Настройка диспетчера устройств HP
Обновлено: 20.11.2024
Обнаружена скрытая учетная запись базы данных, наконец-то доступны исправления, а также меры по смягчению последствий
HP Device Manager, программное обеспечение, которое позволяет ИТ-администраторам управлять устройствами HP Thin Client, поставляется с бэкдором учетной записи пользователя базы данных, которая подрывает сетевую безопасность, предупредил консультант из Великобритании.
Никки Блур, основатель Cognitous Cyber Security, сообщает, что программист HP Inc создал незащищенную учетную запись пользователя в базе данных в HP Device Manager (HPDM). Он обнаружил, что учетная запись может быть использована для повышения привилегий и, в сочетании с другими недостатками, для получения несанкционированного удаленного выполнения команд от имени СИСТЕМА.
Это плохо: если вы можете получить доступ к уязвимой установке этого диспетчера устройств в сети, вы можете получить контроль на уровне администратора над его компьютером и тонкими клиентами, которыми он управляет. HPDM обычно работает на сервере под управлением Windows и управляет несколькими клиентами Windows.
Во вторник Блур сообщил The Reg, что изучал безопасность HPDM и обнаружил ряд слабых мест, которые он смог использовать. По его словам, наиболее тревожным из них была бэкдорная учетная запись пользователя базы данных, которую он определил, изучив файл журнала, включенный в программное обеспечение. Похоже, что в этом файле журнала подробно описаны операции, выполненные с базой данных PostgreSQL диспетчера устройств во время разработки программного обеспечения, что свидетельствует о существовании скрытой учетной записи пользователя.
Любой, у кого есть доступ к серверу, на котором установлен HP Device Manager, может использовать эту учетную запись для получения полного контроля над сервером
"Это была учетная запись привилегированного пользователя с паролем, состоящим из одного символа пробела", — сказал Блур. «Единственная ссылка на учетную запись пользователя была в файле журнала базы данных, включенном в программное обеспечение HP Device Manager, где можно увидеть записи журнала, датированные еще до того, как я установил программное обеспечение».
Блур сообщил нам, что записи в журнале указывают на неудачную попытку аутентификации в качестве учетной записи пользователя базы данных, используемой HPDM. За этим следует запись в журнале, связанная с новой учетной записью пользователя, и что-то похожее на то, что программист HP пытается ограничить использование бэкдора учетной записи пользователя для создания других новых учетных записей, сказал он, как если бы разработчик пытался ограничить последствия безопасности доступ к бэкдор-аккаунту.
"Любой, у кого есть доступ к серверу, на котором установлен HP Device Manager, может использовать эту учетную запись пользователя, чтобы получить полный контроль над сервером", — сказал Блур, отметив, что это будет квалифицироваться как локальное повышение привилегий.
HP признает наличие бэкдоров в продуктах для хранения данных
"Однако мне удалось найти дополнительные уязвимости в конфигурации HP Device Manager по умолчанию, которые означают, что уязвимость можно использовать удаленно, чтобы любой, кто может подключиться к серверу, на котором работает HPDM, мог получить полный контроль над этим сервером", — сказал он. «Отсюда HPDM обеспечивает полный административный контроль над тонкими клиентами HP в среде».
Блур сказал, что эта уязвимость присутствует в текущих версиях программного обеспечения HPDM, и он не уверен, какие предыдущие версии программного обеспечения могут быть уязвимы.
Он добавил, что связался с HP 3 августа 2020 г., чтобы раскрыть подробности об уязвимостях, и попросил ИТ-гиганта подтвердить, что он понимает последствия уязвимости, предложить, как он намерен решить проблему, и предоставить разумные сроки для реализации исправления.
По его словам, HP не отвечала, пока не объяснила, что планирует опубликовать подробности через 30 дней, если корпорация продолжит возражать. В этот момент, по его словам, HP ответила, что отраслевой стандарт для согласованного раскрытия уязвимостей составляет 90 дней, и попросила столько же времени для исправления, не ответив ни на один из вопросов Блура.
Это было 19 августа 2020 года. По словам Блура, на тот момент HP не подтвердила, что рассмотрела и поняла отчеты об уязвимостях, и не предложила никаких мер по их устранению или сроков устранения.
Блур не был склонен просто ждать HP. «Мне платят за то, что я помогаю людям защищать свои ИТ-среды и приложения, но у меня также нет времени тратить время на то, чтобы гоняться за HP и надеяться, что когда-нибудь через «90 с лишним дней» они выпустят патч, который поможет мне защитить среде клиентов», — сказал он. "Решение наиболее серьезной части проблемы тривиально, поэтому 90+ дней - это шутка."
Чтобы подчеркнуть, насколько легко исправить проблему, он описал процесс в серии твитов.
PSA: Вы или ваши клиенты используете тонкие клиенты HP и управляете ими с помощью HP Device Manager? Настоятельно советую вам, во-первых, зайти на все серверы, на которых работает HP Device Manager, и установить надежный пароль для пользователя «dm_postgres» базы данных «hpdmdb» Postgres на TCP-порту 40006 1/4
— Ники Блур ( @nickstadb) 29 сентября 2020 г.
В электронном письме The Register во вторник вечером компания HP признала грубую ошибку в системе безопасности, присвоив ей несколько идентификаторов уязвимости: CVE-2020-6925 (слабый шифр), CVE-2020-6926 (удаленный метод invocation) и CVE-2020-6927 (повышение привилегий) — и сообщила, что теперь опубликовала рекомендацию для предупреждения клиентов. Кстати, эта ошибка CVE-2020-6926 имеет 9,9 балла из 10 с точки зрения серьезности CVSS.
Системным администраторам настоятельно рекомендуется обновиться до HP Device Manager 5.0.4 или HP Device Manager 4.7 с пакетом обновления 13, когда он будет доступен, для устранения уязвимостей.
Все версии HP Device Manager подвержены слабому шифру и дырам в удаленном вызове, а версии с 5.0.0 по 5.0.3 страдают недостатком повышения привилегий. ®
Во время первоначальной настройки нового развертывания после установки устройства нам необходимо настроить тонкие клиенты для подключения к этой новой инфраструктуре, развернутой для доступа к рабочим столам, приложениям и ресурсам, доступным пользователям в указанном устройстве. р>
Выполняя последовательность быстрых действий, вы сможете автоматически достичь следующих целей:
- Успешное развертывание HP Device Manager на вашем сервере
- Благодаря этому успешному развертыванию тонкие клиенты после подключения к сети будут автоматически настроены для подключения к ресурсам устройства следующим образом:
- Discovery настроен так, чтобы направлять любой тонкий клиент на установленный нами сервер HPDM
- Стандартная конфигурация HP Easy Shell загружается из ИТ-репозиториев Flexxible для преобразования тонкого клиента в безопасный киоск.
- Загруженная стандартная конфигурация изменяется в соответствии с установленной средой.
- Настроено правило для обновления ThinOS до последней версии
- Обнаруженные тонкие клиенты настроены на создание прямого подключения получателя к SMB StoreFront
У вас будет возможность развернуть виртуальную машину, на которой вы сможете запустить консоль HP Device Manager для выполнения дополнительных операций на тонких клиентах (примечание -> Этот шаг не является обязательным, поскольку вы также можете установить консоль на другие устройства, такие как VDI, компьютеры и т. д.).
Чтобы развернуть сервер HP Device Manager после развертывания устройства, вам потребуется перейти на панель управления. Помните, что IP-адрес по умолчанию — 192.168.50.50, но в процессе развертывания вы могли изменить его:
Введите пароль для входа
Перейдите на четвертую вкладку "Быстрые действия" и выберите быстрое действие "Диспетчер устройств HP"
В этом сеансе вам нужно будет указать IP-адрес, который будет назначен этому новому серверу, и вставить значения DHCP. Чтобы активировать автоматическую настройку тонких клиентов в момент их подключения к сети, необходимо будет изменить значения, предоставляемые DHCP для тонких клиентов, в то время, когда DHCP-сервер назначает IP-адреса для тонких клиентов.< /p>
Если у вас нет DHCP-сервера Windows и вы не выбрали его автоматическое создание в процессе развертывания устройства, необходимо ввести следующие данные:
- IP-адрес диспетчера устройств. Это IP-адрес сервера HP Device Manager.
- IP-адрес DHCP-сервера Windows. Это IP-адрес нового DHCP-сервера.
- В сеансе «Создать новый DHCP» введите следующую информацию:
- Начать IP. Это начальный IP-адрес DHCP
- Конечный IP-адрес. Это конечный IP-адрес DHCP
- CIDR назначенной сети VLAN
- Шлюз DHCP
- Основной и дополнительный DNS-серверы.
Если у вас есть DHCP-сервер Windows или вы выбрали его автоматическое создание в процессе развертывания устройства, вы должны ввести следующие данные:
- IP-адрес диспетчера устройств, который является IP-адресом сервера HP Device Manager.
- IP-адрес DHCP-сервера, который является IP-адресом нового DHCP-сервера Windows.
- В сеансе "DHCP уже существует" введите следующие данные:
- Пользователь DHCP, который является пользователем для входа на сервер DHCP
- Пароль DHCP, который является паролем для входа на сервер DHCP
Нажмите "Выполнить", чтобы начать процесс
Во время этого процесса вы увидите, как само быстрое действие покажет вам все шаги, которые оно выполнило. Кроме того, вы сможете увидеть индикатор выполнения внизу.
Дождитесь завершения процесса.
С этого момента каждый раз, когда вы подключаете тонкий клиент к сети, он будет автоматически настраиваться для подключения к устройству и работы с его ресурсами.
Возможно, что в дополнение к автоматической настройке вы захотите использовать консоль HP Device Manager для выполнения дополнительных действий, таких как мониторинг тонких клиентов, отработка обновлений встроенного ПО и т. д.
В таком случае у вас есть несколько вариантов:
Загрузите и установите Консоль HP Device Manager на свой текущий компьютер
Перейдите на страницу загрузки консоли HP Device Manager, загрузите приложение и установите его на свой компьютер.
Запомните IP-адрес, который вы назначили серверу HP Device Manager, который вы развернули ранее, так как он понадобится вам для подключения клиентской консоли.
Создайте виртуальный сервер с помощью установленной консоли
Перейдите в панель управления-> Быстрые действия и выберите быстрое действие под названием "Консоль HP DM"
Для развертывания этого сервера вам будет предложено предоставить следующую информацию:
- IP-адрес сервера диспетчера устройств, который представляет собой IP-адрес сервера диспетчера устройств HP, который мы развернули на предыдущем шаге.
- IP-адрес консоли, который является IP-адресом виртуальной машины, которую мы собираемся развернуть сейчас, где у нас будет клиентская консоль.
По завершении процесса у вас будет доступная виртуальная машина с установленной консолью для управления тонкими клиентами. Помните, что на этом компьютере нет Citrix VDA, поэтому для доступа к нему необходимо использовать удаленный рабочий стол.
В следующей версии этот процесс не понадобится, так как HP Thin Cliens Management будет включено в веб-консоль Flexible|VDI OS Manager.
Наслаждайтесь простым управлением сложной средой с HP и Flexxible IT.
Итак, для небольшой предыстории я пришел, чтобы заменить установку citrix со старых серверов и старого оборудования на Windows RDP.
Прежде чем вы попытаетесь изменить мое мнение или убедить меня в обратном, мы ни за что не сможем исправить текущую среду Citrix. 3 дня вниз и беспорядок глубокий. Больше нельзя тратить время на этот мусор.
Итак, у нас есть несколько тонких клиентов HP 2009–2010 годов, которые автоматически входят в веб-интерфейс Citrix в момент входа в систему. Это происходит из:
Windows XP -> citrixweb -> ферма серверов citrix -> рабочий стол
Нам нужно выяснить, что или как эти тонкие клиенты hp используют для автоматического перехода в citrix и замены его на наш RDP-сервер.
Что мы используем для этого?
У меня такое ощущение, что где-то был сервер тонкого клиента, но у этих ребят нет документации по нему, и я проверил каждую виртуальную машину на наличие каких-либо следов какого-либо сервера тонкого клиента HP и ничего.
Скорее всего, это будет диспетчер устройств HP или настройка вручную.
Начнем с этого. Проверьте настройки DHCP, если он находится на сервере Windows, возможно, есть некоторые настройки PXE, среди прочего, которые укажут вам правильное направление.
Либо запустите Angry IP Scanner и просканируйте все хосты в сети. Начните нажимать на верхнюю и нижнюю часть диапазона, посмотрите, нет ли где-нибудь окна управления.
Надеюсь, логин администратора используется по умолчанию.
Настройте HP Device Manager на сервере. Настройте его. Ваш IP-адрес шлюза HPDM может совпадать с IP-адресом вашего сервера HPDM.
Настройте параметры DHCP. Установите для тега 202 значение « », это сообщит HP Thin, где найти ваш сервер HPDM.
Перетащите RDP-файл или ярлык в их группу запуска или группу запуска системы.
Установите групповую политику, которая будет автоматически запускать клиент сервера терминалов при входе в систему
GPO: Конфигурация пользователя\Шаблоны администрирования\Система\Вход в систему\Запускать эти программы при входе в систему
У пользователя будет локальный рабочий стол, и может быть небольшая задержка между отображением рабочего стола и автоматическим запуском клиента.
Установите mstsc в качестве оболочки Windows
GPO: Конфигурация пользователя \ Шаблоны администратора \ Система \ Пользовательский интерфейс
Недостаток в том, что у пользователя не будет локальной среды, и когда он отключится, его система выйдет из системы.
Может ли кто-нибудь связаться со мной или указать, где я могу приобрести программное обеспечение HP Device Manager для серверной части?Вот ссылка на страницу продукта, на которую я смотрю: Программное обеспечение HP Device Manager Я хотел бы использовать его для создания образа HP T530. Я спросил своего торгового представителя, но они были совершенно бесполезны. Я купил их через Eide Bailly, и когда я связался с ними и даже отправил им ссылку, они сказали мне: «Диспетчер устройств — это встроенный инструмент управления, который можно найти в тонких клиентах. Вопросы или поддержка в Диспетчере устройств будут обрабатываться службой поддержки HP». Похоже, они ничего не знают о серверной части программного обеспечения, поэтому не могут мне помочь.
Максимальное использование гиперконвергентной инфраструктуры
2022-03-22 18:00:00 Веб-семинар UTC Веб-семинар: Dell — максимально эффективное использование гиперконвергентной инфраструктуры Сведения о событии Просмотреть все события
Джоназона
Хорошо, две вещи.
Мы только что официально перевели все наши тонкие клиенты, включая T530, на Stratodesk. Цены невероятно разумны (и бессрочны), и они серьезно в 1000 раз лучше, чем у HPDM / ThinOS.
Должен предупредить вас, что HP Device Manager, возможно, является худшим из когда-либо созданных приложений для управления. Не только потому, что он работает непоследовательно, или потому, что набор функций очень ограничен, или потому, что он неуклюж и сложен в освоении. Но в основном потому, что получить поддержку для него — полная шутка.
У Stratodesk есть простой шаблон OVA или VHDX, который можно развернуть и настроить за считанные минуты, и он просто работает. Множество инновационных функций, таких как родные приложения Zoom и Teams (так что вы можете использовать тонкий клиент не только для подключения к VDI/терминальному серверу). Тонны других вещей тоже. Серьезно. Проверьте Stratodesk.
(ОТРЕДАКТИРОВАНО, поскольку сайт HP – это шутка). Если вы настаиваете на дальнейшем развитии HPDM, вам необходимо:
- Перейдите по ссылке в своем сообщении, нажмите ВЫБРАТЬ, а затем нажмите ссылку ЗАРЕГИСТРИРОВАТЬСЯ. Это должно дать вам доступ, чтобы вы могли скачать.
Надеюсь, это поможет.
1 ответ
Джоназона
Хорошо, две вещи.
Мы только что официально перевели все наши тонкие клиенты, включая T530, на Stratodesk. Цены невероятно разумны (и бессрочны), и они серьезно в 1000 раз лучше, чем у HPDM / ThinOS.
Должен предупредить вас, что HP Device Manager, возможно, является худшим из когда-либо созданных приложений для управления. Не только потому, что он работает непоследовательно, или потому, что набор функций очень ограничен, или потому, что он неуклюж и сложен в освоении. Но в основном потому, что получить поддержку для него — полная шутка.
У Stratodesk есть простой шаблон OVA или VHDX, который можно развернуть и настроить за считанные минуты, и он просто работает. Множество инновационных функций, таких как родные приложения Zoom и Teams (так что вы можете использовать тонкий клиент не только для подключения к VDI/терминальному серверу). Тонны других вещей тоже. Серьезно. Проверьте Stratodesk.
(ОТРЕДАКТИРОВАНО, поскольку сайт HP – это шутка). Если вы настаиваете на дальнейшем развитии HPDM, вам необходимо:
- Перейдите по ссылке в своем сообщении, нажмите ВЫБРАТЬ, а затем нажмите ссылку ЗАРЕГИСТРИРОВАТЬСЯ. Это должно дать вам доступ, чтобы вы могли скачать.
Надеюсь, это поможет.
Войдите или зарегистрируйтесь, чтобы ответить в этой теме.
Не нашли то, что искали? Поищите похожие вопросы на форумах
Эргономичное оборудование
Кто в США должен нести ответственность за предоставление эргономичного оборудования по запросу сотрудника? Это ИТ, поскольку ИТ предоставляет клавиатуры и мыши? Должен ли это быть HR, поскольку он эргономичен и несет потенциальную ответственность, если НЕ предоставляется? Должен ли это быть тот отдел.
Приветствие Xfinity (личный домашний Интернет)
Во-первых, мне больно. Я мог бы произнести речь «Он ставит передо мной задачу», как Хан в «Звездном пути 2: Гнев Хана». Просто замените «Они» на «Он». Но они сделали то, чего я хотел годами (десятилетиями?), так что, думаю, это должно быть признано. Ю.
Щелкни! SATCOM Threat, IE End of Life, Mac с кирпичами, Planet 9, Lego Delorean
Ваша ежедневная доза технических новостей. Вы должны это услышать. ФБР и CISA предупреждают об угрозах для сетей спутниковой связи Согласно новому предупреждению ФБР и CISA спутниковые сети находятся в зоне высокого риска. Согласно ZDNet.
Какими сверхспособностями вы хотели бы обладать?
Что может сделать ИТ-специалист со сверхспособностями? В каких ИТ-задачах вы бы их использовали и как?
Можно ли подключить интерфейс управления коммутатора к одному из его собственных портов коммутатора?
Недавно я понял, что у меня есть конфигурация коммутатора с непреднамеренным потенциальным побочным эффектом. У меня есть Aruba 6300F с несколькими виртуальными локальными сетями. Он работает в режиме уровня 3. Это работает следующим образом: я просто «включаю» функции маршрутизатора, а затем.
Читайте также: