Microsofts sikkerhetsveiledning 974926

  • Artikkel

Angrep av typen videresending av legitimasjon ved integrert Windows-godkjenning

Publisert: 8. desember 2009

Versjon: 1.0

Denne veiledningen gjelder potensielle angrep som påvirker håndteringen av legitimasjon ved bruk av integrert Windows-godkjenning (IWA), og mekanismene Microsoft har gjort tilgjengelig for at kundene skal kunne beskytte seg mot slike angrep.

I slike angrep kan en angriper som klarer å skaffe seg en brukers godkjenningslegitimasjon under overføring mellom en klient og en server, kunne gjenspeile legitimasjonen til en tjeneste som kjører på klienten, eller videresende den til en annen server der klienten har en gyldig konto. Dette fører til at angriperen får tilgang til disse ressursene og kan gi seg ut for å være klienten. Siden IWA-legitimasjon er hash-kodet, kan ikke en angriper bruke den til å finne frem til det faktiske brukernavnet og passordet.

Avhengig av omstendighetene og bruk av ytterligere angrepsvektorer kan en angriper få tilgang til godkjenningslegitimasjon både innenfor og utenfor bedriftens sikkerhetsperimeter og benytte den til å få urettmessig tilgang til ressurser.

Microsoft tar for seg den potensielle effekten av disse problemene på ulike nivåer og ønsker å gjøre kundene oppmerksomme på hvilke verktøy som er tilgjengelig for å løse disse problemene, og hvilken betydning bruken av disse verktøyene har. Denne sikkerhetsveiledningen inneholder informasjon om de ulike tiltakene som Microsoft har iverksatt for å bedre beskyttelsen av IWA-godkjenningslegitimasjon, og hvordan kunder kan benytte seg av disse sikkerhetstiltakene.

Begrensende faktorer:

  • En angriper må utnytte et annet sikkerhetsproblem for å gjennomføre et mellommannbasert angrep, eller overbevise offeret, ved hjelp av "social engineering", om å koble seg til en server som angriperen kontrollerer, for eksempel ved å sende en kobling i en skadelig e-postmelding for at legitimasjon skal kunne videresendes .
  • Internet Explorer vil aldri sende legitimasjon automatisk ved hjelp av HTTP til servere som ligger i Internett-sonen. Dette reduserer risikoen for at legitimasjon kan videresendes eller gjenspeiles av en angriper innenfor denne sonen.
  • Inngående trafikk til klientsystemet må være tillatt for at et gjenspeilingsangrep skal kunne gjennomføres. Den vanligste angrepsvektoren er SMB, siden den tillater IWA-godkjenning. Verter bak en brannmur som blokkerer SMB-trafikk, eller verter som blokkerer SMB-trafikk på en vertsbrannmur, vil ikke være sårbare overfor de vanligste NTLM-gjenspeilingsangrepene, som retter seg mot SMB.

Generell informasjon

Oversikt

Målet med veiledningen: Å beskrive tiltakene Microsoft har iverksatt for å bedre beskyttelsen av brukerlegitimasjon ved bruk av integrert Windows-godkjenning (IWA).

Status for veiledningen: Veiledning publisert.

**Anbefaling:**Les gjennom de foreslåtte handlingene og konfigurer etter behov.

Referanser Identifisering
Microsoft Knowledge Base-artikkel 974926

Denne veiledningen gjelder følgende programvare.

Berørt programvare
Windows XP Service Pack 2 og Windows XP Service Pack 3

Windows XP for x64-baserte systemer Service Pack 2

Windows Server 2003 Service Pack 2

Windows Server 2003 for x64-baserte systemer Service Pack 2

Windows Server 2003 for Itanium-based Systems Service Pack 2Windows Vista, Windows Vista Service Pack 1 og Windows Vista Service Pack 2

Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1 og Windows Vista x64 Edition Service Pack 2

Windows Server 2008 for 32-biters systemer og Windows Server 2008 for 32-biters systemer med Service Pack 2

Windows Server 2008 for x64-baserte systemer og Windows Server 2008 for x64-baserte systemer med Service Pack 2

Windows Server 2008 for Itanium-based Systems og Windows Server 2008 for Itanium-based Systems med Service Pack 2

Windows 7 for 32-biters systemer*

Windows 7 for x64-baserte systemer*

Windows Server 2008 R2 for x64-baserte systemer*

Windows Server 2008 R2 for Itanium-based Systems*

*Windows 7 og Windows Server 2008 R2 tilbyr utvidet beskyttelse for godkjenning som en funksjon i SSPI (Security Support Provider Interface). Programmer som kjører på disse plattformene, kan likevel bli utsatt for videresending av legitimasjon hvis operativsystemet eller programmet ikke er konfigurert for å støtte denne funksjonen. Utvidet beskyttelse av godkjenning er ikke aktivert som standard.

