Sentinel local license manager что это

Общие.

Инструкция по миграции с комплекта разработчика Sentinel SDK версии 5.х и ниже на комплект разработчика Sentinel LDK.

Миграция данных может производиться только с комплекта разработчика SDK 5.11 или 5.12, с более ранних версий она не производится. Поэтому сначала необходимо обновиться до SDK 5.12.

Для обновления на актуальную версию комплекта разработчика потребуется:

Переход на актуальную версию комплекта разработчика требует процедуры миграции базы данных, так как в актуальных комплектах разработчика уже не используется Business Studio. Вместо неё применяется инструмент Sentinel EMS. Sentinel EMS использует базу данных, которая по своей структуре отличается от базы данных в Business Studio.

Предварительно, до начала выполнения миграции базы данных с помощью утилиты Sentinel LDK Data Migration Tool, настоятельно рекомендуем произвести резервное копирование базы данных Business Studio и Sentinel EMS. О том, как это можно сделать, см. «Как перенести базу данный Sentinel EMS / Business Studio на другой компьютер?».

Перенос данных из базы Business Studio в базу Sentinel EMS производится автоматически при помощи утилиты Sentinel LDK Data Migration Tool из комплекта разработчика.

Для обновления до Sentinel LDK вам потребуется:

Запуск Sentinel LDK Master Wizard

Утилиту Sentinel LDK Master Wizard, используемую для выполнения процедуры представления Sentinel (HASP) HL Master и/или Sentinel (HASP) HL Developer ключей, необходимо запускать от имени встроенной учётной записи локального администратора. В противном случае, может не хватить прав для сохранения библиотек Sentinel LDK API и Vendor-кода в требуемые директории на локальном диске и модификации данных в базе Sentinel EMS / Business Studio.

Процедура продемонстрирована в видео уроке тут.

Где взять MWP файл?

Перед началом работы с ключами своей серии разработчика необходимо провести процедуру представления Sentinel (HASP) HL Master ключа. В ходе этой процедуры происходит регистрация Vendor-кода и загрузка с сервера разработчиков API библиотек под данную серию ключей. Эта процедура проводится с помощью утилиты Sentinel LDK Master Wizard. При наличии прямого подключения к Интернету Sentinel LDK Master Wizard загрузит все необходимые файлы с сервера компании-разработчика системы защиты. При отсутствии прямого подключения к Интернету утилита запросит MWP файл.

Для формирования для определенной серии ключей MWP файл службе технической поддержки необходимо знать следующее:

Ошибки при проведении процедуры представления Sentinel (HASP) HL Master ключа: 861, 857, 850

В конце процедуры миграции данных (работа с утилитой Sentinel LDK Migration Tool) необходимо выполнить процедуру представления Sentinel (HASP) HL Master ключа (работа с утилитой Sentinel LDK Master Wizard), в ходе которой могут возникнуть ошибки: 857, 861, 850. Для устранения ошибок необходимо:

Рекомендуется использовать актуальную версию SDK LDK (где таких ошибок нет).

Процедура установки(активации) нового Sentinel SL в Linux

Какие бывают Sentinel (HASP) SL ключи

Где должен быть установлен Sentinel (HASP) HL Developer ключ?

Где должен быть установлен Sentinel (HASP) HL Master ключ?

В чём разница между ключом Sentinel (HASP) HL Master и ключом Sentinel (HASP) HL Developer?

Sentinel (HASP) HL Master ключ предназначен как для защиты приложения (может работать с Sentinel LDK Envelope и генерировать Sentinel LDK Licensing API под определенную серию разработчика), так и для записи лицензий в пользовательские ключи (может работать с Sentinel EMS / Business Studio и Sentinel LDK License Generation API).

Sentinel (HASP) HL Developer ключ может только защищать приложения (работать с Sentinel LDK Envelope и генерировать Sentinel LDK Licensing API под определенную серию разработчика).

Где узнать, какие лицензии есть на Sentinel (HASP) HL Master ключе?

Для того чтобы посмотреть, какие лицензии есть на Master ключе, можно воспользоваться Sentinel EMS или Sentinel Business Studio (в зависимости от используемой версии комплекта разработчика).

Пример лицензий и их описания:

Описание всех лицензий есть в документации к нашему SDK.

Также можно посмотреть количество оставшихся локальных и сетевых активаций через Sentinel Admin Control Center (рекомендуется предварительно обновить драйвер до актуальной версии, если требуется), для этого:

Как удалить программный ключ Sentinel (HASP) SL с ПК

Чтобы удалить Sentinel SL ключ, потребуется удалить файл / файлы сертификата этого ключа. Подробно о том где они хранятся написано в документации к нашему SDK LDK.

Чтобы изменения вступили в силу, необходимо выполнить перезапуск службы Sentinel LDK License Manager, либо перезагрузить ПК. Если этого не сделать, изменения вступят в силу не сразу, а спустя некоторое время, ориентировочно 5-10 минут.

!Важно: удаление сертификата ключа не удаляет сами лицензии с ПК, а лишь делает ключ с лицензиями недоступным для защищённого ПО. Чтобы полностью очистить ПК от ключа с лицензиями, рекомендуется удалённо отформатировать ключ, и только затем удалять файл сертификата ключа.

Что такое C2V / V2C / V2CP / H2H / H2R / R2H / ID файлы и зачем они нужны?

Файлы C2V/V2C/V2CP используются для удалённого обновления ключей защиты Sentinel (HASP) HL/SL, а также для активации программных ключей защиты Sentinel (HASP) SL.

Файлы H2H/H2R/R2H/ID используются для временного переноса лицензий (Detach) и для полного переноса SL ключей (Rehost).

Работают ли ключи Sentinel (HASP) на виртуальных машинах?

Аппаратные ключи защиты программ Sentinel (HASP) HL следует пробрасывать на виртуальные машины либо средствами самой платформы виртуализации (как, например, это реализовано в VMWare), либо сторонними средствами, например такими как: myUTN-80 by SEH Technology (официально поддерживаемое решение), Anyware USB или USB over IP.

Если нет возможности пробросить аппаратные ключи на виртуальную машину, можно использовать либо сетевые ключи Sentinel (HASP) HL Net и Sentinel (HASP) HL NetTime, либо программные ключи Sentinel (HASP) SL, для них необходимо при генерации ключа защиты программы указывать разрешение на работу на виртуальной машине – галочка «Virtual Machine» при задании лицензионных ограничений для Feature в продукте, в Sentinel EMS.

Что делать, если на компьютере нет (нет свободного) USB порта?

Как перенести базу данных Sentinel LDK EMS/Business Studio на другой компьютер?

Для переноса базы данных на другой ПК в разных версиях комплектов разработчика используются различные методы.

В Sentinel SDK 5.xx и более ранних версиях для переноса базы на отдельный SQL сервер необходимо сделать резервную копию средствами SQL Server Management Studio Express:

При подключении к SQL Server используйте SQL Server Authentication. Имя пользователя и пароль по умолчанию для Sentinel SDK 5.xx и более ранних версий:

Затем следует восстановить из резервной копии базу данных на том сервере, куда её необходимо перенести.

После этого на компьютере с комплектом разработчика в папке «C:\Program Files (x86)\SafeNet\Sentinel HASP Server\Servers\Sentinel HASP Server» необходимо поправить во всех «*.cfg» файлах путь до базы: «server=*Укажите_тут_IP_адрес_вашего_сервера_с_базой*\HASPSRMDATABASE».

В Sentinel LDK 6.x и более поздних версиях для переноса базы на отдельный SQL сервер необходимо сделать резервную копию базы данных средствами SQL Server Management Studio Express:

При подключении к SQL Server используйте SQL Server Authentication. Имя пользователя и пароль по умолчанию для Sentinel LDK 6.x и более поздних версий:

Затем следует восстановить из резервной копии базу данных на том сервере, куда ее необходимо перенести.

Далее на компьютере с комплектом разработчика необходимо, варианты:

Пример строки: «. url=jdbc:jtds:sqlserver://127.0.0.1:49325/EMSDB;instance=EMSDATABASE;useNTLMv2=true. «.

Пример файла, в котором необходимо менять настройки: «C:\Program Files (x86)\Gemalto Sentinel\Sentinel LDK EMS\EMSServer\webapps\ems\WEB-INF\classes\ems.properties».

Поиск необходимо осуществлять в директории: «C:\Program Files (х86)\Gemalto Sentinel\Sentinel LDK EMS\EMSServer\webapps\ems\».

Логин и пароль по умолчанию от MS SQL сервера Business Studio и Sentinel LDK EMS

MS SQL сервер Business Studio:

MS SQL сервер Sentinel LDK EMS:

Какие алгоритмы шифрования используются в Sentinel LDK (SRM)?

