⭕️اگر sccm current branch unleashed را کانفیگ کرده باشید در فرایند نصب سایت به نکته ای جالب بر خواهید خورد.
computer account مربوط به سایت اصلی باید عضو گروه local admin sql sever باشد.
حال این موضوع به این معنی است که:
متصل شدن سایت ها و push شدن کلاینت ها بصورت خودکار اتفاق می افتد.
بصورت پیشفرض مکانیزم احراز هویت به ntlm بازمیگردد،بصورت پیشفرض در احراز هویت کلاینت ها pki cert الزام نیست و mssql در سرور دیتابیس سایت در دسترس است ، البته smb sign ملزوم نیست.
پس عملا با تصاحب سایت sccm که با اجبار کردن احراز هویت با ntlm و انقال آن به سرور پایگاه داده سایت و استفاده از عبارت هویت mssql منجر به full admin شده و به تمامی بخش های سایت مشرف بوده و میتوان آنها را کنترل کرد.
++ برای جلوگیری از این مشکل چه باید کرد:
- نصب hotfix
- فعال کردن extended protection بر روی mssql
- فعال کردن smb sign برای سرور های درون سایت
- بلاک کردن ارتباطات sql و smb از سیستم های غیر ضروری به سرور های سایت
- ملزوم کردن pki cert بر روی کلاینت ها
- در عوض نصب خودکار آپدیت ها از نصب مبتنی بر نرم افزار، group policy و دستی اقدام شود.
https://posts.specterops.io/sccm-site-takeover-via-automatic-client-push-installation-f567ec80d5b1#a2e2
#redteam #hardening #sccm #blueteam
کانال آموزش کامپیوتر
@Engineer_Computer
computer account مربوط به سایت اصلی باید عضو گروه local admin sql sever باشد.
حال این موضوع به این معنی است که:
متصل شدن سایت ها و push شدن کلاینت ها بصورت خودکار اتفاق می افتد.
بصورت پیشفرض مکانیزم احراز هویت به ntlm بازمیگردد،بصورت پیشفرض در احراز هویت کلاینت ها pki cert الزام نیست و mssql در سرور دیتابیس سایت در دسترس است ، البته smb sign ملزوم نیست.
پس عملا با تصاحب سایت sccm که با اجبار کردن احراز هویت با ntlm و انقال آن به سرور پایگاه داده سایت و استفاده از عبارت هویت mssql منجر به full admin شده و به تمامی بخش های سایت مشرف بوده و میتوان آنها را کنترل کرد.
++ برای جلوگیری از این مشکل چه باید کرد:
- نصب hotfix
- فعال کردن extended protection بر روی mssql
- فعال کردن smb sign برای سرور های درون سایت
- بلاک کردن ارتباطات sql و smb از سیستم های غیر ضروری به سرور های سایت
- ملزوم کردن pki cert بر روی کلاینت ها
- در عوض نصب خودکار آپدیت ها از نصب مبتنی بر نرم افزار، group policy و دستی اقدام شود.
https://posts.specterops.io/sccm-site-takeover-via-automatic-client-push-installation-f567ec80d5b1#a2e2
#redteam #hardening #sccm #blueteam
کانال آموزش کامپیوتر
@Engineer_Computer
SpecterOps
SCCM Site Takeover via Automatic Client Push Installation - SpecterOps
Vulnerability alert: SCCM site takeover revealed. Watch a demo of the attack path and learn how to secure your system against this threat.
مدتیه که WSUS دیگه اون پایداری و کارایی گذشته رو نداره. مخصوصاً وقتی صحبت از مدیریت بهروزرسانی تو یه سازمان بزرگ با هزاران کلاینت میشه. ما هم مثل خیلیای دیگه، با کندی، عدم گزارشگیری درست، و محدودیت تو زمانبندی روبهرو بودیم.
با توجه به اینکه سازمانی که باهاش کار میکنم کاملاً On-Premises هست و بیش از ۲۰٬۰۰۰ کلاینت داره، تصمیم گرفتم یه راهحل پایدار، مقیاسپذیر و قابل مدیریت رو طراحی و اجرا کنم.
راهکاری که ارائه دادم: استفاده از Microsoft Configuration Manager (SCCM)
یا بهتر بگم: اسم جدیدش، Microsoft Configuration Manager (ConfigMgr)
این راهکار نه تنها مشکلات قبلی رو حل کرد، بلکه مزایای زیادی رو هم با خودش آورد:
دستهبندی کلاینتها و زمانبندی آپدیتها به شکل دقیق
گزارشگیری کامل از وضعیت نصب، کلاینتهای آپدیت نشده و نیاز به ریستارت
استفاده از Distribution Point برای کاهش فشار روی پهنای باند
و همچنان استفاده از WSUS فقط بهعنوان backend برای دریافت آپدیتها
زیرساخت پیشنهادی که پیادهسازی کردم:
یک Primary Site Server مرکزی
یک SQL Server اختصاصی
نقش Software Update Point (SUP) متصل به WSUS
چندین Distribution Point (DP) در نقاط جغرافیایی مختلف
نتیجه این طراحی، یه سیستم بهروز، پایدار و قابل کنترل برای انتشار آپدیتها شد که حتی در مقیاس بالا هم بدون مشکل داره کار میکنه.
گزینههای دیگهای که بررسی کردم:
Intune: ایدهآل برای محیطهای Cloud-first, ولی برای ما که کنترل محلی نیاز داریم هنوز کافی نیست.
Windows Update for Business (WUfB): مناسب برای محیطهای کوچکتر یا هیبرید، ولی برای ساختار ما انعطاف لازم رو نداشت.
در نهایت، با این راهکار تونستم فرآیند بهروزرسانی در سطح سازمان رو بهینه کنم، بدون اینکه ساختار فعلی رو به هم بزنم.
اگه شما هم با WSUS به مشکل خوردید یا دنبال یه ساختار درست برای مدیریت Patch هستید، خوشحال میشم تجربیاتم رو در اختیارتون بذارم.
#PatchManagement #WSUS #SCCM #ConfigMgr #Microsoft #EndpointManagement #WindowsUpdate #WUfB #Intune #ITInfrastructure
🔹 Share & Support Us 🔹
📱 Channel : @Engineer_Computer
با توجه به اینکه سازمانی که باهاش کار میکنم کاملاً On-Premises هست و بیش از ۲۰٬۰۰۰ کلاینت داره، تصمیم گرفتم یه راهحل پایدار، مقیاسپذیر و قابل مدیریت رو طراحی و اجرا کنم.
راهکاری که ارائه دادم: استفاده از Microsoft Configuration Manager (SCCM)
یا بهتر بگم: اسم جدیدش، Microsoft Configuration Manager (ConfigMgr)
این راهکار نه تنها مشکلات قبلی رو حل کرد، بلکه مزایای زیادی رو هم با خودش آورد:
دستهبندی کلاینتها و زمانبندی آپدیتها به شکل دقیق
گزارشگیری کامل از وضعیت نصب، کلاینتهای آپدیت نشده و نیاز به ریستارت
استفاده از Distribution Point برای کاهش فشار روی پهنای باند
و همچنان استفاده از WSUS فقط بهعنوان backend برای دریافت آپدیتها
زیرساخت پیشنهادی که پیادهسازی کردم:
یک Primary Site Server مرکزی
یک SQL Server اختصاصی
نقش Software Update Point (SUP) متصل به WSUS
چندین Distribution Point (DP) در نقاط جغرافیایی مختلف
نتیجه این طراحی، یه سیستم بهروز، پایدار و قابل کنترل برای انتشار آپدیتها شد که حتی در مقیاس بالا هم بدون مشکل داره کار میکنه.
گزینههای دیگهای که بررسی کردم:
Intune: ایدهآل برای محیطهای Cloud-first, ولی برای ما که کنترل محلی نیاز داریم هنوز کافی نیست.
Windows Update for Business (WUfB): مناسب برای محیطهای کوچکتر یا هیبرید، ولی برای ساختار ما انعطاف لازم رو نداشت.
در نهایت، با این راهکار تونستم فرآیند بهروزرسانی در سطح سازمان رو بهینه کنم، بدون اینکه ساختار فعلی رو به هم بزنم.
اگه شما هم با WSUS به مشکل خوردید یا دنبال یه ساختار درست برای مدیریت Patch هستید، خوشحال میشم تجربیاتم رو در اختیارتون بذارم.
#PatchManagement #WSUS #SCCM #ConfigMgr #Microsoft #EndpointManagement #WindowsUpdate #WUfB #Intune #ITInfrastructure
Please open Telegram to view this post
VIEW IN TELEGRAM