awesome windows domain hardening

Eine kuratierte Liste großartiger Sicherheitshärtungstechniken für Windows.

Erstellt von Gepeto42 und Paulwebsec, aber hoch inspiriert von Pyrotek3 -Forschung!

Dieses Dokument fasst die Informationen zu Pyrotek und Harmj0ys Derbycon -Vortrag mit dem Titel "111 Angriffe Evilcorp Anatomy eines Unternehmenshacks" zusammen. Video und Folien sind unten verfügbar.

Es umfasst auch Härtungstechniken, die erforderlich sind, um andere Angriffe zu verhindern, einschließlich Techniken, die von Gepeto42 und Joeynoname während ihres Vortrags von Thotcon 0x7 diskutiert werden.

Etwas fehlt? Erstellen Sie eine Pull -Anfrage und fügen Sie sie hinzu.

• Es sollten keine Härtungsanstrengungen auf Kosten der Verbesserung der Betriebssysteme erfolgen.
• Stellen Sie EMET in Workstations ein (Ende der Linie im Juli 2018 - Überlegen Sie, wie Sie EMET für Windows 7 behalten, aber die Upgrades auf Windows 10 und Edge priorisieren).
• Verwenden Sie Applocker, um EXEC -Inhalte vom Ausführen von Benutzerstandorten (Home Dir, Profilpfad, Tempo usw.) zu blockieren.
• Verhärtung von DMA -Angriffen? Hier gehen Sie und ein interessanter Artikel von Synacktiv über DMA -Angriffe
• Verwalten Sie die Ausführung von PowerShell über Applocker oder ein eingeschränkter Sprachmodus.
• Aktivieren Sie die PowerShell -Protokollierung (v3+) und die Befehlsprozessprotokollierung.
• Block Office Macros (Windows & Mac) auf Inhalten, die aus dem Internet heruntergeladen wurden.
• Bereitstellen von Sicherheitsinstrumenten, die für verdächtiges Verhalten überwacht. Verwenden Sie WEF, um nur interessante Ereignisse an Ihr Siem- oder Protokollierungssystem weiterzuleiten.
• Beschränken Sie die Fähigkeit, indem Sie Anhänge per E -Mail blockieren/einschränken:
  • Ausführbare Erweiterungen:
  • (ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, pif, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, WSF, WSH, Exe, Pif usw.)
  • Office -Dateien, die Makros unterstützen (DOCM, XLSM, PPTM usw.)
  • Stellen Sie sicher, dass diese Dateitypen blockiert sind.
  • Block Forgotten/Unbenutzte Excel -Datei -Erweiterungen: IQY, SLK
• Ändern Sie das Standardprogramm für alles, was sich mit Windows Scripting auf Notepad öffnet (zuerst testen!)
  • Bat, JS, JSE, VBE, VBS, WSF, WSH, HTA, VBS usw.
  • GPO: Benutzerkonfiguration -> Einstellungen -> Bedienfeldeinstellungen -> Ordneroptionen -> Öffnen mit
  • Aktion: Ersetzen
  • Dateierweiterung: (Erweiterung)
  • Assoziiertes Programm: %Windir % System32 Notepad.exe
  • Setzen Sie als Standardeinstellung: aktiviert.
• Verhinderung der Aktivierung von OLE -Paketen im Büro mit der Einstellung PackagerPrompt

• Stellen Sie Windows 10 bereit und begrenzen Sie die lokale Gruppenaufzählung.
• Beschränken Sie die Workstation auf Workstation Communication.
• Erhöhen Sie die Sicherheit bei sensiblen GPOs.
• Bewerten Sie die Bereitstellung von Verhaltensanalysen (Microsoft ATA).

Bluthund "Prävention":

• Verwenden Sie NetCease, um eine unzügige Sitzungsaufzählung zu verhindern.
• Verwenden Sie SAMRI10, um eine nicht privilegierte lokale Administratorsammlung zu verhindern (diese Behebung ist bereits in Windows 10 1607 und höher vorhanden).

• Konfigurieren Sie GPO, um lokale Konten einer Netzwerkauthentifizierung (KB2871997) zu verhindern. Zusätzlich zu diesem KB empfiehlt Contrapce -Artikel zwei weitere Änderungen in der Registrierung:

1. Setzen Sie HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaTokenLeakDetectDelaySecs = 30. Dadurch werden Anmeldeinformationen von angemeldeten Benutzern nach 30 Sekunden gelöscht (nach und nach dem Verhalten von Windows 8.1+).
2. Setzen Sie HKEY_LOCAL_MACHINESystemCurrentControlSetControlSecurityProvidersWDigestUseLogonCredential = 0. Dies verhindert, dass WDigest -Anmeldeinformationen im Speicher gespeichert werden, ebenso wie der Standard für Windows 8.1+.

• Stellen Sie sicher, dass lokale Administratorenkennwörter automatisch geändert werden (Microsoft -Runden) und zusätzliche lokale Administratorkonten entfernen.
• Beschränken Sie die Workstation auf Workstation Communication (Windows Firewall).
  • Testen Sie PSEXEC mit guten Anmeldeinformationen zwischen zwei Workstations. Wenn es funktioniert, haben Sie ein seitliches Bewegungsproblem.

• Entfernen Sie Dateien mit Passwörtern in Sysvol (einschließlich GPP).
• Stellen Sie sicher, dass Administratoren sich nicht bei nicht vertrauenswürdigen Systemen (regulären Workstations) anmelden, indem sie den ordnungsgemäßen Benutzer -Rechtsaufgaben mit GPOs konfigurieren.
• Bereitstellung privilegierter Zugang zu Arbeitsstationen oder Pfoten für alle hoch privilegierten Arbeiten. Diese sollten niemals Zugang zum Internet haben.
• Verwenden Sie verwaltete Servicekonten für SAS, wenn möglich (FGPP)
• Für Systeme, die verwaltete Servicekonten nicht unterstützen, setzen Sie eine feinkörnige Kennwortrichtlinie bereit, um sicherzustellen, dass die Kennwörter> 32 Zeichen sind.
• Stellen Sie sicher, dass alle Computer über NTLMV2 & Kerberos sprechen, verweigern LM/NTLMV1.

• Stellen Sie sicher, dass sich alle Administratoren nur bei genehmigten Verwaltungsarbeitsstationen und Servern anmelden. (Siehe PAW im Abschnitt zur Eskalation des Privilegs)
• Stellen Sie sicher, dass alle integrierten Gruppen, aber der Administrator verweigert wird, wenn Sie sich bei Domänencontrollern-Benutzer Rechtsaufgaben anmelden. Standardmäßig können sich Backup -Betreiber und Kontobetreiber bei Domänencontrollern anmelden, was gefährlich ist.
• Fügen Sie alle Admin -Konten in die Gruppe der geschützten Benutzer hinzu (erfordert Windows 2012 R2 DCS).
• Admin -Workstations & Server:
  • Steuerung und Begrenzung des Zugriffs auf Administratorarbeitsstationen und -server.
  • NetBIOS über TCP/IP entfernen
  • Deaktivieren Sie llmnr.
  • Deaktivieren Sie WPAD.

• Beginnen Sie jetzt mit Pingcastle, die unglaubliche AD -Audit durchführt
• Prüfung/Einschränkung von NTLM.
• Durchsetzen der LDAP -Unterzeichnung.
• Aktivieren Sie die SMB -Unterzeichnung (& Verschlüsselung, wo pus.).
• Deaktivieren Sie WPAD & LLMNR und arbeiten Sie daran, NetBIOS zu deaktivieren.
• Windows 10, entfernen:
  • SMB 1.0/CIFS
  • Windows PowerShell 2.0
• Verwenden Sie SHILS, um alte Anwendungen zu ermöglichen, bei denen die Administratorrechte arbeiten müssen, indem Sie glauben, dass sie sie haben.

