Сетевая безопасность: уровень проверки подлинности lan manager

Вопросы безопасности

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.

Уязвимость

В Windows 7 и Windows Vista этот параметр неопределяется. В Windows 2008 R2 и более поздней среде этот параметр настроен только для отправки ответов NTLMv2.

Противодействие

Настройка сетевой безопасности: параметр уровня проверки подлинности lan-менеджера для отправки только ответов NTLMv2. Корпорация Майкрософт и ряд независимых организаций настоятельно рекомендуют этот уровень проверки подлинности, когда все клиентские компьютеры поддерживают NTLMv2.

Возможное влияние

Клиентские устройства, которые не поддерживают проверку подлинности NTLMv2, не могут проверить подлинность в домене и получить доступ к ресурсам домена с помощью LM и NTLM.

Тип сети: что это такое

В различных вариантах ОС Windows, в частности, начиная с Vista, пользователи вправе выбирать так называемый сетевой профиль. Это и есть тип сети. Третье его название — «сетевое расположение» — официальный термин, который используется компанией Microsoft.

Сетевой профиль — специальный набор настроек для двух стандартных сервисов Windows: «Локальная политика безопасности» и «Брандмауэр». После включения того или иного профиля эти сервисы сами перенастраиваются, чтобы обеспечить тот уровень безопасности, которому соответствует только что активированный тип сети.

Таким образом, определять тип сети необходимо, чтобы обеспечить безопасность компьютера в определённых условиях использования интернета. Сетевое расположение выбирается в зависимости от места, в котором находится устройство (дом, кафе, работа и т. д.).

Какие типы сетей существуют

Пользователи Windows могут выбрать один из следующих видов сетей:

«Частная сеть». Данный тип имел другое название до появления версии Windows 8 — «Домашняя сеть». Клиенты ОС пользуются ей в основном дома, где пользователи и устройства доверяют друг другу. В связи с этим «операционка» устанавливает невысокий уровень безопасности: активируется обнаружение устройств, которые находятся друг от друга на небольшом расстоянии (то есть они видят друг друга), разрешается доступ к общим сетевым документам и принтерам

Компьютер редко напоминает его пользователям, что необходимо соблюдать осторожность, чтобы обезопасить компьютер. В этом профиле есть возможность собрать свою «Домашнюю группу» — объединение нескольких устройств под контролем администратора, который может запрещать одним пользователям доступ к тем или иным общим ресурсам, а другим, наоборот, разрешать.В «Частной сети» устройства видят друг друга и могут обмениваться данными
«Рабочая сеть» или «Сеть предприятия»

Этот профиль очень похож на «Домашнюю сеть», так как здесь уровень доверия такой же высокий: пользователи могут свободно печатать текстовые и иные файлы на принтере, а также открывать общие документы. В этой сети есть системный администратор, который следит за безопасностью. Различие только в том, что в «Рабочей сети» нельзя сделать «Домашнюю группу», поэтому, если в последней нет необходимости, не имеет значения, какую выбирать — домашнюю или рабочую.
«Общественная сеть», «Общедоступная сеть» или «Сеть совместного использования». По названию можно определить места, в которых используется данный тип: аэропорты, библиотеки, кафе, кинотеатры и т. д. Этот профиль максимально защищает компьютер: он становится невидимым для других устройств, которые находятся рядом, а значит получить доступ к нему крайне сложно. Также система эффективно настроена на отражение вирусных атак и несанкционированного вторжения в память ПК. Очевидно, что в данном типе нельзя сделать «Домашнюю группу», так как он полностью исключает совместное использование общих данных и устройств (например, принтеров), а также передачу файлов. «Общественную сеть» нужно также устанавливать, если используется мобильное подключение.Профиль «Общедоступная сеть» используется в местах скопления людей: в кафе, ресторанах, аэропортах, библиотеках и т. д
Сеть «Домен». Её устанавливают на рабочих местах в различных организациях. Это сетевое расположение предполагает централизованный контроль и управление компьютерами на большом предприятии. Здесь всегда есть главный ПК — «Контроллер Домена», который определяет, к каким файлам тот или иной подчинённый компьютер будет иметь доступ. В этом типе сети главный ПК также решает, какие сайты пользователи могут посещать, а какие нет.В сети «Домен» компьютеры подчиняются главному устройству — «Контроллер Домена»

Так как «Общественная сеть» имеет самый высокий уровень безопасности, при создании новой сети на ПК (первом подключении к ней), система по умолчанию хочет присвоить ей тип общественной. В левой части экрана ПК появляется панель, где система обращается к пользователю с вопросом, хочет ли он, чтобы другие устройства видели его ПК.

Разрешите или запретите устройствам обнаруживать ваш ПК

Если вы кликните по кнопке «Да», система включит профиль «Частная сеть». При нажатии на кнопку «Нет», компьютер будет работать в режиме максимального уровня безопасности, то есть в «Общественной сети».

В Windows 10 «Рабочая сеть» и «Домашняя сеть» были объединены в одно целое — профиль «Частные».

Включение проверки подлинности Kerberos для клиентов Outlook

  1. Откройте Exchange на сервере Exchange 2016 или Exchange 2019 года.

  2. Чтобы включить проверку подлинности Kerberos для клиентов Outlook Anywhere, запустите следующую команду на сервере Exchange 2016 или Exchange 2019 г., где работают службы клиентского доступа:

  3. Чтобы включить проверку подлинности Kerberos для MAPI для http-клиентов, запустите следующую команду на сервере Exchange 2016 или Exchange 2019 г., где работают службы клиентского доступа:

    В гибридных средах с Exchange Online или при использовании внутреннего OAuth запустите следующие команды на сервере Exchange 2016 или Exchange 2019 г., где работают службы клиентского доступа:

  4. Повторите действия 2 и 3 для каждого сервера Exchange 2016 или Exchange 2019 г., на котором работают службы клиентского доступа, для которых необходимо включить проверку подлинности Kerberos.

Проверка Exchange проверки подлинности клиента Kerberos

После успешной настройки учетных данных Kerberos и ASA убедитесь, что клиенты могут успешно проверять подлинность, как описано в этих задачах.

Проверка работы службы Microsoft Exchange Service Host

Служба Exchange службы Майкрософт (MSExchangeServiceHost) на сервере, на который работают службы клиентского доступа, отвечает за управление учетными данными ASA. Если эта служба не запущена, проверка подлинности Kerberos невозможна. По умолчанию служба запускается автоматически при включении компьютера.

Чтобы убедиться, что служба Microsoft Exchange Service Host запущена:

  1. Нажмите кнопку Пуск, введите services.msc и выберите services.msc из списка.

  2. В окне Службы найдите службу Microsoft Exchange Service Host.

  3. Состояние службы должно быть указано как Работает. Если состояние отличается от Работает, щелкните службу правой кнопкой мыши и выберите команду Пуск.

Проверка Kerberos с сервера, на который работают службы клиентского доступа

При настройке учетных данных ASA на каждом сервере, на который работают службы клиентского доступа, был запущен кодлет Set-ClientAccessServer. После запуска этого комлета можно использовать журналы для проверки успешных подключений Kerberos.

  1. В текстовом редакторе перейдите к папке, где хранится журнал HttpProxy. По умолчанию этот файл находится в следующей папке:

    %ExchangeInstallPath%\Logging\HttpProxy\RpcHttp

  2. Откройте последний файл журнала, а затем найдите слово «Согласование». Строка в файле журнала должна выглядеть примерно следующим образом:

    Если вы видите, что значение AuthenticationType — Согласование, сервер успешно создает подключения, проверку подлинности Kerberos.

В чем смысл www?

Прежде чем мы углубимся в обсуждение всех преимуществ и недостатков использования или пропуска www, давайте сначала разберемся, откуда берется этот префикс. Чтобы запустить сайт, вам необходимы две вещи: сервер, на котором будут храниться все файлы вашего ресурса, и легкозапоминающееся название, известное как доменное имя. Последнее позволит пользователям получить доступ к вашему сайту через адресную строку браузера, пока DNS делает всю тяжелую работу.

Зачем вам добавлять www к зарегистрированному доменному имени? Исторически такие префиксы использовались как средство различия между серверами внутри вашей сети. На заре интернета не было хостинг-провайдеров и виртуальных выделенных серверов. Каждая компания раньше управляла собственной сетью серверов, и каждый сервер внутри сети считался хостом и выполнял одну функцию, такую как хранение файлов для обмена данными в интернете или работа электронной почты. В зависимости от функции, которую предоставлял хост, он получал определенное имя хоста.

СЕРВИС, ПРЕДОСТАВЛЯЕМЫЙ ХОСТОМ ИМЯ ХОСТА ПОЛНОЕ ДОМЕННОЕ ИМЯ
Хранит файлы для обмена в интернете www www.example.com
Используется для обмена данными в сети ftp ftp.example.com
Обеспечивает доставку электронной почты по сети mail mail.example.com

В сочетании с зарегистрированным доменом компании каждое имя хоста формировало определенное доменное имя (FQDN) — интернет-эквивалент обычного почтового адреса с индексом, названием улицы, города и т.д. Ввод FQDN в адресную строку браузера позволял пользователям получить доступ к необходимому серверу в сети компании.

Но в современном интернете все работает по-другому. Один сервер с одним IP-адресом может использоваться как в качестве веб-сервера, так и в качестве почтового сервера. Кроме того, распространена практика указывать на один и тот же IP-адрес как корневой домен (название сайта без www), так и имя хоста с www. Это позволяет пользователям получать доступ к сайту независимо от того, добавляют ли они www к URL-адресу. Однако для работы над SEO все равно нужно будет выбрать, какой из двух вариантов доменного имени вы предпочитаете.

Напоследок

Несмотря на то, что многие ассоциируют Lan Manager с чем-то древним и уже не используемым, используется он достаточно активно – поэтому его надо и настраивать, и оптимизировать, и защищать, и грамотно использовать только в нужных случаях, а не оставлять всё на самотёк. Такой подход порождает множество проблем в безопасности – ведь ломать-то будут не то, что админ штучно настроил, а самое слабое место. А если в сети ходит невнятная каша из протоколов аутентификации – то задача нарушителя сильно упрощается.

Надеюсь, что данная статья поможет вам в задаче улучшения безопасности корпоративной сети.

До новых встреч!

Основной

  • может мульти-хоп. Но делает это путем предоставления вашего имени пользователя и пароля напрямую целевому веб-приложению
    • который может делать с ними все, что захочет. Все .
    • «О, администратор домена просто использовал мое приложение? И я только что прочитал их электронную почту? Затем сбросил пароль? Ой. Жаль «
  • нужна защита транспортного уровня

    а затем см. предыдущий выпуск

    (т. е. TLS/SSL) для любой формы защиты.

  • работает с любым браузером
  • требуется однократная передача для проверки подлинности ( 401 , 200 )
  • может использоваться в сценариях с несколькими прыжками, поскольку Windows может выполнять интерактивный вход в систему с основными учетными данными
    • Может потребоваться настройка для достижения этой цели (думаю, что значение по умолчанию изменено на открытый текст сети в период между 2000 и 2003 годами, но может быть неправильно запоминающимся)
    • но снова , см. первый выпуск .
    • Создается впечатление, что первый выпуск действительно, действительно важен? Это.