Ключи Sentinel (HASP) имеют свой криптопроцессор.

Система защиты Sentinel LDK (SRM) использует следующие криптографические алгоритмы: AES 128-бит, ECC 163 и RSA 2048.

Как перенести комплект разработчика на другой ПК?

Для комплекта разработчика Sentinel SDK 5.xx и более ранних версий:

Для комплекта разработчика Sentinel LDK (SRM) 6.x и более поздних версий:

Режим работы ключей Driverless, функциональные особенности. Способ обновления ключа из режима HASP в режим Driverless

Ключи Sentinel HL могут работать в двух режимах:

Driverless режим поддерживают ключи в новом корпусе с микропрошивкой 4.х и выше. Ключи в старом корпусе с микропрошивкой 3.25 и ниже не поддерживают данный режим на аппаратном уровне.

Преимущества, которые даёт режим Driverless:

Как перевести Sentinel HL ключ из режима HASP в режим Driverless:

Необходимо либо в Sentinel EMS, либо через License Generation API записать в ключ лицензию с обновлением ключа до Driverless.

При записи лицензии через Sentinel EMS режим Driverless включается при создании продукта с feature, за это отвечает галочка “Upgrade to Driverless”. При записи такого продукта в ключ произойдёт перевод ключа из режима HASP в режим Driverless.

Обратно перевести ключ из режима Driverless в режим HASP невозможно!

Для того, чтобы защищённое приложение работало с ключами в режиме Driverless, необходимо защитить своё приложение используя SDK LDK версии 6.3 и выше (для полной поддержки рекомендуется SDK LDK 7.0 и выше).

Использование функции виртуального таймера – VСlock

VClock – виртуальный таймер, позволяющий записывать лицензионные ограничения по времени в модели ключей (кроме Sentinel HL Basic), не имеющие реального счётчика времени. Доступен только в режиме Driverless.

В моделях ключей Sentinel HL Time и Sentinel HL Net Time, обладающих реальным счётчиком времени (чипом Real-time Clock), VClock позволяет осуществить подстраховку Real-time Clock механизма. В случае если батарейка чипа Real-time Clock сядет, лицензионные ограничения по времени в ключе с включенным VСlock перейдут на использование виртуального счётчика времени, тем самым позволив пользователю продолжить работать с временными лицензиями на ключе без каких-либо проблем.

Механизм работы VClock:

Для контроля лицензионных ограничений Expiration Date или Time Period изначально берётся за контрольную точку время с системных часов на компьютере конечного пользователя.

Менеджер лицензий Sentinel License Manager считывает системное время при запуске, впоследствии менеджер лицензий использует своё внутреннее время для расчета времени работы.

Когда защищённое приложение выполняется и использует лицензию из ключа c включённой опцией VClock в первый раз, менеджер лицензий считывает время из внутреннего счётчика времени в ключе, чтобы определить время начала отсчёта срока лицензии для программного обеспечения:

Безопасное хранилище для аппаратного ключа Sentinel HL находится внутри самого ключа Sentinel HL.

Время истечения лицензии определяется по формуле:

[текущее время Менеджера лицензий] + [количество секунд до истечения срока действия лицензии].

Полученная в ходе данного вычисления информация хранится в защищенной области памяти ключа защиты (безопасном хранилище).

Данный механизм позволяет избежать проблем при изменении системного времени на ПК клиента.

Как активировать VClock в ключе:

Необходимо либо в Sentinel EMS, либо через License Generation API записать в ключ лицензию с включённой опцией VClock.

При записи лицензии через Sentinel EMS опция VClock включается при создании продукта с feature, за это отвечает галочка “Use Virtual Clock”.

Если в продукте у feature установлены лицензионные ограничения по времени, то такой продукт можно записать в модели ключей, не имеющие аппаратного таймера, только при установленной галочке “Use Virtual Clock” и при условии, что ключ, в который будет осуществляться запись лицензии, работает в режиме Driverless.

Как узнать, какие параметры привязки SL ключа изменились и из-за чего заблокировался SL ключ (с ошибкой Cloned)?

По C2V файлу можно узнать, какие параметры привязки изменились и, соответственно, почему ключ заблокировался.

Для этого потребуется C2V файл, снятый с ключа в данный момент времени (уже с заблокированного SL ключа).

Пример расшифрованного C2V с заблокированного SL ключа (SL ключ установлен на виртуальной машине):

Красным выделен список текущего аппаратного обеспечения. Зелёным – список того аппаратного обеспечения, к которому осуществлялась привязка SL ключа. При их сравнении становится понятно, какие параметры изменились.

В примере отчётливо видно, что изменились два параметра. Но так как SL с виртуальной машины, то в счёт идёт только параметр Ethernet_uid, из-за его изменения и заблокировался ключ.

В примере также выделены оранжевым строки:

Они означают, что защита от клонирования для ключа была включена, а также информируют о том, что ключ заблокирован с пометкой «Cloned» из-за смены fingerprint (параметров привязки).

Источник

990x.top

Простой компьютерный блог для души)

Sentinel LDK License Manager Service что это такое? (процесс hasplms.exe)

Привет друзья. Сегодня у меня цель, это узнать что такое Sentinel LDK License Manager Service, я все выясню и тут вам напишу, слово даю. Итак, вот начал искать в интернете инфу, наткнулся на форум какой-то, тут чел пишет что у него при установке такой штуки как Sentinel HASP/LDK — Windows GUI Run-time Installer выскакивает какая-то ошибка, но при этом в системном журнале есть запись об этой ошибке и там фигурирует Sentinel LDK License Manager Service…

Так, сперва разберем само название. Sentinel LDK License Manager Service это что? Это видимо служба менеджера лицензий, первое что мне на ум пришло. Окей, хорошо, а что такое Sentinel LDK? А вот это уже интересно. Значит Sentinel LDK это такой себе набор специальных утилит, при помощи которых можно организовать работу клиентского приложения с аппаратным ключом защиты Sentinel HL или с программным Sentinel SL. Можно еще записывать лицензии в клиентские ключи Sentinel HL/Sentinel SL. Есть поддержка удаленного обновления лицензий в клиентских ключах.

И вот читаю дальше, что Sentinel LDK может защитить программы, провести лицензирование, есть даже защита контента. Также Sentinel LDK позволяет создать защиту для продажи и активации программы через интернет, это все при помощи программных ключей Sentinel SL

Так, вы наверно подумаете — к чему это я все? Да к тому, что Sentinel LDK License Manager Service имеет отношение к активации какой-то программы, или связано с ее лицензией..

Кстати на том форуме, ну что я вначале писал, где у чела ошибка с упоминанием Sentinel LDK License Manager Service, то там ему ответили, что такая ошибка может быть если на компе стоят проги от Lumension Security — Lumension Device Control, Lumension Endpoint Management and Security Suite, Lumension Application Control. И еще написали, что ошибка как бы решается использованием свежих драйверов для ключей HASP (начиная с версии 6.60) и последних версий Lumension Security. Вот такие пироги

Ага, значит Sentinel LDK License Manager Service это как бы процесс hasplms.exe, я и не знал…

Еще у вас могут быть службы Sentinel Local License Manager, HASP Loader.. Как посмотреть службы? Все просто, зажимаете Win + R, потом вставляете команду services.msc и нажимаете ОК, после чего откроется окно со списком служб. Кстати можно вставить services.msc и в меню Пуск:

Ребята, я уже нашел картинку подтверждение тому что такая служба реально есть:

И еще одну картинку нашел:

Вот один чел на форуме по компьютерной безопасности написал такое сообщение:

И вот что ему ответил какой-то продвинутый юзер:

Может у вас стоят на компе такие проги как 1C, Компас, Autocad?.

Еще у вас может быть такое как Aladdin HASP License Manager Service — но тут вы спросите, это что еще за дичь? Это ребята специальная утилита от компании Aladdin, которая предназначена для управления аппаратными лицензиями 1С. Так, читаю вот дальше, получается что фирма 1С выбрала аппаратные ключи Aladdin, и выбрала то неспроста, ибо HASP это простые в установке и супер надежные ключи, вот так.

Поговорим о процессе hasplms.exe

Решил также поискать информацию и о процессе hasplms.exe, пошел в интернет.. все верно, этот процесс принадлежит Aladdin HASP License Manager Service или Sentinel HASP License Manager Service. И все это тоже самое, связанное с лицензией, защитой и подобным, в общем то, о чем я писал выше..

Многие юзеры сообщают, что у них процесс hasplms.exe грузит комп, пишут что может процессор грузить и оперативки много кушать. Хм, тут один чел пишет, что под процесс hasplms.exe может маскироваться вирус.. да ребята, я вас огорчу, но такое может быть. Если есть подозрения, то сразу вам советую проверить комп бесплатной утилитой Dr.Web CureIt!, вот ее официальный сайт, где и можно скачать:

А вот как выглядит утилита, это процесс сканирования и тут даже какие-то угрозы найдены:

Так, вернемся к процессу hasplms.exe, вот я нашел картинку, это диспетчер задач и тут мы видим что запускается процесс из этой папки:

Так, а вот еще нашел картинку, тут мы видим что есть служба с внутренним названием hasplms, и отображаемым — Sentinel Local License Manager:

Судя по картинке, предположу что ее можно отключить, в общем стоит попробовать…

Помните я писал про аппаратные ключи? Так вот они внешне как USB-флешка. Так вот, когда ключ подключен, то у вас в Диспетчере устройств могут быть такие штуки:

При запуске какой-то проги или.. я не знаю при каких условиях, но у вас может выскочить такое окошко безопасности:

Ребята скажу сразу — можете смело нажимать Да, так как издателю SafeNet Inc можно доверять, все таки компания Sentinel LDK сама занимается защитой данных.

Да ребята.. многое я тут написал, в итоге не совсем понятно что к чему, много информации.. Но зато хотя бы точно знаете что вообще такое Sentinel LDK.

Итак, выводы. Штука Sentinel LDK License Manager Service или процесс hasplms.exe — это все имеет отношение к лицензировании, защите программы или к чему-то похожему. Если у вас какая-то ошибка, которая связана с Sentinel LDK, то некоторые программы могут не работать, так как именно при помощи Sentinel LDK License Manager Service идет проверка лицензии. И если тут ошибка, то прога может отказываться запускаться. Что делать? Писать в поддержку программы, другого на ум ничего не приходит.

На этом все ребята, надеюсь вы теперь узнали что такое Sentinel LDK License Manager Service, что это просто служба менеджера лицензий Sentinel LDK. На этом все, удачи вам и позитивного настроения!!

Источник

Платформа Sentinel LDK решает задачи:

Sentinel LDK – решение №1 в мире, обеспечивающее аппаратную (USB-ключи Sentinel HL) программную (Sentinel SL) и облачную защиту программного обеспечения. Более 52% разработчиков в мире выбрали защиту программ Sentinel LDK благодаря простоте встраивания и надежности.

Sentinel LDK является современной платформой для монетизации программного обеспечения. Sentinel LDK предлагает разработчикам ПО широкие возможности по лицензированию и продвижению коммерческого ПО наряду с простыми и эффективными методами защиты программ от копирования и нелегального распространения с помощью электронных ключей защиты – как аппаратных USB-ключей, так и программных и облачных лицензий.

Sentinel LDK поможет защитить от пиратства в несколько кликов, снизит логистические расходы, позволит управлять полным циклом продаж ПО. Sentinel LDK является первым и единственным решением для лицензирования, которое обеспечивает разработчикам ПО необходимую гибкость и отвечает специфике лицензирования вне зависимости от предпочитаемой пользователями модели доставки ПО, будь то облачные сервисы или приложения, устанавливаемые на их собственном оборудовании.

Защита программного обеспечения

Защита ПО с помощью аппаратных ключей Sentinel HL (HASP HL) или программных ключей Sentinel SL (HASP SL) строится очень просто:

Компания Thales предлагает разработчикам обучающие бесплатные семинары, на которых подробно обсуждается защита программного обеспечения. Технические специалисты компании проводят экспертизу и оказывают услуги по встраиванию защиты программного обеспечения.

Компания Thales предлагает бесплатную пожизненную техническую поддержку разработчикам и конечным пользователям, использующим ключи Sentinel (HASP) для защиты своих программ.

Источник

Опрос сети на предмет поиска уязвимых версий службы управления ключами SafeNet Sentinel License Manager (HASP License Manager)

Многим администраторам так или иначе приходилось в своей работе сталкиваться с аппаратными ключами защиты Alladin HASP/SafeNet Sentinel и приходилось устанавливать поставляемый в составе ПО поддержки этих ключей программный пакет HASP License Manager/Sentinel License Manager. Это приложение отвечает за контроль лицензий всевозможного ПО, используемого во множестве самых разных приложений, начиная с бизнес-систем типа 1С и заканчивая разнообразными критичными для производственных процессов системами АСУ ТП.

Как правило, единожды установив это ПО, администратор не задумывается о необходимости его периодического обновления, так как не для всех очевидно то, что такое ПО может стать источником серьёзных проблем информационной безопасности, делая систему, на которой оно установлено, критически уязвимой и открывая новые векторы для возможных атак.

Результатом работы, проделанной в 2016-2017 годах, стало обнаружение 14 серьёзных уязвимостей, информация по которым была передана вендору. Однако, как следует из пояснения Kaspersky Lab ICS CERT, должной огласки эта проблема так и не получила, так как вендор после исправления уязвимостей не сделал никаких публичных объявлений о необходимости скорейшего обновления. Поэтому мы решили не оставаться в стороне и включиться в процесс продвижения этой информации.

Для лучшего понимания серьёзности проблемы, мы наглядно продемонстрируем то, как легко эксплуатируется одна из уязвимостей на необновлённой версии ПО SafeNet Sentinel License Manager (LM). Но для начала стоит сказать пару слов о том, как устроен этот License Manager.

Общая информация о Sentinel License Manager

После установки пакета Sentinel LDK Run-time, в системный каталог Windows попадает приложение hasplms.exe, которое обеспечивает доступ локальных приложений к аппаратным лицензионными ключам (как правило, это USB-токены), подключенным к данному серверу, либо может выступать в качестве перенаправителя клиентских запросов на удалённые экземпляры License Manager.

Данное приложение работает, как служба Windows, в контексте привилегий служебного пользователя SYSTEM (локальная система):

Нетрудно догадаться о том, что эксплуатация возможных уязвимостей такой службы будет выполняться с высоко-привилегированным уровнем доступа к системе.

Служба hasplms открывает в системе TCP/UDP-прослушиватели, через которые и возможна, как локальная, так и удалённая, эксплуатация уязвимостей.

Занятно в этой ситуации то, что при установке пакета Sentinel LDK Run-time в системе (без какого-либо явного оповещения администратора) автоматически создаётся разрешающее правило Windows Firewall для приложения hasplms.exe. Этим правилом разрешён любой входящий трафик на любые порты, поэтому никаких проблем с доступностью из сети TCP–прослушивателя, открываемого службой на порту 1947, не возникает.

На указанном порту служба hasplms фактически имеет веб-сервер, с которым можно общаться по протоколу HTTP. В частности этот веб-сервер обеспечивает работу веб-сайта SafeNet Sentinel License Manager Admin Control Center (ACC), через который можно выполнять ряд административных действий по манипуляциям со службой управления ключами.

Сразу стоит отметить тот факт, что в конфигурации по умолчанию служба hasplms настроена таким образом, что удалённый доступ на порт 1947 запрещён, но зато на этот порт разрешены любые локальные подключения на localhost «не взирая на чины и звания». А это уже может стать реальной проблемой на многопользовательских системах, например на сервере с ролью Remote Desktop Services. Фактически на таких системах зачастую и оказывается ПО Sentinel, так как оно обеспечивает успешный запуск всевозможных бизнес приложений, использующих аппаратные ключи защиты. И получается, что на такой системе, любой непривилегированный пользователь может получить доступ веб-серверу License Manager.

Эксплуатация уязвимости

Итак, предположим, что мы от имени простого непривилегированного пользователя вошли на сервер удалённых рабочих столов с ОС Windows Server 2012 R2 с запущенным в конфигурации по умолчанию License Manager. И предположим, на данной системе есть некоторый файл, к которому у нас нет доступа, но, который при этом, мы неистово желаем удалить, да и ещё не оставив после себя никаких следов.

Имеющаяся в нашей необновлённой версии ПО Sentinel уязвимость позволяет удалить этот файл практически двумя последовательными GET-запросами. Выполнить эти запросы можно разными способами (тут всё зависит от сноровки атакующего). Мы будем использовать доступную по умолчанию всем пользователям системы оболочку Powershell:

Первый запрос переименует целевой файл, добавив к имени файла расширение » bak «, то есть в нашем случае имя файла изменится на » Important File.security.bak «

Здесь хорошо видно, что веб-сервер LM успешно «проглотил» наш запрос и ещё в ответе рассказал нам о своей версии.

Вторым точно таким же GET-запросом ранее переименованный bak-файл будет удалён.

Напомню, что веб-сервер LM выполняется от имени SYSTEM, и поэтому у нас не возникает никаких проблем с доступом при удалении файла. При этом в системе от выполненного деструктивного действия фактически не остаётся никаких следов, которые бы могли в дальнейшем помочь администратору при выяснении причин случившегося.

В рассмотренном примере мы действовали на уровне локального доступа, но если License Manager находится в конфигурации по умолчанию, то нам не составит труда получить локальный доступ к веб-консоли Sentinel License Manager Admin Control Center (ACC), открыв в веб-браузере адрес:

В АСС мы можем перейти в раздел Configuration и легким движением руки включить выключенный по умолчанию удаленный доступ Allow Remote Access to ACC:

Начиная с этого момента эксплуатировать уязвимости LM можно будет по сети, не имея локального доступа к данному серверу.

Итак, наличие проблемы на старых версиях LM очевидно. Теперь нужно определиться с тем, на каких системах в нашей сети установлено данное ПО, чтобы оценить масштаб проблемы и запланировать объём необходимой работы по обновлению. Ведь не стоит забывать про то, что данное ПО может быть не только на серверных системах, но и, в ряде случаев, на клиентских системах.

Обнаружение уязвимых хостов

Для обнаружения уязвимых систем могут использоваться самые разные механизмы. Здесь всё зависит от нашей фантазии и текущих возможностей. Например можно воспользоваться возможностями продуктов Microsoft System Center, если такие имеются в инфраструктуре, – будто проверка BaseLine в SCCM или самописный Management Pack в SCOM. Любой метод будет иметь свои преимущества и недостатки. Здесь я приведу пример нехитрого PowerShell-скрипта, как наиболее доступного инструмента для любого Windows-администратора.

В начальных строках скрипта задаём переменные:

В результате работы скрипта мы должны получить отсортированный по версиям LM список хостов:

Обновляемся и усиливаем защиту Sentinel License Manager

После получения списка уязвимых систем, нам нужно выполнить обновление ПО Sentinel LDK Run-time по рекомендации Kaspersky Lab ICS CERT до версии не ниже 7.6.

Последнюю актуальную версию ПО можно скачать с сайта Gemalto Sentinel Customer Community

На данный момент времени там фигурирует пакет Sentinel HASP LDK Windows GUI Run-time Installer версии 7.65 (файл HASPUserSetup.exe ), который включает в себя License Manager версии 20.05

Обратите внимание на то, что по завершению установки инсталлятор, с подозрительно улыбающимися гражданами, как бы предлагает нам подумать о том, что нужно бы открыть порт 1947

Однако комичность ситуации заключается в том, что, как и в старых версиях, инсталлятор сам создаёт нескромное разрешающее правило в Windows Firewall, не спрашивая об этом у администратора. Это как раз одна из странностей, на которую обращают внимание в своей статье специалисты Kaspersky Lab ICS CERT.

После завершения установки можно откорректировать созданное инсталлятором правило Windows Firewall, сузив до разумных пределов область разрешений (например, как минимум, разрешив подключения только с IP-подсетей, где есть клиенты использующие ключи с данного LM)

Либо если удалённый доступ к службе управления ключами не требуется, а служба используется только локально приложениями на сервере (когда лицензионные ключи установлены в самом сервере, либо когда ключи установлены в другом сервере и данный LM работает в режиме проксирования запросов на сторонний LM) данное правило Windows Firewall можно попросту отключить.

Обратите внимание на то, что после переустановки или установки новой версии (обновления) инсталлятор перепишет данное правило Windows Firewall, заново разрешив доступ к службе «везде и вся». Не забывайте про это при последующих обновлениях.

После обновления ПО до актуальной версии, весьма желательно задать пароль для ограничения доступа к ACC, чтобы даже в случае локального доступа к ACC у непривилегированных пользователей не было возможности беспрепятственно менять конфигурацию сервера LM (например включать удалённый доступ к нему).

Для этого в обновлённой версии АСС мы можем перейти в раздел Configuration, переключить Password Protection в режим защиты всех веб-страниц All ACC Pages, а также кнопкой Change Password задать пароль для ограничения доступа к веб-серверу:

Кстати здесь же внизу страницы мы увидим имя конфигурационного файла, в котором LM и хранит всю заданную конфигурацию.

После проведённых мероприятий по обновлению и усилению защиты всех установленных экземпляров Sentinel License Manager, можно повторно запустить скрипт сканирования сети.

Источник

• ← Ps4 автоматический вход в систему ps4 что это
• Teams что это как работает →