עולם טכנולוגיות המחשוב התפתח
רבות בשנים האחרונות, בעיקר בהיבטי אבטחת מידע. הטכנולוגיות
החמות היום הן וירטואליזציה של
מערכות הפעלה ואפליקציות. וירטואליזציה מאפשרת באופן כללי
שימוש יעיל בתשתיות החומרה, כלומר
יצירת "ענן מחשוב" המכיל את כל תשתיות הארגון (בשאיפה)
במקום מרכזי אחד - חוות השרתים.
יחד עם יתרונות התפעול והעלויות
המוזלות עבור החומרה, קיימות מגרעות לטכנולוגיות חדשות מזה
שנים. רוב הטכנולוגיות ש"נולדות"
בשוק מוכיחות את עצמן כפגיעות בפני התקפות זדוניות, אפילו
לאחר הטמעות רבות בארגונים.
אסור לשכוח שרוב הטכנולוגיות שמוגדרות ברמה הלוגית נפרצות בסופו
של דבר, מדובר בעניין של זמן.
היצרנים הגדולים של עולם
הוירטואליזציה כבר הספיקו להיפרץ ע"י מתקפות בודדות, כגון הרצת קוד
עויין על משאבי מערכות הפעלה
וירטואליות שנחשבות ל"מבודדות" ממערכת ההפעלה התוקפת.
בוירטואליזציה נדרש להשקיע
מחשבה לא רק בהיבטים הטכנולוגים התפעוליים אלא גם בהיבטי
האבטחה היות וככל שעולה
הפונקציונאליות התפעולית תיתכנה פרצות חדשות. דוגמאות טובות
המוכרות מעולם אבטחת המידע הן
סגירת שירותים, הגבלת משתמשים, הגדרת הזדהות, תכנון נכון של
ארכיטקטורה ועוד.
מעבר להיבטי מערכות ההפעלה חשוב
להתייחס גם לוירטואליזציה של אפליקציות. בארגונים רבים
משתמשים בשיטה זו על מנת לגשת
מהרשת הפנימית של הארגון לאינטרנט באמצעות דפדפן או תוכנת
דואר אלקטרוני. האפליקציות רצות
בפועל על השרתים, ומספיק למצוא "טעות" אחת באפליקציה או
בהגדרותיה על מנת להשתלט על
השרת, לדוגמה: בהרצת אפליקציה עם הרשאות ניהוליות ברמת השרת,
אם יימצא ויופעל קוד זדוני אזי
קיים סיכון לקבלת הרשאות ניהוליות על השרת ע"י התוקף.
לסיכום, מעבר ליתרונות הרבים
שיש לוירטואליזציה, צריך לבדוק את הסיכונים הפוטנציאליים של
התשתית על מנת לאפשר לארגון
לתפקד באופן הטוב ביותר.
במאמר זה אכתוב בקצרה על שני נושאים שהם חמים בשוק בתקופה האחרונה, ואוסיף
קצת מידע שימושי
על השילוב ביניהם.
מה היא וירטואליזציה?
חוק מור שנקבע ע"י
גורדון מור (מייסד אינטל) מראה את נכונות הנבואה בה כל שנה וחצי,
או שנתיים
יוכפל מספר הטרנזיסטורים במעגלים משולבים זולים.
חוק זה הוכיח את עצמו כבר יותר מ-40 שנה.
השערת מומחים רבים היא שחוק
מור יחדל מלהתקיים בעוד מספר שנים היות והטכנולוגיה היום מגיעה
לרמות מזעור מינימליות.
חשוב לציין שלא מדובר בסוף הדרך מכיוון שכבר בימים אלו קיימים מחקרים
לפיתוח שערים לוגיים על
אטום בודד. אולי בכל זאת יש תקווה.
היום מערכות המחשוב ניתנות
לחלוקה לחומרה ולתוכנה. החומרה נחשבת לחזקה מאוד יחסית לדרישות
התוכנה, דהיינו ניתן לקנות
מחשב ביתי פשוט המכיל משאבים שהם הרבה מעל דרישות המינימום או
הדרישות האופטימליות של
מערכות ההפעלה הקיימות בשוק.
אם כך, פותח רעיון בו ניתן
לנצל את משאבי החומרה באופן יעיל וזול יותר. הרעיון הוא למעשה להקים
שרת (או מחשב חזק) שמריץ
תוכנה שיודעת לדמות חומרה לתוכנה, ואז ניתן לנצל חומרה פיזית אחת
באמצעות רכיבי חומרה
"וירטואליים"
רבים. תתארו
לכם שבמקום לקנות 10 שרתים פיזיים ניתן לקנות
שרת אחד חזק שעליו ירוצו 10
מערכות הפעלה זו זמנית, במצב זה ניתן להוזיל עליויות רבות של הארגון.
יתרונות הוירטואליזציה :
- כפי שכבר כתבתי - עלויות .
- ברוב תוכנות
הוירטואליזציה קיימת אפשרות לבצע Snapshot. כלומר קיימת אפשרות לשמור "תמונת
מצב" של מערכת ההפעלה - תחליף טוב לגיבוי,
אך לא בכל מצב .
- שימושי
בסביבת בדיקות, לדוגמה - פיתוח אפליקציה גרם לקריסת המערכת, וניתן לחזור לגירסה
הקודמת
של
הפיתוח או למצב של יום לפני קריסת השרת בהנחה שבוצע Snapshot על השרת.
קיימים בשוק מוצרים רבים
שמאפשרים עבודה בטכנולוגיה זו :
Vmware
Server\Workstation, ESX server, ESXi :VMWARE
Virual PC\Server,
Hyper-V(Windows 2008) :Microsoft
VirtualBox :SUN
הערה: קיימת טכנולוגיה של
וירטואליזציה לא רק של חומרה, אלא גם של תוכנה, לדוגמא: אפליקציות
ישנות שלא ניתן להריץ עם
מספר משתמשים במקביל,
בטכנולוגיית הוירטואליזציה ניתן יהיה להריץ מספר
משתמשים
במקביל. מוצר לדוגמא הוא Softgrid או כפי שנקרא היום Microsoft Application Virtualization.
מה הם שירותי מסוף (Terminal)?
עבודה באמצעות מסוף היא שיטת עבודה
ותיקה בה כל משתמש מתחבר לשרת, וממנו הוא עובד. שיטה זו
ידועה בהיבטים התפעוליים
שלה המאפשרים ריכוז של תעבורה או עבודה מול אפליקציה דרך שרת יחיד (או
חוות שרתים) מנוהלת באופן
אחיד.
בימים אלו ניתן להתייחס
לשירותי המסוף בעיקר מהיבט אבטחתי, לדוגמה: בארגון יש רשת פנימית שאינה
מחוברת לאינטרנט מטעמי
אבטחת מידע, אך עובדי הארגון חייבים לעבוד מול האינטרנט. במצב זה אפשרי
לתת להם גישה לשירותי מסוף שיפעילו
דפדפן אינטרנט כלשהו, ומהדפדפן יגלשו לאינטרנט. הערה:
השרטוט הבא מהווה דוגמא
בלבד, ובד"כ בארגונים התשתית היא מורכבת יותר מהרעיון שמוצג בשרטוט.
שירותי המסוף מופעלים במספר
דרכים :
- גישה ישירות לשרת Terminal וקבלת ממשק גרפי למערכת ההפעלה של שרת המסוף, בדיוק כמו לעבוד
עם Windows נוסף.
- הפצת Dashboard שלמעשה מכיל ממשק של "לוח" עם כל האפליקציות שהמשתמש מורשה אליהן.
