[MBSA] Welke encrypte gebruikt deze ? - Windows clients

donderdag 12 februari 2004 09:35

Acties:

Verwijderd

Topicstarter

Ik ben voor mijn stage plaats wat informatie aan het uitzoek voor een sus server maar daar moet ook MBSA bij gaan draaien. Aangezien het de sus met mbsa in een serverpark komt te staan waar Casema en Kennisnet worden gehost is security een eis.

Daarom moet ik weten als je met mbsa een scan uitvoerd en je bent Domain admin
hoe hij deze gebruikers gegevens verstuurd naar een remote computer. Om deze vervolgens te mogen scannen.

Want we willen niet dat de gegeven van casema en kennisnet als plain text over het internet gaan

Ik heb al gezocht en op microsoft en op ander site maar daat is bijna niks te vertellen hier over.

Zelf denk ik dat het gaat om de standaard encryptie van windows maar ik moet dit zeker weten.

donderdag 12 februari 2004 10:16

Acties:

sanfranjake

Computers can do that?

Verwijderd schreef op 12 februari 2004 @ 09:35:
Ik ben voor mijn stage plaats wat informatie aan het uitzoek voor een sus server maar daar moet ook MBSA bij gaan draaien. Aangezien het de sus met mbsa in een serverpark komt te staan waar Casema en Kennisnet worden gehost is security een eis.

Daarom moet ik weten als je met mbsa een scan uitvoerd en je bent Domain admin
hoe hij deze gebruikers gegevens verstuurd naar een remote computer. Om deze vervolgens te mogen scannen.

Want we willen niet dat de gegeven van casema en kennisnet als plain text over het internet gaan

Ik heb al gezocht en op microsoft en op ander site maar daat is bijna niks te vertellen hier over.

Zelf denk ik dat het gaat om de standaard encryptie van windows maar ik moet dit zeker weten.

Kon ook het antwoord niet vinden. Maar waarom zou de info over internet moeten gaan dan ? Persoonlijk zie ik het nut uberhaupt niet zo van een colocated SUS server, welke niet in een domein zit. Maar dat is natuurlijk geheel je eigen keuze.

Kan je anders niet via VPN een verbinding maken ? Dan zijn de gegevens versleuteld. De tool is namelijk bedoeld om op je LAN te gebruiken

[rml][ security]Microsoft Security Baseline Analyzer v1.2 released[/rml], laatst door mutsje geopend, kan je wellicht wat meer info bieden

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

donderdag 12 februari 2004 10:40

Acties:

Verwijderd

Topicstarter

Zelf als ik dit via een vpn ga doen wat ook gaat gebeuren kijk MBSA naar de ingelogde user van de machine waar mbsa op staat. als je mbsa wil gebruiken in een domein moet je een domain admin account gebruiken.

die gegevens van het systeem waar mbsa op staat worden dus gebruikt. Het programma MBSA stuurd deze gegevens mee met een scan vanaf hier is het
waarschijnlijk een windows standaard encryptie maar als dit niet zo is wordt er een plain text met de username en wachtwoord door dat domein gegooit en als dat in het serverpark van casema is kan elke casema user die een beetje handig is dit opvangen en dat wil ik juist verkomen want, dan kan die user alles van casema mollen. En dat willen we nou net niet. Dus vandaar deze vraag.

donderdag 12 februari 2004 10:46

Acties:

sanfranjake

Computers can do that?

Verwijderd schreef op 12 februari 2004 @ 10:40:
Zelf als ik dit via een vpn ga doen wat ook gaat gebeuren kijk MBSA naar de ingelogde user van de machine waar mbsa op staat. als je mbsa wil gebruiken in een domein moet je een domain admin account gebruiken.

Zou ook van de zotten zijn als ierdere user een floppy met dat programma alles kon scannen

Logisch dus dat een Domain Admin dat kan

die gegevens van het systeem waar mbsa op staat worden dus gebruikt. Het programma MBSA stuurd deze gegevens mee met een scan vanaf hier is het
waarschijnlijk een windows standaard encryptie maar als dit niet zo is wordt er een plain text met de username en wachtwoord door dat domein gegooit en als dat in het serverpark van casema is kan elke casema user die een beetje handig is dit opvangen en dat wil ik juist verkomen want, dan kan die user alles van casema mollen. En dat willen we nou net niet. Dus vandaar deze vraag.

