שלום לכולם.

ברצוני לייחד משתמש ספציפי ל Exchange services שבשרת. (לפי ההמלצה בספר Implementing and Managing MS. Exchange 2003 /Ms. Press).

לפי ההמצלה, הוספתי את המשתמש לקבוצות Domain Admins, Schema Admins, Enterprize Admins.

פעולה כזו אמורה לתרום לניטור בעיות ב Exchange.

כל השירותים של הexchange פרט ל Microsoft Exchange Management
מסרבים לעלות עם המשתמש הספציפי (וגם עם Administrator שאיתו בוצעה התקנת ה exchange) אלא רק עם system.

מרבית השירותים רושמים ב Event log:
The account specified for this service is different from the account specified for other services running in the same process.

השירות Microsoft Exchange System Attendant לא כותב כלום.

אציין שאני מנסה לעלות את כל השירותים עם אותו המשתמש ולא עם כמה משתמשים שונים.
כמו כן ניתנה הרשאה למשתמש:
Logon as service וכן act as a part of the operationg system.

נסיון לתת למשתמש הרשאה של Exchange Full Administrator וכן להוסיף אותו לקבוצות
Exchange Services
Exchange Domain Servers
לא עזר.


פרטי המערכת:
Exchange server 2003 SP1
Windows 2k server SP4
Domain Controller יחיד בForest.
(Global catalog, all operations master)

תודה מראש...

בדקת אם קיימים שרותים פעילים של הexchange כבר?
אתה עובד בתצורה של cluser או מתקין את השרת על מחשב בודד?
עם איזה משתמש התקנת את התוכנה?
התקנת את הexchange על הDC שלך או על שרת נפרד?
העובדה שהsystem attendant לא כותבת כלום אומרת שהשרות עלה כמו שצריך או שהוא סתם נופל?
אילו שרותים לא עולים לך? קרה לי לא-פעם שנכתבו שגיאות בלי סיבה באיוונט לוג, ז"א, הייתה סיבה, אבל לא בגלל שהשרת דואר לא עבד
הייתה שגיאה מסויימת בהתקנה של השרת או שהכול עבר חלק?

יפה לך 2003... אני עדיין תקוע ב2000

כפי שאמרתי, כל השירותים עולים כמו שצריך עם משתמש system, אך לא עולים עם משתמש אחר ייעודי.
רק שירות אחד כן מצליח לעלות עם משתמש ייעודי והוא Microsoft Exchange Management.

השרת לא מותקן בתצורת cluster.

ההתקנה בוצעה עם domain name\administrator כפי שציינתי, וכן גם באמצעותו השירותים מסרבים לעלות. (אותה תופעה).

לא היו שגיאות במהלך התקנת השרת...

אגב, אתה מעלה את השירותים באמצעות משתמש ייעודי או באמצעות system?

אני לא זוכר שראיתי המלצה להשתמש במשתמש ייעודי כדי להעלות את השירותים, לניהול השרת זה כבר יותר הגיוני...
אבל אני אחפש את הbest practice שלהם כדי להיות בטוח

ההמלצה מתייחסת ל security auditing ב event viewer.
בעיות שקשורת לexchange יופיעו עם המשתמש המיועד ולא עם system או administrator.

מדובר בטעות (רצינית!) בספר המדובר.

לא ניתן ולא מומלץ לנסות להריץ את השירותים עם משתמש אחר פרט ל system.

נמאס לכם לזכור סיסמאות? לחצו כאן!

הרי כדי לשנות/לגשת אל התהליכים האלו אתה גם-כך תצרך משתמש אדמיניסטרטיבי על המחשב.
ואם כבר יש לך משתמש כזה, אז אתה לא ממש צריך לפרוץ את האקסצ'יינג'

זה כמו האקספלוייט שגילו בIIS6 שאם אתה יושב על המכונה ויש לך הרשאות אדמיניסטרטיביות, אז אתה יכול להריץ קוד זדוני דרך הIIS, ומה, אם לא היה מותקן IIS, לא היית יכול להריץ את הקוד הזה?