• Pingcastle - Ein Active Directory -Audit -Tool (und kostenlos!) Mit ziemlich guten Metriken.
• Responder - A LLMNR, NBT -NS und MDNS -Giftgifter
• Bluthund - sechs Grad Domänenverwaltung
• AD -Steuerpfad - Active Directory Control Pfade Prüfungs- und Grafikwerkzeuge
• Powersploit - Ein PowerShell nach dem Ausbeutungsrahmen
• Powerview - Situationsbewusstsein PowerShell -Rahmen
• Empire - Powershell und Python Post -Exploitation -Agent
• Mimikatz-Dienstprogramm zum Extrahieren von Klartextkennwörtern, Hash-, PIN-Code und Kerberos-Tickets aus dem Speicher, aber auch Pass-the-Hash, Pass-the-Ticket oder Build Golden Tickets durchführen
• Tools Cheatsheets - (Beacon, PowerView, Powerup, Empire, ...)
• UACME - Besiege von Windows -Benutzerkonto -Steuerung
• Windows -System -Interna - (einschließlich Sysmon usw.)
• Hardentools - Sammlung einfacher Versorgungsunternehmen, mit denen eine Reihe von "Funktionen" von Windows deaktiviert werden sollen
• CrackMapexec - Ein Schweizer Armeemesser für die Umgebung mit Fenstern/Active Directory -Umgebungen
• Sharpsploit
• Rubeus - Rubeus ist ein C# Toolset für Rohkerberos -Wechselwirkung und Missbräuche
• KOADIC - KOADIC oder COM -Befehl & Steuer
• Silenttrinity - Ein nach Exploitationsmittel von Python, Ironpython, C#/.

• Jenseits der MCSE: Active Directory für den Sicherheitsfachmann
• BSIDES DC 2016 - PowerShell -Sicherheit: Verteidigung des Unternehmens von der neuesten Angriffsplattform verteidigen
• Sechs Grad Domain Admin ... - Andy Robbins, Will Schroeder, Rohan Vazarkar
• 111 Angriff der Evilcorp -Anatomie eines Unternehmenshacks
• Rot gegen Blau: Moderne Active Directory -Angriffe und Verteidigung
• Offensives Active Directory mit PowerShell
• Fortgeschrittene Incident -Erkennung und Bedrohungsjagd mit Sysmon und Splunk
• Echte Lösungen aus echten Vorfällen: Sparen Sie Geld und Ihren Job!
• Applocker -Bypass -Techniken

• Von der Workstation bis zum Domänenadministrator - Warum sichere Verwaltung nicht sicher ist
• Ausnutzung von AD -Administratorunsicherheiten
• Wie man von der Reaktion auf die Jagd mit Syssinternals Sysmon geht
• 111 Angriff der Evilcorp -Anatomie eines Unternehmenshacks
• Echte Lösungen aus echten Vorfällen: Sparen Sie Geld und Ihren Job!

• AdSecurity
• Harmj0ys Blog
• Die Konfigurationsdatei von Sysmon Securitay - Vorlage mit standardmäßiger hochwertiger Ereignisverfolgung
• Erklären und Anpassung von Tays Sysmon -Konfiguration und hier
• Verwendung von Psexec
• Verhinderung von Mimikatz -Angriffen
• Nützliche Liste der Windows -Sicherheitsprotokollereignisse
• Einführung in SharpSploit: AC# Post-Exploitation-Bibliothek
• Von Kekeo bis Rubeus
• Windows Oneliners zum Herunterladen der Remote -Nutzlast und zum Ausführen beliebiger Code
• Konfigurationsanleitung für die Implementierung der Windows 10- und Windows Server 2016 DOD Secure Host -Baseline -Einstellungen.