sábado, 28 de abril de 2018

Credential Guard

Credential Guard es una nueva característica de seguridad que permite aislar mediante virtualización las credenciales basadas en contraseñas NTLM y los tickets de Kerberos. Windows almacena con Local Security Authority LSA las credenciales en la memoria del proceso, Credential Guard protege las credenciales en un nuevo componente denominado isolated LSA, un proceso que permanece aislado del resto del sistema operativo mediante virtualización.

El proceso de isolated LSA solo contiene un pequeño conjunto de binarios firmados con un certificado de confianza, necesarios para su funcionamiento y se comunica con LSA mediante RPC.


El inconveniente para activar en muchos escenarios la característica de Credential Guard es que necesita varios requisitos y algunos de ellos, están basados en tecnología de visualización, lo que quiere decir, que si queremos instalar Credential Guard en una Máquina Virtual, el equipo virtualizado tiene que cumplir todos los requisitos.

Requisitos Credential Guard:
Arquitectura x64.
Firmware UEFI versión 2.3.1
Trusted Platform Module, versión 1.2 o 2.0 TPM
Sistemas Windows Server 2016, Windows Enterprise IoT, Windows 10 Enterprise o Education.
Extensiones de Virtualizacion Intel VT-x o AMD-V y Second Level Address Translation SLAT.
Proceso de actualización segura de firmware.
Securing Boot, Secure MOR, Firmware con soporte para SMM protection y actualización de Firmware mediante Windows Update.
La opción de Protección de DMA y arranque seguro en la configuración de directiva de grupo requiere Hardware compatible con IOMMU input/output memory management unit.
Credential Guard no permite la delegación de Kerberos sin restricciones, ni cifrado DES, tampoco admite los siguientes protocolos NTLMv1, MS-CHAPv2, Digest y CredSSP. 


Credential Guard se puede habilitar con directiva de grupo en la ruta: 
Computer Configuration / Administrative Templates / System / Device Guard

Seleccionando:
  • Enabled with UEFI lock
  • Enabled without lock
para permitir apagar Credential Guard de forma remota o no.

Microsoft proporciona una herramienta en Windows PowerShell para verificar el hardware y activar Credential Guard en Windows 10 o Server 2016.

Seguridad a lo Jabalí para Todos!!

viernes, 6 de abril de 2018

https en Blogger de Google

En agosto del 2017 publicábamos un articulo en Seguridad Jabalí criticando la actitud de Google respecto a las características de publicación utilizando https desde Blogger. Resumiendo el contenido, Blogger no permitía la utilización de https en los blogs con dominios propios y Google muestra un aviso de seguridad a los blogs en esta situación.

A partir de ahora los espacios alojados en Blogger tienen disponible el uso de https, incluidos los blogs de dominios propios, así que hay que felicitar a Google por corregir esta situación y permitir a los usuarios de esta plataforma seguir utilizando sus servicios de forma segura y transparente.



Muy bien Google, muy bien!!

La opción esta disponible en el panel de administración, configuración, lo básico... a configurar todos el blog.
 
Seguridad a lo Jabalí para Todos!!

Archivo del blog

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias