Инфосистемы Джет corporate blog
Information Security
Comments 18
+2
Спасибо за хорошую статью. Не хватает только инструкций как отключить механизмы с использованием которых вы смогли получить права админа домена. Если тот же LLMNR достаточно просто отключается через GPO, то для IPv6 у МСа есть отельная КВшка как его правильно отключить.
0
а вас не затруднит привести урл этой KB-шки, пожалуйста?
0
Ответ уже дали, отмечу только, что как минимум надо понизить приоритет IPv6 по отношению к IPv4.
+1

Суть атаки вовсе не в LLMNR или IPv6, она в NTLM. Обрубить любые механизмы mitm в сети не факт что вообще возможно, и рубить надо корень, а не веточки отламывать.

+1
Безопасность должна быть комплексной, нужно и от MITM защитится и максимально уйти от NTLM и подписывать SMB-пакеты, все это нужно делать с оглядкой на последствия. Например, не будет у вас использоваться Kerberos-аутентификация если вы к шарам по IP подключаетесь (заметил, так любят делать сетевики). Подписывание SMB-пакетов может сделать недоступным для вас линуксовые шары (со старой версией самбы или отключенной подписью).
Как итог, нужно везде укреплять безопасность, а вот как это сделать в статье мало сказано, ребята рассказали как они классно умеют ломать домены. Про защиту ждем новую статью.
+1
Безопасность должна быть комплексной

:). Это безусловно верное, но слабо влияющее на конкретные практические меры утверждение, как и большинство общих фраз. Есть очевидные и давно известные "узкие" места, которые относительно легко закрываются/ограничиваются, и есть глобальные проблемы, общего решения для которых просто не существует. Просто исходя из соотношения затрат к результатам сначала надо закрывать первое, и только потом второе. Второе без первого просто не имеет смысла, совсем. Так вот NTLM (и RC4 в kerberos) — первое, MITM — второе.


не будет у вас использоваться Kerberos-аутентификация если вы к шарам по IP подключаетесь (заметил, так любят делать сетевики).

Старые вредные привычки — тоже одна из основных угроз безопасности, да.


Подписывание SMB-пакетов может сделать недоступным для вас линуксовые шары (со старой версией самбы или отключенной подписью).

Если админы/безопасники не хотят работать — конечно, может. Но о какой безопасности тогда идет речь вообще? Есть, конечно, ситуации, когда ограничение старых небезопасных практик объективно сложно, но в сабже-то обсуждается пример сети, где не "старые линуксовые шары", а гомогенная среда на ОС последнего поколения, да еще и потратились на воплощение некоторых современных практик. Хотя, откровенно говоря, описанная ситуация мне кажется какой-то искусственной — сделать вот это всё и тупо забыть про NTLM, когда любая гуглоссылка по вопросам безопасности в виндовых доменах будет буквально кричать об этом...

+1
Спасибо! Пошел проверять политики безопасности в домене :)
+1

Microsoft:
Важно! Протокол Интернета версии 6 ( IPv6 ) является обязательной частью Windows Vista и более поздних версий. Не рекомендуется отключить IPv6 или его компонентов, или некоторые компоненты Windows могут не работать.Кроме того при запуске системы будет задержано на 5 секунд при отключении IPv6, задав параметр реестра DisabledComponents значения 0xfffffffнеправильно. Правильным значением должно быть значение 0xff. Дополнительные сведения см. на вопрос «Каковы рекомендации корпорации Майкрософт об отключении IPv6 ?» IPv6 для Microsoft Windows: вопросы и ответы
(http://technet.microsoft.com/en-us/network/cc987595.aspx)

0
Простите, но по вашей ссылке ничего такого нет, и ваш текст вообще нигде кроме Хабра и его зеркал не гуглится.
Официальная рекомендация, например, PCI DSS — если не используется — отключить. Именно из-за атак на компоненты, про которые никто не подумал.
Никогда не видел никаких проблем с 0xFF.
0
«03/18/2014» собственно дальше читать нет смысла. было время когда 640к было достаточно всем, потом интернет был никому не нужен, 5 лет назад ничего не работало без IPv6… один из ведущих производителей сетевого оборудования рекомендует полностью отключать IPv6 в частных сетях до тех пор, пока Вы не будете убеждены что оно вам позарез нужно и без не
го совсем никак, будите понимать как оно работает и протестируете как оно на самом деле работает на вашем оборудовании и ПО.
0

Согласно http://technet.microsoft.com/ru-ru/network/cc987595.aspx без IP v6 не будут работать:
— DirectAccess
— HomeGroup in Windows 7
— Windows Meeting Space
На своем опыте столкнулся с проблемами при создании кластера при отключеном IP v6 (хотя IP v6 в сети не использовался).
Официальная рекомендация Microsoft — не отключать.

0
Про кластер — странно. Я на 2012 собирал с отключённым ipv6. Как раз это первое, что у меня делается. Потому что из-за приоритета ipv6 порой при включённом ipv6 просто отсутствует нормальная связанность между узлами при использовании некоторых сервисов и ПО. Понятно, что ipv6 трафик не обрабатывается в сети, но windows это не всегда, похоже, волнует. Из плохого поведения, встреченного мной — некорректно работавший dns на доменных машинах. Никак он не хотел на ipv4 смотреть, при том, что не получал ответов по ipv6.
DA не использовал.
0

Небольшо обновление по DA
В чем же основные отличия версии DirectAccess в Windows Server 2012 / 2012 R2 от версии Windows 2008 R2. Основное отличие – снижение требований к смежной инфраструктуре. Так, например:


Сервер DirectAccess теперь не обязательно должен быть пограничным, теперь он может находиться за NAT.
В том случае, если в качестве удаленных клиентов используется Windows 8 Enterprise, разворачивать внутреннюю инфраструктуру PKI не обязательно (за аутентификацию клиентов будет отвечать Kerberos-прокси, расположенный на сервере DA)
Не обязательно стало наличие IPv6 во внутренней сети организации
Поддержка OTP (One Time Password) и NAP (Network Access Protection) без необходимости развёртывания UAG

0
К слову, DirectAccess с недавних пор deprecated, на смену ему пришел Always On VPN
0

Отличная статья. Ещё можно было бы добавить про пароли в GPP.

+3
все доступные машины в домене были не ниже Windows10/Windows Server2016, и на них стояли все самые свежие патчи. Сеть регулярно сканировалась, машины хардились. Все пользователи сидели через токены и не знали свои «20-символьные пароли».

И при этом не был отключен или хотя бы ограничен NTLM, хотя "уж сколько раз твердили миру..."?


Используя учетные данные компьютера RORYOTGS$, мы можем выполнять легитимные запросы к контроллеру домена.

Вы их и так можете выполнять, используя те самые учетные данные, которые использовали для создания "компьютера". Я так навскидку не припомню, зачем может понадобиться именно учетка компьютера.


Harmj0y провел интересное исследование и выяснил, что если в свойствах пользователя указать поддержку шифрования только Kerberos AES128 и AES256, Kerberos-тикет все равно выдается с шифрованием RC4_HMAC_MD5.

Для этого не нужно никакое исследование, это прямо следует собственно из сути этих параметров и описано в документации. Они ни разу не указывают поддержку "только" AES, они просто устанавливают в AD флаги поддержки AES для этой учетки, и никак не трогают поддержку других типов шифрования. Это разрешающие параметры, а не запрещающие.

0
Подскажите пожалуйста, как запросить тикет утилитой setspn.exe? Какая-то хитрость есть?
Only those users with full accounts are able to leave comments., please.