- הגדרת תוכנות עבור המשתמשים כך שיוכלו להפעילן באמצעות ממשק Web - שיטה
שאינה נפוצה כ"כ.
קיימים בשוק 3 מתחרים
עיקריים בטכנולוגיה זו:
Terminal Server של חברת Microsoft - ב - Windows 2008 השירות שופר משמעותית.
Citrix - שחלקו נרכש ע"י Microsoft.
CockpIT
השילוב המנצח !
תתארו לכם שרוב תשתית
המחשוב נמצאת על תשתית וירטואלית, ובנוסף כל משתמש רשאי לעבוד מול
אפליקציות הנמצאות על שרתי
המסוף בלבד.
במצב זה רמת אבטחת המידע
עולה היות והאפליקציות אינן נגישות לכל משתמש, וגם כל השרתים
הוירטואליים יכולים להיגזר
ממערכות הפעלה שהותקנו והוקשחו במטרה להוות תבנית להתקנות של שרתים
חדשים, כלומר ניתן ליצור
שרת מוקשח אחד, וממנו ליצור עותק לכל שרת וירטואלי חדש שיוקם
בארגון. אם האפליקציות יושבות על שרתי מסוף,
הרי שיש לנו ניהול מרכזי של גישה לאפליקציות, דבר
שמעלה עוד יותר את רמת
האבטחה .
פן נוסף הוא שימוש תחנות
פשוטות כגון Thin Clients, שמזדהות ומתחברות לממשק של ניהול מכונות
וירטואליות. לכל משתמש תהיה
תחנה וירטואלית מוקשחת בהתאם לסטנדרט אחיד של הארגון ללא תלות
באם התחנה נמצאת ב - Active Directory או לא. למעשה אני מציג פה את רעיון ה - Virtual
Desktop Enviroment.
כמובן שאחד היתרונות התפעוליים הוא שניתן לשדרג את תשתיות הארגון ביתר קלות, כלומר ניתן להגדיר
שמשתמש שעובד עם מערכת הפעלה XP יעבודעם Windows7 תוך דקות בודדות.
כמו כן, בגישה לאינטרנט
התחנות תעבורנה דרך שרת מסוף כפי שהוסבר מקודם .
לסיכום, שילוב של
הטכנולוגיות יכול להעלות לא רק את רמת הנוחיות והחיסכון בעלויות אלא גם את רמת
האבטחה.
A
PKI is a collection of technical services, policies and business practices that
used together to provide automated solution over networked communications that
ensures the legal and business capabilities that until now carried out in the
paper world.
PKI
is summerized in the following main concepts:
1.Authentication - Assures that each end user and resource are identified
correctly. The authentication is necessary to ascribe network
objects such as end users and resource to the real identity. These identities
are stored in a digital format known as a public key certificate.
2.Authorization - Assures that each network object have the proper permissions
to perform the requested activities locally and in the network.
3.Data Integrity - Assures that the content has not been altered, either on
purpose (hacker) or by accident.
4.Confidentiality - Assures that the content is accessible only to the intended
entity. Confidentiality provides secure transport and file encryption.
5.Non-repudiation - Assures that the signer of a message cannot later deny
signing it. Note: There is a law of the digital signatures that the
Israeli court reference to.
PKI
Implementations:
There
are number of practical implementations to PKI, for example:
Securing communication with web servers.
Setting up VPN's (Virtual Private Networks).
Securing e-mail communication.
Access control for different resources such as network, servers, domain,
applications, data etc.
Strong authentication.
Non-repudiation of electronic actions.
What is Strong Authentication?
Two factor authentication means user must have at least 2 of 3 authentication
types: something you know (password), something you have (smart card\token) and
something you are (biometric authentication). Before users can log in, they
must present at least 2 credentials that predefined by the
management\IT\security officer.
What
is digital signature?
Digital
signature can be used to authenticate the identity of the sender of a message
or the signer of a document, and possibly to ensure that the original content
of the message\document that has been sent is unchanged. The ability to ensure
that the original signed message arrived means that the sender cannot easily
repudiate it later.
A digital signature can be used with any kind of message, whether it is
encrypted or not. A digital certificate contains the digital signature of the
certificate-issuing authority so that anyone can verify that the certificate is
real.
What
is digital certificate?
A
digital certificate is an electronic "credit card" that establishes
your credentials when doing transactions on the Web. It is issued by a
certification authority (CA). It contains your name, a serial number,
expiration dates, a copy of the certificate holder's public key (used for encrypting
messages and digital signatures), and the digital signature of the
certificate-issuing authority so that a recipient can verify that the
certificate is real. Some digital certificates conform to a standard, X.509.
Digital certificates can be kept in registries so that authenticating users can
look up other users' public keys.
What
are a Certificate Authority and a Registration Authority?
The
CA includes the people, processes, and tools to create digital certificates
that securely bind the names of users to their public keys. In creating
certificates, the CA acts as an agent of trust. The RA supports the
administration of a CA by instituting operational and technical controls,
establishing procedures for providing certificates, creating policies and
providing authentication and certification services to clients.
Security policies sets out and defines the organization's top-level direction
on information security as well as the processes and principles for the
use of cryptography.
The CA creates certificates for users by digitally signing a set of data that
includes:
User's distinguished name (DN), which is unique. The DN specifies the user's
name and any additional attributes required to uniquely identify the user.
A public key of the user, which is required so others can encrypt
data\session\key to the user or verify user's digital signature.
The validity period of the certificate.
The specific operations for which the public key is to be used, for example: CA
signing certificate, SSL server certificate, SSL client certificate, User
certificate, etc.
How
to maintain revoked certificates?
There
are two common methods to maintain the revoked certificates when using PKI for
maintaining access to servers in a network.
The Certificate Revocation List (CRL) is a list of subscribers paired with
digital certificate status. The list enumerates revoked certificates along with
the reasons for revocation, the dates of certificate issue and the entities
that issued them. In addition, each list contains a proposed date for the next
release. When a potential user attempts to access a server, the server allows
or denies access based on the CRL entry for that particular user.
The main limitation of CRL is the fact that updates must be frequently
dowloaded to keep the list current. Online Certificate Status Protocol (OCSP)
overcomes this limitation by checking certificate status in real time.
--------------------
Nir Valtman
Technologic Information Security Consultant
www.avnet.co.il
אם היו באים למכור לכם מוצר אבטחתי והיו זורקים Buzzwords שנשמעים מאוד חדשניים או נשמעים
מאובטחים, האם הייתם קונים אם היו אומרים לכם שהתווך שלכם מוצפן? המושג הצפנה מאוד נפוץ
כיום, אך מה הולך מאחורי הקלעים של המושג הזה? האם ישנן משמעויות לתצורות עבודה שונות?
לאלגוריתמים שונים? לחוזק ההצפנה?
מה היא הצפנה (Encryption)?
הצפנה היא רצף פעולות מתמטיות המופעלות על מידע הגורמות לו להיות בלתי קריא, או בלתי מובן
(הטקסט נקרא צופן) עבור מי שלא יודע איך לפענח אותו. ישנם שני סוגי הצפנות: הצפנה סימטרית
והצפנה אסימטרית.
הצפנה סימטרית נחשבת למהירה יותר מההצפנה האסימטרית.
הצפנה סימטרית היא הצפנה בה מפתח (או סוד/ Cipher) ההצפנה ידוע לשני הצדדים - הצד השולח והצד
המקבל. המפתח שיש לשני הצדדים נועד להצפנה ופענוח.