Vandaar VPN gebruiken via PPTP dan is de data versleuteld. Een goede firewall eventueel op de bak zelf kan zorgen dat alleen poort 1723 open staat bijvoorbeeld.

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

donderdag 12 februari 2004 11:09

Acties:

Verwijderd

Topicstarter

Maar ik kan MBSA niet via een vnp laten werken.
Ik moet met vnp een connectie maken met de server waarop het staat.

Maar ik zal wel ff bij shavlik vragen
die heeft HFNetChk gemaakt voor mbsa misschien weten die het want op
microsoft kan je niks vinden als je het wil weten moet je dik veel euries neer leggen en daar heeft mijn baas een zin in.
Als ik het weet post ik het nog wel even.

Dan is dat ook weer duidelijk

edit:
Damm typo's

[ Voor 4% gewijzigd door Verwijderd op 12-02-2004 11:15 ]

donderdag 12 februari 2004 11:35

Acties:

elevator

Officieel moto fan :)

Volgens mij gebruikt MBSA (en HFNetchk) gewoon gebruik van standaard API calls om verbinding te leggen (RPC, Remote Registry, admin shares, e.d.) met de client die hij scanned, het is dus qua password net zo veilig (of onveilig) als het aanloggen op een PC die in een domain hangt

vrijdag 13 februari 2004 08:20

Acties:

Verwijderd

Topicstarter

Ik heb het even gevraagt bij shavlick en dit is de e-mail die ik kreeg hierin wordt alles duidelijk gemaakt ook hoe de rest van he programma alles verstuurd.

When connecting and authenticating to remote machines, the scan console uses kerneros or NTLM or NTLMv2, etc. to talk to remote machines, whatever is configured on those machines to use for authentication.

When performing a scan, the scan engine asks questions of remote machines, and those remote machines send back answers to those questions (what is your fileversion for kernel32.dll, etc). Scan results such as 'missing patch 04-004, installed patch 03-051, missing patch 04-007' are never sent across the wire, this information is only determined at the console machine after it gets answers to all the questions.

The scan process uses standard NetBIOS, the same way that the machines talk to each other to perform file transfers, login, file and print sharing, etc. - we use the standard machine operating system transport, but we are not transporting any scan results - so if someone is sniffing the wire for tcp 445 traffic, all they will see is a bunch of file version information traversing the network.

If we were an agent based system and we performed the scan on the remote machine and were sending the scan results (missing X patches, installed Y patches), then we would be sending results across the wire, and we would encrypt this data and use our own transport (or SSL, as other vendors do). However, since we don't have an agent, and we don't send results across the wire, we use the standard OS transport to perform the agentless scans.

Authentication data (passwords) are always sent encrypted.

Dus je wachtwoord wordt wel geëcryped dus worden er geen api call's voor de Authentication aan geroepen.

edit:
Damm typo's

[ Voor 11% gewijzigd door Verwijderd op 13-02-2004 08:33 ]

vrijdag 13 februari 2004 10:43

Acties:

elevator

Officieel moto fan :)

Verwijderd schreef op 13 februari 2004 @ 08:20:
Dus je wachtwoord wordt wel geëcryped dus worden er geen api call's voor de Authentication aan geroepen.

Ik lees dit toch heel anders hoor:

When connecting and authenticating to remote machines, the scan console uses kerneros or NTLM or NTLMv2, etc. to talk to remote machines, whatever is configured on those machines to use for authentication.

Hoe denk je dat jouw PC authenticeert als jij \\Server\C$ doet?

Nog specifieker - het staat er zelfs specifiek in:

The scan process uses standard NetBIOS, the same way that the machines talk to each other to perform file transfers, login, file and print sharing

Lijkt mij verdacht veel op het gebruik van standaard API's?