J3qx

information archive

Archive for Сентябрь 2012

DNSSEC в Windows Server 2008 R2 – функционал и использование

Posted by j3qx на Сентябрь 29, 2012

DNSSEC в Windows Server 2008 R2 – функционал и использование

Привет.

Введение

Технология DNSSEC существует достаточно давно и реализована в Windows Server 2008 R2 и Windows 7. Не идеально, но реализована.
Но пользуются ей (в основном из-за смутности её плюсов и пугающей своей неочевидностью настройки) единицы.
За последний год я использовал эту технологию в двух проектах, и после устного общения с коллегами (которые в большинстве своём в IT далеко не первый год) выяснил, что DNSSEC вообще является мёртвой зоной – она вроде есть в плане технической реализации, но её вроде и нет. В enterprise её вообще не заметно, разве что только у малой части провайдеров (например, в рунете я нашёл только одного регистратора – R01, который декларирует поддержку DNSSEC для доменов).

Это нужно исправлять, так как в DNS достаточно много негатива, который не лечится совсем, либо для которого существуют “костыльные” решения.
Я предполагаю, что Вы знаете, как работает обычный DNS, плюс прочитали статью про обеспечение безопасности DNS на Windows Server 2008R2. Если ещё не сделали это – сейчас самое время.

Все записи DNS, IP-адреса и прочие выбраны случайно и не имеют никакого отношения к реальности. Совпадения случайны. Цель придумывания этих значений – наглядность изложения и упрощение понимания технологии DNSSEC. Их (имена записей и IP-адреса) не надо добуквенно копировать к себе, а потом удивляться артефактам поведения системы DNS. Я предупредил.

Оглавление

  • Что делает DNSSEC
  • Не рано ли внедрять DNSSEC?
  • Как работает DNSSEC
  • DNSSEC и логика кэширования
  • Терминология DNSSEC
    • Записи SIG и RRSIG
    • Записи NXT и NSEC
    • Запись NSEC3
    • Ключевые пары – ZSK и KSK
    • Записи DNSKEY, они же “Якори доверия”, они же trust anchors
    • Записи DS
    • Записи DLV – “подстраховка”
  • Включаем DNSSEC: Создаём ключи
    • Создание ключей защиты ключей (KSK)
    • Создание ключевой пары для зоны (ZSK)
    • Резервное копирование ключей DNSSEC
  • Включаем DNSSEC: Операции с DNS-зонами
    • Подписываем зону
    • Распространяем её trust anchor’ы
  • Включаем DNSSEC: Подготавливаем DNS-сервера
  • DNSSEC: Настройки со стороны клиентов (NRPT)
  • Тестируем DNSSEC

Что делает DNSSEC

Ключевой задачей DNSSEC является построение доверенной инфраструктуры разрешения имён в Интернете. То есть и запросы и ответы сервера (как с данными, так и негативные) должны быть авторизованы.

Примечание: Сразу уточним – конфиденциальность данных (т.е. шифрование оных) не является целью DNSSEC, но может реализовываться как дополнительная мера безопасности. Читать далее…

Posted in IT expert, ITSecurity, sysadmin | Отмечено: , | Leave a Comment »

Новый EMET 3.5 – механизмы ROP

Posted by j3qx на Сентябрь 20, 2012

Новый EMET 3.5 – механизмы ROP

Привет.

Совсем недавно я рассказывал про EMET 3.0 и жаловался, мол в части удобства развёртывания на сервера и рабочие станции, управления через групповые политики и прочего плюсов много, а функционал остался тот же – какдобавили чуток в 2.1, так и оставили до сих пор. Microsoft ответил оперативно – новая версия EMET 3.5 поднимает планку безопасности ещё выше.

Оглавление

  • Новое разделение классов защитных механизмов
  • Механизм EMET LoadLib
  • Механизм EMET MemProt
  • Механизм EMET StackPivot
  • Механизм EMET SimExecFlow
  • Механизм EMET Caller Checks
  • Где скачать?
  • Дополнительные параметры, доступные через реестр

Приступим.

Новое разделение классов защитных механизмов

Механизмов защиты теперь много, и для удобства их разделили на три класса – механизмы защиты оперативной памяти (Memory), новые механизмы предотвращения действий, классифицируемых как атаки с использованием ROP (Return Oriented Programming, “возвратно-ориентированного программирования”, которое является развитием того, что раньше называлось “return-to-libc” и имеет бОльшие возможности, чем предшественник) и “прочие механизмы” (Other):
Читать далее…

Posted in IT expert, ITSecurity, sysadmin | Отмечено: , , | Leave a Comment »

Новый EMET 2.1 – обзор технологий DEP, ASLR, SEHOP, EAT/EAF, HSA, NPA, BUR

Posted by j3qx на Сентябрь 20, 2012

Новый EMET 2.1 – обзор технологий DEP, ASLR, SEHOP, EAT/EAF, HSA, NPA, BUR

Привет.

На днях Microsoft выпустил новую версию своей утилиты Enhanced Mitigation Experience Toolkit, адресно предназначенной для усиления защиты серверных (да и не только) ОС Microsoft. Так как утилита эта достаточно ценная и практичная, то предлагаю разобраться в том, что ж хорошего она приносит в систему.

Что внутри

Утилита не снабжена подробной документацией (в комплекте идёт ссылка на файл User’s Guide, а самого файла нет), поэтому хорошо бы знать, что она точно делает, и зачем нужны все указанные технологии. Это, в общем-то, хорошо знать всегда, но в случае утилиты, которая делает достаточно масштабные и глубокие изменения на уровне всей ОС – тем более.

Краткий перечень функций EMET будет таким:

  • Data Execution Prevention (DEP)
  • Address Space Layout Randomization (ASLR)
  • Structured Exception Handler Overwrite Protection (SEHOP)
  • Export Address Table Access Filtering (EAT или EAF)
  • Heap Spray Allocation (HSA)
  • Null Page Allocation (NPA)
  • Bottom-Up Rand (BUR) (технология является нововведением в EMET 2.1, отличающим эту версию от EMET 2.0)

Давайте кратко разберемся, зачем это всё, что это и как это будет работать, заодно подробнее опишем нововведения.

 

Какие вообще задачи решает EMET и как он это делает

Основная задача EMET – это повышение “нижней планки” уровня защиты ОС, чтобы защитить ПО, написанное без учёта всех современных технологий безопасности. То есть предполагается, что новое и качественное ПО уже само по себе будет и на уровне проектирования, и на уровне компиляции (те же ключи /GS или /safeseh в Visual Studio, начиная с 2003) обладать указанными технологиями, а вот старое и менее качественное нуждается в доп.защите. Читать далее…

Posted in IT expert, ITSecurity | Отмечено: , , | Leave a Comment »

Group Managed Service Accounts (MSA) в Windows Server 2012

Posted by j3qx на Сентябрь 16, 2012

Group Managed Service Accounts (MSA) в Windows Server 2012

Привет.

Ранее я написал статью про MSA в Windows Server 2008 R2. Теперь, т.к. вышла новая версия платформы, надо добавлять. Ведь есть что, и очень даже интересное.

Оглавление

  • Новый тип MSA – gMSA
  • Включаем Key Distribution Services
  • Создаём gMSA и обычную MSA на Windows Server 2012
  • Дополнительные возможности

Приступим.

Новый тип MSA – gMSA

В своей первой ипостаси MSA имели специфику – привязку к единственному хосту. Т.е. у них был компьютер, который, опираясь на заданный в Group Policy интервал времени, обновлял пароли для всех тех MSA, которые были к нему привязаны. Какие именно были привязаны и как это сделать – есть в предыдущей статье про MSA в Windows Server 2008 R2, ну а теперь про отличия.

Ключевое отличие в том, что теперь два вида MSA – это обычные MSA (тип объекта в AD – msDS-ManagedServiceAccount) и новые gMSA = Group MSA (тип объекта в AD – msDS-GroupManagedServiceAccount). Создаваться gMSA будут в том же контейнере, что и предыдущий тип –CN=Managed Service Accounts,DC=контекст домена, но по составу атрибутов будут отличаться. Основным плюсом будет возможность их привязки к нескольким хостам, что надо для использования MSA в кластерных сценариях – NLB, в том числе CAS’ы для Exchange, Edge’и для Lync, фермы Sharepoint и других. Для того, чтобы создать новый тип MSA, надо будет теперь вначале включить специальный сервис на выбранном хосте, который будет отвечать за централизованное управление паролями. Этот сервис будет называться KDS – Key Distribution Services. Читать далее…

Posted in IT expert | Отмечено: , , , , | Leave a Comment »

NRPT: Управляем безопасным DNS на Windows-клиенте

Posted by j3qx на Сентябрь 16, 2012

NRPT: Управляем безопасным DNS на Windows-клиенте

Привет.

Введение

Эта статья – про отдельную, но достаточно важную функцию по управлению DNS-подсистемой на стороне клиента. В частности, NRPT будет помогать и при использовании DNSSEC, и про работе с DirectAccess, в общем знание работы NRPT необходимо, чтобы обладать пониманием всей системы DNS на предприятии. Без NRPT Вы можете хорошо представлять, как взаимодействуют сервера друг меж другом и с внешними источниками, но безопасная ‘последняя миля’ без NRPT не настраивается. Я вообще хотел это сделать частью статьи про DNSSEC, но и эта тема заслуживает отдельного описания, и та статья уже достаточно масштабна и имеет тенденцию к росту. Поэтому заранее делаем отдельно.

Технология NRPT реализована в Windows 7, поэтому разговор будет именно про эту ОС. Я предполагаю, что Вы ознакомились со статьями про безопасность DNS в Windows Server 2008 R2 и про DNSSEC в Windows Server 2008 R2.

Многие предполагают, что NRPT – исключительно “внутридоменная” технология. Это не так, и NRPT настраиваема и для отдельных хостов. Далее – подробнее.

Оглавление

  • Что такое NRPT – Name Resolution Policy Table
  • Про Windows 7 DNS Client
  • Глобальные настройки NRPT
    • Network Location Dependency
    • Query Failure
    • Query Resolution
    • Просмотр текущего значения глобальных настроек NRPT
  • Правила NRPT и DNSSEC / DirectAccess
  • Настройка NRPT в домене
  • Настройка NRPT на отдельном хосте Читать далее…

Posted in IT expert, sysadmin | Отмечено: , , | Leave a Comment »

Работа с предпочтениями групповых политик: настройка среды и файлов

Posted by j3qx на Сентябрь 10, 2012

Работа с предпочтениями групповых политик: настройка среды и файлов

Введение

*

Предпочтения групповой политики, также называющиеся настройками групповой политики, являются набором расширений клиентской стороны, впервые появившихся в операционной системе Windows Server 2008, обеспечивающие возможность централизованной настройки и управления определенными параметрами операционной системы. В отличие от остальных параметров групповой политики, предпочтения групповой политики записывают свои параметры в те разделы системного реестра, в которых хранятся параметры, изменяемые средствами операционной системы или приложений, что позволяет не блокировать возможности изменений соответствующих параметров в графическом интерфейсе, а просто указать настройки по умолчанию и дать пользователю возможность при необходимости изменить соответствующую настройку. Предпочтения групповой политики предназначены для настройки компонентов Windows и настройки некоторых параметров панели управления. Стоит отметить, что политики конфигурации Windows содержат настройки, отвечающие за переменные среды, параметры реестра, общие сетевые ресурсы и многие другие настройки, которые обычно приходится настраивать, используя различные сценарии входа. В свою очередь, политики параметров панели управления обеспечивают возможность конфигурирования таких настроек, как назначенные задания, системные службы, опции электропитания и прочие параметры, настройки которых в графическом интерфейсе можно найти в панели управления операционной системы. В этой статье будет рассмотрено такое расширение клиентской стороны предпочтения групповой политики, как «Среда», которое можно найти в узле «Конфигурация Windows» родительских узлов конфигурации компьютера и конфигурации пользователя.

