Root CA Automatic Update

Az valami zseniális, hogy Redmondban kitalálták a $SUBJECT-et, így Pistikének a frissít(het)etlen warez Windowsára is letöltődnek a friss és ropogós Root CA tanúsítványok. Remélem, valami egyszerű hijacking megoldással megoldható az is, hogy a tanúsítványok egy .ru/.su TLD alatti domainről is kérdezés nélkül lecsorogjanak a Trusted Root store-ba. (Én speciel nyugodtabban aludtam, amikor a cert importálásakor feldobta a key fingerprintet, és bár a büdös életben soha nem olvastam el, legalább a lehetőségem meglett volna ellenőrizni.)

Oké, ugyanezen az elven a Windows Update-et is el lehetne téríteni.

Nade, aki kitalálta, hogy:

- az Automatic Update-en felbuzdulva, kapsz egy félig üres certificate tárolót még naprakészre frissített Windows-on is, mondván, elég azt szállítani out-of-box, ami a Windows működéséhez kell, a többiért pedig majd elmegy a boltba, amikor épp szükség lesz rá,

- és a felhasználódnak persze a tanúsítvány arra kelljen, hogy netet csiholjon magának, és fölmásszon a RADIUS-os WiFi-re, és innentől rókafogta csuka az egész,

- és aki b*szott a "Nincs/Ismeretlen CA" hibához legalább valami popup üzenetet csinálni, hogy a júzer tudja, hogy mi van, ehelyett csak "csendben" nem sikerül a csatlakozás,

- és aki kitalálta, hogy egy olyan CA-t, amit a korábbiakban MINDEN feladatra megbízhatónak minősítettél, az WiFi csatlakozás esetén még mindig nem megbízható, és külön kell engedélyezni MINDEN kib*szott SSID-re,

... na annak dugnék most fel egy 14dBi-s yagi antennát, az árbócával együtt!

( mrceeka v | 2015. 02. 07., szo – 12:11 )

Hello,

látom rendesen felhúztad magad, pedig elég részletesen le van írva: https://msdn.microsoft.com/en-us/library/dd759219.aspx
Egyébként elég indokoltnak tűnik nekem, miért így megy. Azzal együtt is, hogy értem a kényelmetlenséget, amit okoz Neked!
-A Windows Update folyamatba nem egyszerű beavatkozni, mivel ellenőrzi a hotfixek digitális aláírását.
-nyilván azért van minimalizálva out-of-the-box a Trusted Root CA-k száma, hogy a közben esetlegesen kompromittálódottak tanusítványait ne fogadja el egy szűztelepített rendszer.
-Ha jól értem, beállítható, hogy legyen-e figyelmeztetés:
34.To prevent users from being prompted to trust a server certificate if that certificate is incorrectly configured, is not already trusted, or both, select Do not prompt user to authorize new servers or trusted certification authorities . (Recommended)
Sejtésem szerint biztonsági megfontolások állnak a háttérben.
-Ha jól értem, alapból nem kell külön engedélyezni minden SSID-re:
21.In Trusted Root Certification Authorities , select the trusted root certification authority (CA) that issued the server certificate to your server running Network Policy Server (NPS). This setting limits the trusted root CAs that clients trust to the selected CAs. If no trusted root CAs are selected, then clients trust all root CAs listed in their trusted root certification authority store.

... és mivel rákerestem a nevezett yagi antennára, fontosnak tartom megjegyezni, hogy egyik sem én voltam! :)

Üdv,
Marci

Ez a móka csak domain környezetben működik. A BYOD arról szól, hogy a júzer hozza a saját fucking divájszát, ami úgy van konfigurálva, ahogy. A legelső lépés az, hogy fizikailag csatlakozni akar a hálózathoz. Itt máris elakad a megfelelő Root CA hiányában.

Gyakorlatilag egy dolgot várhatok el a felhasználótól: legyen a rendszere naprakészre frissítve.

Csak domain környezetben működik? Miért is? A RADIUS - tudtommal - nem domain függő, sőt, nem Microsoft függő.
Az igaz, hogy az NPS AD DS-t használ az authentikációhoz, de miért kéne ettől még a kliensnek domainben lennie?

Az viszont igaz, hogy a csatlakozáshoz a kliensnek kell a megfelelő Root CA-t ismernie.
Amúgy igen: "legyen a rendszere naprakészre frissítve"

Üdv,
Marci