ניתן לחלק את אלגוריתמי ההצפנה הסימטרית לשני סוגים: Stream Cipher ו - Block Cipher.
Stream Cipher הוא אלגוריתם המצפין את כל המידע ביט אחרי ביט באמצעות מספר שהוא כביכול
אקראי בכל ביט (ישנו תהליך המאפשר לקבל את אותם המספרים הכביכול אקראיים אצל כל מי שיש לו
את מפתח ההצפנה). בד"כ מדובר בפעולת XOR בין הנתונים. דוגמא לשימוש ב - Stream Cipher: ניתן
להזדהות באמצעות סיסמה חד פעמית (OTP או One-time Password) שמופיעה על ה - TOKEN מול
שרת ההזדהות בארגון.
Block Cipher הוא אלגוריתם המצפין בלוקים של המידע (לדוגמא: בלוק אחד = 128 ביטים).
לאלגוריתם זה יש מספר גרסאות (או תצורות עבודה), בשלב זה לא אפרט יותר. רוב האלגוריתמים היום
עובדים עם Block Cipher. דוגמא: הצפנת מסמך ב - PGP באמצעות סוד משותף ופתיחתו באמצעות
אותו הסוד.
אלגוריתמים נפוצים: RC4, RC5, DES, 3DES, AES.
הצפנה אסימטרית (או הצפנת Public Key) היא הצפנה התלויה בשני מפתחות שיש בניהם קשר מתמטי:
מפתח פרטי ומפתח ציבורי. המפתח הפרטי נשמר במקום סודי/מאובטח (לדוגמא: כרטיס חכם), והמפתח
הציבורי ניתן לפרסום (לדוגמא: רשות התעודות - Certificate Authority, יכולה להכיל את כל המפתחות
הציבוריים בארגון).
להבדיל מהצפנה סימטרית, אין אפשרות להצפין ולפענח מידע עם אותו המפתח.
הצפנה אסימטרית נחשבת בכלליות כחזקה יותר מהצפנה סימטרית היות ובהצפנה אסימטרית קיים
שימוש במפתחות הצפנה יותר ארוכים, לדוגמא: בהצפנה סימטרית בד"כ משתמשים באורך מפתח של
128-256 ביט, ואילו בהצפנה אסימטרית משתמשים בד"כ באורך מפתח של 1024-2048 (יש מפתחות יותר
ארוכים). ככל שהמפתח יותר ארוך, כך יותר קשה לפרוץ את המסר המוצפן, לדוגמא: בכדי לפענח מידע
המוצפן במפתח שאורכו 1024 ביט נדרשים פחות מ - 21024 נסיונות לפריצה.
ישנם שני שימושים עיקריים להצפנה אסימטרית:
1. החלפת מפתחות סימטריים בין הצד השולח לצד המקבל.
לדוגמא: בוב מעונין לשלוח את המפתח הסימטרי לאלן. בוב יצפין את המפתח הסימטרי באמצעות
המפתח הציבורי של אלן. כשאלן תקבל את המידע המוצפן, היא תוכל לפתוח אותו באמצעות המפתח
הפרטי שלה.
2. חתימה דיגיטאלית.
רעיון החתימה הדיגיטאלית הוא מניעת הכחשה של שליחת מידע. כיצד מונעים הכחשה? אם מידע מוצפן
באמצעות המפתח הפרטי של בוב, הרי שאלן תוכל לפתוח את המידע באמצעות המפתח הציבורי של בוב.
רק בוב היה מסוגל להצפין את המידע באמצעות המפתח הפרטי שלו.
לחתימה הדיגיטאלית ישנם מרכיבים נוספים שיוסברו בהמשך המאמר.
אלגוריתמים נפוצים: RSA ו - ElGamal.
ElGamal נקרא על שם ד"ר טהר אלגמאל (Taher Elgamal) ששיפור של האלגוריתם שפותח ע"י
המדענים ויטפילד דיפי (Whitfield Diffie) ומרטין הלמן (Martin Hellman).
איזו הצפנה חזקה יותר?
בימים אלו חוזק ההצפנה של מפתח סימטרי שאורכו 128 ביט נחשב כמקביל למפתח אסימטרי שאורכו
1024 ביט. הצפנות אלו נחשבות לחלשות יחסית וממולץ שלא להשתמש בהם, אלא בהצפנות החזקות
יותר, לדוגמא: הצפנה של 256 ביט במפתחות סימטריים, ו - 2048 במפתחות אסימטריים.
האם כדאי לבחור במוצרים המצפינים באופן סימטרי או אסימטרי?
השיקולים בבחירת מוצר הצפנה הם בעיקר גודל המידע המוצפן וכוח העיבוד הנתון.
ישנו הבדל משמעותי בין הצפנת 200GB להצפנת 200KB. פענוח מידע שגודלו 200GB יקח פי 1048576
מהזמן שיקח לפענח 200KB.
דוגמא למידע שגודלו 200GB - בסיס נתונים.
דוגמא למידע שגודלו 200KB - קובצי טקסט, סיסמא, וכו'.
כפי שהזכרתי, כוח העיבוד הינו שיקול נוסף לבחירת הצפנה. הצפנה אסימטרית דורשת כוח עיבוד רב יותר
מהצפנה סימטרית.
מה הוא גיבוב (Hash)?
פעולת Hash (הנקראת גם Digest, Checksum או Fingerprint) היא רצף של פעולות מתמטיות
חד כיווניות המבוצעות על המידע, שהופכות אותו לטקסט קריא אך ללא משמעות. לא משנה מה יהיה
אורך הטקסט המקורי, הערך ה"מעורבל" (Hash Sum) יהיה באותו האורך.
חשוב לציין שבכל פעם שתתבצע פעולת Hash על מידע תמיד יהיה ה - Hash Sum זהה, לדוגמא: לאחר
ביצוע פעולת Hash על המשפט "this is my example text" התוצאה תמיד תהיה
9fa898e9c7a4012ce2711c1b626e8dbe (השתמשתי באלגוריתם MD5).
מה תפקידו של ה - Hash?
ה - Hash אינו נועד רק לצורכי אבטחת מידע, אלא גם לצרכי ביצועים. לדוגמא: במקום להשוות בין שני
טקסטים שאורכם 1000 מילים ניתן להשוות אך ורק את ה - Hash שלהם שיהיה באורך קבוע.
כשמדובר באבטחת מידע קיים שימוש ב - Hash בעיקר לצורכי הסתרת המידע או חתימת המידע.
הסתרת מידע נדרשת במקרים בהם קיים חשש כי מישהו יגלה את המידע הנשלח בין רכיבים, לדוגמא:
שליחת סיסמא בטקסט קריא (Cleartext) תאפשר לתוקף לקרוא את הסיסמא ולפרוץ למערכת. היות
ופעולת Hash היא חד כיוונית, מתבצעת פעולת Hash על הסיסמא בשני הרכיבים ולאחר מכן מתבצעת
השוואת ה - Hash Sums.
חתימת מידע נדרשת בכדי לוודא כי לא בוצעו שינויים על המידע. לדוגמא: ביישום החתימה הדיגיטאלית
מתבצע Hash על המידע, וה - Hash עצמו מוצפן באמצעות המפתח הפרטי של שולח המידע. כשהמידע
מגיע לנמען הוא פותח את ה - Hash Sum עם המפתח הציבורי של השולח ולאחר מכן מבצע Hash על
הטקסט הגלוי. לאחר השוואת ה - Hash Sums ניתן לראות כי על המידע לא בוצעו שינויים וגם כי השולח
הוא אכן מי שהוא טוען שהוא.
אלגוריתמים נפוצים ל - Hash: MD5, SHA1, SHA-256, SHA-384, SHA-512, Tiger,
Whirlpool.
מה ההבדל בין חתימה דיגיטאלית לחתימת מידע (Hash)?
בחתימה דיגיטאלית מבוצע Hash במטרה לוודא שהדוא"ל לא השתנה בדרך מהשולח לנמען (כפי שניתן
לעשות בהתקפה מסוג Man in the middle). בחתימה דיגיטאלית המידע המועבר אינו מוסתר אך אמינות
המידע חשובה.
כפי שהזכרתי, חתימת מידע אינה נועדה למטרות אבטחתיות בלבד (כמו ערבול סיסמאות) אלא גם במטרה
לקבל ערך קצר יותר על קבצים גדולים כגון בסיס נתונים.
דוגמא נוספת: בתוכנת ההצפנה BitLocker שפותחה עבור Windows Vista ו- Windows 2008
קיים שימוש בפעולת Hash על מצב החומרה בעת כיבוי המחשב. כשמפעילים את המחשב (לאחר הזדהות)
מתבצעת פעולת השוואה בין ה - Hash של החומרה במצה הנוכחי לבין ה - Hash במצב הכיבוי. כך
למעשה ניתן לוודא שלא השתנו רכיבי חומרה בתחנה/שרת. להבדיל מחתימה דיגיטאלית המידע אודות
חומרת המערכת נשמר במצב Hash ולא ניתן לקרוא אותו.
בשנים האחרונות אנו עדים למודעות רבה בתחום אבטחת המידע. Windows 2008 פותחה עם אוריינטציה
רבה לאבטחת מידע (אך לא רק אליה).
ניתן לחלק את יסודות אבטחת המידע לשלושה חלקים:
1. הזדהות (Authentication)
2. הרשאות (Authorization)
3. חיוויים (Auditing).
עקרון אחד (מתוך רבים) באבטחת מידע הוא שינו שם ה - Administrator.
האם חשבון ה - Administrator בארגונכם פעיל? אם כן, האם שמו המוגדר כברירת מחדל השתנה?
מי משתמש בחשבון ה - Administrator? האם יישות אחת משתמשת בחשבון זה או מספר יישויות?
* כל השאלות היו רטוריות. במצב זה בד"כ לא ניתן להגיד שהנכם עובדים באופן מאובטח.
הערה: לעיתים קיימים היבטים תפעוליים המונעים את שינוי שם ה - Administrator.
במצב בו קיים שימוש בחשבון Administrator לא ניתן יהיה לנטר את היישות שעבדה איתו.
היות וחשבון Administrator אינו ננעל, קבלת שמו תוכל לגרום להתקפת סיסמאות כגון Brute Force,
Dictionary Attack ועוד...
ישנן תוכנות חינמיות המאפשרות את קבלת שם ה - Administrator ב - Domain, לדוגמא : PsGetSid של
חברת מייקרוסופט (בעבר Sysinternals). ניתן לזהות את ה - Administrator לפי ה - SID שלו באמצעות
התוים S-1-5 בהתחלה, ובסוף 500, לדוגמא: S-1-5-21-3419577747-1510678476-4111112123-500.
ב - Windows 2008 SBS בשלב ההתקנה של מערכת ההפעלה, לאחר מתן שם ל - Domain (היות ושרת
זה מוגדר ה - Domain Controller) ההתקנה תרוץ עם חשבון Administrator עם סיסמא ריקה. ההתקנה
תבקש הכנסת שם שאינו Administrator שישמש כ - Administrator בתום התקנת השרת.
בסוף ההתקנה, לאחר האתחול האחרון של מערכת ההפעלה, החשבון Administrator ינעל.
אם הרשת תותקף וכל החשבונות ינעלו, מה ניתן לעשות?
מדובר בשיקול של הארגון באם הוא מעדיף שינעלו את כל החשבונות או שיצליחו לאחר פרק זמן מסויים
לפרוץ לרשת. במידה וכל המשתמשים ננעלים ניתן יהיה להעלות עם החשבון החדש שנוצר במצב
Active Directory Restore Mode) ADRM).
----------------------------------------------
Nir Valtman
Information Security Consultant
www.avnet.co.il
---------------------------------------------
NAP או
Network Access
Protection היא טכנולוגיה המאפשרת הגנה על הרשת הארגונית
באמצעות שרתי Windows
2008, למעשה זהו שם מייקרוסופטי למוצר NAC.
ההגנה
על הרשת מתבצעת על בסיס "בריאות" (SSoH - system statement of health) המחשבים
המתחברים לרשת, דהיינו ניתן לקבוע כי רק מחשבים העומדים במדיניות שנקבעה יוכלו
להתחבר לרשת הארגונית. טכנולוגיה זו מונעת התחברת לרשת הארגון ובכך מצמצמת את
הסיכון להכנסת תחנות בעיתיות העלולות להכיל וירוסים, Malwares וכו'.
תחנות העבודה הנתמכות בטכנולוגיה זו הן Windows Vista ו – Windows XP SP3.
ההתחברות ל – NAP מתאפשרת באמצעות
הטכנולוגיות הבאות:
1. הזדהות באמצעות 802.1x
2. גישה ב – VPN
3. הגדרות DHCP
4. חיבור ל – TS Gateway (חדש ב – Windows 2008).
5. IPsec.
NAP מאפשר כניסה לרשת
באמצעות אכיפת "בריאות", אך ישנו תסריט העלול לפגוע בכל זאת ברשת.
ניתן לבצע התקפת Man in the middle) MITM) באופן הבא:
ניתן להכנס עם מחשב בין ה – NAP Client לבין ה – NAP Server (יותר נכון להגיד - HRA, יוסבר בהמשך) . לאחר שהתחנה נמצאה "בריאה" שרת ה – NAP מפנה את תחנת הקצה
לסגמנט IP
שברשת הארגונית. התוקף הנמצא באמצע מאזין לכל התעבורה ואינו מזוהה כלל ברשת. כעת
ניתן לבצע מגוון פעילויות כגון MAC\IP Spoofing ולעבוד ברשת במקום התחנה המורשית
או במקום שרת ובכך לגרום לנזקים יותר גדולים. להתקפה זו קיים פתרון והוא שימוש
בפרוטוקול IPsec המובנה ב – Windows 2000 ומעלה.
ה – NAP בשילוב עם IPsec מחייב שני
מרכיבים: Health Registration Authority) HRA) ו
– Enforcement Client) IPsec NAP EC).
ה – HRA הוא שרת המריץ Windows 2008 ו – IIS המבקש תעודות מסוג X.509 (סטנדרט הקובע את סוג המידע שתכיל התעודה) משרת ה – Certificate Authority) CA) עבור לקוח ה - NAP כאשר שרת ה - NAP האחראי על
המדיניות (Health
Policy Server) קובע כי הלקוח מתאים למדיניותו.
ה – NAP Clients משתמשים בתעודות "הבריאות" (Health Certificates)
שניתנו להם משרת ה –CA
למטרת הזדהות ב – IPsec מול שאר הארגון. חשוב לציין כי במידה והמחשב אינו
עומד במדיניות הארגון תוך כדי העבודה התעודה תמחק ולא תהיה למחשב זה גישה לרשת
הארגונית.
ה – IPSec NAP EC הוא רכיב
מתוך החבילה הכוללת של ה – NAP Agent המותקן על ה - Client.
איך לקוח מקבל תעודה?
להלן שרטוט המועיל בהבנת מקום הימצאות השרתים שיוסברו
(השרטוט נועד להדגמה בלבד):
1. כאשר מחשב מאותחל ה – Firewall שלו נדלק ואינו מאפשר
חריגות במטרה שלא יתחברו אליו מחשבים זדוניים תוך כדי התחברות לרשת הארגונית.
2. ה – NAP Client מושך קונפיגורציות IP המשייכות את הלקוח לרשת המוגבלת
(Restricted Network).
3. ה – IPsec NAP EC שולח ב – HTTP over SSL את נתוניו, בקשה לתעודה,
ומצב בריאותו (SSoH) ל – HRA.
4. ה – HRA מעביר את ה – SSoH (מצב הבריאות) לשרת
האחראי על מדיניות ה"בריאות" (NAP Health Policy Server).
5. השירות NPS בשרת ה – Health
Policy Server מעביר את הבקשה לשרת ניהול ה- NAP (NAP Admin Server).
6. שרת ניהול ה – NAP מפרק את מצב הבריאות
הכללי הנשלח (SSoH) לתתי קטגוריות (SoH) ומעביר אותם לבדיקת
המדיניות המתאימים להם מול ה – SHV's שלהם.
לדוגמא: System Statement of Health) SSoH) מכיל את מצב הבריאות
הכללי המורכב מאנטי וירוס ו – Firewall.
האנטי וירוס וה – Firewall בנפרד מכילים את
מצב בריאותם הנקרא Statement of Health) SoH.)
בכדי לבדוק את מצבי ה"בריאות" נדרש רכיב System Health Validator) SHV)
לכל SoH.
7. לאחר שכל SHV בודק האם ה – Client עומד במדיניות מועברת תגובה לשרת ניהול ה- NAP המכילה אישור או
דחייה לקבלת גישה לרשת. התגובה נקראת Statement of Health Response) SoHR).
8. שרת ניהול ה – NAP מעביר את הבקשות לשירות
ה – NPS,
אשר בודק את אישור/דחיית
הגישה לרשת (SoHR) מול המדיניות שנקבעה בשרת ה – Health Requirement.
הערה: ה – Health Requirement מכיל את העדכונים הנדרשים בפועל,
לדוגמא קובץ חתימות עדכני. ה – SHV אינו חייב להכיל את ההגדרות העדכניות וניתן להגדירו כך שיפנה
לבדיקה ב – Health
Requirement Server.
כתוצאה מהבדיקה נוצרת תגובת "בריאות" כללית
הנקראת SSoHR (System State of Health Response).
9. ה – SSoHR
נשלח ל – HRA.
10. ה – HRA שולח את התגובה ל – IPsec NAP EC אשר מועברת לרכיב ב – NAP Agent האחראי על וידוא "בריאות"
המחשב הנקרא System Health Authority) SHA).
11. אם ה – NAP Client נמצא מתאים לדרישות, ה – HRA מבקש תעודה משרת ה – CA ושולח אותה ל – NAP Client. אם אינו נמצא מתאים
ננקטות פעולות לפי המדיניות שנקבעה בסעיף 8, בכדי להחלים ניתן לשרת
ה"החלמה" (Remediation
Server).
הערה: במידה וה – SoH משתנה השלבים 3 עד 11
חוזרים על עצמם.
לסיכום, ניתן ליישם NAP בגישה בין שרתים
בודדים, בגישה מרחוק לרשת ובמצבים טובים (אני אופטימי) גם בכלל הארגון. השיקולים
הם אינם אבטחתיים אלא תפעוליים.
חשוב להזכיר כי ה – NAP מובנה בשרתי Windows 2008 ואין צורך לרכוש אותו
בנפרד – יתרון לטובת Microsoft.
ומכיוון שהינו כלי שמובנה במערכות ההפעלה החדשות ניתן לנהלו באמצעות GPO, דבר המקל על פריסת המוצר.
-----------------------------------------------
Nir Valtman
Information Security Consultant
www.avnet.co.il
----------------------------------------------
מבוא
כיום בארגונים קיימות הגבלות רבות שניתן ליישם בכדי לשמור על פרטיות המסמכים.
ישנם פתרונות כגון:
1. הגדרת הרשאות NTFS ומתן או הסרת הרשאות בהתאם.
2. הצפנת קובץ בסיסמא שידועה למצפין בלבד.
כשמשתמש פותח קובץ Office לאחר שהוא עבר את מנגנון ההרשאות וההצפנה, האם ישנן הגבלות כלשהן?
התשובה היא לא!
לכן, Microsoft פיתחה מוצר הנקרא RMS) Rights Management Service) המוסיף שכבה בה תוגדר
מדיניות ברזולוציה של פעולות על המסמך, לדוגמא:
עמי כתב מסמך, אך אינו רוצה לפרסם אותו לכלל החברה, אלא רק לרשימת התפוצה אליה הוא שולח את
המסמך בדוא"ל.
יוסי, שנמצא ברשימת התפוצה, קיבל את הדוא"ל, אך כעת הוא רוצה להעבירו לגורם אחר שאינו מורשה.
למרות נסיונותיו של יוסי לשלוח את הדוא"ל הוא אינו מצליח היות ואין לו פריבילגיות מלבד קריאה על
המסמך.
אני מניח שחלקכם אומרים שניתן להדפיס את המסמך, לשמור בשם או לערוך אותו (כגון Copy-Paste)...
ובכן, גם על הפעולות הללו קיימות פריבילגיות ספציפיות.
נוסף על כך, ניתן לקבוע אף תוקף למסמכים כך שאם הם אינם רלוונטיים - לא תהיה אליהם גישה.
אילו ארגונים אמורים להתעניין במוצר?
למעשה כל הארגונים אמורים להתעניין בפתרון המוצע. אתן הסבר קצר על הארגונים הביטחוניים
והפיננסיים.
ארגונים ביטחוניים - ישנן רשתות המוגדרות בסיווגים שונים, לדוגמא קיימת רשת שהיא בסיוג שמור עד סודי.
האם כל המשתמשים הם בעלי סיווג סודי? התשובה היא שלילית.
האם המשתמשים בעלי הסיווג השמור יכולים לקבל ולקרוא מסמכים בסיווג סודי אף על פי שאינם מסווגים
בהתאם? חיובי!
ארגונים פיננסיים - בחלק מהארגונים קיימות כספות של קבצים.
האם משתמש פריבילגי יכול לשלוח לגורם אחר ללא הרשאה את הקובץ? אכן כן.
במידה ונשמר אחד המסמכים מהכספת מקומית על המחשב, האם גם אז המסמך מוגן? לא, יכול לבוא
משתמש אחר ולהכנס לקובץ (מותנה בהרשאות NTFS).
כיצד הטכנולוגיה עובדת?
1. עורך המסמך מקבל משרת ה - RMS אישור לתת רשיונות הנקראת Client Licensor Certificate.
קבלת זכות זו מתבצעת פעם אחת בלבד ונשמרת לצורך שימוש עתידי.
חשוב לציין כי לאחר קבלת ה - Client Licensor Certificate ניתן יהיה להגביל את המסמכים גם תוך כדי
עבודה במצב Offline.
2. העורך משתמש באפליקציה התומכת ב - RMS (לדוגמא: Office 2003 Pro ומעלה) בכדי ליצור זכויות
והגדרות נוספות (כגון הגדרת פג תוקף)על המסמך. פעולה זו מגדירה מדיניות לשימוש בקובץ,
דבר הנקרא Publishing License.
3. האפליקציה מצפינה את הקובץ באמצעות המפתח הסימטרי של העורך. היות ויש צורך להעביר את
המפתח הסימטרי,
המפתח הציבורי (Public Key) של שרת ה - RMS של העורך מצפין את המפתח הסימטרי.
המפתח הסימטרי המוצפן מוכנס לתוך רשיון פרסום הקובץ (Publishing License).
לאחר מכן ה - Publishing License כורך את עצמו סביב הקובץ המוצפן.
4. העורך מפיץ את המסמך לנמען או לנמענים.
5. לאחר קבלת המסמך הנמען מנסה לפתוח את הקובץ באמצעות אפליקצייה שתומכת ב - RMS.
אם אין לנמען Certificate אזי זה השלב בו הוא צריך לקבל אותו.
6. האפליקציה שולחת לשרת ה - RMS שהנפיק את ה - Publishing License בקשה לשימוש בקובץ.
הבקשה מכילה את המפתח הציבורי של הנמען (יוסבר בהמשך) ואת ה - Publishing License שבו יש את
המפתח הסימטרי המוצפן שנדרש לפתיחת הקובץ.
הערה: למרות שהעורך הוא זה שיצר בפועל את ה - Publishing License, בתוך
ה - Publishing License קיים URL לשרת ה - RMS של העורך,
וזאת כדי לדעת לאן לשלוח את הבקשה הנ"ל.
7. שרת ה - RMS בודק כי הנמען הוא מורשה לשימוש בקובץ, ויוצר רשיון שימוש בהתאם למדיניות
שהוגדרה לו.
תוך כדי הבדיקה השרת מפענח את המפתח הסימטרי שנשלח אליו היות ויש לו את המפתח הפרטי.
לאחר מכן השרת מצפין את המפתח הסימטרי באמצעות המפתח הציבורי של הנמען בכדי שיוכל
לפענח את המידע כשיגיע אליו.
8. רשיון השימוש והמפתח המוצפן מועברים יחד לנמען.
9. האפליקציה בודקת את המדיניות של המשתמש ונותנת לו גישה בהתאם להגדרות העורך.
האם ניתן לישם גם מחוץ לארגון?
ניתן ליישם את הטכנולוגיה הן בתוך הארגון והן מחוץ לארגון.
בפועל המשתמש מחוץ לארגון צריך רק Certificate וגישה לשרת שהנפיק את ה - Publishing License.
להלן השיטות המאפשרות שימוש מחוץ לארגון:
1. שימוש בחשבון בתוך ה - Active Directory של הארגון.
2. שימוש בחשבון של ארגון אחר שניתנת לו גישה לשרת ה - RMS הארגוני.
3. שימוש בחשבון.NET Passport.
------------------------------------------------
Nir Valtman
Information Security Consultant
http://www.avnet.co.il/
-------------------------------------------------
מבוא
Group policy הוא כלי עבודה שימושי אצל מנהלי הרשתות.
כלי זה משמש לצורך אכיפת מדיניות על המתשמשים או המחשבים, ואף להפצת תוכנות בארגון העובד בסביבת שרת-לקוח, כלומר Domain.
ה - Group Policy Object Editor) GPOE) הוא כלי ניהול מרכזי שחלק מתפקידיו הוא להגדיר פרמטרים שונים ב - Registry של המחשבים. כמוכן ה - Group Policy הוא כלי מאוד גמיש בגלל יכולתו להיות מופעל לא רק על Site, Domain או Organizational Unit) OU) אלא גם על קבוצות ספציפיות (Security Groups) באמצעות פעולת Filtering.
ה - Group Policy של Windows 2008 מכיל כ - 700 אפשרויות שחלקן חדשות וחלקן משופרות (נכון לגרסת Beta 3).
חלק מהקטגוריות החדשות הן:
Network Access Protection
Device Installation Control
Removable Storage Restrictions
Power Management
Printer Driver Installation Delegation
Hybrid Hard Disk
User Account Control
ישנם שינויים ותוספות לקטגוריות קיימות:
IPsec and Firewall
AD-based Printer Deployment
Taskbar and Start Menu
Shell Virtualization
Synchronization Scheduling
Customized Help Resources
ניתן להוריד את כל פרוטי המאפיינים של ה - Group Policy ב - Windows 2008 בקישור:
http://www.microsoft.com/downloads/details.aspx?familyid=41dc179b-3328-4350-ade1-c0d9289f09ef&displaylang=en
למרות שהקובץ מתייחס ל - Windows Vista, הפרמטרים שייכים גם ל - Windows 2008.
ראשית כל בכדי לצפות ולערוך את ה - Group Policy נדרש להוסיף את ה - Group Policy Management למערכת ההפעלה כ - Feature דרך ה - Server Manager ולאחר מכן להריץ בשורת הפקודה GPMC.msc בכדי להפעילו.
יש לבחור את ה - Policy הרצוי (לדוגמא: Default Domain Policy) ולבחור Edit לאחר לחיצה ימנית על העכבר עליו.
כעת מחלון Group Policy Management Editor ניתן לערוך את ה - Group Policy.
יש לציין כי רוב הקטגוריות שיוצגו נתמכות בעמדות קצה מבוססות Windows Vista בלבד.
Network Access Protection
נמצא בנתיב: Computer Configuration > Windows Settings > Security Settings > Network Access Protection.
ה - NAP הוא כלי האוכף את תקינות המחשבים בהתאם לדרישות המוגדרות ב - Group Policy, לדוגמא: ניתן להגדיר שאם Firewall אינו פעיל בתחנת עבודה, לא תהיה לה גישה לשרת. יתר על כך במידה וה - Firewall במצב Disabled הוא אוטומטית יעבור ל - Enabled ללא התערבות המשתמש.
בנוסף NAP מאפשר ביצוע הפנייה (Redirection) ל - Clients "שאינם בריאים" , כלומר ה - Clients שאינם עומדים בדרישות ה - Policy יופנו ל - Subnet או Subdomain אחר בכדי "להבריא". לדוגמא: במידה והוגדר שה - Clients יהיו מחוייבים באנטיוירוס עדכני אך אחד מהם לא התעדכן עקב אי חיבור לרשת במשך שבועיים, ה - Client יופנה ל - Restricted Subdomain (שם לדוגמא) בו יעדכן האנטיוירוס את קובץ חתימות הוירוסים שלו ולאחר מכן יחזור לאזור המאושר לעבודה.
את ביצוע ההפניה ניתן לממש באמצעות (DHCP (Dynamic Host Configuration Protocol ברשת מקומית או (RRAS (Routing and Remote Access בגישה מרחוק
Device Installation Control
נמצא בנתיב: Computer Configuration > Administrative Templates > System > Device Installation > Device Installation Restrictions
ניתן להגביל את השימוש בהתקנת Drivers לפי סוגי Class שונים.
כלומר במידה ומנהל IT מחליט שלא ניתן יהיה להתקין התקני UPS) uninterruptible power supply) ניתן להגביל זאת באמצעות (GUID (Globally Unique Identifier ספציפי להתקני UPS (שהוא שייך ל - Class של הסוללות) במאפיין הנקרא Device Class GUID, או באמצעות ID של הרכיב עצמו במאפיין הנקרא Hardware\Compatible ID - כך תוגבל התקנת רכיב ספציפי.
ניתן למצוא את ה - ID's הללו ב - Device Manager >> Right Click on Driver >> Properties. בחלון שיפתח יש לעבור ללשונית Details.
Removable Storage Restrictions
נמצא בנתיב: Computer Configuration > Administrative Templates > System > Removable Storage Restrictions
באמצעות מדיניות זו ניתן לחסום (Deny) אפשרויות קריאה ו/או כתיבה על ההתקנים הבאים:
CD ו - DVD
כונני דיסקטים - Floppy
מדיה נתיקה (כגון Disk On Key)
טייפים לגיבויים
התקני (WPD (Windows Portable Device, כגון התקני מחשבי כף יד ופלאפונים.
התקנים לפי סוגי Class בהכנסת ערך ה - GUID שלו.
Power Management
נמצא בנתיב: Computer Configuration > Administrative Templates > System > Power Management
במערכות ההפעלה קודמות נדרש היה להשתמש בתוכנות צד שלישי (כמו EZ GPO של חברת Energy Star) בכדי להגדיר את אופן ניהול הספק המתח במחשב.
בנוסף ב - Windows XP SP2 התווסף קובץ הנקרא PowerCFG.exe המאפשר את הגדרת קונפיגורציות הספק המתח. במידה ומפיצים את הקובץ ב - SMS או ב - GPO הוא יחול גם על מערכות Windows 2000 SP3 ומעלה.
כעת ב - Windows Vista ניתן לקבוע את הגדרות הספק המתח עבור לחצני הכיבוי, סגירת מסך המחשב הנייד, כוננים קשיחים, מסכים ומצב שינה (מצב חדש המשלב את הגדרות מצב השינה הרגילות עם מצב ה - Hibernate, נקרא Hybrid Sleep).
דבר מעניין נוסף הוא שב - Windows Vista ו - Windows 2008 יכולים להיות מספר לחצני הספק כגון: כיבוי ומצב שינה , לדוגמא: לחצן הכיבוי בתפריט ה - Start יכול לבצע Hibernate ואילו לחיצה פיזית על הכיבוי במחשב הנייד תכבה אותו.
לכן במערכות ההפעלה הללו לחצני תפריט ה - Start מופרדים באמצעות Group Policy.
הערה: ברמת האבטחה מומלץ לקבוע כי לאחר חזרה ממצב שינה המשתמש יתבקש להזין סיסמא.
Printer Driver Installation Delegation
נמצא בנתיב: Computer Configuration > Administrative Templates > System > Driver Installation > Allow non-administrators to install drivers for these device setup classes.
קיימת בעיה שבה צריך לתת הרשאות על המכונות המקומיות בכדי לאפשר התקנת Drivers (כגון מדפסות), אך לפי ה - Best Practices בנושאי אבטחה לא מומלץ לתת יותר הרשאות ממה שמשתמש צריך.
בכדי לפתור את הבעיה קיים המאפיין הנ"ל ב - Group Policy המאפשר התקנת Driver ללא צורך במתן הרשאות מקומיות.
הגדרת המאפיין תכלול הכנסת ה - GUID של סוג הרכיב (לצורך העניין - מדפסת), ולאחר מכן תתאפשר ההתקנה לחברים בקבוצת Domain Users.
יתר על כך חשוב להדגיש כי התקנת ה - Driver תאופשר אך ורק במידה והוא חתום.
Hybrid Hard Disk
נמצא בנתיב: Computer Configuration > Administrative Templates > System > Disk NV Cache
קיים התקן חדש הנקרא Hybrid Hard Disk (HHD) שפותח בשיתוף החברות Microsoft, Samsung ועוד. ההתקן הוא שילוב בין דיסקה מגנטית מסתובבת (כמו כונן קשיח טיפוסי) לבין מקום אחסון בלתי נדיף (כמו זכרון Flash).
כלומר HHD הוא כונן קשיח רגיל שנוסף לו זיכרון חוצץ מסוג (NVRAM (Non-volatile random access memory. באמצעות שילוב של זיכרון זה בכונן ניתן לקרוא ולכתוב לתוך הכונן הקשיח באופן מיידי גם כאשר הפלטות המגנטיות אינן מסתובבות - מה שמגביר את מהירות עבודתו. עיקר השימוש בדיסקים כאלו היום הוא במחשבים ניידים.
האפשרויות הניתנות להגדרה הן ביטול או אפשור שמירת מידע מסוגים שונים על ה - NVRAM.
קיימת בעיה: כברירת מחדל נשמר בזיכרון ה - NVRAM מידע קריטי כגון חלקים מה - Registry. פורץ יכול לגשת לזיכרון זה ולנצלו. לכן כשמדובר על שיקולים אבטחתיים מומלץ לבטל את השימוש באפשרות זו.
User Account Control
נמצא בנתיב: Computer Configuration > Windows Settings > Local Policies > Security Options. יש לעבור לסוף הרשימה לקטגוריה User Account Control.
תוכנות זדוניות ווירוסים מהווים סכנה רבה כשהם רצים עם פריבילגיות של משתמש חזק כמו Local Administrator. לא תמיד ה - Administrator יודע מה רץ ברקע אף על פי שיכולות לרוץ תוכנות העלולות לפגוע באבטחת המידע.
ה - User Account Control) UAC) פותר את בעיית סיכון החשבונות החזקים בכך שמוקפצת הודעה המתריעה על בקשת הרצת התוכנית, ורק לאחר אישור התוכנית תרוץ.
כברירת מחדל, גם למשתמשים רגילים (שאינם Administrators) מוקפצת הודעה בה יש להזין את שם המשתמש והסיסמא של ה - Administrator כשיש צורך בשימוש בפריבילגיה הגבוהה.
כמוכן קיימת אפשרות למנוע לחלוטין את הקפצת ההודעה עבור המשתמשים הרגילים, ובכך לא תתאפשר הרצת תוכניות עם פריבילגיות של Administrator.
--------------------------------------------
Nir Valtman
Information Security Consultant
http://www.avnet.co.il/
--------------------------------------------
מבוא
כיום עם שרתי Windows 2003 ניתן להגדיר אך ורק Password Policy ו - Account Lockout Policy אחד עבור המשתמשים ב - Domain.
בכל ארגון ממוצע כל המשתמשים מקבלים את אותו ה - Password & Lockout Policy, אך אילו חשבונות באמת חשובים? החשבונות האפליקטיביים והאדמיניסטרטיביים.
ב - Windows 2008 קיימת אפשרות גמישות בהגדרת ה - Policies הללו עקב הרחבות ב - Schema של ה - Active Directory, כלומר ניתן להגדיר Policies שונים עבור משתמשים שונים, InterOrgPersons או Global Security Groups.
לדוגמא: אורך הסיסמא של כל המשתמשים תהיה 6 תוים בעוד שהחשבונות האפליקטיביים והאדמיניסטרטיביים יקבלו אורך מינימלי בן 15 תוים (מכיוון שסיסמת המשתמש אינה נשמרת לוקאלית על תחנת העבודה).
בכדי שאפשרות זו תהיה פעילה יש להגדיר Windows 2008 Domain Functional Level, כלומר מערכות ההפעלה של השרתים הנתמכים הן Windows 2008 בלבד.
יישום דרישות קדם
1. Domain Functional Level.
נדרש לוודא כי ה - Domain Functional Level הוא אכן מתאים ל - Windows 2008, ניתן לבצע זאת דרך Active Directory Users and Computers >> לחיצה ימנית עם העכבר על ה -Domain >> ובחירה ב -Raise Domain Functional Level >> אמור להופיע Windows Longhorn Server (נכון לגרסא Beta3 Build 6001).
2. GPMC ( Group Policy Management Console)
מומלץ להגדיר Password & Lockout Policy יחודי לכל ה - Domain באמצעות GPMC ולאחר מכן להתאים מדיניות שונה לפי הדרישות.
GPMC הוא Feature ב - Windows 2008 וניתן להתקינו דרך Server Manager >> Features >> Add Features ולאחר מכן ב - Wizard יש להתקין את Group Policy Management.
