Berichten

Kerberos – Impersonation – Ticketing

Kerberos ticket voorbeeld Daniel Sonck [CC BY-SA (https://creativecommons.org/licenses/by-sa/3.0)]
Kerberos ticket aanvraag

Kerberos, ticketing en impersonation. Waar ga ik beginnen? Want werk je in de ICT ben je er ongetwijfeld al eens tegenaan gelopen. Maar was er dat besef dat het hier om dit onderwerp ging toen de foutmelding naar voren kwam? En zo complex als het lijkt, zo eenvoudig kan het zijn als het een plekje heeft. Laat me je meenemen en beginnen met een voorbeeld:

We nemen Navision als voorbeeld. Stel je drukt in Navision op een knop welke een proces in de achtergrond start. De uitkomst van dit proces wordt weggeschreven naar de bestanden in een map. Niet spectaculairs, maar vanuit een beveiliging oogpunt wel. Wat hier feitelijk gebeurt is dat Navision de opdracht gaat verwerken namens de gebruiker die de opdracht heeft gegeven. Jij dus. Dit betekent dat iemand, in dit geval iets, zicht voordoet als iemand anders op het netwerk. Best bijzonder, want juist daarom werk je me Multi Factor Authenticatie. Om dit te voorkomen.

En er is nog een vraagstuk. Stel nu eens dat jij als gebruiker helemaal niet op die betreffende locatie mag schrijven via de verkenner. Dan zou dit impliciet via Navision wel mogelijk zijn. Puur omdat jij binnen Navision de opdracht “mag” geven? Je hebt rechten om dit proces te starten, maar is het logisch dat je daarmee ook alles mag wat nodig is om dit proces tot een succes te laten komen, ook wanneer daarmee acties worden verricht die je normaal niet mag? Nee dus.

En hier komt Impersonation om de hoek kijken. Wat er feitelijk gebeurt is dat onderliggend, door jou als gebruiker, een ‘kerberos ticket’ wordt afgegeven aan Navision. Een ticket uit jouw naam met de machtiging dat Navision bestanden namens jou mag klaarzetten.

Vanaf hier heb jij als gebruiker iemand een “machtiging” gegeven. Navision is gemachtigd om namens jou als persoon bestanden op te slaan. Wanneer Navision klaar is met het desbetreffende proces, dan wil deze de beloofde bestanden op de opgegeven locatie opslaan. Hiervoor gaat Navision naar de beheerder van het opslagsysteem, in deze de ‘file server’. Navision doet het verzoek de bestanden op te slaan als de betreffende gebruiker, jij dus.

En hier vallen de puzzel stukjes op zijn plek.

De ‘fileserver‘ ontvangt het verzoek van Navision om bestanden namens een ander op te slaan. De ‘fileserver’ wil echter wel zekerheid dat de gebruiker hiervoor Navision heeft gemachtigd. Gelukkig heeft hiervoor Navision eerder het ‘kerberos ticket’ verkregen. Dit ticket, welke alleen door de betreffende gebruiker kan worden gegenereerd, omschrijft de machtiging voor Navision. Dit ticket geeft aan dat Navision namens de gebruiker de bestanden op mag slaan op de ‘fileserver’.

Laten we deze stappen vertalen naar Kerberos, ticketing, impersonation.

Hoe weten we wie de gebruiker is? -> De aanmeld gegevens worden geverifieerd bij het eerste contact met, in ons voorbeeld, het Windows (Active Directory) Domein.
De Kerberos aanmelding wordt afgehandeld door het KDC (Key Distribution Center).

De gebruiker geeft een machtiging af -> Dit gebeurt via een ticket. Er wordt bij het centrale punt, de KDC, gevraagd om een speciaal ticket. Bestemd voor Navision, met als doel een opdracht namens de gebruiker te geven om bestanden op te slaan.
De aangevraagde machtiging wordt vertaald naar een kerberos ticket

Navision gebruikt de machtiging -> Navision verzoekt de fileserver om bestanden op te slaan namens de gebruiker. De fileserver wil weten of Navision dat mag, en derhalve wordt het Kerberos ticket gebruikt bij de aanvraag.
Navision overhandigt het verkregen ticket. Impersonation maakt het mogelijk dat Navision zich voor mag doen als de betreffende gebruiker.

De fileserver verifieert de machtiging -> Mag Navision zich inderdaad wel voordoen als een gebruiker? Navision heeft wel een ticket, maar mag deze zich ook inderdaad voordoen als een gebruiker. En als deze gemachtigd is, voor wat voor dienst is deze gemachtigd. Mailen is heel wat anders dan bestanden opslaan. Door dit te beperken tot alleen de benodigde rechten vindt een hoger beveiligingsniveau bereikt.
Er vind een controle plaats of het betreffende ‘service account’ van Navision gemachtigd is voor: ‘impersonation’. Zich voordoen als een gebruiker.
En dan nog de verificatie of deze machtiging inderdaad geldig is voor de gewenste actie. In deze dus bestanden opslaan.

Wat je hiermee voorkomt is dat een kwaadwillend stuk ‘code’ geïmplementeerd kan worden. Deze code zou ‘namens de gebruiker een mail kunnen sturen’. Dit gaat nu niet. Reden is dat er geen machtiging (kerberos ticket voor impersonation) is afgegeven om een e-mail te sturen. Wel om bestanden op te slaan, maar niet om te e-mailen.

In een dergelijke ‘setup’ wordt er ook wel gesproken over een 3-tier model.

  • Tier1
    • Een gebruiker geeft de opdracht in de applicatie. Deze opdracht wordt doorgegeven aan Tier2 t.b.v. verwerking.
  • Tier2
    • Verwerking laag. Opdracht vanaf de client wordt verwerkt op deze laag. Uitkomst wordt opgeslagen in de database.
  • Tier3
    • Database opslag t.b.v. verwerkte data.

Uiteraard kan de applicatie vervangen worden door eenieder product. Exact welke CLIEOP bestaand klaarzet. Een Sharepoint pagina met een Webpart t.b.v. de (outlook) agenda weergave in de pagina. Webmail met een plug-in welke informatie leest/schrijft naar Sharepoint.

3x groot security issue – patch je systemen nu!

3x een flink security issue in één week. Gooi je agenda om. Zorg dat je deze morgen nog alles bijwerkt. Het kan je zomaar een hoop tijd gaan besparen.

Security issue 1
Citrix – niet geheel nieuw maar van 16 december: Nu.nl – beveiligingslek-bij-citrix-treft-nederlandse-ministeries-en-ziekenhuizen.html
Begin bij dit Citrix support artikel: https://support.citrix.com/article/CTX267027
Om vervolgens de huidige mitigation oplossing uit dit artikel toe te passen: https://support.citrix.com/article/CTX267679

Security issue 2
Deze morgen is een ander ernstig Microsoft lek bekend geworden. Een soortgelijke variant was de oorsprong van het WannCry virus. Dit om de urgentie aan te geven.
Nu.nl – groot beveiligingslek in windows 10 aan het licht gebracht
Het Nationaal Cyber Security Centrum maakt er ook melding van:

Je kan ook direct beginnen bij de Microsoft blogpost. Je dient de updates met de hand uit te rollen. Microsoft neemt ze mee in Windows Updates in de volgende ronde. Welke voor volgende week dinsdag gepland staat.
MIcrosoft Blog artikel over de patch
Al doe je er wellicht verstandig aan hem hier alvast te pakken:
Direct naar de security patch

Security issue 3
De laatste patch is voor de RDP Gateway.
Ook vermeld in hetzelfde Nationaal Cyber Security Centrum artikel

Patch de RDP Gateway met deze fixes:
Link 1 – bevat de link naar juiste CVE’s.

Dit betreft onderstaande patches:
CVE1CVE2CVE3CVE4CVE5

Pak een kop koffie. Controleer de back-ups. Informeer de business, en ga daarna van start.

Verschillende versies en Windows Profiel locaties

profiles

Een intern mailtje omschreef wat de diverse locaties van de Windows Profielen zijn over de verschillende versies heen. Handig voor Group Policy’s, scripting, of upgrades.

Dus maar even op de blog, altijd makkelijk. Bedankt David.

Windows XP and Windows Server 2003 \\<servername>\<fileshare>\<username>
Windows Vista and Windows Server 2008 \\<servername>\<fileshare>\<username>.V2
Windows 7 and Windows Server 2008 R2 \\<servername>\<fileshare>\<username>.V2
Windows 8 and Windows Server 2012 \\<servername>\<fileshare>\<username>.V3
(after the software update and registry key are applied)
Windows 8 and Windows Server 2012 \\<servername>\<fileshare>\<username>.V2
(before the software update and registry key are applied)
Windows 8.1 and Windows Server 2012 R2 \\<servername>\<fileshare>\<username>.V4
(after the software update and registry key are applied)
Windows 8.1 and Windows Server 2012 R2 \\<servername>\<fileshare>\<username>.V2
(before the software update and registry key are applied)
Windows 10 \\<servername>\<fileshare>\<username>.V5
Windows 10 Anniversary Edition \\<servername>\<fileshare>\<username>.V6

Microsoft activatie “verkeerde” Windows Editie

server2012r2wrongproductkey

Wanneer je b.v. een Microsoft Windows Server Trial editie van Server 2012 R2 wil activeren (of andere Windows edities) kan je de melding krijgen:

That key can’t be  used to activate this edition of Windows. Please try a different key.

Dit houd echter niet in dat de sleutel of installatie verkeerd is maar de “Editie” binnen Windows staat dan verkeerd.

De editie kan je opvragen, aanpassen en alsnog activeren met behulp van: “DISM”.

Lees meer

Windows Applicatie verwijderen / uninstall via MSIEXEC

msiexecuninstall1

Vandaag moest ik wat oude software de-installeren na een Office 365 migratie. Het betrof hier Microsoft Office 2007 en aanverwante plugins. Echter, er zat er één bij welke ik niet kon herleiden. Hoe ga je deze netjes verwijderen via MSIEXEC door het juiste Applicatie GUID te achterhalen.

We beginnen met de exact applicatie naam via Add/Remove programs te noteren. Vervolgens zoek je in het register in de volgende key:

Lees meer

Windows 8.1 hoge resolutie opgeblazen vensters / applicaties

DPIgoedW81-IE  DPIaangepastW81-Chrome

Recentelijk heb ook ik dan maar de 8.1 update gedraaid (zat met een applicatie die dit verhinderde, maar dat is een ander verhaal). Echter na de upgrade viel mij een paar zaken / applicaties op. De resolutie / scherm verhouding was er totaal niet meer en het was erg onprettig kijken. Zie hiervoor de screenshots.

Lees meer

Herstellen default domain policy’s

defaultdomainpolicy

 

Default domain policy’s, waarom zouden ze zo heten? Omdat het Windows standaard policy’s zijn waar je eigenlijk niet aan moet komen. Is het toch nodig dat dit aangepast word (zoals ik weleens heb zien gebeuren in Linux omgevingen met b.v. SAMBA file servers) dan adviseer ik met klem er een kopie naast te zetten en daar de aanpassing in te doen. Het zal niet de eerste keer zijn dat iemand NTLM signing omlaag heeft geschroefd in de default domain policy en een ander uren aan het zoeken is om de oorzaak van een probleem te kunnen vinden

Lees meer

Windows (Server 2012/8) trial omzetten naar een gekochte editie

slui

U heeft Windows 2012 of Windows 8 geëvalueerd, of eerst een trial installatie gebruikt zodat u nog even kan testen en wanneer u besluit te her installeren voor productie niet direct tegen activatie puntjes aanloopt. Daarvoor is immers een “trial-editie”. Maar dan komt het, u heeft uw product sleutel binnen en wil Windows activeren….. Ik begon met de volgende error:

activation error 0xC004F050

Dit blijkt nog niet zo eenvoudig, en de server/windows 8 machine sluit met regelmaat af omdat uw Windows niet geactiveerd is. Op zich terecht, maar dan is het wel fijn als het omzetten makkelijk gaat.

Waar u de product sleutel op kunt vragen in Windows is er tevens geen knop “Change product key”, maar ook de cryptische melding maakt het niet makkelijker om het op te lossen. Wat blijkt:

Een trial edities is ook een soort “installatie”. Dus wanneer u al in staat bent om zelf de sleutel aan te passen (lees hieronder) dan kan het nog zijn dat deze niet geactiveerd kan worden. Derhalve dient u dus eerst de “setup” te draaien, of via DISM de installatie “om te zetten” bv. Windows Server 2012 Standaard. Hieronder een korte uitleg.

Lees meer

Windows 8 (gratis) alternatief start menu

windows8alternatiefstartmenu

Het nieuwe Microsoft besturingssysteem is standaard niet voorzien van een start menu. Persoonlijk vind ik dat wij er als professionals aan moeten wennen maar wanneer ik bijvoorbeeld iemand als mijn vader thuis een computer ga geven zonder start menu word het wel erg lastig om nog te kunnen wennen hieraan. Derhalve toch maar de zoektocht gestart en een erg mooi (Gratis) alternatief kunnen vinden.

Kijk eens op: http://sourceforge.net/projects/classicshell/?source=dlp

Voor een goed alternatief start menu. Tip, voor de mensen die automatisch naar de desktop switchen in plaat van het “Metro” begin scherm, dit hoeft na installatie ook niet meer. Ik geloof dat ik er zelf toch ook wel blij mee ben.

WMI resetten herkenbaar aan foutcode 0x80041002

wbemtest

Recentelijk liep ik nog tegen het probleem aan dat je geen “Resultancy set of Policy’s” kan draaien op een bepaalde client. Vooral met XenApp / Terminal Servers wil je hier nog weleens tegenaan lopen. Een melding in het logboek ziet er dan als volgt uit:

Windows Management Instrumentation ADAP failed to connect to namespace \\.\root\cimv2 with the following error 0x80041002

Dit heeft te maken met de WMI van Windows.

Lees meer