Potrzebuję permanentnie zablokować/usunąć Bitlockera dla wszystkich

[Rufik_ 0]

Cześć drogie Panie i Panowie,

 

Ostatnio na moim jednym serwerze, z którego nikt nie wchodził do internetu zrobiono miazgę. Nie wiadomo jakim cudem - badamy to, ktoś się do niego dostał zdalnie i zaszyfrował nam Bitlockerem dyski. Dane poszły w p***u. Dostęp (w tym hasła) do tego serwera fizyczny lub zdalny miały tylko 3 osoby w tym ja. Kolegów nie podejrzewam bo przez to każdy z nas musi zapierniczać na 1000% normy.

 

Potrzebuję całkowicie i na amen wywalić Bitlockera ze wszystkich naszych serwerów. Wywalić tak, żeby ktoś nawet znając hasło administratora nie mógł Bitlockera podnieść. Może być usunięty permanentnie, może być nawet popsuty by nie działał lub był zabezpieczony hasłem (najlepiej). OS: Windows Server 2012 R2 (różne wydania).

 

Myślałem nad tym długo jak to zrobić, ale brakuje mi pomysłów. Może Drodzy Forumowicze dzięki Waszej burzy mózgów uda się coś wymyślić. Będę bardzo wdzięczny za każdą radę i wskazówkę.

 

Pozdrawiam,

Radek

 

PS. Wiem, że ktoś mający hasło administratora może mi wykasować dane na trylion innych sposobów. Ale Szefostwa na razie interesuje blokada tego co ostatnio się stało czyli Bitlockera . Celem poprawy bezpieczeństwa pozmieniałem już hasła do serwerów na nowe (silniejsze), adresy IP, porty na Gateway-u itp, założyłem blokadę ARP czyli rutynowe w takiej sytuacji działania. W każdym razie Szefowie chcą byśmy tego Bitlockera rozbroili na amen i tego dotyczy temat postu.

[Qwinto 413]

Cześć, zapytaj na sysopspolska, tam jest większe grono sysadminów, więc powinno być więcej pomysłów.

[Rufik_ 0]

Cześć, zapytaj na sysopspolska, tam jest większe grono sysadminów, więc powinno być więcej pomysłów.

 

Dzięki - napiszę tam posta również, ale miło by było usłyszeć też jakieś pomysły z PC Laba, od Pań i Panów

[Qwinto 413]

Napisz, a jak znajdziesz rozwiązanie, to się nim podziel tutaj.

[Rufik_ 0]

Napiszę jak mnie dodadzą. A może wy forumowicze macie jakieś pomysły?

[mefiak 0]

moze uderz na reddit.com/r/sysadmin ?

[Rufik_ 0]

Uderzę, dzięki. Ale czy naprawdę na PCLAB-ie nie ma nikogo z podobnym problemem? Jeden z większych portali komputerowych. Panie Prezydencie, jak żyć

[vhp 222]

To mniej więcej tak jakbyś chciał usunąć z systemu obsługę NTFS. Po to są hasła dostępu, żeby nikt niepowołany nie grzebał w ustawieniach.

[Rufik_ 0]

To mniej więcej tak jakbyś chciał usunąć z systemu obsługę NTFS. Po to są hasła dostępu, żeby nikt niepowołany nie grzebał w ustawieniach.

 

vhp nie przesadzajmy NTFS to system plików, to tak jakby z samochodu wyjąć silnik, a ja chcę wyjąć radio. Radio, które nie działa jak powinno. A co do haseł masz rację, ale co się stało to się nie odstanie, a to radio mimo wszystko chciałbym wyjąć

[Bono[UG] 1618]

Z ciekawości, zaszyfrowane zostało wszystko, czy tylko dane użytkowników, udostępnione w sieci?

 

W drugim przypadku nie trzeba mieć fizycznego lub zdalnego dostępu do systemu serwera, bo operacja szyfrowania idzie z innego komputera. W takim przypadku BitLockera musisz zablokować na komputerach użytkowników.

Jest tylko mały problem w tej walce, bo atakujący mając dostęp do danych (a mając hasło admina, to już w ogóle) może użyć dowolnego programu szyfrującego, nie musi to być systemowy BitLocker. Szefostwu jeżeli nie jest ogarnięte w tematyce zarządzania systemami i bezpieczeństwem danych, chyba lepiej wytłumaczyć, że to czego żądają jest bez sensu.

 

Odnośnie danych spuszczonych w kibel, to nie macie backupów?

U mnie w firmie był przypadek zaszyfrowania danych na serwerze jak ktoś otworzył załącznik z lewą fakturą. Strat w danych chyba nie było lub jedynie z jednego dnia, bo reszta została przywrócona z kopii.

 

Odnośnie pomysłów na wywalenie/unieruchomienie BitLockera (niesprawdzone, nieprzetestowane, nie mam pojęcia czy i jak zadziała, na podstawie Win7Pro, na własne ryzyko).

Wyłączyłbym usługę i zresetował system.

Potem można w rejestrze: HKLM\SYSTEM\CurrentControlSet\services wykasować gałąź BDESVC (w razie co najpierw zrobić kopię wpisu do rejestru) ale najpierw warto zajrzeć jakie klucze tam są. Np. u mnie są ścieżki do pliku bdesvc.dll Do przeszukania i usunięcia inne podobne wpisy w rejestrze.

Następnie usunąć lub uszkodzić wspomniany plik (nie wiem czy system tak łatwo pozwoli, może będzie trzeba trochę pokombinować).

 

Ślady bitlockera są jeszcze w sterownikach. Menedżer urządzeń, włączyć widok ukrytych urządzeń, w sterownikach niezgodnych z PnP "sterownik filtru szyfrowania dysków funkcją BitLocker". Nie mam pojęcia co robi i jakie będą efekty. Przed odinstalowaniem warto jeszcze zajrzeć jak nazywa się plik sterownika i go potem też unieszkodliwić.

[1minuser 0]

Bono, wydaje mi się, że po tej operacji pierwszy lepszy sfc /scannow naprawi to. I technicznie można jeszcze ustawić GPO tak, żeby obejmowało ten serwer? Co do reszty masz rację. No i obciążenie dysku też było w tym czasie wysokie, więc może jakieś logowanie obciążenia CPU, dysków itd? Może nie nagios/op5, ale chociaż zabbix.

Szczerze w takim przypadku bardziej martwiłbym się co osoba może zrobić z danymi które posiadła bardziej, niż to, że zniszczy serwer czy zdropi bazę.

[Rufik_ 0]

Mamy Backupy, ale akurat tego co zginęło nikt nie zbackupował - błąd ludzki. Mamy tyle danych, że nie wszystko da się zbackupować i nie o wszystkim wiemy, że trzeba backupować Wiem, że mając hasło admina można zrobić prawie wszystko, zaszyfrować dyski innym softem etc. Ale Szefostwo się uparło i to ma być nasz takich "d**ochron". Jak jeszcze raz taki incydent by miał miejsce to mówimy, że zgodnie z życzeniem było utrudnienie. Tu w zasadzie o to chodzi, żeby utrudnić włamywaczowi robotę, bo mając hasło admina i tak zrobi co będzie chciał. Co do tego co zginęło - zginęły dane z serwera i zostały zablokowane na serwerze dyski (poza systemowym). My domyślamy się, że mogła to zrobić firma, która miała dany zdalny dostęp, a nie chcieliśmy z nimi podpisać umowy serwisowej. Raczej mamy bezpieczną sieć.

[SeN81 34]

Może warto rozważyć 2FA, np jakiś YubiKey, dla użytkowników z uprawnieniami administracyjnymi.

[Bono[UG] 1618]

My domyślamy się, że mogła to zrobić firma, która miała dany zdalny dostęp, a nie chcieliśmy z nimi podpisać umowy serwisowej. Raczej mamy bezpieczną sieć.

Jeżeli macie na to dowody np. w postaci logów logowania i użycia bitlockera, to są ugotowani. To byłaby największa głupota jaką mogliby zrobić, bo to materiał przynajmniej na pozew cywilny, a może i jakiś pargraf karny by się znalazł.

Mieli własne konto z prawami admina, czy wszyscy jechali na tym samym?

 

Mamy tyle danych, że nie wszystko da się zbackupować i nie o wszystkim wiemy, że trzeba backupować

Może czas na porządki lub upgrade?

[Rufik_ 0]

Dowodów nie ma, bo ktoś mając dostęp RDP na konto Administrator może wszystko i logi piszą tylko o administratorze - chyba, że Panie i Panowie macie wiedzę, której mi brakuje jak sprawdzić skąd się dostano zdalnie?? Jeśli tak to bardzo proszę podzielcie się wiedzą - z chęcią się poduczę Jeśli jest naprawdę sposób, żeby to sprawdzić to błagam wręcz o wskazówki jak to zrobić na serwerze

 

Na porządki czas - można pośpiewać lalala Jasne, że czas - jestem w pełni z tym zgodny i ja bym to też zrobił, ale przy tak dużej instytucji to nie jest proste, na zasadzie siadam i robię. Dam przykład zatrudniłem się w firmie, na jednym ledwo co dychającym PC-cie w dziale nieważne jakim, mieli bazę całego sprzętu medycznego i technicznego (ta baza była w MS Access). Tam było wszystko, na ile gwarancja, kiedy kończy się przegląd, kiedy trzeba zrobić co itd. Jakie numery ma sprzęt zgodnie z UE - wszystko. Na początku mojej pracy wpadłem tam bo im drukarka nie działała - to było tam z 4 lata temu. Patrzę na tą bazę pytam "a co to?" i mi tłumaczą. No to ja OK i pytam, na którym serwerze się to backupuje (robi się kopię w sensie i tłumaczę). A to uuuu co to serwer no jest tak 10 lat i działa. Bez tej bazy bylibyśmy w d..., teraz (2019) kupujemy program dla tej bazy, żeby to unowocześnić i żeby to było bezpieczne. Ale nie zbaczając z tematu - zrobiłem drukarkę i coś im z kompem z tą bazą zaczęło się dziwnego dziać (wolno działał itd.). Robię od razu autocopy na server i po restarcie (bo ustawiłem backup po uruchomieniu i chciałem sprawdzić czy działa - wcześniej kopię zrobiłem). Uruchamiam PC-ta ponownie i dysk martwy Pod Bogiem tak było - fart w niefarcie. I takich kwiatków na obiekcie gdzie pracuje 1000 ludzi gdzieś znajdujemy co chwilę Dlatego ja nie jestem w stanie poza serverami stwierdzić, gdzie co ważnego jest - na oko jestem, ale na 100% nie bo się dzieje

 

Proszę o podpowiedzi - fajnie, że temat odżył, bo sądzę że nie tylko ja mam taki problem

 

 

 

[Gość Nareszcie]

A w jakis sposob sie tamta firma laczyla z serwerem? Bo chyba nie napiszesz, ze bylo rdp wystawione na swiat...

A nawet jesli, to logi z routera.

Natomiast do calej reszty podchodzisz od zlej strony. Nie Twoja rola jest dochodzic, gdzie uzyszkoidnicy trzymaja swoje pliki i dlaczego. Zalatw sprawe odgornie, przygotuj system, a na koniec e-mail do wszystkich o zasadach przechowywania danych.

U mnie tez byly takie lamenty. Skonczyly sie, gdy ktos stracil dane na lapku po padzie dysku, a w odpowiedzi na "Hugo, ratuj!" dostal wydrukowanego e-maila i podpisana przez zarzad kopie polityki bezpieczenstwa. Nagle w cudowny sposob dyski na macierzy sie zapelnily.

Chociaz latwo sie madrzyc, to wiem, ze to kupa roboty, ale innego wyjscia nie ma. Jesli nie wymusisz porzadku, to nadal bedziesz babral sie w blocie i marnowal czas na pierdoly.

Do tego ograniczenia dostepu, brak kont grupowych i logi, logi, logi.

[Bono[UG] 1618]

Odnośnie logów, takie coś znalazłem: https://social.technet.microsoft.com/Forums/ie/en-US/cb1c904f-b542-4102-a8cb-e0c464249280/is-there-a-log-file-for-rdp-connections?forum=winserverTS

 

U mnie w domu widać z jakiego lokalnego ip się podłączyłem, więc jak połączenie poszło z zewnątrz, to pewnie będzie widać ip routera i tam trzeba jeszcze przeszukać logi.