Professional Documents
Culture Documents
Ivan Cirković Windows Part
Ivan Cirković Windows Part
Sadržaj
1. Uvod.........................................................................................................................................1
3. Implementacija PAW-a............................................................................................................4
4. Zaključak...................................................................................................................................35
5. Popis literature...........................................................................................................................36
6. Popis slika..................................................................................................................................37
1. Uvod
U ovom seminaru bit će prikazana temeljita implementacija Prviliged Access
Workstation, nadalje „PAW“, ili prevedeno s engleskom Radna stanica s povlaštenim
pristupom. Prema Microsoftu: to je operacijski sustav koji je strogo zaštićen od
internetskog napada i vektora prijetnji. Glavna svrha PAW-a je da zaštiti Active Domain
šumu i da ima sigurnu kontrolu kod upravljanja Domain Controller-om, nadalje „DC“.
Proces implementacije PAW dijeli se u 3 faze. U prvoj fazi cilj je razvrstavanje
administratorskih uređaja i računa u organizacijsku jedincu Tier 0, oni jedini imaju
lokalni pristup u DC. Nakon toga, možemo početi konfigurirati PAW preko Group
Policy-a. Prvenstveni cilj ove faze je postavljanje restrikcija pristup između običnih
Korisnika i Tiera 0 računa, ali druge važne mjere poput konfiguriranja Firewall-a,
zabrane Proxy servera i određivanja tko će moći pristupi PAW-u i koja prava imati na
njemu. U drugoj fazi dodajemo račune i uređaje u niže Tier-e 1 i 2, također im dajemo
neka određena administratorska prava za korištenje domene, u slučaju da nema DC
administratora ili PAW Admin koji ima pristup u DC, a to ćemo postići implementacijom
sigurnosnom tehnologijom Just Enough Administration (JEA). Zbog manjka resursa
treću fazu u kojoj se radi dodatna zaštita za PAW, ne ću implementirati, ali ako se dobro
konfiguriraju prve dvije faze, one rade sigurni operacijski sustava PAW [1],[2].
Izvor: https://docs.microsoft.com/en-us/windows-server/identity/securing-privileged-access/securing-
privileged-access-reference-material
1
Na prvoj slici vidimo kako je zamišljeno pristupanje između različitih Tier-a, možemo
primijetiti da nitko ne može pristupiti u niži Tier, a u viši jedino ako je dodan kao administrator
ili ima posebna pravila pristupa.
Nakon uvoda u ideju rada možemo početi implementaciju PAW i konfiguraciju svih
uređaja u domenu. Prvo ću opisati pripremu DC-a i ostalih uređaja, a zatim svaku fazu zasebno
opisati i za kraj zaključak.
U ovom projektu ću koristi 4 virtualne mašine. Prva mašina će biti DC, a pokretat će je
Windows Server 12 RS, druga mašina će biti PAW, na kojoj je instaliran Windows 10 PRO, na
trećom mašini biti će Tier 1 server, odnosno SQL server isto pokrenut na Windows serveru 12
RS i četvrta mašina koju pokreće Windows 10 PRO, prvoj fazi predstavljat će klijenta, a u drugoj
fazi poslužiti će kao radna stanica od SQL administratora.
2
Slika 2. prikazuje konfiguraciju DC-a, vidimo da je ime domene „main.local“, a ime
računala na kojem je domena: „Domain“. Uključena je statička IPv4 adresa, Windows update je
ažuriran. Preko dodavanja značajki instaliran je DNS server te konfiguriran prema zadanoj IP
adresi. Nakon završene konfiguracije, potrebno je uređaje dodati u domenu, tako da im se
postave statičke IP adrese te dodaju u domenu preko svojstva računala. Nakon uspješnog
dodavanja, potrebno je kreirati račune novim, potrebnim administratorima i korisnicima u
servisu: „Active Directory Users and Computers“, te im zadati zasebne zaporke.
Nakon završene konfiguracije svi računala i kreiranja računa, preuzeo sam sa službene
Microsoftove stranice .zip file u kojoj se nalazi nekoliko Power Shell skripta i drugih datoteka.
Ta datoteka pomoći će pri implementaciji PAW scenarija. Prvo što trebamo je kliknuti na skriptu
„Create-PAWOUs“ koja će nam kreirati potrebne organizacijske jedinice, nakon toga se pali
„Create-PAWGroups“ skripta, koja kreira grupe, te na kraju „Set-PAWOUDelegation“ koja
svim grupa i organizacijskim jedinicama daje određena pravila pristupa između njih.
3
Slika 4. Strukturni prikaz organizacijskih jedinica
Slika 4. prikazuje prikaz servisa „Active Directory Users and Computers“ u kojoj vidimo
da su kreirane organizacijske jedinice koje su kreirane preko pokrenute skripte. Ako uđemo u
mapu Groups bilo kojeg Tier-a možemo vidjeti i kreirane grupe.
3. Implementacija PAW-a
Nakon uspješno završenih priprema domene i njene okoline, možemo krenuti s prvom
fazom implementacije PAW scenarija.
4
3.1 Prva faza
Kako je već objašnjeno u uvodu, u ovoj fazi će biti fokus na administratorima koji
pripadaju u Tiera 0.
Prvo trebamo kreirati 2 nove grupe kako je prikazano na slici, jedna za PAW korisnike
(PAWUsers), a druga za PAW podršku (PAWAdmin). Ideja iza ovog postupka je da grupa
PAWUsers će imati prava na korištenje domene preko servisa „Remote Desktop Control“, ali ta
grupa neće imati administratorske ovlasti. Dok u drugoj grupi postaji račun AdminMain koji će
imati administratorske ovlasti i pristup internetu, da servisira PAW, taj račun u teoriji bi se
trebao rijetko koristiti.
5
Slika 7. Konfiguracija PAW računala preko GP-a
Nakon izrade grupa, u servisu „Group Policy Management“, nadalje GPM, kreiramo
novu grupu pravila koja se zove „PAWconfig-Comp“, u kojoj ćemo konfigurirati PAW računalo.
6
Nakon kreiranja kliknemo na opciju „Edit“ u kojoj uređujemo grupna pravila. Prvo što
moramo učiti pri konfiguraciji bilo kojeg računala je odrediti njene administratore. Slika 8.
prikazuje da smo dodali za administratore račune: AdminMain i Administratora od cijele
domene. Također je važno kliknuti na opcije za brisanje svih sadašnji korisnika i grupa koji bili
integrirani pri instalaciji PAW računala, u prijevodu ovim postupnom ćemo izbrisati lokalnog
administratora.
7
Slika 10. Dodavanje pravila za lokalni pristup na PAW
Nakon kreiranja administratorskih grupa, moramo odrediti tko sve ima prava da se
lokalno ulogira u PAW, to je grupa Administrators koja je kreirana u prošlom koraku, a to su
računi Administrator od domene i AdminMain. Treba dodati i grupu PAWUsers u kojoj je član
AdminDC.
Sljedeći korak je uvesti Firewall (vatrozid) opcije iz mape koju sam ranije preuzeo.
Potrebno je otići do mape „Windows Firewall with Advance Securty, a put do nje je: „Computer
Configuration > Windows Settings > Security Settings > Windows Firewall with Advance
Security. Zatim sam kliknuo opciju „Import Policy“, te pronašao datoteku/skriptu
„pawfirewallupdate.wfw“ koja je prikazana na slici 11. Nakon otvaranja skripta je kreirala razna
unutarnja i vanjska pravila koja su prikazana na slikama 12. i 13.
8
Slika 11. Uvoz konfiguracije Firewall-a za PAW
9
Slika 13. Popis vanjskih pravila Firewall-a u PAW-u
10
Slika 14. Uključivanje automatskog ažuriranje Windowsa, preko pouzdanog izvora
11
Slika. 15. Izrada sigurnosne kopije grupnih pravila
Pri završetku konfiguriranja, za grupno pravilo moramo izraditi sigurnosnu kopiju. Prvo
moramo otvoriti GPM, zatim nađemo datoteku „Group Policy Objects“, te označimo grupno
pravilo za koji trebamo napraviti „back-up“, zatim lijevi klik i odaberemo opciju „Back-Up“.
Sigurnosna kopija nam služi ako se nešto poremeti daljinom konfiguracijom da imamo povratak
na stanje kad smo napravili „back-up“
12
Sada kada smo uspješno konfigurirali PAW, moramo postaviti novo grupno pravilo za
PAWUsers, odnosno računi koji smiju koristi PAW ali bez administrativnih prava. To grupno
pravilo je namijenjeno za postavke Proxy servera, odnosno postavke za onemogućavanje i
mijenjanja Proxy postavka. Prvo moramo kreirati 2 nova „Registar Item“, odnosno na hrvatskom
„predmetni registar“, važno je napomenuti da je to „User“ odnosno korisnička postavka, a ne
kompjutorska. Tim registrima trebamo postaviti parametre kako je prikazano na slici 17. Prvi
registar je za onemogućavanje Proxy-ja stavljajući mu vrijednost 1, a drugi registar postavlja
IPv4 adresu: „127.0.0.1:80“ Proxy servera, to se implicira u beskonačnu petlja jer ova adresa nije
valjana.
13
Slika 18. Konfiguriranje zabrane izmjena Proxy postavka u PAW-u
14
Slika 19. Kreiranje nove grupe pravila za restrikciju pristupa korisnicima
15
3.1.1 Isprobavanje dodanih grupnih pravila
Sa zadnje kreiranom grupom pravila, možemo reći da je prva faza gotova, ali još ne
možemo prijeći na drugu fazu jer prvo moramo utvrditi jeli sve što smo konfigurirali radi kako
treba.
Prvo ćemo probati ući u domenu preko RDC servisa, s podacima od AdminDC-a na
PAW-u. Slika 21. prikazuje skočni prozor u kojem upisujemo administratorove podatke., a na
slici 22. vidimo da smo se uspješno spojili u domenu.
16
Dok smo već ulogirani na PAW kao AdminDC, možemo pogledati imamo li interneta i dali
možemo mijenjati Proxy postavke. Na slikama 23. i 24. možemo vidjeti da ne možemo promijeniti ni
jednu postavku u Proxy postavkama, a na slici 25. možemo vidjeti da nam Internet Explorer daje
obavijest da se ne može spojiti na Proxy server.
17
Kada smo to utvrdili moramo vidjeti da li ima administratorska prava za ulazak
preglednik događaja „Event Viewer“, za koji da bismo vidjeli povijest ulaska mora imati puna
administratorska prava. Na slici 26. opet se otvara skočni prozor, koji traži AdminDC-ove
podatke. Kada smo uspješno ušli i stisnuli da želimo otvoriti mapu „Security“ pod „Windows
logs“, računalo je krenulo učitavati ali kada je registriralo da AdminDC nema administratorska
prava na PAW-u, slika 27. prikazuje „error- message“ u kojem piše da je pristup odbijen. S time
smo dokazali da AdminDC nema administratorska prava na PAW-u.
18
Nakon što smo utvrdili da je sve dobro konfigurirano za AdminDC, odjavit ćemo se i
prijaviti kao AdminMain, dokazati da on ima pristup internetu i administrorska prava na PAW-u.
Slika 28. potvrđuje pravilo da AdminMain ima pristup internetu. Ako uđemo u isti preglednik
događaja, Windows nas ne traži njegove podatke, te slika 29. prikazuje da on ima prava prikaza
preglednika događaja.
19
Slika 29. Dokaz da administrator održavanja PAW-a ima administratorske mogućnosti
Nakon što smo utvrdili i da je za AdminMain-a sve dobro konfigurirano, moramo probati
se ulogirati na računalo PAW-a koje nije registrirano u domeni, kao lokalni administrator. Pošto
smo kreirali u grupnim pravilima (slika 8.) da ga izbrišemo, taj ulazak ne bi trebao biti legitiman
što dokazuju slike 30. i 31.
20
Još jedna stvar nam je ostala da provjerimo, a to je dali AdminDC se može ulogirati u
korisnikovo računalo, slike 32. i 33. nam prikazuju da je i to dobro konfigurirano.
Slika 32. i 33. Isprobavanje nemogućnosti pristupa Tier 0 administratora na korisnikvo računalo
21
3.2 Druga faza
Nakon završetka, prve faze možemo prijeći na drugu i treću fazu, koje prema službenim
dokumentima zahtjeva puno više resursa koje ja imam. Stoga ću ovoj fazi napraviti ono što je
izvedljivo. Pošto u ovom scenariju nema vanjskih povezanih aplikacija (Azure, Office 365) i
administratorskih računa (Cloud ili Hyper-V administratora), implementirati ću JEA tehnologiju
u kojoj ću konfigurirati da Tier1 administrator (AdminSQL) i korisnik (Client) imaju određena
prava za ulazak u domenu preko PowerShell sesije. Ali prvo treba konfigurirati grupna pravila za
račune i kompjutere kod Tier 1 administratora i običnih korisnika.
Prvo što trebamo je otvoriti servis „Active Directory Users and Computers“ i kreirati
račun za Tier 1 administratora koji se zove AdminSQL, zatim treba otvoriti mapu „Groups“ u
Tier1 organizacijskoj jedinici te otvoriti grupu „Tier 1 Admins“, te dodati novo kreiranog
administratora u nju, kao na slici 34.
22
Sljedeće što ćemo napraviti je novo grupno pravilo koje ćemo nazvati
„RestrictedAdmin“, u kojoj ćemo konfigurirati ograničeni način rada administratora, to je
dodatni oblik zaštite u kojem ako je uključen, administrator kada se prijavi sa svojim podacima
na traženi server preko RDC sesije, ti podaci se ne šalju na računalo tog servera, nego ostaju na
lokalnom, jer u slučaju da je taj server zaražen zlonamjernim softwareom, kompromitirani stroj
uzima „hash“ podatke drugih računa koje se spajaju na njega, te tako dolazi do lozinka ostalih
računa [3] .
Stoga prvo moramo kreirati registar za kompjutor preko kojeg se ulazi u server. Registar
se zove „DisableRestricedAdmin“ , a ako ga postavimo na 0, bit će uključen. Slika 35. pokazuje
konfiguraciju registra i njegovu putanju. Da bi to radilo kako treba trebamo uključiti novo
pravilo „Restricted delefgation of credentials to remote servers“ (slika 36.), a putanja tog pravila
je: „Computer Configuration > Policies > Administrative Templates > System > Credentials
Delegation“
23
Slika 36. Uključivanje pravila za ograničenog rada administratora
Nakon toga moramo kreirati novo grupno pravilo u kojem konfiguriramo administratore,
za Tier 1 računalo. Postavit ćemo da je grupa „Tier 1 Admins“ ima administratorska prava u
SQL serveru. Prikaz konfiguracije je prikazano na slici 37.
24
Slika 37. Kreiranje novih grupnih pravila za određivanje Tier 1 administratora
Sad kada su sva grupna pravila kreirana, trebamo povezati grupna pravila između Tier 1 i
Clients odnosno korisnika. Povezivanje grupnih pravila ćemo napraviti kako je prikazano na
slici 38., da na željeno mjesto kliknemo opciju „Link GPO“ i odaberemo grupu pravila s popisa.
Pošto je korisnikovo računalo u ovoj fazi radna stanica AdminSQL, stoga oni moraju imati ista
grupna pravila, Stoga slike od 39. do 41. prikazuju uspješna spajanja 3 grupna pravila. Još ćemo
dodati da Tier 1 administratori ne mogu pristupiti internetu, tako da povežemo grupno pravilo
„PAWConf-Users“ koja seže iz Tier 0 organizacijske jedinice.
25
Slika 38. Povezivanje grupnih pravila između Tier 1 i User računa
26
Slika 40. Prikaz uspješno kreiranih veza, grupnog pravila „RestrictLogon“
27
Slika 42. Prikaz kreiranih veza, grupnog pravila PawConf-Users, između Tier 0 i Tier 1
Pri svakoj izmjeni grupnih pravila u domeni, svako krajnje računalo mora ažurirati te
postavke, postavke se ažuriraju naredbom „gpupdate /force“ u Command Prompt-u ili u
PowerShell-u. Ako želimo vidjeti koje su grupna pravilna aktivna, upišemo komadnu „gpresult
/r“, te pregled trenutnih grupnih pravila vidimo kao na slici 43., koja prikazuje koja sve grupna
pravila AdminSQL ima zadana.
28
Slika 43. Prikaz primijenjenih grupnih pravila na SQL serveru
Za kraj implementacije ovog PAW scenarija, implementirat ćemo JEA tehnologiju, a bit
će primijenjena nad AdminSQL-om i Client-om. U ovom seminaru prikazat ću samo
konfiguraciju za AdminSQL-a, zato što je proces za kreiranje Client-a isti, samo ima manje s
dopuštenih komandi. Prvo trebamo preuzeti službeni JEAHelperTool20. Slika 44. prikazuje
datoteku u kojoj se nalazi potrebni alat u obliku PowerShell skripte, kada je uključimo dobijemo
konzolni prozor koji je prikazan na slici 45. Prvo moramo napraviti „Role Capabilities" datoteku,
u kojoj se određuje za koga će vrijediti ova konfiguracija. U gornjem dijelu prozora moramo
popuniti podatke imena: datoteke, modula, autora i kompanija. Nakon toga stisnemo opciju
„Create“, te nam se otvori skripta kao na slici 45..
29
Slika 44. Mapa u kojoj se nalazi pomoćnik za kreiranje JEA tehnologije
30
Nakon kreiranja, slijedi dio gdje moramo odrediti koje funkcije i komande ćemo dopustiti
AdminSQL-u. Pošto je on iskusni administrator dodijelit ćemo mu da može imati kontrolu da
servisima i procesima, te da ih može gasiti i paliti, slika 46. Također moći će ponovno pokrenuti
domensko računalo. Korisniku koji se tek ući postati „high-level“ administrator, moći će imati
samo GET komande u kojima može samo vidjeti koji servisi i procesi postoje, ali ih ne može
gasiti ili paliti.
31
Kada smo izabrali zadane funkcije i komadne, moramo ih kopirati i ručno zalijepiti ispod
komentara: „ #VisibleCmdlets“ ili „#VisibleFunctions“, kao što je prikazano na slici 47.
Slika 47. Ručno kopiranje popisa dopuštenih naredba u Role Capabilities datoteku
Nakon toga, moramo kreirati novu datoteku „Session Configuration“, u kojoj određujemo
za koga vrijedi datoteka „Role Capabilities“. Prvo je moramo nazvati, to ime će služiti kao ključ
ulaska u domenu, zatim moramo odrediti račun ili grupu za koju će vrijediti ta konfiguracija i
ime „Role Capabilities“ datoteke (slika 48.) . Nakon toga stisnemo opciju da se registrira i
stisnemo opciju „Create!“.
32
Nakon završetka konfiguracije u domeni moramo ponovo pokrenuti servis „WinRM“,
koji podržava JEA konfiguraciju. Nakon toga možemo otići na AdminSQL-ovu radnu stanicu i
probati ući u domenu. U domenu se ulazi preko komande „Enter-PSSession“, u kojoj moramo
odrediti parametre za ime kompjutera na koji se spajamo i ime sesijske konfiguracije koju su
prošli korak kreirali. Ako je sve dobro konfigurirano, trebali imati prikaz kao na slici 49.
Sada moramo testirati dali AdminSQL može ugasiti određeni proces. U domeni sam
otvorio prazni „Notepad“, kojeg će AdminSQL pokušati zatvoriti. Kada AdminSQL upiše
komandu „Get-process“ pojavi se lista procesa s njihovim identifikacijskim brojevima. Na slici
50. označili smo proces i iščitali njegov „ID“ koji je 3864.
33
Sada će AdminSQL preko naredbe „Stop-process“ i parametra „id“, pokušati ugasiti
Notepad na domenskom računali. Nakon ukucane naredbe na slici 51. vidimo da nas je
PowerShell pitao da li smo sigurni i kada upišemo „y“, potvrđujemo stopiranje procesa.
Slika 52. Ulazak korisnika u domenu i lista komadni koje ima na raspolaganju
34
4. Zaključak
PAW je strogo sigurna radna stanica koja se koristi za zaštitu domene i njen pristup, ovaj
model nije lagano implementirati, treba paziti na puno detalja, iz razloga ako nešto nije dobro
konfigurirano možemo dovesti u DC u opasnost. Ovaj model je budućnost zaštite domene i njene
okoline, gdje je cilj minimalizirati, bilo kakav napad od strane hakera i ostalih prijetnji poput
software koje kradu hash podatke, te ih pretvaraju u stvarne lozinke korisnika i administratora.
Spajajući JEA tehnologiju s PAW scenarijom, ogradili smo DCadmin-a i administratora domene
velikog posla, stoga je preporučeno da se to implementira u većim kompanijama, zato da se
domenski administratori fokusiraju samo na održavanje i zaštitu domene.
35
5. Popis literature
[3] Microsoft Adding 'Restricted Admin Mode' for Windows Remote Desktop, dostupno na:
https://redmondmag.com/articles/2013/08/15/restricted-admin-mode.aspx
36
6. Popis slika
Slika 1. Restrikcije pristupa između različitih Tier-a.....................................................................1
37
Slika 26. Unos administratorovih podataka, za pregled Event Viewer-a.....................................18
Slika 32. i 33. Isprobavanje nemogućnoti pristupa Tier 0 administratora na korisnikvo računalo
.......................................................................................................................................................21
Slika 39. Prikaz uspješno kreiranih veza, grupnog pravila „Tier1 Admins“................................26
Slika 40. Prikaz uspješno kreiranih veza, grupnog pravila „Restrict Logon“..............................27
Slika 42. Prikaz kreiranih veza, grupnog pravila PawConf-Users, između Tier 0 i Tier 1........28
Slika 47. Ručno kopiranje popisa dopuštenih naredba u Role Capabilities datoteku...................32
38
Slika 51. Stopiranje procesa preko PID-a......................................................................................34
Slika 52. Ulazak korisnika u domenu i lista komadni koje ima na raspolaganju..........................34
39