Vanlige spørsmål

Hva behandles i veiledningen?
Denne sikkerhetsveiledningen gir en omfattende oversikt over strategien Microsoft benytter for å beskytte mot videresending av legitimasjon. Den gir også en oversikt over oppdateringene som er tilgjengelige for å løse dette problemet.

Hva forårsaker denne truselen?
Denne sikkerhetsveiledningen tar for seg faren for videresending av legitimasjon. Disse angrepene finner sted når en angriper lykkes i å få tak i godkjenningslegitimasjon, for eksempel gjennom et mellommannbasert angrep eller ved å overbevise en angriper om å klikke en kobling. Denne koblingen kan gi klienten tilgang til en tjeneste som angriperen kontrollerer, der brukeren må godkjennes ved bruk av IWA.

Det vises til følgende typer videresending av legitimasjon i denne sikkerhetsveiledningen:

  • Videresending av legitimasjon: Domenelegitimasjon som innhentes av en angriper, kan brukes til pålogging til andre tjenester som offeret vanligvis har tilgang til. Angriperen kan deretter skaffe seg samme tillatelse som offeret har til slike tjenester.
  • Gjenspeiling av legitimasjon: Domenelegitimasjon som innhentes av en angriper, kan brukes til å logge seg tilbake på offerets maskin igjen. Angriperen vil da ha de samme tillatelsene på denne maskinen som offeret.

For at slike angrep skal lykkes, trenger angriperen at en bruker kobler seg til angriperens server. Dette kan gjennomføres ved angrep som innebærer at angriperen er til stede i lokalnettverket, for eksempel ARP-hurtigbufferskading (Address Resolution Protocol).

Effekten av disse angrepene øker når en angriper overbeviser en bruker om å koble seg til en server utenfor organisasjonsgrensen. Bestemte scenarioer som kan føre til at dette skjer, kan være

  • DNS-overføring, en Windows DNS-klientfunksjon som tillater at Windows DNS-klienter løser DNS-spørringer for ukvalifiserte vertsnavn med ett ledd. En ondsinnet bruker kan registrere et bestemt vertsnavn utenfor organisasjonsgrensene som, hvis klientene er feil konfigurert, utilsiktet kan kontaktes av en klient når det løses utenfor organisasjonsgrensen mens angriperen forsøker å få tilgang til dette vertsnavnet.
  • DNS-etterligningsangrep, en angriper som utnytter sikkerhetsproblemene i Windows DNS-systemet (Domain Name System). Disse angrepene kan tillate at en ekstern angriper omadresserer nettverkstrafikk som er ment for systemer på Internett, til angriperens system.
  • NBNS-etterligningsangrep (NetBIOS Name Service), der brukeren lokkes til å kjøre en spesiallaget aktiv kode-applet (for eksempel Java eller Flash) som starter en spørring etter et lokalt vertsnavn og deretter introduserer etterlignede NBNS-svar for klienten med en ekstern IP-adresse. Ved tilkobling til dette vertsnavnet vil klienten anse dette som en lokal maskin og forsøke IWA-godkjenning og på den måten vise legitimasjonen til den eksterne angriperen.

Microsoft har utgitt flere oppdateringer for å løse disse problemene, og denne sikkerhetsveiledningen har til hensikt å oppsummere hvordan kundene best kan vurdere risikoen og problemer i sitt eget distribusjonsscenario.

Hva er integrert Windows-godkjenning IWA)?  
Med integrert Windows-godkjenning (tidligere kalt NTLM, og også kjent som Windows NT Forespørsel/svar), hash-kodes brukernavnet og passordet (legitimasjonen) før det sendes via nettverket. Når du aktiverer Integrert Windows-godkjenning, godkjenner klienten passordet gjennom en hash-kryptert utveksling via webserveren. Integrert Windows-godkjenning omfatter godkjenningsmetodene Negotiate, Kerberos og NTLM.

