Skip to Content

IT nieuczesane.
category

Category: security

Forefront Client Security – artykuły

Na portalu WSS.pl właśnie opublikowani tryptyk moich artykułów na temat FCS. Chętnych zapraszam do czytania:

Część 1 – Informacje ogólne i przygotowanie środowiska

Część 2 – Instalacja

Część 3 – Konfiguracja i raportowanie

A za chwilę przygotuję screencast ze skonfigurowania SCCM2007R2 do współpracy z FCS.

bezpieczeństwo XP Mode

pewien user zapytał mnie jak to jest z tym XP Mode – czy to jest bezpieczne? zacząłem zastanawiać się nad kwestiami update’u i zabezpieczenia takich maszyn [ostatnio mało czytam newsów i nie wiedziałem, że dysqsja toczy się dość mocna na ten temat]. problem faktycznie jest dość istotny, bo maszyny takie przeważnie będą miały dostęp do sieci a więc są zagrożone – hardening i update’y to dwa podstawowe zagadnienia.
nie udało mi się znaleźć informacji czy licencja na XP Mode pozwala dodać taki komputer do domeny. jeśli tak to przynajmniej w środowisq produkcyjnym można stacje konfigurować standardowymi procedurami: GPO, WSUS, SCCM – i to w dużym stopniu problem rozwiązuje.

zastanawiałem się też co się stało z Med-V – przez jakiś czas sądziłem, że może XP Mode to nowa nazwa dla wcześniej zapowiadanej usługi. i znów ciekawostka: o ile strona Med-V żyje i można na niej znaleźć m.in. taką informację:

Deploy and provision

  • Deploy IT-managed virtual XP environment to end users.
  • Enable customization in heterogeneous desktop environments.
  • Automate first-time Virtual PC setup (i.e., initial network setup, computer name, domain join).
  • Adjust Virtual PC memory allocation based on available RAM on host.
  • Application provisioning based on Microsoft Active Directory® users/groups
    • Assign a virtual image and define which applications are available to the user.
  • Redirect web requests that require Internet Explorer 6 to the virtual XP environment.
  • to w oficjalnym doqmencie na temat deploymentu XP Mode nie ma informacji o Med-V – pewnie dla tego, że oficjalne wsparcie dla w7 będzie w SP1 dla Med-V na początq przyszłego roq. w każdym razie kilka podstawowych informacji o zabezpieczeniu i konfiguracji można znaleźć, chociaż ograniczają się do spisania standardowych praktyk stosowanych do normalnych stacji.
    nie znalazłem jeszcze sprytnego opisu wykorzystania skryptów mountujących XP Mode i wykorzystania DISM – czyli offline servicing. a szkoda. mam nadzieję, że znajdę w końcu czas [huehuehue] albo że ktoś się weźmie za skryptowanie iXPeka w offlajnie.

    todo:

    • sprawdzić defaultowe ustawienie firewalla
    • sprawdzić defaultowe ustawienie WU

    eN.

    Ku pamięci – usuwanie Forefront Client Security

    Taki mały startup script do usuwania FCS-a ze stacji:

    Przy czym trzeba pamiętać, żeby odfiltrować/odpiąć polisę, która go wcześniej zainstalowała.

    Prywatność

    rozumiem problem prywatności i tego, że nasze dane są przechowywane w różnych miejscach ale przez ostatnie kilka dni tyle razy ktoś zwracał na to uwagę, że zastanawiam się czy ta paranoja nie jest zdeczka przesadzona. kilka przykładów z ostatnich 24h:

    • dane do karty miejskiej w ZTM. faktycznie – po co im te dane? ale czy zarejestrowanie jej powoduje, że faktycznie ktoś będzie w stanie wykorzystać… no właśnie – co? mój numer dowodu? wydaje mi się, że można go zdobyć na 1o.ooo innych sposobów. o tożsamości dużo pisze gibon i podaje tam tyle przykładów, że zastanawiam się, czy podanie firmie swoich danych czy ich nie podanie zmienia co kolwiek? rozmowa skończyła się tym, że moje dane finansowe przekazywane sa do USA
    • fotki na FB. gdybym się bał o swoją tożsamość tak potwornie, to bym w ogóle nie zakładał tam konta [jak część z moich znajomych – tych „najbardziej dbających o swoje dane”]. ideą tego portalu jest wymiana informacji pomiędzy użytkownikami, i utrzymywanie jakiegoś kontaktu. nie wpisuje tam za dużo swoich danych ale czy dodanie jakiejś fotki czy wysłanie wiadomości z ‚trochę bardziej wrażliwszą informacją’ jest na prawdę niebezpieczna? jakoś nie chce mi się wierzyć, żeby działał ‚projekt FBEchelon’ i ktoś skanuje wszystkie rozmowy – kim ja niby jestem, żeby mnie ktoś konkretnie wiskał?
    • no a teraz komentarze do publicznego DNS google… przecież w firmach i tak ustawiane są wewnętrzne a w domu od ISP – ten addr jest zajebisty w prostym scenariuszu: coś, gdzieś na szybko trzeba sprawdzić i nie pamięta się addr. „normalnych” serwerów – ode wieków mam w notatkach w telefonie addr kilq addr DNS właśnie na taką okazję, a teraz ich nie będę potrzebował…

    reasumując – nie wiem czy ja jestem aż tak naiwny czy ludzie dookoła zaczynają paranoizować? pod ostrzałem uwag i komentarzy straciłem możliwość „zdroworozsądkowego podejścia” bo autentycznie zaczynam się bać – a strach prowadzi do paranoi. czy ktoś ma jakiś przykład [choćby z drugiej ręki] wykorzystania np. nr-u dowodu osobistego? gdzie jest środek ciężkości? czy mam zrezygnować z kart płatniczych [bo przecież wiedzą co, gdzie i kiedy qpuję – zresztą dla tego często korzystam z bankomatów q:], czy mam wyrobić fałszywy dowód i zacząć rejestrować się na fałszywych danych?
    co z ogólnie rozumianym SSO [takim życiowym – np. jedna karta do kilq systemów, openIdentity i inne wynalazki?]? czyż nie chcemy ułatwiać sobie życia? aby to było możliwe *musi* istnieć jakieś ID powiązane z innymi ID w stałej relacji i zawsze na końcu wiąże się to z jakimiś danymi.

    grrrr… nie dość, że ostatnio generalnie się zgubiłem to jeszcze wpadnę w paranoję q: może warto przeprowadzić się do Afryki albo Ameryki Południowej… albo zaginąć w tłumie w Indiach – tam nie ma kontroli urodzeń, można żyć bez dowodów i mieć wymyśloną tożsamość. czy ceną za wygodne życie nie jest *zaufanie* do instytucji z których się korzysta? [ot choćby, że jak dzwonię po taxi to wiedzą kto dzwoni i gdzie jeździłem – niebezpieczne? dla mnie po prostu wygodne, bo oszczędza mi każdorazowego przedstawiania się, skąd jadę etc.]

    eN.

    Zaufany certyfikat za darmo?

    Ostatnio dużo sie zmienia w świecie zaufanych wystawców certyfikatów. Najpierw GoDaddy przepuścił ofensywę na pozycje, na których okopały się Thawte, Verisign czy Equifax, wypuszczając najprostsze zaufane certyfikaty za 50$ rocznie (a nie jak inni >150$). Po jakimś czasie ceny spadły nawet < 30$ rocznie, co skutecznie wykosiło konkurencje dla najtańszych certyfikatów. Odstraszać jedynie może niezbyt „poważna” nazwa wystawcy.

    Ale to nie wszystko – 22 sierpnia Microsoft do listy zaufanych urzędów certyfikacji dopuścił StarCom. Oznacza to, że wszystkie wersje Windows 2008 R2 oraz Windows 7 mają już wbudowanego tego wystawcę. A starsze systemy operacyjne automatycznie dostają aktualizacje za pomocą Windows Update.

    Co nam daje StarCom? Darmowe certyfikaty poziomu 1. Zaufane przez większość przeglądarek z IE, oraz także przez Google Chrome, Mozillę FireFox, czy Safari na jabłku . Niestety brakuje jeszcze wsparcia dla zaufania w Operzę, czy istnienia w domyślnych magazynach na Windows Mobile.

    Oczywiście certyfikaty poziomu 1mają wady – weryfikowana jest tylko nazwa domeny wystawcy, a informacje o organizacji nie są wyświetlane przy certyfikacie.

    Ale i tak lepszy certyfikat poziomu 1, niż lokalny. W szczególności, kiedy jest za darmo.

    https://www.startssl.com/

    Konsolka Forefront

    Teoretycznie uruchomienie konsolki Forefront Client Security na innej maszynie niż na serwerze FCSa jest niewspierane. Jednakże jest na to sposób :) Johan Blom napisał kiedyś jak to zrobić, a ja pozwolę sobie przetłumaczyć :)

    • Zainstaluj klienta FCSa na maszynie i upewnij się, że usługi forefrontowe są uruchomione
    • Uruchom FCSMS.MSI z płytki instalacyjnej (jest w katalogu “server”), a następnie zignoruj wszystkie ostrzeżenia
    • Z serwera FCS wyeksportuj klucz [HKEY_LOCAL_MACHINESOFTWAREMicrosoftMicrosoft ForefrontClient Security1.0Config], a następnie zaimportuj go na komputer, na którym chcesz uruchamiać konsolkę
    • Zatrzymaj usługę “Microsoft Forefront Client Security Management Service”
    • potem w menu start StartProgramsMicrosoft ForeFrontClient Security jest działająca konsola :)
    • jedna uwaga – działa tylko na systemach x86

    NewSid nie potrzebny?

    Klonując dyski z systemami Windows, Microsoft od zawsze ostrzegał nas o konieczności używania narzędzia systemowego Sysprep. Narzędzie to, oprócz sprzątania zależności sprzętowych w systemie, miało też generować nowy SID.

    Oczywiście nie wszyscy admiistratorzy używali sysprep. Niektórzy, wliczając w tym mnie, woleli używać narzedzia firmy Symantec – ghostwalk. Prostsze i przyjemniejsze – zamiast sprzątać w całym systemie, po prostu zmieniało SID komputera w trybie offline.

    Później przyszła era internetu i prostych narzędzi z Sysinternals – w tym graficznego narzędzia NewSID. Proste, okienkowe, i działało. SID komputera był bez problemu zmieniany, podobnie jak nazwa komputera.

    Aż pewnego pięknego dnia Mark Russinovitch zadał sobie pytanie – do czego jest wogóle komputerowi zmiana SID-a? Przecież konta systemowe, czy konta specjalne mają taki sam sid na każdym komputerze. A jednak się wszystko działa. Wykorzystując to że Microsoft kiedyś przejął Sysinternals, Mark postanowił zapytać się grupy produktoweco daje zmiana SID-u, i dlaczego jest wymagana. Nikt mu nie odpoiwedział. Po kilku testach które wykonał, okazało się że zmiana SID-u na komputerze nie jest wykorzystywana. Przez sieć przy uwierzytelnianiu nigdy nie są przekazywane SID-y w czystej formie. Jedyny wyjątek stanowią urządzenia przenośne, ale kto jeszcze wierzy że uprawnienia na pendrivie przy zapisie NTFS będą respektowane przez system operacyjny, a użytkownik nie nadpiszę ich po prostu korzystając z uprawnień administracyjnych na innej stacji?

    W związku z tym NewSid został wycofany, nie przez to że nadszedł jego kres, a po prostu dla tego że wymiana SID-u na komputerze była jedną wielką mystifikacją microsoftu mającą na celu zmuszenie administratorów do używania sysprepa – chociażby po to aby wymusić aktywacje systemu.

    Zachęcam też do orginalnego artykuły Marka Russinovicha  – The Machine SID Duplication Myth

    TrueCrypt i zła pokojówka

    Joanna Rutkowska popełniła bardzo ciekawy wpis na blogu Invisible Things Lab. Okazuje się, że TC można połamać… i to w miarę łatwo… Czas kupić sprzęt z TPM…

    Parę słów narzekania – Forefront

    Wreszcie eMeSowi udało mi się wyprowadzić mnie z równowagi. Ogłosili opóźnienie Forefront Endpoint Protection 

    Przecież to jakaś paranoja. wydają qpy w stylu WS2008R2, które nic nie wnoszą i zbierają mieszane opinie przez skopane licencjonowanie, a FCS, który nigdy nie dostał złej opinii, którego sobie chwalą wszyscy, którzy go znają zostaje olany. W dodatku FEP2010 będzie oparty o SCCM2007! Heloł! żeby to postawić razem ze Stirlingiem/FPS trzeba będzie z 8 giga pamięci (ten stoi na SCOM). I najprawdopodobniej Multihomming będzie na podstawie przenikających się Site-ów. pomijając fakt, że wdrożenie na jednym pudełku będzie strasznie bolesne (SCCM i SCOM razem? no fukkkkkin way!) Poza tym po co zmieniać pomysł, gdzie FEP (client sec) i FPS (Stirling) są połączone? w betach działało to na prawdę dobrze. Aż tak, że pokusiłbym się o postawienie jej do produkcji.

    Podsumowując wpis na blogu FF rozumiem tak – przepisujemy produkt od nowa. poczekajcie rok albo i więcej. Przypomina się sytuacja z Service Managerem, który już ma prawie 3 lata obsuwy (miał być najpóźniej rok po SCOMie)

    FUKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKK

    Forefront Endopint Protection Fail

    Jak zwykle obiecanki cacanki. Tak dla sportu przeglądałem dokumentację do Stirlinga w poszukiwaniu braków i bubli 9a takich na technecie nie brakuje ;) ) i trafiłem na coś takiego:

    Upgrading or migrating Stirling

    [This topic is pre-release documentation and is subject to change in future releases. Blank topics are included as placeholders.]

    This document describes upgrade and migration scenarios for this beta release of Stirling. Material in this document replaces the content in the topic “Upgrading or migrating Stirling” in the Stirling Deployment Guide.

    The following upgrade and migration scenarios are supported:

    The following upgrade or migration scenarios are not supported:

    • Upgrading server components from the public Beta 1 or public Beta 2 version to this version of Stirling
    • Upgrading client components from public Beta 1 to this version of Stirling
    • Migrating from one server topology to another
    • Migrating from a third-party solution to Stirling

    Czyli jednym słowem – będzie można aktualizować końcówki, ale i scenariuszu in-place dla topologii serwerowej można zapomnieć. Pięknie. Po prostu pięknie! tak z czystej ciekawości chyba zrobię infrastrukturę mieszaną i zobaczę jak FCS się kłóci z FEP :D

    %d bloggers like this: