January 2007 - Posts

Šta bih voleo još da vidim u zaista ogromnoj paleti proizvoda Microsofta? Voleo bih da vidim jedan čistokrvni Intrusion Detection ili Prevention System (IDS/IPS). Nemam ideju zašto do sada nisu napravili tako nešto, pa smo osuđeni da se snalazimo. Generalno gledano postoje samo dva izbora: komercijalni i free software.

Da ne reklamiram neke vendore na ovom blogu, a i kao neko ko ne može da priušti sebi da kod kuće ima IDS/IPS rešenje od par hiljada do par desetina hiljada nečega, moj izbor je Snort -> http://www.snort.org. Prvenstveno razvijan za Linux platformu, portovan je i na Windows .

Povod za ovaj post je savet u vezi trenutno aktuelne verzija 2.6.1.2. Ukoliko niste programerski mag, nemojte je instalirati. Ona jednostavno ne radi na Windowsu. Ne šalim se. Ako želite verziju koju možete da instalirate bilo na Windows Server ili na XP i da pri tome ne potrošite sate i dane pokušavajući da doprogramirate tuđ softver, instalirajte verziju 2.4.5, koja radi out-of-the-box, bez ikakvih intervencija pod haubom.

 

Ako ste pokušavali da na Windows 2003 serveru pokrenete batch fajl preko task schedulera, onda odlično znate da to nije baš jednostavno.

Prvo, za pokretanje batch procedura nije dobro koristiti nalog administratora (mada pod tim nalogom sve odmah proradi Big Smile ), već se kreira običan korisnički nalog pod kojim će se izvršavati skript/skriptovi. Razlog za ovakav pristup problemu će biti objašnjen na kraju posta.

Drugo, sigurno ste primetili da task koji smo napravili, ne radi. U knjizi piše da je to zato što nismo dali pravo našem novokreiranom nalogu da se loguje kao batch job.
Rešenje je: Start -> Programs -> Administrative tools -> Local Security Policy (ili na DC-u -> Domain Controller Security Policy) -> Local Policies -> User Right Assignment -> Log on as a batch job, i ovde dodamo korisnički nalog.
Nakon podešavanja polise, sačekamo da se task ponovo pokrene preko schedulera i na kraju zaključimo da opet ne radi. U Task Schedulery piše da job nije nikada odrađen, u statusu stoji vrlo deskriptivan kod 0x0, dok u Event Vieweru ne postoji ni najmanja naznaka da ste uopšte pokušali da pokrenete neki job. Ponovo proverimo polisu i vidimo da smo sve podesili kako treba. U čemu je zapravo problem?

Problem je u ACLovima direktno na cmd.exe fajlu koji su prilično (a tako i treba) restriktivni.
Ukoliko pogledate dozvole na Windows -> System32 -> cmd.exe videćete da običan korisnik nema prava nad ovim fajlom. Dodajte sledeće dozvole: Read i Read and Execute za vašeg korisnika i sve će proraditi bez problema.

Napomena: Drugi skriptovi, npr. VBS, ne zavise od cmd.exe i dozvola nad njime!

Zašto nije dobro pokretati batch fajlove pod admin privilegijama?
Ukoliko neko maliciozan ima pristup batch skriptu koji radi pod administratorskim privilegijama, vrlo lako može sebe dodati u administrators grupu jednostavnim dodavanjem linije koda u skript (net group, dsmod i sl.).

Sigurno vam se dogodilo da pokušavate nešto da podesite tačno onako kako piše u knjizi iz date oblasti, ali bez uspeha. Da ne ulazim u razmatranje zašto u knjigama ne piše baš sve što bi možda trebalo, odlučio sam da rešenja takvih problema (onih na koje sam naišao, naravno) pišem pod naslovom "Šta ne piše u knjizi".

Dobro jutro i dobro došli na blog posvećen informatičkoj bezbednosti i Microsoft tehnologijama.
Ideja je da, kada god nađem vremena, postujem nešto na blog, bilo direktno, bilo indirektno povezano sa Microsoft tehnologijama.

Teme će uglavnom biti iz sledećih oblasti:

  • Security generalno
  • Windows Security
  • ISA server
  • PKI
  • Sve ostalo sto bi moglo da bude interesantno & korisno

Do skorog blogovanja!