הבהרות לגבי חסימת האפשרות לשמירת סיסמא ב- Group Policy Preferences לאחר התקנת MS14-025

יום רביעי, יוני 10, 2015

לאורך השנה האחרונה נשאלתי רבות על התיקון המדובר והחלטתי לרכז את כל השאלות והתשובות בנושא: על איזו פירצה מדובר? נתחיל בכך שלא מדובר על "מפגע" חדש שהתגלה אלא על האפשרות להשתמש ב- GPP לטובת הגדרת סיסמאות למשתמשים מקומים בתחנות הקצה או שרתים, הרצת Schedule tasks עם הרשאות של משתמש אדמינסטרטיבי, מיפוי כונני רשת באמצעות הרשאות של משתמשים אחרים ועוד האפשרות הייתה קיימת מאז ומתמיד. מיקרוסופט הייתה מודעת לכך כשרכשה את Desktop Standard Policy Maker והטמיעה אותו כחלק בלתי נפרד מה- Group policy תחת הכותרת Group policy preferences ואף הצהירה על "המפגע" כאקט של גילוי נאות...
תגיות: ,
אין תגובות

LAPS – Local Administrator Password Solution חלק שלישי

  מאמר זה הוא חלק שלישי ואחרון של סדרת המאמרים בנושא LAPS. כאן תמצאו את החלק הראשון. כאן תמצאו את החלק השני.הגדרת ה- Group policy settings צעד ראשון בהחלת ה-GPO הוא העתקת קבצי ה- ADMX/L לתיקית ה- GPO Central store בשרת ה- Domain Controller (קבצי ה- ADMX/L יהיו במחשבים שעליהם הותקן ה- LAPS management pack) C:\Windows\PolicyDefinitions\AdmPwd.admx לתיקיה C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions C:\Windows\PolicyDefinitions\en-US\AdmPwd.adml לתיקיה C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions\en-US במידה ועדיין לא יצרתם את תיקיית ה- Central store ( תיקיית ה- PolicyDefinitions) תחת תיקיית ה- Sysvol, זה הזמן... השלב הבא, יצירת GPO חדש ושיוך ה- GPO לכל ה-...
תגיות: ,
אין תגובות

LAPS – Local Administrator Password Solution חלק שני

בחלק הראשון של סדרת המאמרים נתנו רקע לפתרון שדואג לכך שסיסמת ה- local administrator תהיה שונה ממחשב למחשב.צעד ראשון ביישום הפתרון הוא פריסת ה- GPO CSE החדש על כל השרתים והתקנות. את ההתקנה ניתן להוריד מהקישור הבא : https://www.microsoft.com/en-us/download/details.aspx?id=46899 LAPS.x86.msi למערכות הפעלה 32bit ו- LAPS.x64.msi למערכות הפעלה 64bit. את קובץ ה- MSI ניתן להתקין באמצעות שורת הפקודה "השקטה" (הדרך ההגיונית ביותר בארגונים גדולים שמפיצים אפליקציות באמצעות SCCM, GPO software installation, startup scripts או כל מערכת הפצה אחרת) msiexec /i <file location>\LAPS.x64.msi /quiet או ידנית ...   ...
תגיות: ,
אין תגובות

LAPS – Local Administrator Password Solution חלק ראשון

שלום לכם! בסדרת הכתבות הבאות אציג בפניכם את LAPS - הפתרון החדש של מיקרוסופט. אחד הדגשים העיקריים שלנו במיקרוסופט מאז ומתמיד הוא אבטחת המידע. נוכח הפריצות בשנים האחרונות לארגונים גדולים דוגמת איי.ביי, ג'י פי מורגן, סוני, ארגונים פיננסיים וממשלתיים ורבים אחרים, אני תמיד מדגיש את חשיבות אבטחת המידע במסגרת מפגשים עם לקוחות Premier והסכנה ממתקפות Credential theft  הידועות גם בשם מתקפות Pash The Hash או בקיצור PtH. אחד הצעדים להפחתת הסיכון הוא הגדרת סיסמת שונה ל- Build-in Local Administrator בכל תחנות הקצה והשרתים בארגון והחלפת הסיסמא אחת לתקופה. נשמע מורכב עד בלתי אפשרי, נכון? הרי המחשבים בארגון מותקנים בדרך...
תגיות: ,
תגובה אחת