Подвести итог:

Ограничение может быть сложно настроить, но есть множество руководств ( мой один ), которые пытаются упростить процесс, и инструменты значительно улучшились с 2003 по 2008 год ( может искать дубликаты, что является наиболее распространенной критической проблемой; используйте каждый раз, когда вы видите руководство по использованию -A, и жизнь становится счастливее).

Ограниченное делегирование стоит затрат на вход.

Описание компонента

Операционные системы Windows Server реализуют протокол проверки подлинности Kerberos версии 5 и расширения для проверки подлинности с помощью открытого ключа, переноса данных авторизации и делегирования. Клиент проверки подлинности Kerberos реализуется в качестве поставщика поддержки безопасности (SSP). Получить к нему доступ можно через интерфейс поставщика поддержки безопасности (SSPI). Начальная проверка подлинности пользователя интегрирована в архитектуру единого входа Winlogon.

Центр распространения ключей Kerberos (KDC) встроен в другие службы безопасности Windows Server, работающие на контроллере домена. В качестве базы данных учетных записей безопасности в KDC используется база данных домен Active Directory Services домена. Доменные службы Active Directory необходимы для реализации Kerberos по умолчанию в рамках домена или леса.

Common symptom when Kerberos fails

You try to access a website where Windows Integrated Authenticated has been configured and you expect to be using the Kerberos authentication protocol. In this situation, your browser immediately prompts you for credentials, as follows:

Although you enter a valid user name and password, you’re prompted again (three prompts total). Then, you’re shown a screen that indicates that you aren’t allowed to access the desired resource. The screen displays an HTTP 401 status code that resembles the following error:

On the Microsoft Internet Information Services (IIS) server, the website logs contain requests that end in a 401.2 status code, such as the following log:

Or, the screen displays a 401.1 status code, such as the following log:

Вопросы безопасности

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.

Уязвимость

Если установлено, что протокол проверки подлинности NTLM не должен использоваться в домене, так как для этого требуется использовать более безопасный протокол, например Kerberos, в домене может присутствовать трафик проверки подлинности NTLM. Если это так, и вы задаете сетевой безопасности: сетевой безопасности: Ограничение проверки подлинности NTLM: NTLM в этом домене для любого из вариантов отказа, любой запрос на проверку подлинности NTLM не удастся, так как проходной сервер-член будет блокировать запрос NTLM.

Если вы определите список исключений серверов в этом домене, на которые клиентские компьютеры могут использовать сквозную проверку подлинности NTLM, то трафик проверки подлинности NTLM будет продолжать поступать между этими серверами, что делает их уязвимыми к любой вредоносной атаке, которая использует слабые стороны безопасности в NTLM.

Противодействие

При использовании сетевой безопасности: Ограничение проверки подлинности NTLM: проверка подлинности NTLM в этом домене в режиме только аудита, вы можете определить, какие клиентские приложения делают запросы на проверку подлинности NTLM на сквозные серверы проверки подлинности. При оценке необходимо будет в индивидуальном порядке определить, соответствует ли проверка подлинности NTLM минимальным требованиям безопасности.

Возможное влияние

Определение списка серверов для этого параметра политики позволит обеспечить трафик проверки подлинности NTLM между этими серверами, что может привести к уязвимости безопасности.

Если этот список не определен, и служба сетевой безопасности: ограничение NTLM: проверка подлинности NTLM в этом домене включена, проверка подлинности NTLM не пройдет на этих проходных серверах в домене, который они ранее использовали.

Симптомы

У пользователя, который принадлежит к большому числу групп безопасности, возникают проблемы с проверкой подлинности. При проверке подлинности пользователь может видеть такое сообщение, как HTTP 400 — Bad Request (слишком долго запрашивать загон). Кроме того, у пользователя возникают проблемы с доступом к ресурсам, а параметры групповой политики пользователя могут не обновляться правильно.

Дополнительные сведения о контексте ошибки см. в ссылке HTTP 400 Bad Request (Запросзагона слишком долго) ответов на запросы HTTP.

Примечание

В аналогичных условиях Windows проверки подлинности NTLM работает, как и ожидалось. Проблема проверки подлинности Kerberos может возникнуть только при анализе Windows поведения. Однако в таких сценариях Windows не удастся обновить параметры групповой политики.

Такое поведение происходит в любой из поддерживаемых в настоящее время Windows версиях. Сведения о поддерживаемых версиях Windows см. в Windows.

Связывание имен участников-служб (SPN) с учетными данными ASA

Важно!

Не связывайте СНО с учетными данными ASA, пока не развернете эти учетные данные хотя бы до одного Exchange Server, как описано ранее в развертывании учетных данных на первом Exchange сервере с службами клиентского доступа. В противном случае выполнить проверку подлинности Kerberos не удастся.

Прежде чем связать СНО с учетными данными ASA, необходимо убедиться, что целевые СНО уже не связаны с другой учетной записью в лесу. Учетные данные ASA должны быть единственной учетной записью в лесу, с которой связаны эти SPNs. Чтобы убедиться, что имена участников-служб не назначены другим учетным записям в лесу, выполните команду setspn в командной строке.

Проверка связи имени участника-службы с учетной записи в лесу с помощью команды setspn

  1. Нажмите кнопку Пуск. В поле Поиск введите командная строка, а затем в списке результатов выберите Командная строка.

  2. Введите следующую команду:

    Где <SPN> spN, который необходимо связать с учетными данными ASA. Например:

    Команда должна не возвратить никаких данных. Если она возвратит данные, значит, это имя участника службы уже сопоставлено с другой учетной записью. Повторите этот шаг один раз для каждого SPN, который необходимо связать с учетными данными ASA.

Сопоставление имени участника-службы с учетными данными ASA с помощью команды setspn

  1. Нажмите кнопку Пуск. В поле Поиск введите командную подсказку и выберите командную подсказку в списке результатов.

  2. Введите следующую команду:

    Где spN, который необходимо связать с учетными данными ASA, и это <SPN> <Account> учетная запись, связанная с учетными данными ASA. Например,

    Запустите эту команду один раз для каждого spN, который необходимо связать с учетными данными ASA.

Проверка связи имен участников-служб с учетными данными ASA с помощью команды setspn

  1. Нажмите кнопку Пуск. В поле Поиск введите командную подсказку и выберите командную подсказку в списке результатов.

  2. Введите следующую команду:

    Где <Account> учетная запись, связанная с учетными данными ASA. Например,

    Вы должны выполнить эту команду только один раз.

Управление политикой

В этом разделе описываются функции и средства, доступные для управления этой политикой.

Необходимость перезапуска

Нет. Изменения в этой политике становятся эффективными без перезапуска устройства при локальном сбережении или распространении через групповую политику.

Соображения конфликта политики

Безопасность сети политик. Разрешить откат сеанса LocalSystem NULL, если включен, позволит использовать проверку подлинности NTLM или Kerberos при попытке проверки подлинности системной службой. Это позволит повысить успешность обеспечения связи за счет безопасности.

Поведение анонимной проверки подлинности отличается для Windows Server 2008 и Windows Vista, чем более поздние версии Windows. Настройка и применение этого параметра политики в этих системах может не привести к таким же результатам.

Групповая политика

Этот параметр политики можно настроить с помощью консоли управления групповой политикой (GPMC), которая будет распространяться через объекты групповой политики (GPOs). Если эта политика не содержится в распределенной GPO, эту политику можно настроить на локальном компьютере с помощью привязки к локальной политике безопасности.

Ограниченная или необученная делегирования

В вышеуказанном сценарии обе конфигурации позволяют пользователям делегировать учетные данные из сеанса пользователя на компьютере Workstation-Client1 на сервер API заднего уровня при подключении через интерфейсный веб-сервер.

В безудержной конфигурации делегирования Kerberos удостоверение пула приложений выполняется на Web-Server и настроено в Active Directory, чтобы доверять делегированию любой службы. Учетная запись пула приложений, запущенная в Web-Server, может делегировать учетные данные авторификаций пользователей веб-сайта, который был на этом сервере, любой другой службе в активном каталоге. Например, SMTP-сервер, файл сервер, сервер базы данных, другой веб-сервер и т.д. Это называется необученной делегированием, так как учетная запись пула приложений имеет разрешение (неподдержанное) делегировать учетные данные любым службам, с ними контактированными.

В ограниченной конфигурации делегирования учетная запись active directory, используемая в качестве удостоверения пула приложений, может делегировать учетные данные пользователей, сдающих проверку подлинности, только в список служб, уполномоченных делегировать. Если веб-приложение, которое находится на сервере Web-Server, также должно связаться с базой данных и проверить подлинность от имени пользователя, это имя основного пользователя службы должно быть добавлено в список авторизованных служб.

Ограниченная делегированность является более безопасной, чем неподдержанная делегирования по принципу наименьших привилегий. Приложению предоставлены права, необходимые для функционирования, и не более того, в то время как неподготовленная делегированное делегированное приложение позволяет приложению обращаться к ресурсам, к ним не следует обращаться от имени пользователя.

Разрешения и права пользователей по умолчанию в wwwroot

IiS 7.0 и более поздние версии также упрощают настройку удостоверения пула приложений и внесение всех необходимых изменений. Когда IIS запускает рабочий процесс, он должен создать маркер, который будет использовать этот процесс. Когда этот маркер создается, IIS автоматически добавляет членство в маркер рабочих процессов во время запуска. Учетные записи, которые работают в качестве удостоверений пула приложений, больше не должны быть явной частью группы. Если вы создаете веб-сайт, а затем указывают физическое расположение следующим пользователям и группам, автоматически добавляются в списки управления доступом на сайте.

Пользователи / группы Разрешенные разрешения
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ Специальные разрешения
SYSTEM Полный доступ
Администраторы Полный доступ
Пользователи Чтение &, содержимое папки List, Чтение
IIS_USRS Чтение & выполнения
TrustedInstaller Полный доступ

Если вы хотите отключить эту функцию и вручную добавить учетные записи в группу, установите значение manualGroupMembership в файлеApplicationHost.config. В следующем примере показано, как это можно сделать для пула приложений по умолчанию:

Заключение

По факту каких-то проблем из-за данной настройки я не получал. Отличий в настройке фаервола в зависимости от типа сети у меня нет, так что видимых проблем не было. На текущий момент там, где последний раз словил эту ошибку, настроил отложенный запуск службы сведений о подключенных сетях (Network Location Awareness Service). Ошибка больше не воспроизводится. Буду наблюдать дальше.

Если вы сталкивались с подобными ошибками, либо есть советы, что еще попробовать, буду рад комментариям по этой теме.

Онлайн курс по Linux

Если у вас есть желание научиться строить и поддерживать высокодоступные и надежные системы, рекомендую познакомиться с онлайн-курсом «Administrator Linux. Professional» в OTUS. Курс не для новичков, для поступления нужны базовые знания по сетям и установке Linux на виртуалку. Обучение длится 5 месяцев, после чего успешные выпускники курса смогут пройти собеседования у партнеров.

Что даст вам этот курс:

  • Знание архитектуры Linux.
  • Освоение современных методов и инструментов анализа и обработки данных.
  • Умение подбирать конфигурацию под необходимые задачи, управлять процессами и обеспечивать безопасность системы.
  • Владение основными рабочими инструментами системного администратора.
  • Понимание особенностей развертывания, настройки и обслуживания сетей, построенных на базе Linux.
  • Способность быстро решать возникающие проблемы и обеспечивать стабильную и бесперебойную работу системы.

Проверьте себя на вступительном тесте и смотрите подробнее программу по .

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Все про сервера
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: