الصفحة الرئيسية>المتعلقة بالبرمجة>شفرة المصدر الأخرى
تنزيل

تصلب مجال Windows رائع

قائمة منسقة من تقنيات تصلب الأمان الرائعة لنظام التشغيل Windows.

تم إنشاؤها بواسطة Gepeto42 و Paulwebsec ولكنها مستوحاة للغاية من أبحاث Pyrotek3!

ملخص

يلخص هذا المستند المعلومات المتعلقة بحديث DerbyCon's Derbycon's Pyrotek و Harmj0y بعنوان "111 مهاجمة Anatomy Avilcorp of a Corporate Hack". الفيديو والشرائح متوفرة أدناه.

كما أنه يشتمل على تقنيات تصلب ضرورية لمنع الهجمات الأخرى ، بما في ذلك التقنيات التي ناقشتها GEPETO42 و Joeynoname خلال THOTCON 0X7.

شيء ما مفقود؟ إنشاء طلب سحب وإضافته.

موطئ قدم أولي

  • لا ينبغي أن يأتي أي جهد تصلب على حساب ترقية أنظمة التشغيل.
  • نشر EMET على محطات العمل (نهاية الخط في يوليو 2018 - فكر في الحفاظ على EMET لنظام التشغيل Windows 7 ولكن إعطاء ترقيات إلى Windows 10 و Edge).
  • استخدم Applocker لمنع المحتوى exec من التشغيل في مواقع المستخدم (Home Dir ، Profile Path ، Temp ، إلخ).
  • تصلب هجمات DMA؟ هنا تذهب ومقال مثير للاهتمام من Synacktiv حول هجمات DMA
  • إدارة تنفيذ PowerShell عبر Applocker أو وضع اللغة المقيدة.
  • تمكين تسجيل PowerShell (V3+) وعملية التسجيل.
  • قم بمنح Macros Office (Windows & Mac) على المحتوى الذي تم تنزيله من الإنترنت.
  • نشر أدوات الأمان التي تراقب السلوك المشبوه. فكر في استخدام WEF لإعادة توجيه الأحداث المثيرة للاهتمام فقط إلى نظام التسجيل الخاص بك أو نظام التسجيل.
  • الحد من القدرة عن طريق حظر/تقييد المرفقات عبر البريد الإلكتروني/التنزيل:
    • ملحقات التنفيذيين:
    • (ADE ، ADP ، ANI ، BAS ، BAT ، CHM ، CMD ، COM ، CPL ، CLT ، HLP ، HT ، HTA ، INF ، INS ، ISP ، JOB ، JS ، JSE ، LNK ، MDA ، MDB ، MDE ، MDZ ، WSF ، WSH ، Exe ، PIF ، إلخ)
    • ملفات Office التي تدعم وحدات الماكرو (DOCM ، XLSM ، PPTM ، إلخ)
    • تأكد من حظر أنواع الملفات هذه.
    • كتلة ملحقات ملف Excel المنسية/غير المستخدمة: IQY ، SLK
  • قم بتغيير البرنامج الافتراضي لأي شيء يفتح باستخدام برنامج Windows Scripting إلى Notepad (اختبار أولاً!)
    • BAT ، JS ، JSE ، VBE ، VBS ، WSF ، WSH ، HTA ، VBS ، إلخ.
    • GPO: تكوين المستخدم -> التفضيلات -> إعدادات لوحة التحكم -> خيارات المجلد -> فتح مع
    • الإجراء: استبدال
    • تمديد الملف: (تمديد)
    • البرنامج المرتبط: ٪ windir ٪ system32 notepad.exe
    • تعيين كما الافتراضي: ممكّن.
  • منع تنشيط حزم OLE في المكتب مع إعداد سجل PackagerPrompt

استطلاع

  • نشر نظام التشغيل Windows 10 وحد من تعداد المجموعة المحلية.
  • الحد من محطة العمل على اتصال محطة العمل.
  • زيادة الأمن على المعالجة المحلية الحساسة.
  • تقييم نشر تحليلات السلوك (Microsoft ATA).

الكلب "الوقاية":

  • استخدم netcease لمنع تعداد الجلسة غير المحبوب.
  • استخدم Samri10 لمنع جمع المسؤولين المحليين غير المحصور (هذا الإصلاح موجود بالفعل في Windows 10 1607 وما فوق).

حركة جانبية

  • تكوين GPO لمنع الحسابات المحلية من مصادقة الشبكة (KB2871997). بالإضافة إلى هذا KB ، توصي مقالة المعاكسة بتغييرين آخرين في السجل:
  1. SET HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaTokenLeakDetectDelaySecs = 30. سيؤدي هذا إلى مسح بيانات اعتماد المستخدمين الذين تم تسجيلهم بعد 30 ثانية (تحاكي سلوك Windows 8.1+)
  2. قم بتعيين HKEY_LOCAL_MACHINESystemCurrentControlSetControlSecurityProvidersWDigestUseLogonCredential = 0. هذا سيمنع بيانات الاعتماد التي يتم تخزينها في الذاكرة ، مرة أخرى كما هو الافتراضي لنظام التشغيل Windows 8.1+.
  • تأكد من تغيير كلمات مرور حساب المسؤول المحلي تلقائيًا (Microsoft LAPs) وإزالة حسابات المسؤول المحلي الإضافية.
  • الحد من محطة العمل على اتصال محطة العمل (جدار الحماية Windows).
    • اختبار Psexec مع بيانات اعتماد جيدة بين محطتين عمل. إذا نجحت ، لديك مشكلة في الحركة الجانبية.

تصعيد الامتياز

  • قم بإزالة الملفات بكلمات مرور في Sysvol (بما في ذلك GPP).
  • تأكد من عدم تسجيل المستعولين على أنظمة غير موثوق بها (محطات عمل منتظمة) من خلال تكوين تعيينات مستخدم Deny باستخدام GPO.
  • توفير محطات عمل وصول متميزة أو أقدام لجميع الأعمال المميزة للغاية. لا ينبغي أن يتمكن هؤلاء من الوصول إلى الإنترنت.
  • استخدم حسابات الخدمة المدارة لـ SAS عند الإمكان (FGPP)
  • بالنسبة للأنظمة التي لا تدعم حسابات الخدمة المدارة ، قم بنشر سياسة كلمة مرور دقيقة لضمان أن تكون كلمات المرور> 32 حرفًا.
  • تأكد من أن جميع أجهزة الكمبيوتر تتحدث NTLMV2 و Kerberos ، وإنكار LM/NTLMV1.

حماية أوراق اعتماد الإدارة

  • تأكد من تسجيل جميع المشرفين فقط على محطات عمل وخوادم العمل المعتمدة. (انظر PAW في قسم تصعيد الامتياز)
  • تأكد من رفض جميع المجموعات المدمجة ولكن يتم رفض المسؤول من تسجيل الدخول إلى وحدات التحكم في المجال. بشكل افتراضي ، يمكن لمشغلي النسخ الاحتياطي ، ويمكن لمشغلي الحساب تسجيل الدخول إلى وحدات التحكم في المجال ، وهو أمر خطير.
  • أضف جميع حسابات المسؤول إلى مجموعة المستخدمين المحميين (يتطلب Windows 2012 R2 DCS).
  • محطات العمل والخوادم الإدارية:
    • التحكم والحد من الوصول إلى محطات العمل والخوادم.
    • إزالة netbios على TCP/IP
    • تعطيل llmnr.
    • تعطيل WPAD.

تعزيز/إزالة إرث

  • ابدأ الآن باستخدام Pingcastle الذي يؤدي مراجعة الإعلانات المذهلة
  • تدقيق/تقييد NTLM.
  • فرض توقيع LDAP.
  • تمكين توقيع SMB (والتشفير حيث poss.).
  • تعطيل WPAD & LLMNR والعمل على تعطيل Netbios.
  • Windows 10 ، إزالة:
    • SMB 1.0/CIFS
    • Windows PowerShell 2.0
  • استخدم Shims لتمكين التطبيقات القديمة التي تتطلب امتيازات المسؤول للعمل من خلال الاعتقاد بأن لديهم.

أدوات

  • Pingcastle - أداة تدقيق Active Directory (ومجانية!) مع مقاييس جيدة جدًا.
  • المستجيب - تسمم LLMNR و NBT -NS و MDNS
  • Bloodhound - ست درجات من مسؤول المجال
  • مسار التحكم في الإعلان - مسارات التحكم في الدليل النشط أدوات التدقيق والرسوم البيانية
  • PowerSploit - إطار عمل PowerShell بعد الاستغلال
  • Powerview - إطار الوعي الظرفي PowerShell Framework
  • Empire - PowerShell و Python Agent Post -exploatation
  • Mimikatz-الأداة المساعدة لاستخراج كلمات مرور Plaintexts ، تجزئة ، رمز PIN و Kerberos من الذاكرة ، ولكن أيضًا أداء التذاكر أو التذاكر أو البناء الذهبي
  • أدوات الغش - (منارة ، PowerView ، Powerup ، Empire ، ...)
  • UACME - هزيمة التحكم في حساب مستخدم Windows
  • نظام Windows Internals - (بما في ذلك Sysmon وما إلى ذلك)
  • Hardentools - مجموعة من الأدوات المساعدة البسيطة المصممة لتعطيل عدد من "الميزات" المكشوفة بواسطة Windows
  • CrackMapexec - سكين الجيش السويسري لنوافذ الخفيس/بيئات الدليل النشط
  • SharpAsploit
  • Rubeus - Rubeus هي مجموعة أدوات C# لتفاعل Kerberos الخام والانتهاكات
  • Koadic - Koadic ، أو Com Command & Control ، عبارة
  • SilentTrinity - عامل ما بعد الاستغلال مدعوم من Python ، Ironpython ، C#/.

مقاطع الفيديو

  • ما وراء MCSE: Active Directory لأخصائي الأمن
  • BSides DC 2016 - PowerShell Security: الدفاع عن المؤسسة من أحدث منصة الهجوم
  • ست درجات من مسؤول المجال ... - آندي روبنز ، ويل شرودر ، روهان فازاركار
  • 111 مهاجمة Anatomy Evilcorp of a Corporate Hack
  • الأحمر مقابل الأزرق: هجمات الدفاع النشطية الحديثة
  • Directory النشط الهجومي مع PowerShell
  • اكتشاف الحوادث المتقدمة وصيد التهديد باستخدام Sysmon و Splunk
  • حلول حقيقية من الحوادث الحقيقية: وفر المال وعملك!
  • Applocker التقنيات الالتفافية

الشرائح

  • من محطة العمل إلى مسؤول المجال - لماذا لا تكون الإدارة الآمنة آمنة
  • استغلال انعدام آثار مسؤول الإعلان
  • كيفية الانتقال من الاستجابة للصيد مع sysinternals sysmon
  • 111 مهاجمة Anatomy Evilcorp of a Corporate Hack
  • حلول حقيقية من الحوادث الحقيقية: وفر المال وعملك!

موارد إضافية

  • الأمن
  • مدونة Harmj0y
  • ملف تكوين Sysmon Securitay - قالب مع تتبع الأحداث العالي الجودة الافتراضي
  • شرح وتكييف تكوين Sysmon الخاص بـ Tay وهنا
  • استخدام psexec
  • منع هجمات Mimikatz
  • قائمة مفيدة لأحداث سجل أمان Windows
  • تقديم SharpAsploit: AC# مكتبة ما بعد الاستغلال
  • من Kekeo إلى Rubeus
  • Windows Oneliners لتنزيل الحمولة النافعة عن بُعد وتنفيذ التعليمات البرمجية التعسفية
  • إرشادات التكوين لتطبيق Windows 10 و Windows Server 2016 DOD Secure Host Progension.
يوسع
معلومات إضافية
تطبيقات ذات صلة
نوصي لك
أخبار ذات صلة الكل