לקרוא קבצים חתומים של משרדי הממשלה – עם PowerShell

יום שני, דצמבר 1, 2014

חבר טוב ביקש ממני עזרה קטנה. מכיוון שהם אינם ייכולים במשרד להתקין את תוכנת Sign & Verify של משרד האוצר על המחשבים הארגוניים שלהם. הוא ביקש למצוא דרך אחרת לפתוח את קבצי ה .singed שכיום חותמים את כל המכרזים הממשלתיים באמצעות הטכנולוגיה הזו (שניראת האמת די טובה). הבעיה היא שארגונים ואנשים פרטיים לא תמיד רוצים להתקין תוכנות ממשלתיות, ותעודות אבטחה ממשלתיות (ולא משנה של איזו ממשלה לצורך העניין) על המחשבים שלהם, ולכן עד אתמול חברי נדרש להוריד את הקבצים בבית במחשב שלו, לפתוח אותם ואז לשלוח לעצמו את אותם קבצים אל המשרד (פעולה שעולה לו בזמנו הפרטי ומאריכה את...

Windows privilege escalation prevention

יום רביעי, אפריל 24, 2013

  שבוע שעבר יצא לי לשחק קצת בנושא הזה ברשת גדולה. ואילו אתמול קיבלתי במייל את עדכון האבטחה החודשי של מייקרוסופט שכלל בתוכו 1 2 3 4 5 מאמרים על חולשות privilege escalation . מסתבר שאין ערך עברי בוויקפדיה – בקצרה אפרט כי הרעיון הוא להעלות לעצמך את ההרשאות ממשתמש רגיל (או בלי משתמש בכלל) ולהגיע לרמה של אדמין. כך שגם מי שהשקיע משאבים רבים בהורדת הרשאות למשתמשים כמו בפוסט שפרסמתי לא מכבר - עדיין נשאר חשוף. אז למה זה בכלל מפריע לנו ?  מדובר על מחשב בודד לא ? אז בגדול – כן, ההשפעה המידיית ברוב המקרים היא על מחשב בודד של משתמש בודד שרוצה לקחת לעצמו...

גם אצלכם כולם אדמין מקומי? מתחילים לטפל בבעיה!

יום חמישי, ינואר 3, 2013

בארגונים רבים אני נתקל בתופעה בה משתמשים מוגדרים כ Admin מקומי על התחנה שלהם, ולעתים אף על כל התחנות בדומיין. בבוא הזמן, אותם ארגונים מנסים להילחם באופן פרטני בסימפטומים הגלויים של התופעה – למשל, להסיר הרשאות מ c$ או לשחק ב User Rights assignmentלמה זה מסוכן (וכן, זה מסוכן) ?:המשתמש מסוגל להתקין תוכנות, לשנות הגדרות, להוריד מעצמו ומהתחנה הקשחות, לנבור בקבצים שהם לא שלו (למשל פרופילים של משתמשים אחרים) – והסכנה הברורה מכל היא גישה אל מחשבים אחרים עליהם הוא Admin – בין אם ייעשה זאת ידנית אל c$ / Admin$ / rpc / rdp או אם ישתמש בכלים...

Windows 8 and the Windows Live ID automatic sync

יום שבת, ספטמבר 22, 2012

לכמה מכם יצא להשתמש בחלונות 8 ביותר ממחשב אחד ? תתפלאו לגלות שאם בחרתם להיכנס אל חלונות 8 עם מזהה ה Live ID שלכם במייקרוסופט חלק מההגדרות שלכם יסתנכרנו בין כל אותם מחשבי חלונות 8 אליהם הזדהתם בצורה שכזו. הסנכרון לאותו מחשב יחל לאחר שהמשתמש ייאשר את הודעת המייל כי המחשב באמת שלו והוא סומך עליו.      מנגנון ההזדהות הנ"ל ניתן ליישום על כל מחשבי חלונות 8 ועל כל המשתמשים (גם כאלו החברים בדומיין). למעשה יש כאן מעין "דומיין על" (זו לא הגדרה מדויקת) שמייקרוסופט ייצרה להזדהות של המשתמשים בכל העולם. המשתמשים זוכים לניהול מתקדם יותר של הסיסמאות שלהם בין כל המכשירים, וכן נהנים ממנגנון Single sign...

עמדות קיוסק (KIOSK) בסביבת מייקרוסופט – איך לעשות את זה נכון.

יום שישי, יולי 27, 2012

מדי פעם אנו נתקלים בדרישה להקמה של עמדות קיוסק – עמדות המציעות שרותי אינטרנט בלובי החברה, בפינות הקפה וכ'ו בד"כ הן מוקשחות פיזית + מכילות ממשק משתמש רזה.. הפרויקט נראה פשוט לכאורה "מה אני צריך? – דפדפן וזהוא !".אבל למעשה. מאחורי הפרויקט הפשוט הזה מסתתרים מגוון של איומים, אתגרים וסיכונים:ראשית קיימים כל האיומים שיש על מחשב רגיל באינטרנט – ווירוסים, רוגלות, התקפות מרחוק וכ'ו.שנית, יש לנו את המשתמש עצמו – הוא יכול לעשות פעולות בטיפשות או ברשעות. וכמובן שיש את אלו שבודקים את הגבולות (מחטטים ב Help בניסיון להגיע לתפריטים. מנסים שילובי מקשים, מנסים לגרום למחשב לקרוס ולעשות Restart).יש...

MBAM / BitLocker : אז אולי נצפין את כל המחשבים והשרתים?

יום ראשון, יולי 8, 2012

השאלה "אז אולי נצפין את כל המחשבים" עלתה לי בדיון שעשינו לא מזמן על הצפנת מחשבים נישאים (לפטופים) מאוד מקובל בארגונים להצפין רק את הלפטופים, כשהגעתי לארגון - השתמשו כאן בתוכנה עתיקה שנתמכה ע"ג ווינדוס 2000 ו XP מגרסאות מסוימות בלבד. מכיוון שאנחנו כבר בשלבים מאוד מתקדמים של הגירה לווינדוס 7 (דרך אגב, העברנו לווינדוס 7 כ- 73% מהמחשבים בארגון - ומדובר כאן ב - 5 ספרות) היינו חייבים פתרון ממשיך. אז... את התוכנה הזו החלפנו עם מערכת משולבת שנותנת לנו פתרון כולל לכל מני היבטי אבטחה, והיא כוללת בפנים גם מודול להצפנה...לאחרונה, אנו מתמודדים עם אתגרים ושאיפות של...

Best practices and guidelines for security permissions

יום שבת, יוני 23, 2012

או בעברית "נוהגים מיטביים וקווים מנחים להגדרת הרשאות אבטחה". הפוסט הבא נכתב בהשראת כמה דוגמאות רעות מאוד שראיתי לאחרונה ובעיות שהם ייצרו מאוחר יותר - חשוב שאנו כאנשי IT נכיר את מנגנון ההרשאות במוצרי מייקרוסופט (ואילו המתממשקים אליהם) על יתרונותיו וחולשותיו.כמה מילים על נוהגים מיטביים (Best Practices).ראשית - נתקלתי במינוחים עבריים רבים לתיאור צמד המילים, אך בצמד "נוהגים מיטביים" נתקלתי לראשונה בבלוג של יגאל שניידר והחלטתי לאמץ אותו. אז מה הם בעצם "נוהגים מיטביים" ? מדובר בסט חוקים לפעמים כתובים, לפעמים לא, ליישום מיטבי של ארכיטקטורה - או במילה אחת: פרקטיקה. למעשה קיימות הנחיות Best practice של יצרנים מסוימים,...