Hva er et mellommannsbasert angrep?  
Et mellommannsbasert angrep forekommer når en angriper omdirigerer kommunikasjon mellom to brukere gjennom angriperens datamaskin uten at de to kommuniserende brukerne har kjennskap til dette. Angriperen kan overvåke og lese kommunikasjonen før den sendes videre til den ønskede mottakeren. Begge brukerne i kommunikasjonen er uvitende om at kommunikasjonen går gjennom angriperen, og tror at de bare kommuniserer med hverandre.

Hvilke tiltak har Microsoft iverksatt for å løse problemet med DNS-etterligningsangrep?  
Microsoft har utgitt følgende sikkerhetsbulletiner for å løse problemet med DNS-etterligningsangrep:

  • MS08-037 løste to sikkerhetsproblemer som kunne gi en angriper tillatelse til å etterligne DNS-poster og legge dem inn i hurtigbufferen til DNS-serveren.
  • MS09-008 løste to sikkerhetsproblemer som kunne gi en angriper tillatelse til å etterligne DNS-poster og legge dem inn i hurtigbufferen til DNS-serveren, og to sikkerhetsproblemer som kunne gi en angriper tillatelse til skadelig registrering av vertsnavn relatert til nettverksinfrastruktur (WPAD og ISATAP) for å åpne for ytterligere angrep.

Hvilke tiltak har Microsoft iverksatt for å løse problemet med NBNS-etterligningsangrep?  
Microsoft har samarbeidet med tredjepartsleverandørene som var berørt av dette sikkerhetsproblemet, og de har iverksatt tiltak mot denne angrepsvektoren. Sikkerhetsproblemet ble løst i Adobe Flash Player i Adobes sikkerhetsbulletin APSB08-11 og i Sun Java-kjøretidsmiljøet i Suns varsel 103079.

Hva er ARP-hurtigbufferskading (Address Resolution Protocol)?  
ARP-hurtigbufferskading er et angrep som består i at en angripers datamaskin befinner seg i samme delnett som offeret, og sender etterlignede eller umotiverte ARP-svar. Disse vil vanligvis forsøke å forvirre klienter slik at de tror at angriperen er standard gateway i nettverket, og det vil føre til at offerets datamaskin sender informasjon til angriperen i stedet for til gatewayen. Slike angrep kan brukes til å foreta et mellommannsbasert angrep.

Hva er Transport Layer Security (TLS)?
Transport Layer Security (TLS) er en håndtrykksprotokoll som styrer godkjenningen og nøkkelutvekslingen som er nødvendig for å opprette eller gjenopprette sikre økter. Når du oppretter en sikker økt, administrerer håndtrykksprotokollen følgende:

  • chiffreringsforhandling
  • godkjenning av serveren og alternativt klienten
  • utveksling av nøkkelinformasjon for økten

Hvis du vil ha mer informasjon, kan du lese TechNet-artikkelen How TLS/SSL works.

Hvilke versjoner av Windows berøres av denne veiledningen?
Videresending og gjenspeiling av legitimasjon berører alle plattformer som kan utføre integrert Windows-godkjenning. Funksjonen Utvidet beskyttelse for godkjenning er inkludert i Windows 7 og Windows Server 2008 R2 og ble gjort tilgjengelig for Windows XP, Windows Server 2003, Windows Vista og Windows Server 2008 i en ikke-sikkerhetsrelatert oppdatering utgitt som sikkerhetsveiledning 973881. For fullstendig beskyttelse av godkjenningslegitimasjon må mekanismen aktiveres i enkelte programmer på disse plattformene. Funksjonen Utvidet beskyttelse er ikke tilgjengelig for Microsoft Windows 2000-plattformen.

Hvilke tiltak har Microsoft iverksatt for å løse angrep av typen gjenspeiling av legitimasjon?  
Programmer beskyttes mot angrep av typen gjenspeiling av legitimasjon dersom SPN (Service Principal Name) brukes til å godkjenne en tjeneste.

