guide for Securing Active Directory Installations Windows Securtiy Resource Kit The Twenty Most Critical Internet Security Vulnerabilities Ten Windows Password Myths

35 Risorse di Microsoft Learning sulla sicurezza
Free Online Skills Assessments Hands-On Instructor-Led Training Course Implementing and Administering Security in a Windows Server 2003 Network (5 days) Managing the Deployment of Service Packs and Security Updates Introduction to Microsoft Security Guidance Course Designing Security for Microsoft Networks (3 days) Hands On Labs 2811 Applying Microsoft Security Guidance (1 day) Protecting the Perimeter of Networks Free Self-Paced E-Learning Clinics Course Implementing Internet Security and Acceleration Server 2004 (4 days) Clinic 2801 Microsoft Security Guidance Training I (1 day) Clinic 2802 Microsoft Security Guidance Training II (1 day) Microsoft Certified Professional Specializations Self-Paced Microsoft Press Reference Books Assessing Network Security ISBN: Microsoft Windows Security Resource Kit ISBN: Microsoft Windows Server 2003 PKI and Certificate Security ISBN:

36 © 2003-2004 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.


Scaricare ppt "Rendere Sicura Active Directory"

Presentazioni simili


Annunci Google