את מדיניות הסיסמאות ניתן להגדיר בממשק בנתיב Default Domain Policy >> לחיצה ימנית עם העכבר ובחירה ב - Edit >> בחלון שיפתח (Group Policy Management Editor) יש לבחור ב - Computer Configuration >> Windows Settings >> Security Settings >> Account Policies.
3. ADSI Edit
כלי זה ישמש לצורך הגדרת המידיניות ל - Users או ל - Global Security Groups.
אין זה כלי ידידותי אך עם למידת כלי זה העבודה תהיה קלה יותר.
אופן הפעלת הכלי: בשורת הפקודה יש להפעיל את adsiedit.msc.
יש לציין כי אין צורך בהקנת כלי זה, הוא מגיע כברירת מחדל עם מערכת ההפעלה.
אופן ביצוע ההגדרות
ראשית כל יש להעלות את ה - ADSI edit.
כשיפתח החלון יש לבחור ב - Action >> Connect to.
בחלון שיפתח (Connection Settings) יש לבחור בהגדרות ברירת המחדל וללחוץ על OK.
כעת יש להכנס לנתיב הבא:
(Domain Name >> System >> Password Settings Container (PSC.
לחיצה ימנית עם העכבר ובחירה ב - New >> Object.
חלון ה - Create Object שיפתח אינו מותיר ברירה אלא לבחור ב - msDS-PasswordSettings.
Class זה מאפשר לשנות את כל הגדרות מדיניות הסיסמאות הקיימים ב - Default Domain Policy חוץ מהגדרות ה - Kerberos.
כעת ניתן להגדיר את מדיניות הסיסמאות הרצויה לפי הפרמטרים המופיעים בטבלה
| מאפיין |
הסבר |
ערך לדוגמא |
| Cn |
שם ה – Policy. מומלץ לתת שם משמעותי למטרת זיהוי קל. |
AdminsPwPol |
| msDS-PasswordSettingsPrecedence |
ה – Cost של ה – Policy.במידה וקיימים שני PSO's על משתמש יש לקבוע מי יחול עליו.ככל שה – Cost נמוך יותר, כוחו חזק יותר. |
20 |
| msDS-PasswordReversibleEncryptionEnabled |
ערך בוליאני (True או False) הקובע האם לשמור את הסיסמא ב – Reversible Encryption (לא מומלץ אבטחתית) |
False |
| msDS-PasswordHistoryLength |
מספר הסיסמאות האחרונות שישמרו בזכרון במטרה לא לשנות לסיסמא שהייתה בשימוש לאחרונה. |
10 |
| msDS-PasswordComplexityEnabled |
ערך בוליאני הקובע האם הסיסמא תהיה מסובכת, כלומר מורכבת מ-3 מתוך 4 האפשרויות הבאות:
- אותיות גדולות
- אותיות קטנות
- תוים
- סימנים
|
True |
| msDS-MinimumPasswordLength |
אורך הסיסמא המינימלי. |
8 |
| msDS-MinimumPasswordAge |
ערך הקובע תוך כמה זמן מינימלי משינוי הסיסמא ניתן יהיה לשנותה שוב.ערך זה נמדד באופן הבא:דקה אחת = 3000000000-חשוב: אין להתעלם מהמינוס. |
864000000000-(יום אחד) |
| msDS-MaximumPasswordAge |
ערך הקובע תוך כמה זמן משינוי הסיסמא יהיה חובה לשנותה שוב.ערך זה נמדד בדומה לערך הקודם. |
-36288000000000 (42 ימים) |
| msDS-LockoutTreshold |
מספר נסיונות הכניסה הכושלים בטרם המשתמש ננעל. |
15 |
| msDS-LockoutObservationWindow |
ערך הקובע תוך כמה זמן יתאפס המונה של מספר נסיונות הכניסה. |
864000000000-(יום אחד) |
| msDS-LockoutDuration |
משך הזמן בו המשתמש יהיה נעול, ולאחר מכן ישתחרר אוטומטית. |
-36288000000000 (42 ימים) |
בסיום הזנת הנתונים יפתח חלון הסיום - יש לבחור ב - Finish.
לאחר הגדרת ה - PSO) Password Settings Object) ניתן למצוא אותו ב - (Active Directory Users and Computers (ADUC או ב - Server Manager בנתיב System >> Password Settings Container.
הערה: יש לשים לב שהאפשרות Advanced Features מסומנת תחת תפריט View.
השלב הבא הוא שיוך ה - PSO ל - Users ו/או Global Security Groups.
בכדי לעשות זאת יש להכנס למאפייני ה - PSO שב - ADUC או ב - ADSI edit ולעבור ללשונית Attribute Editor.
ה - Attribute שיש לערוך הוא msDS-PSOAppliesTo.
בכדי לשייך את ה - PSO יש ללחוץ על Edit ולהוסיף את ה - Distinguished Name של ה - User או ה - Global Security Group.
הערה: לא לשכוח ללחוץ על Add לפני ה - OK.
כיצד ניתן לראות את ה - Distinguished Name של אובייקט?
יש להכנס למאפייני ה - User או ה - Global Security Group הרצוי ללשונית Attribute Editor למאפיין DistinguishedName.
וידוא
ניתן לבדוק האם ה - Policy החדש חל על האובייקט הרצוי באופנים הבאים:
1. יש להכנס למאפייני האובייקט שחל עליו ה - Policy ולעבור ללשונית Attribute Editor.
בלשונית זו יש לבחור ב - Filter ולוודא שהאפשרות Backlinks פעילה.
כעת ניתן לראות את המאפיין msDS-PSOApply בהתאם ל - PSO שהוגדר.
הבהרות חשובות
הרשאות
בכדי להוסיף את PSO's יש צורך להיות לפחות חבר ב - Domain Admins, למעשה זו הקבוצה שיש לה הרשאות Create All Child Objects ו - Delete All Child Objects על Password Settings Container. כמובן שניתן להאציל סמכויות בהתאם.
בכדי להחיל את ה - PSO על משתמש/קבוצה נדרשת הרשאת Write על האובייקט עצמו בלבד, כלומר אין צורך בהרשאה על המשתמש/הקבוצה.
PSO
ניתן להחיל PSO גם על Users וגם על Global Security Groups יחד.
בנוסף ככל שה - Precedence נמוך יותר ככה הוא חזק יותר, לדוגמא:
ניתן לראות כי ה - PSO's החלים על Avnet Admins הם PSO1 ו - PSO2.
מכיוון שערך ה - Precedence ב - PSO1 נמוך יותר הוא יחול על קבוצה זו.
בכדי לראות מי ה - Policy הקובע יש להכנס למאפייני המשתמש (לא פעיל על קבוצות) שחל עליו ה - Policy ולעבור ללשונית Attribute Editor. השם שיופיע תחת הערך msDS-ResultantPSO הוא ה - PSO הפעיל.
חשוב: אין לקבוע שני PSO עם אותו Precedence על אותו אובייקט מכיוון שה - PSO החדש חל על הקבוצה ולאחר מכן נוצרות בעיות ניהול (נכון לגרסה הנוכחית, בתקווה שיתוקן ויציג הודעות שגיאה).
תוכנת ניהול
קיימת תוכנה המאפשרת ניהול נוח של ה - Password Policies ב - Windows 2008, תוכנה זו נקראת Specops Password Policy.
דף הבית של התוכנה: http://www.specopssoft.com/.
--------------------------------------------------
Nir Valtman
Information Security Consultant
www.avnet.co.il