כאשר מישהו פורץ לתוכנת שרת מרחוק, הוא עושה זאת על ידי דחיפת קוד ביצועי (בינארי בד"כ) משלו, וגורם, בזכות הבאג, לשינוי זרימת התוכנה כך שהקוד שלו יבוצע, במקום המשך התוכנית המקורי (ולכן אנשי אבטחת מידע היום פועלים נגד הסימפטום הזה, במקום לטפל בתופעה, כלומר, תוכנות של מיקרוסופט ). התוצאה היא שהקוד שהוא שלח, יבוצע כאילו היה חלק מהתוכנה. זה אומר שכל מה שזמין לתוכנה: גישות לקבצים, לזיכרון ולמערכת ההפעלה, זמינות גם לפורץ. זה אומר שאם השרת שאליו פרצו הוא בעל גישה לקובץ XYZ, גם לפורץ תהיה גישה לקובץ הזה, כי הוא הרי רץ בתוך התוכנה בעצם.

ואחרי ההקדמה, נעשה אנלוגיה מהמידע הכללי לדוגמא הפרטית שלנו: אם Exchange רץ בתור SYSTEM (שלמיטב ידיעתי מחזיק הרשאות מלאות לביצוע כל דבר שבעולם במערכת ההפעלה), ומישהו פרץ ל Exchange, התוצאה היא שיש לו הרשאת SYSTEM במערכת, על כל המשתמע מכך; וזאת, למרות שכל מתכנת יודע, שאין שום סיבה שתוכנה תרוץ עם הרשאה שכזו - אבל למיקרוסופט יש מנהג מגונה מאוד ששרתים ירוצו בהרשאות גבוהות. למה? להם הפתרונים.

מילא הייתה הטענה שכמו ב UNIX, אי אפשר להאזין בפורט הנמוך מ 1024 בלי להיות מנהל מערכת (לא חושב שזה כך בחלונות, עוד בעיית אבטחה לדעתי), וגם נדמה לי ש Exchange בכל מקרה רץ על פורט 11111, אבל נדמה לי שהתירוץ שלהם הוא יותר פשוט: "כי ככה בא לנו..."

אתן לך דוגמא מעולם הקוד הפתוח המלא (אפאצ'י על לינוקס, כי אני לא יודע אם מה שהוא עושה בלינוקס אפשרי בחלונות) - למרות שאפאצ'י הוא שרת Web, מה שדורש ממנו להאזין לפורט 80, מה שדורש, כמו שאמרתי בפיסקה הקודמת, הרשאות מנהל מערכת. אז אפאצ'י מורץ כ root, מתחיל האזנה בפורט, ואז משנה לעצמו את המשתמש למשתמש לא פריווילגי כלל, כלומר משתמש שבעצם לא יכול לעשות כלום במערכת חוץ מלכתוב בספריית הבית של הלוגים שלו... וזו, ידידי, אבטחה

מקווה שעכשיו טענתי מובנת יותר...

נמאס לכם לזכור סיסמאות? לחצו כאן!

ובנקודת מבט גם הגיונית, להגיע למצב שאין שירותי שרצים עם משתמשים פריווילגים.

אבל, כדי לשנות את הבינארים של האקסצ'יינג' אתה תצרך גם-כך משתמש פריווילגי, ולכן אני עדיין לא מוצא את הבעייה שלך עם המקרה הספציפי הזה.

בקשר למקרה ה"כללי" יותר, דווק מיקרוסופט עושים מהלכים בכיוון הזה של לא לריץ שרותים עם משתמשים פריווילגים, אבל ם מתייחסים לזה בצורה שונה, המטרה היא לעלים את אדמיניסטרטור, או יותר נכון, להוריד את הצורך במשתמש אחד שהוא אלוהים, מכיוון שקיום משתמש כזה הוא סיכון אבטחתי לא קטן.
המהלך התחיל בחלונות 2000, כשהופיעו פתאום power users וbackup administrators וחלוקת התפקידים הולכת לגדול ולהיות ברורה יותר בעתיד, אני מקווה
אני לא אומר שהכול מושלם היום, אבל בעתיד, אולי
ועד-אז, היוצרים של אפצ'י יכולים להמשיך לשחק עם הרשאות המשתמש שמריץ את השרת

שינוי זרימת תוכנה באמצעות באג בה, מתבצע על ידי שימוש רגיל בתוכנה, שאינו פריווילגי, כמו לקוח שמתחבר עם אאוטלוק כדי להוריד דואר. בהנתן הבאג הנכון במקום הנכון, אפשר יהיה לדמות לקוח אאוטלוק, שיכניס מידע שהשרת לא מצפה לו, ולגרום לשינוי התוכנה בזיכרון המחשב. בלי הרשאות אדמיניסטרטור ובלי בטיח...

זה לא משנה אם התוכנה רצה בתור המשתמש שנקרא Administrator או בתור המשתמש שנקרא "המשתמש-של-שימי" שיש לו את אותן הרשאות בדיוק. שם המשתמש חסר ערך לחלוטין, וכמו שאתה יודע, אפשר לשנות אותו. ההרשאה זה מה שמשנה, ו SYSTEM זו הרשאה גבוהה מאוד בשביל שרת שאין שום סיבה שבכלל יגע במערכת ההפעלה...

היוצרים של אפאצ'י לא משחקים עם כלום. אחרי שאפאצ'י עולה, הוא רץ כמשתמש רגיל לחלוטין במערכת (אם אני אקביל את זה לחלונות: משהו בסגנון Guest)

נמאס לכם לזכור סיסמאות? לחצו כאן!

הנקודה שלי לא הייתה שאתה טועה ושsystem זו הרשאה טובה ובטוחה.
הנקודה שלי היא שבעתיד לא יהיה משתמש כזה, לכל אחד יהיו בדיוק ההראשות שהוא צריך, בלי צורך להוריד את כמות ההרשאות שלך באמצע העבודה

נכון לעכשיו, שרתיה של מיקרוסופט אינם יכולים לרוץ כלא-פריוולגיים, והאפשרות להריץ שירות על משתמש אחר הייתה קיימת מאז המצאת ה NT, אני חושב, אבל היא לא עוזרת לנו כשהשרת עדיין חייב הרשאות מלאות כדי לבצע כל דבר - וזו נקודת חוסר האבטחה המוחלטת שעליה דיברתי.

למה מיקרוסופט עשו את זה ככה? אני לא יודע. הרבה מתפיסות הרשת (כולל חלק ניכר מקוד ה TCP/IP ממה שאני יודע), "הושאל" אחר כבוד מ UNIX/BSD - וזו כנראה הסיבה שהדבר היחיד שעובד יציב יחסית בחלונות NT ומעלה - זו הרשת - אך לא בתפיסת האבטחה. הרי כבר ש NT נכתבה היה ידוע על פריצות למחשבים ואיך הן נעשו, אז זה לא ברור למה המערכת לא תוכננה נגד זה (אני מוכן לקבל את הטענה ש NT נרכשה מחברה מסויימת שראשי התיבות שלה הם "NT", אבל זה לא מסביר למה זה לא תוקן ב 2000, או ב XP, או ב 2003). בדקתי הרגע, והמדריך לפקודה setuid() ב C הנובעת מ UNIX שנמצא על הלינוקס שלי הוא מ 29/07/1994, מה שאומר שאז היה העדכון האחרון למדריך הזה, מה שמראה כמה שאר העולם היה מודע לבעייה הזו (ב UNIX יש רק משתמש פריווילגי אחד, זה עם מזהה 0, שנקרא גם "root", מה שאומר שכל שימוש ב setuid נועד למטרה אחת - מעבר למשתמש לא פריווילגי).

אם למישהו כאן יש קשרים עם אנשי פיתוח של מיקרוסופט, אני בהחלט אשמח לשמוע את הטענות שלהם לסיבה שבגללה נכתבו התוכנות כפי שנכתבו, כי באמת לא קראתי טקסטים מבדרים לאחרונה

נמאס לכם לזכור סיסמאות? לחצו כאן!