Узел предпочитаемой групповой политики «Среда»

Предпочтения групповой политики «Среда» позволяют вам управлять пользовательскими или системными переменными средами целевого компьютера. При помощи этого расширения клиентской стороны вы можете создавать новые пользовательские или системные переменные среды, модифицировать или изменять существующие, например, расположение папки TEMP, командную строку или всю переменную PATH, а также удалять отдельные фрагменты или всю переменную среду. Рассмотрим распространение предпочтения групповой политики «Среда» на простом примере: в следующем сценарии будет создана новая пользовательская переменная среда, а также изменено расположение папки TEMP. Для того чтобы реализовать указанные выше задачи, выполните следующие действия: Читать далее…

Posted in IT expert, sysadmin | Отмечено: , , | Leave a Comment »

Active Directory с человеческим лицом

Posted by j3qx на Сентябрь 9, 2012

Active Directory с человеческим лицом

Привет.

Кастомизация Active Directory – тема вечная. Вокруг неё накручено много вымыслом, шаманства и прочего, однако тема эта никакого волшебства в себе не содержит. Я это наглядно покажу.

ИСТОРИЯ ПЕРВАЯ – ГЛЮЧНЫЕ КАРТИНКИ
ИСТОРИЯ ВТОРАЯ – КАК ВАСЯ В АЛКОГОЛЕ ЗАПУТАЛСЯ
ИСТОРИЯ ТРЕТЬЯ – КАК ВАСЕ ПРАВОЗАЩИТНИКИ ПОМОГАЛИ
ИСТОРИЯ ЧЕТВЕРТАЯ – РОДНАЯ СЕТЬ РОДНОГО ПРЕДПРИЯТИЯ

 

История первая – Глючные картинки

Однажды к одному CIO пришёл руководитель IT-департамента.

— В Active Directory есть глючные объекты, у которых нет картинки. Вот, смотри:

— Траст до партнёрского домена есть, а судя по картинке – глючный. Люди волнуются, говорят, что надо домен переставлять, наверное.

“Люди не должны волноваться. Чистый разум, по которому бежит рябь мысли о переустановке Active Directory, подобен нечистому разуму, а таких по ТК премии лишают. Нельзя так с людьми.” – подумал CIO.

ПОСЛЕДОВАТЕЛЬНОСТЬ ДЕЙСТВИЙ

Отображение всех объектов в Active Directory предприятия регулируется в контейнере CN=Display Specifiers,CN=Configuration,DC=доменный контекст. В нём Вы найдёте отдельные контейнеры, название которых соответствует языковому коду – для английского это будет 409, если хотите, чтобы объекты отображались в разных в плане языков консолях Active Directory по разному – просто поправьте не в одном, а в нескольких. Откуда берётся число 409? Это 1033 в hex-варианте, а справочник по кодам языков Вы можете легко найти, никуда не выходя с локальной машины – откройте ключ реестраHKLM\SYSTEM\CurrentControlSet\Control\ContentIndex\Language, там в каждом разделе будет Locale, которое, путём перевода в hex, и даст искомый код. Выглядеть в нашем случае консоль для редактирования этих свойств будет как-то так: Читать далее…

Posted in IT expert | Отмечено: | Leave a Comment »

Built-in торрент в Windows : BranchCache

Posted by j3qx на Сентябрь 9, 2012

Built-in торрент в Windows : BranchCache

Привет.

Внутренние соц.сети – уже пройденный вопрос; берёте SharePoint 2010 да делаете, странички сотрудников лайкаете, новости в ленте публикуете. Внутренние FTP/Web-сайты – тоже. Внутренний торрент для технических задач, притом бесплатный, притом встроенный в ОС – это ещё круче. Давайте включим наш локальный трекер.

Оглавление

  • Зачем нужен и как работает BranchCache
  • Вариант “с сервером” – BranchCache Hosted Mode
  • Вариант “без сервера” – BranchCache Distributed Mode
  • Требования к ОС и клиентскому ПО
  • Включаем BranchCache
  • Включение BranchCache на сервере-источнике
  • Включение BranchCache на кэширующем сервере
  • Включение BranchCache на peer-клиенте
  • Сетевые настройки BranchCache
  • Привязка сертификата для подтверждения подлинности сервера BranchCache
  • Смена номеров портов у BranchCache
  • Включаем BranchCache на выбранных общих папках
  • Мониторинг BranchCache

Приступим.

Зачем нужен и как работает BranchCache

BranchCache – это встроенный в NT 6.1 механизм распределённого кэширования трафика. Кэшироваться может SMB-трафик (в том числе подписанный), HTTP и HTTPS-трафик, а также трафик протокола BITS (который, конечно, почти HTTP, но всё же API у него отдельное). Кэширование происходит прозрачно для приложения – т.е. оно, допустим, запрашивает по SMB файл, и есть BranchCache корректно настроен, то “стягивает” этот файл с соседей. Это крайне удобно в сценариях вида “региональный офис из 5 компов без сервера”, когда файл скачивается более чем 1м клиентом и более чем 1 раз. Плюсов множество – это и ускорение работы, к примеру, портала на базе SharePoint, и автоматическое ускорение скачивания обновлений в сценарии, когда в филиале нет своего сервера WSUS, и более быстрая работа с удалённым файл-сервером, и множество другого. Даже TotalCommander’ом файлы качаются быстрее, т.к. по SMB. Читать далее…

Posted in IT expert, sysadmin | Отмечено: , , | Leave a Comment »

Уходим с SSL на TLS

Posted by j3qx на Сентябрь 9, 2012

Уходим с SSL на TLS

Привет.

Введение

Протоколу SSL уже много времени, и ему пора на покой. Тем более – замена ему достаточно давно уже есть. Выглядит она как протокол TLS, который вырос, возмужал, и готов к работе. Я попробую чуть-чуть пробежаться по тому, что и как для этого надо сделать в Windows Server и основных серверных приложениях.

Оглавление

  • Краткая история вопроса – SSL
  • Версии и преимущества TLS
    • Про TLS 1.0
    • Про TLS 1.1
    • Про TLS 1.2
    • Про TLS 1.2 и Windows XP SP3
    • Про TLS 1.2 и Windows 2003 SP2
  • BEAST: как работает атака на SSL 2.0/3.0 и TLS 1.0
  • Включаем TLS на Windows-системе
  • Отключаем SSL на Windows-системе Читать далее…

Posted in IT expert, ITSecurity, sysadmin | Отмечено: , , , | Leave a Comment »

Тонкая настройка сетевого стека на Windows-хостах (часть вторая)

Posted by j3qx на Сентябрь 9, 2012

Тонкая настройка сетевого стека на Windows-хостах (часть вторая)

Привет.

Вместо предисловия

Это – вторая часть статьи. Поэтому всё, что относится к первой, относится и к этой. В этой, правда, будет больше настроек сетевых адаптеров, но не суть. Не буду повторяться, разве что в плане диспозиции.

Диспозиция

Я предполагаю, что Вы, товарищ читатель, знаете на приемлемом уровне протокол TCP, да и вообще протоколы сетевого и транспортного уровней. Ну и канального тоже. Чем лучше знаете – тем больше КПД будет от прочтения данной статьи.

Речь будет идти про настройку для ядра NT 6.1 (Windows 7 и Windows Server 2008 R2). Всякие исторические ссылки будут, но сами настройки и команды будут применимы к указанным ОС, если явно не указано иное. Читать далее…

Posted in IT expert, sysadmin | Отмечено: , , | Leave a Comment »