La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Rendere Sicura Active Directory. Agenda Introduzione alla sicurezza di Active Directory Analisi dei rischi Attacchi contro Active Directory Recuperare.

Presentazioni simili


Presentazione sul tema: "Rendere Sicura Active Directory. Agenda Introduzione alla sicurezza di Active Directory Analisi dei rischi Attacchi contro Active Directory Recuperare."— Transcript della presentazione:

1 Rendere Sicura Active Directory

2 Agenda Introduzione alla sicurezza di Active Directory Analisi dei rischi Attacchi contro Active Directory Recuperare sistemi compromessi Buone pratiche

3 Documento di riferimento! Best Practice Guide for Securing Active Directory Installations 003/techinfo/overview/adsecurity.mspx

4 Introduzione La sicurezza concerne la protezione dei beni Impatti della sicurezza compromessa Perdita o compromissione di informazioni Interruzione dei processi di business Perdita di guadagno Perdita di reputazione del marchio Danni ad investitori e clienti Potenziale esposizione di informazioni sensibili Principio base di unadeguata protezione Un bene deve essere protetto ad un livello consistente con il suo valore

5 Introduzione In questa sessione parleremo solo di AD Sistemi sicuri significa però server, client e rete sicuri Policy, Procedure e Consapevolezza OS blindato, gestione degli update, autenticazione, HIDS Firewall, reti di quarantena (VPN) Guardie, chiavi, sistemi di controllo degli accessi Reti segmentate, IPSec, NIDS Applicazioni blindate, antivirus ACL, criptatura Formazione ed educazione Sicurezza fisica Perimetro Rete interna Host Applicazioni Dati

6 Ruolo di AD nellinfrastruttura Info sugli Account Privilegi Profili Policy Info sui Client Profilo Mgmt Info di rete Policy Info sui Server Profili Mgmt Info di rete Servizi Stampanti Share Policy Gestibilità, Sicurezza, Interoperabilità Active Directory Info sulle Appl Configurazioni Single Sign-On Info specifiche delle App Policy Info su device di rete Configurazione Policy QoS Policy di sicurezza Internet Internet Info sui Firewall Configurazione Policy di sicurezza Policy di VPN Altre Directoy Altri NOS Sicurezza Policy Info sui server di posta Info sulle Mailbox GAL

7 Se AD è compromessa Aggiramento delle misure di controllo dei sistemi Modifica delle policy di sicurezza e delle misure di sicurezza esistenti Password, Kerberos, Remote Access, Logon Scripts e altre policy Login come/impersonizzazione di qualsiasi persona nellorganizzazione Accesso, controllo dellaccesso a, distruzione e/o divulgazione di ogni informazione in qualche modo protetta da Active Directory

8 Quattro regole per la sicurezza di AD 1.Enterprise Admins (EA) possono accedere ad ogni servizio e dato nella foresta 2.Domain Admins (DA) possono accedere ogni servizio e dato nel proprio dominio 3.Domain Admins possono anche facilmente accedere a servizi e dati in altri domini della stessa foresta 4.I domain controller non possono essere isolati luno dallaltro 5.Il dominio non è un confine di sicurezza; lo è la foresta. Il dominio è solo un confine amministrativo e di replica

9 Analisi dei rischi – Modello STRIDE S poofing – Pretendere di essere qualcun altro T ampering – Effettuare modifiche non autorizzate ai dati R epudiation – Effettuare azioni non autorizzate ed eliminare ogni evidenza delle stesse e dellidentità dellesecutore I nformation Disclosure – Accessi non autorizzati ai dati D enial of service – Causare perdita di servizi agli utenti legittimi E levation of Privilege – Utilizzare metodi non autorizzati per elevare i propri privilegi

10 Analisi dei rischi a b.a Anonymous user Authenticated user Physical access DC Network service Root domain Delegated Admin System Administrator

11 Analisi dei rischi Tutti i sistemi hanno amministratori Possono modificare le impostazioni di sistema (installazione di QFE, SP,...) Possono fare intenzionalmente, o meno, cose cattive Si deve avere un elevato livello di fiducia Obbiettivo degli attaccanti: Diventare amministratori di sistema o Avere accesso fisico ai DC per Modificare le impostazione del DC Installare o modificare applicazioni (filtri delle password,...) Esportare e modificare offline il database degli account Attaccare il processo LSA

12 Attacchi contro AD Impossibile trattarli tutti in una sessione Vedremo solo alcuni di questi (NT)LM Hash KerbCrack sIDHistory Exploit Attacchi DoS Modifiche offline del database degli account

13 (NT)LM Hash Due metodi differenti per effettuare lhash delle password utente LM è stato sviluppato da IBM LM hash non è un vero metodo di hash Mette tutti i caratteri in maiuscolo Contiene due parti di 7 caratteri ciascuna Riempimento con NULL fino al 14° carattere È un criptatura DES di ciascuna metà di 7 caratteri Concatenamento dei due risultati in un testo cifrato di 128 bit

14 (NT)LM Hash Mitigazione Password con più di 14 caratteri Problemi con versioni vecchie di OS LM Hash diventa aad3b435b51404eeaad3b435b51404ee Usare caratteri speciali nelle password (es. gli spazi) Disabilitare LM authentication (gli utenti devono cambiare password) Per i client vecchi installare DsClient.

15 NoLmHash Demo

16 KerbCrack Tutti conoscono i problemi di LM/NTLM Lo sniffing di Kerberos è meno noto Molti amministratori pensano che Kerberos sia inattaccabile Attacco è stato spiegato la prima volta da Frank ODwyer nel 2002 Il problema risiede nei pacchetti Kerberos pre-autenticati Spedizione del timestamp criptato con una chiave derivata dalla password dellutente

17 KerbCrack Brute force attack sui pacchetti pre-autenticati la struttura è nota e definita in RFC 1510 Formato timestamp (parte criptata con chiave derivata dalla password utente): YYYYMMDDHHMMSSZ Facile da determinare Tool in due parti noto come KerbCrack KerbSniff – per sniffare i pacchetti Kerberos KerbCrack – per decriptare i pacchetti catturati Lattacco è mitigato da password complesse

18 KerbCrack Demo

19 Attacco sIDHistory Origine Classico esempio di elevazione dei privilegi Descritto in MS Q Deriva il nome dallattributo sIDHistory dei security principal in AD Originariamente pensato per le migrazioni da NT4 a 2000 Il problema...

20 Attacco sIDHistory Il problema Dopo il logon ad un domino il token utente contiene Il SID dellaccount I SID dei gruppi cui appartiene Se il dominio è in Windows 2000 native mode (o functional level superiore), lattributo sIDHistory è aggiunto al token È possibile costruire un attributo sIDHistory che contenga il SID di Enterprise Admin Non ci sono API che consentano linserimento di SID in sIDHistory Attacco possibile solo con una modifica offline del database di AD

21 sIDHistory exploit Demo

22 Attacco sIDHistory Mitigazione Mitigazione: Per trust tra foreste ed esterni è possibile abilitare il SID Filtering Nessun tipo di mitigazione per domini nella stessa foresta Dove necessario usare foreste separate Svuotare la sIDHistory dopo la migrazione (Q fornisce uno script per effettuare loperazione)

23 Attacchi Denial of Service (DoS) Lo scopo di questi attacchi è interrompere un servizio di rete Ogni servizio è suscettibile di attacchi DoS Ci sono diversi possibili attacchi DoS contro AD Flood del Database di AD Flood di query LDAP Dimensione del token eccessiva Attacchi DNS Account lockout

24 Attacchi DoS Attacchi al Database Pericolo: Utenti con i diritti di aggiungere oggetti ad Active Directory possono sovraccaricare il database Mitigazione: Delegare i diritti con molta attenzione Usare Active Directory Object quota in Windows Server 2003 per limitare la possibilità di creazione di oggetti

25 Attacchi DoS Dimensione del token eccessiva Pericolo: Utenti delegati alla creazione/modifica di gruppi in AD I token possono contenere fino a 1023 SID Aggiunta di più di 1023 gruppi agli account Lutente non può più fare logon Può essere eseguito contro laccount Administrator Mitigazione: Delegare i diritti con attenzione Rimuovere il permesso di modificare I membri del gruppo Administrator Recupero Avviare il sistema in safe mode con rete e ripristinare AD da un backup

26 Dimensione eccessiva del token Demo

27 Attacchi DoS Altri attacchi Flood di query LDAP Un utente può saturare il server di query LDAP Usare le policy sulle query LDAP per mitigare il problema (Q315071) Non usare query anonime Attacchi DNS Modifiche offline al database Stessa tecnica usabile per lattacco sIDHistory Possono essere eseguite con i tool di tbiro (www.tbiro.com)www.tbiro.com Account lockout Se attivo, un utente può effettuare tentativi falliti di logon per escludere altri (o tutti) gli account

28 Ripristino In caso di sistemi compromessi Effettuare il reset di tutte le password del dominio Trovare e rimuovere i sistemi compromessi Cancella gli oggetti server dal container Configuration (CN=Configuration,DC=dominio) Cancellare gli account dei server nel dominio Verificare tutte le applicazione installate Su tutti i DC e le workstation di amministrazione Verificare tutti i DC alla ricerca di virus Verificare tutte le applicazioni che dipendono da AD Trovare e rimuovere gli account compromessi Verificare la presenza di modifiche ai gruppi importanti Verificare GPO, script di logon,... Verificare i backup

29 Ripristino Ripristino della foresta Esempio ipotetico: Lamministrazione di sistema ha eseguito una modifica allo schema che determina un errore dei sistemi Procedura di ripristino: Ripristinare un DC in ogni dominio Reinstallare tutti gli altri DC Chiamare il PSS

30 Buone Pratiche Username/password Proteggere gli account amministrativi Controllare laccount Administrator per monitorare gli attacchi Delega e processo AdminSDHolder Rimuovere LM hash (Q147706, Q299656) Usare SID filtering per i trust esterni mspx mspx

31 Buone pratiche Domain controller Rimuovere i servizi non necessari I computer account dei domain controller dovrebbero rimanere nella OU Domain Controllers Creare il proprio template di sicurezza Usare il template in una GPO diversa da quella di default per I DC Avere più di un DC per dominio Non delegare i diritti sui DC Porre speciale attenzione ai DC nei siti remoti Installare i nuovi DC da zero Rendere sicuro laccesso fisico ai DC

32 Buone pratiche Active Directory Dal punto di vista della sicurezza less is more !! Documentare le modifiche Usare le quote per gli utenti delegati (W2K3) Il gruppo Schema Admin dovrebbe essere vuoto Usare le GPO per le impostazioni di sicurezza Attenzione alle deleghe sulle GPO Usare Block Inheritance e No override con attenzione Controllare lappartenenza ai gruppi con le GPO (Restricted Groups) o con script di startup (workstation)

33 Buone pratiche DNS e DHCP DNS Usa le zone integrate in AD se possibile Update dinamici sicuri ACL su RR Repliche avanzate Partizioni applicative in Windows Server 2003 DHCP DHCP non dovrebbe essere su DC (se possibile) Q255134

34 Risorse Best Practice Guide for Securing Active Directory Installations urity.mspx Windows Securtiy Resource Kit The Twenty Most Critical Internet Security Vulnerabilities Ten Windows Password Myths

35 Hands On Labs 2811 Applying Microsoft Security Guidance (1 day) Microsoft Windows Security Resource Kit ISBN: Clinic 2801 Microsoft Security Guidance Training I (1 day) Risorse di Microsoft Learning sulla sicurezza Free Online Skills Assessments Free Self-Paced E-Learning Clinics Self-Paced Microsoft Press Reference Books Hands-On Instructor-Led Training Microsoft Certified Professional Specializations Managing the Deployment of Service Packs and Security Updates Protecting the Perimeter of Networks Introduction to Microsoft Security Guidance Course 2823 Implementing and Administering Security in a Windows Server 2003 Network (5 days) Course 2830 Designing Security for Microsoft Networks (3 days) Course 2824 Implementing Internet Security and Acceleration Server 2004 (4 days) Clinic 2802 Microsoft Security Guidance Training II (1 day) Assessing Network Security ISBN: Microsoft Windows Server 2003 PKI and Certificate Security ISBN:

36 © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.


Scaricare ppt "Rendere Sicura Active Directory. Agenda Introduzione alla sicurezza di Active Directory Analisi dei rischi Attacchi contro Active Directory Recuperare."

Presentazioni simili


Annunci Google