Før denne sikkerhetsveiledningen ble publisert, hadde Microsoft utgitt følgende sikkerhetsoppdateringer for å sikre at Windows-komponenter og Microsoft-programmer aktiverer denne mekanismen for å beskytte mot angrep av typen gjenspeiling av legitimasjon:

  • Microsofts sikkerhetsbulletin MS08-068 løste problemet med gjenspeiling av legitimasjon ved tilkobling til en angripers SMB-server.
  • Microsofts sikkerhetsbulletin MS08-076 løste problemet med gjenspeiling av legitimasjon ved tilkobling til en angripers Windows Media-server.
  • Microsofts sikkerhetsbulletin MS09-013 løste problemet med gjenspeiling av legitimasjon ved tilkobling til en angripers webserver ved bruk av WinHTTP APIen.
  • Microsofts sikkerhetsbulletin MS09-014 løste problemet med gjenspeiling av legitimasjon ved tilkobling til en angripers webserver ved bruk av WinINET APIen.
  • Microsofts sikkerhetsbulletin MS09-042 løste problemet med gjenspeiling av legitimasjon ved tilkobling til en angripers Telnet-server.

Hvilke tiltak har Microsoft iverksatt for å løse angrep av typen videresending av legitimasjon?  
Windows SSPI (Security Support Provider Interface) gir en viss beskyttelse mot videresending av legitimasjon. Dette grensesnittet ble implementert i Windows 7 og Windows Server 2008 R2 og er gjort tilgjengelig som en ikke-sikkerhetsrelatert oppdatering for Windows XP, Windows Server 2003, Windows Vista og Windows Server 2008.

For at du skal være beskyttet, må ytterligere ikke-sikkerhetsrelaterte oppdateringer installeres som gir samme beskyttelse for bestemte klient- og serverkomponenter og programmer. Denne funksjonen gjelder endringer av godkjenning på både klienten og serveren, og den må installeres på riktig måte. Du finner mer informasjon om Utvidet beskyttelse for godkjenning og ikke-sikkerhetsrelaterte oppdateringer som er utgitt for å implementere denne mekanismen, i Microsofts sikkerhetsveiledning 973811.

Hvordan løser disse oppdateringene problemet med angrep av typen videresending av legitimasjon?  
Den ikke-sikkerhetsrelaterte SSPI-oppdateringen (Microsofts sikkerhetsveiledning 973811) endrer SSPIen for å utvide den gjeldende integrerte Windows-godkjenningsmekanismen (IWA) slik at godkjenningsforespørsler kan knyttes til både SPNen til serveren som klienten forsøker å koble seg til, og til den ytre Transport Layer Security-kanalen (TLS) der IWA-godkjenningen foregår, hvis en slik kanal finnes. Dette er en basisoppdatering som ikke løser et sikkerhetsproblem i seg selv, men installerer dette som en valgfri funksjon som programvareleverandører kan velge å konfigurere.

De programspesifikke ikke-sikkerhetsrelaterte oppdateringene endrer individuelle systemkomponenter som utfører IWA-godkjenning slik at de aktiverer beskyttelsesmekanismene som implementeres i lag 1 av den ikke-sikkerhetsrelaterte oppdateringen. Du finner mer informasjon om aktivering av Utvidet beskyttelse for godkjenning i henholdsvis Microsofts sikkerhetsveiledning 973999 og Microsoft Knowledge Base-artikkel 973999.

Hvilke tiltak har Microsoft iverksatt for å løse problemet med DNS-overføring?  
DNS-overføring kan brukes som en angrepsvektor for å utnytte dette sikkerhetsproblemet utenfor et bedriftsnettverk. DNS-overføring er en Windows DNS-klientfunksjon som gjør at Windows DNS-klienter kan løse DNS-spørringer for ukvalifiserte vertsnavn med ett ledd. Spørringer er konstruert ved å legge et primært DNS-suffiks (PDS) til vertsnavnet. Spørringen sendes på nytt ved systematisk å fjerne leddet lengst til venstre i PDSen helt til vertsnavnet og gjenværende PDS er løst eller bare to ledd gjenstår i den ribbede PDSen. For eksempel så vil Windows-klienter som ser etter "Single-label" i domenet western.corp.contoso.co.us, progressivt sende spørringene Single-label.western.corp.contoso.co.us, Single-label.corp.contoso.co.us, Single-label.contoso.co.us og deretter Single-label.co.us til de finner et system som løser spørringen. Denne prosessen omtales som overføring.

En angriper kan være vert for et system med et navn på ett ledd som er utenfor en organisasjonsgrense, og som på grunn av DNS-overføring kan få en Windows DNS-klient til å koble seg til systemet som om det var innenfor organisasjonsgrensen. Hvis for eksempel DNS-suffikset til en bedrift er corp.contoso.co.us og det gjøres et forsøk på å løse et ukvalifisert "Single-Label"-vertsnavn, vil DNS-løseren prøve Single-Label.corp.contoso.co.us. Hvis dette suffikset ikke blir funnet, vil den forsøke å løse Single-label.contoso.co.us via DNS-overføring. Hvis dette suffikset ikke blir funnet, vil den forsøke å løse Single-label.co.us, som er utenfor contoso.co.us-domenet. Denne prosessen omtales som overføring.

Hvis for eksempel vertsnavnet er WPAD, kan en angriper som konfigurerer WPAD.co.us levere en skadelig WPAD-fil (Web Proxy Auto-Discovery) for konfigurering av klientens proxy-innstillinger.

Microsoft utgav sikkerhetsveiledningen 971888 og en tilknyttet oppdatering for å gi bedrifter bedre oversikt over hvordan Windows-klienter utfører DNS-overføring. Denne oppdateringen gjør at en bedrift kan forhindre klienter fra overføring utenfra organisasjonsgrensen.

Hva kan tredjeparts utviklere gjøre for å løse problemet med videresending av legitimasjon?  
Tredjeparts utviklere bør vurdere å implementere Utvidet beskyttelse for godkjenning ved å aktivere den nye beskyttelsesmekanismen som beskrives i Microsofts sikkerhetsveiledning 973811.

Du finner mer informasjon om hvordan utviklere kan aktivere denne mekanismen i MSDN-artikkelen Integrated Windows Authentication with Extended Protection.

Hva er en SPN (Service Principal Name)?
SPN er navnet som en klient bruker til unik identifikasjon av en forekomst av en tjeneste. Hvis du installerer flere forekomster av en tjeneste på datamaskiner i et nettverk, må hver forekomst ha sin egen SPN. En gitt tjenesteforekomst kan ha flere SPNer hvis det er flere navn som klientene kan bruke for godkjenning. En SPN inneholder for eksempel alltid navnet på vertsmaskinen der tjenesteforekomsten kjører slik at tjenesteforekomsten kan registrere en SPN for hvert navn eller alias for denne verten.

Forslag til tiltak

  • Se Microsofts sikkerhetsveiledning 9738 **11 (Utvidet beskyttelse for Windows-godkjenning) og implementer de tilknyttede oppdateringene **
    Denne sikkerhetsveiledningen kunngjør utgivelsen av ikke-sikkerhetsrelaterte oppdateringer som implementerer Utvidet beskyttelse for godkjenning. Denne funksjonen bidrar til å beskytte mot videresendingsangrep.
  • Se Microsofts sikkerhetsveiledning 971888 **(Oppdatering for DNS-overføring) **
    Denne sikkerhetsveiledningen kunngjør utgivelsen av en valgfri ikke-sikkerhetsrelatert oppdatering som gjør at systemadministratorer kan konfigurere DNS-overføring med større nøyaktighet.
  • **Se Microsoft Knowledge Base-artikkelen som er tilknyttet denne veiledningen **
    Kunder som gjerne vil vite mer om denne funksjonen, bør lese Microsoft Knowledge Base-artikkel 974926.
  • **Beskytt din PC **
    Vi oppfordrer kunder til å følge våre råd om beskyttelse av datamaskinen og aktivere en brannmur, laste ned programvareoppdateringer og installere antivirusprogramvare.. Kunder kan lese mer om dette på webområdet for beskyttelse av datamaskinen.
  • Kunder kan finne mer informasjon om sikkerhet på Internett på Microsofts sikkerhetssentral.
  • **Hold Windows oppdatert **
    Alle Windows-brukere bør bruke de nyeste Microsoft-sikkerhetsoppdateringene for å bidra til at datamaskinene har høyest mulig beskyttelse. Hvis du ikke er sikker på om programvaren er oppdatert, går du til webområdet Windows Update, søker etter tilgjengelige oppdateringer for datamaskinen og installerer alle høyt prioriterte oppdateringer som du får tilbud om. Hvis du har aktivert Automatiske oppdateringer, leveres oppdateringene til deg når de utgis, men du må påse at du installerer dem.

Løsninger

Det finnes en rekke løsninger som kan bidra til å beskytte systemer mot gjenspeiling eller videresending av legitimasjon. Microsoft har testet de midlertidige løsningene nedenfor. Disse midlertidige løsningene blokkerer kjente angrepsvektorer, men de løser ikke det underliggende sikkerhetsproblemet. Hvis en midlertidig løsning reduserer funksjonaliteten, angis dette i den følgende delen.

Blokker TCP-portene 139 og 445 i brannmuren

I forbindelse med angrep av typen gjenspeiling av legitimasjon er inngående tilkoblinger som bruker den videresendte legitimasjonen, mest sannsynlig via SMB- eller RPC-tjenester. Hvis du blokkerer TCP-port 139 og 445 med brannmuren, bidrar du til å beskytte systemer bak brannmuren mot forsøk på å utnytte dette sikkerhetsproblemet. Microsoft anbefaler å blokkere all uoppfordret inngående kommunikasjon fra Internett for å hindre angrep som kan bruke andre porter. Hvis du vil ha mer informasjon om porter, kan du se siden for TCP-og UDP-porttildelinger.

Hva løsningen kan føre til: Flere Windows-tjenester bruker de berørte portene. Blokkering av tilkobling til portene kan føre til at flere programmer eller tjenester ikke virker. Noen av programmene eller tjenestene som kan bli berørt, er oppført nedenfor:

  • Programmer som bruker SMB (CIFS)
  • Programmer som bruker mailslot eller navngitte kanaler (RPC over SMB)
  • Server (deling av filer og skriver)
  • Gruppepolicy
  • Nettverkspålogging
  • Distributed File System (DFS)
  • Lisenstjenesten for Terminal Server
  • Print Spooler
  • Computer Browser
  • Remote Procedure Call Locator
  • Fakstjeneste
  • Indekseringstjeneste
  • Ytelseslogger og -varsler
  • Systems Management Server
  • License Logging Service

Aktiver SMB-signering

Aktivering av SMB-signering forhindrer at en angriper kjører kode i omgivelsene til den påloggede brukeren. SMB-signering sørger for gjensidig godkjenning og meldingsgodkjenning ved å plassere en digital signatur i hver SMB, som igjen godkjennes av både klienten og serveren. Microsoft anbefaler at du bruker gruppepolicyer til å konfigurere SMB-signering.

Hvis du vil ha detaljerte instruksjoner om hvordan du bruker gruppepolicyer til å aktivere og deaktivere SMB-signering for Microsoft Windows 2000, Windows XP og Windows Server 2003, kan du se Microsoft Knowledge Base-artikkel 887429. Instruksjonene i Microsoft Knowledge Base-artikkel 887429 for Windows XP og Windows Server 2003 gjelder også for Windows Vista og Windows Server 2008.

Hva løsningen kan føre til: Bruk av SMB-pakkesignering kan redusere ytelsen til filtjenestetransaksjoner. Datamaskiner som har angitt denne policyen, vil ikke kommunisere med datamaskiner som ikke har aktivert klientsidepakkesignering. Hvis du vil ha mer informasjon om SMB-signering og potensiell innvirkning, kan du se Microsoft network server: Digitally sign communications (always).

Annen informasjon

Ressurser:

Ansvarsfraskrivelse:

Informasjonen i denne veiledningen tilbys som den er, uten noen form for garanti. Microsoft fraskriver seg ethvert ansvar, enten direkte eller indirekte, herunder garantier om salgbarhet og anvendelighet for særskilte formål. Microsoft Corporation eller dets leverandører skal ikke under noen omstendigheter holdes ansvarlig for noen skader eller tap herunder direkte, indirekte eller tilfeldige skader eller tap, konsekvenstap, tap av inntekter eller spesielle skader, også i tilfeller der Microsoft Corporation eller dets leverandører er underrettet om muligheten for slike skader eller tap. Ettersom enkelte land ikke tillater fraskrivelse eller begrensning av ansvar for følgeskade eller tilfeldig skade, kan det hende at ovennevnte begrensning ikke gjelder.

Revisjoner:

  • V1.0 (8. desember 2009): Veiledning publisert.

Built at 2014-04-18T01:50:00Z-07:00