הבהרות לגבי חסימת האפשרות לשמירת סיסמא ב- Group Policy Preferences לאחר התקנת MS14-025

10 ביוני 2015

תגיות: ,
אין תגובות

לאורך השנה האחרונה נשאלתי רבות על התיקון המדובר והחלטתי לרכז את כל השאלות והתשובות בנושא:

על איזו פירצה מדובר?

נתחיל בכך שלא מדובר על "מפגע" חדש שהתגלה אלא על האפשרות להשתמש ב- GPP לטובת הגדרת סיסמאות למשתמשים מקומים בתחנות הקצה או שרתים, הרצת Schedule tasks עם הרשאות של משתמש אדמינסטרטיבי, מיפוי כונני רשת באמצעות הרשאות של משתמשים אחרים ועוד

האפשרות הייתה קיימת מאז ומתמיד. מיקרוסופט הייתה מודעת לכך כשרכשה את Desktop Standard Policy Maker והטמיעה אותו כחלק בלתי נפרד מה- Group policy תחת הכותרת Group policy preferences ואף הצהירה על "המפגע" כאקט של גילוי נאות

עד כה, המדיניות הייתה להעיר את תשמות לב הלקוחות לעובדה ולהנחות אותם לשקול בזהירות את ההשלכות אבטחת המידע לפני הגדרה של סיסמא ב- Preferences.

המשמעות של ההגדרה היא שמירה של הסיסמא בקבצים ב- SYSVOL, הסיסמא לא מופיעה ב- clear text אבל לכל המשתמשים יש גישה לקבצים ב- SYSVOL ודי לחכימא ברמיזא.

על אילו אפשרויות לשמירת סיסמא ב- GPP מדובר ?

מיפוי אות כונן באמצעות הרשאות של משתמש אחר

image

הרצת service עם הרשאות של משתמש אחר

image

הרצת Schedule tasks עם הרשאות של משתמש אחר

image

הגדרת Data sources

image

ניהול סיסמאות של משתמשים מקומים

image

האם התקנת התיקון תשפיע על משתמשי ומחשבי הקצה?

לא. התקנת התיקון מסירה את היכולת לאכסן סיסמאות בתיקיית ה- SYSVOL בהגדרת Group Policy Preferences ב- GPO חדש.

השינוי הוא ב- UI של ה- Group Policy Management , preferences קיימים שבהם הוגדרה סיסמא בעבר ימשיכו לתפקד רגיל, אך בפתיחתם יקבל המשתמש שעורך את ה- GPO הודעת אזהרה.

image

ובנסיון להגדיר הגדרה חדשה באחד מה- preferences המדוברים , לא תתאפשר הגדרת סיסמא

image

על מי צריך להתקין את התיקון?

את התיקון יש להתקין על כל השרתים ותחנות הקצה שמשמשים לעריכת GPOs – תחנות עם GPMC ולא רק על שרתי ה- Domain controllers

אוקיי, התקנו את התיקון על כל התחנות הרלוונטיות ועכשיו לא נוכל לבצע הגדרות preferences חדשות עם סיסמא אבל מה עושים עם הגדרות preferences הקיימות?

ההמלצה של מיקרוסופט הייתה ונשארה – איתור כל הגדרות ה- GPP שמכילות סיסמא וביטולן

איך מאתרים GPO שיש בהם preferences שמאוכסן בהם סיסמא?

הדרך הפשוטה ביותר היא שמירת תוכן הסקריפט השני המופיע במאמר KB2962486

תחת הכותרת:

Detecting CPassword preferences

והרצתו בפורמט הבא:

Get-SettingsWithCPassword.ps1 -path C:\Windows\SYSVOL

image

אז מה הן החלופות?

Mapped drives –

החלופה להגדרת מיפוי כונן עם משתמש ספציפי שיש לו הרשאות על ה- Share היא מתן הרשאות למשתמשים שאמורים לקבל גישה ל- Share על ה- Share עצמו ומיפוי הכונן באמצעות אותה הגדרת GPP רק ללא הגדרת משתמש וסיסמא

Services –

הרצת ה- Service הרלוונטי ב- Context של local system account

Tasks –

לא ניתן להגדיר סיסמא ל- Schedule task אך ניתן להגדיר שה- Task ירוץ ב- Context של Local system או ב- Context של המשתמש שבלוגין

image

Data sources –

אין חלופה להגדרת Data sources עם משתמש וסיסמא

Local user management –

מספר חלופות…

א. שימוש בסקריפט Invoke-PasswordRoll.ps1 במאמר KB2962486

ב. LAPS – Local Administrator Password Solution הוא פתרון חדש ונתמך לניהול סיסמאות רנדומליות של Administrators מקומיים במחשבים שחברים בדומיין

https://technet.microsoft.com/en-us/library/security/3062591.aspx

http://www.microsoft.com/en-us/download/details.aspx?id=46899

 

ניהול סיסמת משתמשים מקומיים (עם דגש על Administrator מקומי ) על מחשבי הקצה באמצעות Group policy preferences לא מומלצת ומהווה סיכון אבטחתי משתי סיבות:

א. סיסמת ה-Local Administrator ניתנת לפיענוח בקלות ( זוכרים, הסיסמא המוצפנת מופיעה בקובץ הרלוונטי תחת תיקיית ה- SYSVOL ונגישה לכל משתמש).

ב. התוצאה של החלת סיסמא Local Administrator על כל המחשבים או על חלק מהמחשבים דרך GPP היא סיסמא Build-in Local Administrator אחידה לכולם. סיסמא אחידה לכולם מקלה משמעותית על גורם זדוני באיתור ה-Hash של סיסמת Domain admins – מתקפה הידועה כ- Pass the Hash או Credential theft

 

  • ניהול סיסמא אחידה על כל תחנות קצה למשתמשים מקומים ובעיקר כשמדובר על Local administrator מהווה סיכון אבטחתי חמור וחשיפה להתקפות "Pass the hash".   ( גם ללא קשר לניהול סיסמאות של משתמשים מקומיים באמצעות GPP למשל, הגדרת סיסמת administrator מקומי אחידה ב- Image או קביעת אותה סיסמא דרך הפצת מערכת הפעלה באמצעות SCCM או כל מערכת אחרת),

מבלי להרחיב יותר מידי, ברגע שגורם זדוני מצליח להשיג את ה- Hash של Local administrator בתחנת עבודה מסויימת הוא יכול בעזרת כלים מסויימים לקרוא מה- Secrets של המחשב את כל ה- Hash של הסיסמאות של מי שמחובר לתחנה. במידה ואף Domain administrator לא מחובר למחשב , ה"תוקף" יתחבר בהצלחה לתחנות אחרות ( אותה סיסמת  Local administrator – אותו Hash של Local Administrator על כל התחנות ) עד שימצא תחנת עבודה שמחובר אליה Domain administrator ומשם הדרך להפלת האירגון או גניבת ה- Hash של כל סיסמאות ה- Domain users קצרה.

image


שגיא והבי הוא מהנדס בכיר במחלקת פרימייר במיקרוסופט ישראל (GBS)

הוסף תגובה
facebook linkedin twitter email

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *