Archive

Archive for the ‘Security’ Category

TechNet videos: Security Compliance Manager 2 teaser

June 30th, 2011 Comments off

Want to take an early look at the next version of the Security Compliance Manager (SCM) 2 tool? In this three-part screencast series with Sr. IT pro Evangelist Matt Hester, he takes you on a quick tour of the tool’s features and benefits, including new features in SCM 2 like GPO import, baseline setting customization, local GPO functionality, an enhanced user interface, and an improved installation experience.Check out these new screencasts!

Use SCM 2 to harden your machines to meet industry standards

June 29th, 2011 Comments off
Microsoft Security Compliance Manager (SCM) 2 enables organizations to take better advantage of their existing knowledge and investments, and customize security and compliance settings with ease. Customers can harden their machines to industry standards, monitor for configuration drift and address the configuration requirements of hundreds of regulations like SOX, PCI and HIPAA. Learn more.

New SCM 2 features include:

  • GPO import: SCM 2 can now import Group Policy Object (GPO) Backup files to allow organizations to import and compare their existing knowledge against Microsoft baseline recommendations. This long-awaited feature effectively helps you to customize and manage your organization’s existing knowledge stored in Active Directory.
  • Baseline setting customization: Modifying baselines just got easier. Adding, extending, or deleting settings from a baseline is an effortless process in this new version of the tool.
  • Local GPO functionality: Apply security baselines directly to client and server computers using the LocalGPO command-line tool, which enables you to secure stand-alone computers and test different baselines without using Active Directory to deploy them. Use this tool to create local policy snapshots that you can import into SCM 2 using the new GPO import capabilities, which you can then compare, customize, and export as needed.
  • Additional features: These include a new and enhanced UI that provides simpler navigation in the tool, and improved installation with SQL Server 2005 and later releases of SQL Server.

Version 2 of the SCM tool will release with a full complement of Microsoft product baselines, including these new and/or updated baselines:

  • Windows Internet Explorer 9
  • Windows Server 2008 R2 Service Pack 1 (SP1)
  • Windows Server 2008 SP2
  • Windows Server 2003 SP2

————————————————————————————————————-

In more detail

Microsoft Security Compliance Manager (SCM) 2 provides security and compliance configuration recommendations from Microsoft, centralized baseline management features, a baseline portfolio, customization capabilities, and security and compliance baseline export flexibility to accelerate your organization’s ability to efficiently manage the security and compliance process for the most widely used Microsoft products and technologies. The formerly stand-alone product-specific security guides are now included in the SCM tool.

Version 2 of the SCM tool releases with a full complement of Microsoft security and compliance baselines, including a new Windows Internet Explorer 9 Security Baseline, and updated baseline versions for Windows Server 2008 R2 SP1, Windows Server 2008 SP2, and Windows Server 2003 SP2.

These new beta baselines provide:

  • Setting severity ratings, allowing you to quickly sort, prioritize, and apply Microsoft security and compliance recommendations.
  • Consolidated product baselines that eliminate EC and SSLF baseline components, and make viewing, customizing, and implementing your security baselines easier than ever!
  • New compliance-based settings groups allow quicker and easier compliance reporting and audit preparation, when used with the  GRC management solution within System Center.

Additional product baselines are currently in development, including baselines for: Windows 7 SP1, Microsoft Exchange Server 2007, Exchange Server 2010, SQL Server 2008 and SQL Server 2008 R2 (multiple roles), Office 2010, Windows Vista SP2, Windows XP SP3, and Windows Internet Explorer 8.

To learn more about the Security Compliance Manager tool, visit the TechNet Library.

IE CRL check FAIL…

March 2nd, 2011 2 comments

Just follow the steps below:

 

1. IE setting for CRL checking of the server certificate is enabled

 

2. Set the hostnames of servers hosting the CRL and /or OCSP to 127.0.0.1 in your hosts file

 

3. Execute [certutil.exe -urlcache * delete] to remove all cached CRLs

 

4. Start your browser and tell it to HTTPS:// to the site

 

5. It will take some time trying to check the CRL/OCSP from the non-existing server

 

6. After that you are on the site without any warnings! Not really what I expected?!

 

Firefox gives the same results and only Google Chrome gives us a warning…

What if the same happens with Code Signing? Interesting case we have!

/Hasain

Speaking DirectAccess @ Second Wednesday

November 23rd, 2010 Comments off

Hi,

The last Second Wednesday this year is going to be about DirectAccess. Why, who, how, when and what is it all about? Take the opportunity to discuss all of that and much mor…

Read more and reserve your free seat at:

http://www.labcenter.se/2w.aspx

or

http://www.facebook.com/event.php?eid=104672269605105&num_event_invites=0

See you the 8:th of December at LabCenter in Stockholm.

BR
Hasain

Authentication Mechanism Assurance for AD DS in Windows Server 2008 R2

January 21st, 2009 Comments off
What if you could add add group membership to a user's access token when the user is authenticated using a certificate-based logon method and making the policies included in the certificate to decide what groups should be added.

This is now possible using the Authentication mechanism assurance feature in Active Directory Domain Services (AD DS) in Windows Server 2008 R2. When enabling this feature a user's access to resources on the network when authenticated using certificate based logon can be treated as different from what that access would be when the user types a user name and password as the user's group membership is changed reflecting the authentication method used

This feature is intended for organizations that use certificate-based authentication methods, such as smart card or token-based authentication systems. Organizations that do not use certificate-based authentication methods will not be able to use authentication mechanism assurance, even if they have Windows Server 2008 R2 domain controllers with their domain functional level set to Windows Server 2008 R2.

The best part of this feature is that any client or server operating system that is able to interpret Windows access tokens can be used to grant or deny access based on the group membership or memberships that are added to a user's token by authentication mechanism assurance.

 /Hasain

TechEd EMEA 2008, dagen före

November 3rd, 2008 Comments off

Efter säkerhetskontrollen på Arlanda och den numera standardmässiga frågan om alla de datorer, som jag plockade upp och la på bandet, var mina så spang jag på Joakim Nässlander som också var på väg till TechEd. När det väl var tid för att stiga ombord på planet hade samligen av likasinnade blivit tämligen stor och kön ringlade lång utan för gaten.

Några timmar att koppla av och förbereda sig rent mentalt för TechEd tänkte jag men det varvades med en mycket intressant diskussion med en SQL-administratör från ett stort svensktbolag, diskussionen kretsade givetvis kring säkerhet, branväggar, WLAN, IPSec, dåliga lösenord, webappar, senaste Windows buggen och en massa beroenden.

Jag tycker att frågorna som vi avhandlade var så intressanta att jag kommer att skriva en serie blogginlägg där jag försöker belysa problematiken om och kring it-säkerheten idag som den komponent som måste finnas med i nästan allt arbete som utförs inom och kring it-system.

Det kommer säkerligen att vara många fler intressanta diskussioner under veckan som kommer och för er som inte är på plats här så kommer jag att försöka förmedla så många som möjligt via denna blogg

/Hasain

Categories: Lösenord, Passwords, Security, TechEd Tags:

Many hours to be spent on Windows 7 the next months

October 15th, 2008 Comments off
Categories: beta, Security, TAP, Windows 7 Tags:

"Rip and Replace" certificate services from Windows Server 2003 to 2008

September 29th, 2008 Comments off

Is it possible to migrate a Windows Server 2003 based Certification Authority to Windows Server 2008?

The answer is yes but you need all detailes in the Active Directory Certificate Services Upgrade and Migration Guide from Microsoft found at http://www.microsoft.com/downloads/details.aspx?FamilyID=C70BD7CD-9F03-484B-8C4B-279BC29A3413&displaylang=en

The short answer would be that you need to performe the following steps:

  1. Backup your existing CA using the certutil -backup command
  2. Install the new Windows Server 2008 CA with the same name as the replaced server
  3. Add the ADCS role and import the CA-certificate from the backup
  4. Upgrade the templates to WS2008
  5. Restore the old CA database using the certutil -restore  command

 

/Hasain

Categories: ADCS, certutil, Security, Windows Server 2008 Tags:

Vi ses på Tech-Ed EMEA 2008

September 21st, 2008 Comments off

Jag kommer att köra två sessioner på årets Tech-Ed EMEA. sessionerna kommer att handla om säkerhet i WLAN samt Server & Domain Isolation och hur man rent praktiskt bygger enligt konceptet.

Myths and facts of WLAN security

It's actually quite easy to secure
wireless networks, manually configuring MAC addresses or disabling SSID
broadcasting is not a substitute for an appropriate encryption
standard. Based on our real life experiences we will guide you through
some simple steps to secure your WLAN infrastructure building a secure, easy to manage and working wireless networking using components already built into
your Windows Servers and clients.

Server and Domain Isolation = a dynamic secure network

A demo based on a customer case
setting up the next generation secure network. Enabling the users to
dynamically connect and gain access to resources, based on a
combination of user and computer security configuration regardless of
their physical location, using the Windows Firewall with Advanced
Security and Network Access Protection components built into Windows
Server 2008 and Windows Vista.

 

Vi ses i Barcelona

/Hasain

Categories: Domain Isolation, EMEA, Security, Tech-Ed, TechEd, WLAN Tags:

Ladda ner verktyget för hantering av Admin & User PIN/Code på Minidriver baserade kort

May 7th, 2008 Comments off

Vi har nu färdigställt ett verktyg för hantering av Admin & User PIN/Code på Minidriver baserade kort, verktyget släpps som GPL och är tänkt att kunna användas för hantering av mindre mängder kort.

Varför ett sådant verktyg? Vi anser att detta borde funnits i Base CSP:n från början på samma sätt som pintool och motsvarande verktyg i Vista/2008.

Ni får självklart sprida vidare och framtida uppdateringar kommer dessutom att finnas tillgängligt för nedladdningar från www.labcenter.se

Användning:
—————————————————————————-

scUtil.exe, version 1.0, Author: Bjorn Osterman, Company: TrueSec AB, Sweden

syntax: scUtil.exe unblockpin        <adminkey>    <newpin>
scUtil.exe changepin         <oldpin>      <newpin>
scUtil.exe changeadminkey    <oldadminkey> <newadminkey>
scUtil.exe calculateresponse <adminkey>    <challange>
scUtil.exe generaterandomkey

<adminkey> is one the the following alternatives:
– 48 hexadecimal characters
– “default”, representing 48 zeroes
– “random”, representing 48 random hexadecimal characters

<pin> is variable-length string composed of alphanumerical characters
—————————————————————————

Ladda ner: scUtil.zip

/Hasain

Utfärda certifikat med anpassat subject och alternative subject name

October 16th, 2007 Comments off

När man installerar en SBS server så får man med ett self-signed certifikat med flera CN i subject-fältet, detta är ganska praktiskt om man har en server som man vill nå med https och olika namn utan den berömda certifikat varningen.

Om du själv vill skapa ett sådant certifikat med hjälp av din Windows 2003 baserade CA så kan du göra det genom att följa denna instruktion:

  1. Tala om för CA tjänsten att det är OK att ändra Subject och Alternative Subject Name i ett cert request genom att köra följande kommandon på din CA server:
    1. certutil.exe -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
    2. certutil.exe -setreg ca\CRLFlags +CRLF_ALLOW_REQUEST_ATTRIBUTE_SUBJECT
  2. Starta om Certsvc tjänsten så att inställningarna tas i bruk
  3. Skapa ett certifikat begärna (cert request), eller använd exempelvis den som kommer från IIS:ens certifikat guide
    • Om du vill skapa en egen request  baserad på en bef. mall så kan du använda följande steg
      1. Spara ner filen req.txt (kolla attachements) till din lokala disk
      2. ändra i den så CertificateTemplate pekar på den mall du vill utgå ifrån
      3. kör:  certreq.exe -new req.txt cert-req.txt
  4. kör följande kommando för att ändra subject-fältet så att den innehåller flera CN=
    • certreq.exe -attrib "CN:localhost\nCN:www.test.com" -submit cert-req.txt new.cer
  5. Installera certifikatet och koppla den till det nyckelpar som skapats genom att köra: certreq.exe -accept new.cer
  6. Kör certmgr.msc och titta under private så hittar du det nya certifikatet och kan exportera den tillsammans med nycklarna

/Hasain

Utöka giltighetstiden på en V1 mall i Windows 2003

October 16th, 2007 Comments off

En av föredelarna med att köra sin CA på en Windows Server 2003 Ent. Edition är att kunna utfärda certifikat med anpassade inställningar genom att kunna utnyttja v2 certifikat mallar. De flesta som jag har varit i kontakt med vill ha v2 mallar för att utöka giltighetstiden på ett certifikat.

Om man nu inte har en Windows server 2003 Ent. Edition men vill gärna få exempelvis ett smart card logon certifikat att gälla i tre eller fyra år så kan man pröva följande:

  1. Använd certtmpl.msc för att skapa en kopia av någon av mallarna som finns i lista, ta exempelvis user mallen och skapa en kopia av den
  2. Justera tiden till önskad inställning, exempelvis 3 år
  3. Använd adsiedit.msc för att plocka fram den nya mallen som finns under Configuration/Services/Public Key Services/Certificate Templates
  4. Leta nu efter pKIExpirationPeriod bland attributen för mallen
  5. kopiera nu värdet av detta attribut, bör linka detta: 00 00 E5 1C BA 84 FB FF
  6. Plocka fram den v1 mall som du vill utöka tiden på
  7. Leta nu efter pKIExpirationPeriod bland attributen för mallen
  8. Editera den och klistra in värden som du kopierade från förra mallen
  9. Nu har du en v1 mall som gäller i 3 år 🙂

Din CA kommer inte att tycka att detta är något fel, mallen är ju en v1 mall med lite längre giltighetstid men glöm nu inte att se till att din CA kan utfärda certifikat som gäller mer än standard tiden på 2 år genom at ändra nycklarna

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc
\Configuration\ CA xxx
\
ValidityPeriod

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc
\Configuration\ CA xxx
\
ValidityPeriodUnits

 

Detta bör fungera utan problem i de flesta system…

/Hasain 

TCG-TNC & NAP

August 10th, 2007 Comments off

Microsoft och Trusted Computer Group
har publicerat ett dokument om standardisering av NAP och
kompatibiliteten med Trusted Network Connect (TNC) arkitekturen. Att
NAP är kompatibel med liknande lösningar på marknaden
är känt sedan tidigare men detta gör att den kommer
att kunna användas i alla system som har stöd för
IF-TNCCS (protokollet som förmedlar SSoH och SoHR till och från
NAP servern) och som väljer att införa den Microsoft
kompatibla IF-TNCCS-SOH varianten.

NAP agenten till Windows XP kommer att
vara en del av SP3 och för de som kör Linux och OSX så
funkar det redan med NAP/NAC klienter från exempelvis Avenda
Systems.

Vill du läsa mer om detta eller
får en bra förståelse om hur NAP funkar så
rekommenderar jag följande dokument från TCG:

https://www.trustedcomputinggroup.org/specs/TNC/IF-TNCCS-SOH_v1.0_r8.pdf

Categories: NAC, NAP, Security Tags:

Ubuntu & PKI

July 30th, 2007 Comments off

PKI finns idag i de flesta tillämpningar som körs under Linux, om stödet inte finns med från början så går det i de flesta gångerna att lägga till det i efter hand och är man lite händig själv så kan man fixa till PKI i det mesta men då får man vara beredd att sätta sig vid tangentbordet själv 🙂

Efter att ha konstaterat att PKI är ganska supporterad i Ubuntu/Linux, så kom turen till att testa med smartkort. För att smartkort ska funka så behövs en drivrutin till läsaren och CSP programvara som mappar mellan rådande standard och smartkortet. De standard som används i Linux när det gäller smartkort är PKCS11 och korten är antigen PKCS15 eller så emuleras PKCS15 av CSP.

Det finns två projekt som kommit längst i Linux när det gäller smartkort, OpenSC som kan hantera många kort med filsystem och RSA modul är den ena och Musclecard so kan hantera många java-baserade kort är den andra. Jag började med att testa OpenSC och har mer eller mindre fastnat för den 😉

OpenSC klarar av att prata med smartkort och läsare baserade på CT-API, PC/SC och OpenCT. läsaren som jag använder är Gemplus GemPC Twin som är ett USB CCID och kommunicerar med PC/SC. det som behövdes för att få fat på läsaren är libccid(driver för CCID USB Readers), Pcscd(PC/SC Middleware) och OpenSC(PKCS11/15 tools and API) med tillhörande plugins för exempelvis Mozilla.

Om man ska jämföra lite så måste jag säga att jag saknar den kompletta CSP implementationen som ju finns i Windows! I Linux så stödjer alla ett gränssnitt mot PKCS11 men den finns inte i själva OS:et eller på ett automatiserat sätt utan måste pluggas in i varje applikation eller de lav systemet på ett mer eller mindre mauellt sätt. Den manuella aktiviteten är nödvändig i början och allt brukar funka om man byter kort eller läsare givet att det nya kortet och den nya läsaren är kompatibla med systemet.

Jag har testat och kört Smartkort i Firefox samt lokal smartkortlogon i Ubuntu. För Firefox så behöver man manuellt lägga till en modul för att kunna använda smartkortet via OpenSC, efter det så finns kortet och de cert och nycklar för HTTPS/SSL inloggning. Lokalinloggnig med smartkort i Ubuntu var lite mer av ett äventyr, det fanns färdiga PAM moduler men ingen av de funkade, man fick bara ett fel meddelande om att signeringen inte kunnde genomföras, efter lite tester så visade det sig att det meddelande som skickades till kortet för signering var för långt, det är troligtvis en miss i testprocessen där man inte räknat med begränsningar som beror på korten eller mjukvaran runt dessa. Efter en justering och en ny kompilerad pam-modul så funkade det utmärkt 🙂

Det finns två varianter av smartcardlogon som pam-modul, en som inte genomför någon kontroll av certkedjan och CRL:en och en som följer konstens alla regler och kan automatiskt mappa användare i systemet beroende på egenskaper i det cert som finns på kortet. Den första av dessa funkar fint med selfsigned certfikat och är ganska enkel att sätta upp då man lägger certfikatet i en fil i användarens hemmamapp, vid inloggning kommer pam-modulen att försöka hitta lämpliga nycklar på det kort som sitter i läsaren som matchar certet, den kommer sedan att be kortet signera lite slumpdata för att sedan verifiera signaturen mot det certo och nyckel som finns i användarens hemmamapp.

Smartkortlogon via SSH ska enligt uppgift från Johannes G. funkar bra, har själv inte hunnit testa dett men hoppas kunna återkomma om det.

/Hasain

Categories: CSP, OpenSC, PKCS, PKI, Security, Smart Card, SSL, Ubuntu Tags:

Ubuntu & säkerhet

July 27th, 2007 Comments off

Det finns en mängd olika guider om hur man ska bete se för att säkra en standard installation av div OS, detta är inte något sådant utan bara min egna tankar om en nyinstallation Ubuntu!

Det finns två frågor att ta ställning till:

  1. Kan någon komma åt mitt system via nätverket?
    Nej, jag kommer inte att exponera några tjänster, och är det så att jag gör det så ska en brandvägg kontrollera vem kan ansluta alternativ ska detta aktiveras vid behov, rent manuellt altså 🙂
  2. Kommer jag att köra godtycklig kod på min maskin?
    Kanske?! jag kommer nog att surfa lite och så vill man installera lite appar och sånt. Då är det viktigt att inte vara inloggad som root och dessutom vara försiktig vart man tar vägen och vad browsern får göra.

    Det första fixar Ubuntu lika snyggt som exempelvis UAC i Vista, det andra fixar vi med lite plugins till firefox som exempelvis noscript och adblock och så fixar vi en hosts fil som tar hand om adresser till kända bråkmakare som reklamsiter och annat smått och gått man inte vill ha kontakt med.

När den gäller säkerheten i filsystemet så SKA filsystemet vara krypterat, om du inte kan ha ett krypterat filsystem så tänk på att skydda single user logon via ett lösenord(MD5) i menu.lst och glöm inte att ställa in rättigheterna ordentligt i filsystemet, detta speciellt om det finns flera olika användare i systemet.

Hosts filer finns det gott om på nätet, prova "mvps hosts" i google, ett händigt skript för att styra brandväggen hittar du bland bifogade filer.

Nästa inlägg kommer att handla om att glömma lösenorden i Ubuntu och börja köra certfikat och PKI.

/Hasain

Categories: PKI, Security, Ubuntu Tags:

Vågar du lita på WLAN – Del III

April 11th, 2007 Comments off

Det var ett tag sedan 🙂 så blir det om man inte kan säga nej till alla frågor som väller in från alla håll….

Vi fortsätter vår diskussion och enligt mina noteringar så har turen kommit till att beskriva den själv konfigurerande "onda" accesspunkten efter att ha haft all infrastruktur på plats.

När andra har gjort en s.k. evil-twin eller fake-ap så har man siktat på att göra allting i egen regi, man skapar en applikation som lyssnar efter datorer som söker sina SSID:n och sätter upp de SSID:n via ett nätverkskort som sätt i AP-mode vilket skapar en del beroenden till platform och hårdvara och till och med versioner av drivrutiner.

Så till skillnad från alla andra så tänkte jag göra livet lite enklare för mig och mina kollegor som ju vill använda detta på ett snabbt och enkelt sätt.

Jag tog ett av de mest använda applikationerna för WLAN-sniffning och ändrade den lite så att den kör ett extern program/skript för varje förfråga på SSID den ser i luften. Det externa programmet konfigurera sedan en helt vanlig accesspunkt med det SSID som just frågats efter och vips så har vi en fake-ap/evil-twin utan att behöva bry sig om att brygga trafiken mellan olika interface eller agera AP osv….

Dessutom så får man andra kvalitativa egenskaper, man är inte längra begränsad till ett nätverkskort i en laptop utan kan köra en riktig AP med bra antenner och få en täckning av både kvantitet och kvalitet och dessutom så är det en baggis att ha flera SSID:n i luften på en och samma gång.

Det modifierade programmet heter airodump och är en del av det gamla aircrack verktygslådan, moddningen av den var ganska enkel och jag gjorde så att den körde ett jscript för att konfigurera om min AP.

Alla moderna AP som finns idag har ett web-ui som kan användas för att ändra inställningar så med lite MSXML i jscript var saken gjord.

Hur funkar det hela då?

Jo…

  • man tar en dator, utrusta den med att WLAN-kort som är kompatibel med airodump (atheros chipset)
  • man tar en AP, hittar det POST eller GET förfrågan som behövs för att konfigurera ett SSID och justerar jscriptet med den
  • koppal ihop datorn och AP så de kan prata IP med varandra
  • köra det modifierade airodump (vi kallar den ts-airo 😉 ) på datorn
  • vänta på de som frågar efter SSID:n
  • njut av resultatet 😉

Glöm inte att se till att ha restrerande ifrastruktur på plats så att de som kopplar upp sig till din AP får IP och blir lurade till din Fiddler så att du kan ta hand om deras trafik, hehehehe

Bifogar givetvis ts-airo.exe för de som inte orkar fixa den själva, bifogar även två exemplar av jscriptet för att konfigurera en D-Link och en Cisco Aitonet AP 🙂

Ett par saker innan vi säger tack för denna gång…

Glöm inte att döpa om ditt ap-config-skript till set_ssid.js, och nej det funkar inte med vbs om du inte kodar om appen ;).

Bifigar även koden för ts-airo då airodump går under GPL så har jag ryggen fri…

och dessutom så vill jag varna för att denna aktivitet kan vara väldigt olagligt om man inte aktar sig så använd verktygen med en dos försiktighet

Categories: Access Point, AP, Fake, Monitor, Security, SSID, WIFI, WLAN Tags: