awesome windows domain hardening

Una lista curada de increíbles técnicas de endurecimiento de seguridad para Windows.

¡Creado por Gepeto42 y PaulWebSec pero altamente inspirado a partir de la investigación de Pyrotek3!

Este documento resume la información relacionada con la charla de Derbycon de Pyrotek y Harmj0y llamada "111 atacando la anatomía de EvilCorp de un hack corporativo". El video y las diapositivas están disponibles a continuación.

También incorpora las técnicas de endurecimiento necesarias para prevenir otros ataques, incluidas las técnicas discutidas por Gepeto42 y Joeynoname durante su charla Thotcon 0x7.

¿Algo falta? Cree una solicitud de extracción y agréguela.

• Ningún esfuerzo de endurecimiento debe venir a expensas de actualizar los sistemas operativos.
• Implemente EMET en estaciones de trabajo (fin de línea en julio de 2018: considere mantener EMET para Windows 7 pero priorice las actualizaciones a Windows 10 y Edge).
• Use Applocker para bloquear el contenido de Exec se ejecute en ubicaciones de usuario (directora de inicio, ruta de perfil, temp, etc.).
• ¿Endurecer contra los ataques de DMA? Aquí vas y un artículo interesante de Synacktiv sobre ataques de DMA
• Administre la ejecución de PowerShell a través del modo Applocker o del idioma restringido.
• Habilitar el registro de PowerShell (V3+) y el registro del proceso de comando.
• Bloquear Macros de Office (Windows y Mac) en contenido descargado de Internet.
• Implemente herramientas de seguridad que monitorean por un comportamiento sospechoso. Considere usar WEF para reenviar solo eventos interesantes a su SIEM o sistema de registro.
• Capacidad de límite bloqueando/restringiendo los archivos adjuntos por correo electrónico/descarga:
  • Ejecutables Extensiones:
  • (ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, pif, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, WSF, WSH, EXE, PIF, etc.)
  • Archivos de oficina que admiten macros (DOCM, XLSM, PPTM, etc.)
  • Asegúrese de que estos tipos de archivos estén bloqueados.
  • Bloque de extensiones de archivo de Excel olvidadas/no utilizadas: IQY, SLK
• Cambie el programa predeterminado para cualquier cosa que se abra con las secuencias de comandos de Windows a bloc de notas (¡prueba primero!)
  • BAT, JS, JSE, VBE, VBS, WSF, WSH, HTA, VBS, etc.
  • GPO: Configuración del usuario -> Preferencias -> Configuración del panel de control -> Opciones de carpeta -> Abrir con
  • Acción: reemplazar
  • Extensión del archivo: (extensión)
  • Programa asociado: %Windir % System32 Notepad.exe
  • Establecer como predeterminado: habilitado.
• Prevención de la activación de los paquetes OLE en la oficina con la configuración del registro PackagerPrompt

• Implemente Windows 10 y limite la enumeración del grupo local.
• Limite la estación de trabajo a la comunicación de la estación de trabajo.
• Aumentar la seguridad en GPO sensibles.
• Evaluar la implementación de análisis de comportamiento (Microsoft ATA).

Bloodhound "Prevención":

• Use NetCease para evitar la enumeración de la sesión sin privilegios.
• Use SAMRI10 para evitar la colección de administrador local sin privilegios (esta solución ya existe en Windows 10 1607 y superior).

• Configure GPO para evitar cuentas locales de autenticación de red (KB2871997). Además de este KB, el artículo de Countercept recomienda otros dos cambios en el registro:

1. Establecer HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaTokenLeakDetectDelaySecs = 30. Esto borrará las credenciales de los usuarios de la sesión de cotideros después de 30 segundos (imitando el comportamiento de Windows 8.1+)
2. Establecer HKEY_LOCAL_MACHINESystemCurrentControlSetControlSecurityProvidersWDigestUseLogonCredential = 0. Esto evitará que las credenciales de Wdigest se almacenen en la memoria, nuevamente como es el valor predeterminado para Windows 8.1+.

• Asegúrese de que las contraseñas de la cuenta del administrador local se cambien automáticamente (Microsoft Laps) y elimine las cuentas de administración locales adicionales.
• Limite la estación de trabajo a la comunicación de la estación de trabajo (firewall de Windows).
  • Pruebe PSEXEC con buenas credenciales entre dos estaciones de trabajo. Si funciona, tiene un problema de movimiento lateral.

• Elimine archivos con contraseñas en SYSVOL (incluido GPP).
• Asegúrese de que los administradores no inicien sesión en sistemas no confiables (estaciones de trabajo regulares) configurando las asignaciones correctas del usuario con GPOS.
• Proporcione estaciones de trabajo de acceso privilegiado o patas para todos los trabajos altamente privilegiados. Esos nunca deberían tener acceso a Internet.
• Use cuentas de servicio administradas para SAS cuando sea posible (FGPP)
• Para los sistemas que no admiten cuentas de servicio administradas, implementa una política de contraseña de grano fino para garantizar que las contraseñas sean> 32 caracteres.
• Asegúrese de que todas las computadoras estén hablando NTLMV2 y Kerberos, negar LM/NTLMV1.

• Asegúrese de que todos los administradores solo inicien sesión en estaciones de trabajo de administración aprobadas y servidores. (Ver Pata en la sección de escalada de privilegios)
• Asegúrese de que todos los grupos incorporados, pero el administrador se les niegue de iniciar sesión hasta los controladores de dominio, las asignaciones correctas del usuario del usuario. Por defecto, los operadores de respaldo, los operadores de cuentas pueden iniciar sesión en controladores de dominio, lo cual es peligroso.
• Agregue todas las cuentas de administración al grupo de usuarios protegidos (requiere Windows 2012 R2 DCS).
• Estaciones de trabajo de administración y servidores:
  • Control y limita el acceso a estaciones de trabajo y servidores de administración.
  • Eliminar netbios a través de TCP/IP
  • Deshabilitar llmnr.
  • Desactivar WPAD.

• Comience ahora usando Pingcastle que realiza una auditoría publicitaria increíble
• Auditoría/restringir NTLM.
• Hacer cumplir la firma de LDAP.
• Habilitar firma de SMB (y cifrado donde posee).
• Desactive WPAD & LLMNR & Work para deshabilitar NetBios.
• Windows 10, eliminar:
  • SMB 1.0/CIFS
  • Windows PowerShell 2.0
• Use cuñas para habilitar aplicaciones antiguas que requieran que los privilegios de administración funcionen creyendo que las tienen.

• Pingcastle: una herramienta de auditoría de Active Directory (¡y gratis!) Con bastante buenas métricas.
• Respondedor - A LLMNR, NBT -NS y MDNS POUNINOER
• Bloodhound: seis grados de administrador de dominio
• Ruta de control de anuncios: rutas de control de activo de activo auditoría y herramientas de gráficos
• PowersPloit - Un marco de PowerShell posterior a la explotación
• PowerView - Marco de conciencia situacional PowerShell
• Empire - PowerShell y Python Post -Exploteation Agent
• Mimikatz-Utilidad para extraer contraseñas de textos de formación, hash, código PIN y boletos de Kerberos de la memoria, pero también realiza tickets de pases, pases, pases o construyendo boletos dorados
• Hojas de trucos de herramientas - (Beacon, PowerView, Powerup, Empire, ...)
• UACME - Derrotar el control de la cuenta de usuario de Windows
• Windows System -Interna - (incluido Sysmon, etc.)
• Hardentools: colección de utilidades simples diseñadas para deshabilitar una serie de "características" expuestas por Windows
• CrackMapexec: una navaja suiza para Windows Pentesting/Entornmentos de Active Directory
• Sharpsploit
• Rubeo - Rubeo es un conjunto de herramientas C# para la interacción y los abusos de Kerberos en bruto
• Koadic - Koadic, o Com Command & Com Control, es un RootKit de Windows después de la explotación
• SilentTrinity: un agente posterior a la explotación impulsado por Python, Ironpython, C#/. Net

• Más allá del MCSE: Active Directory para el profesional de seguridad
• BSIDES DC 2016 - Seguridad de PowerShell: defender la empresa de la última plataforma de ataque
• Seis grados de administrador de dominio ... - Andy Robbins, Will Schroeder, Rohan Vazarkar
• 111 atacando la anatomía de EvilCorp de un hack corporativo
• Rojo vs azul: ataques modernos de activo directorio y defensa
• Directorio activo ofensivo con PowerShell
• Detección de incidentes avanzados y caza de amenazas usando Sysmon y Splunk
• Soluciones reales de incidentes reales: ¡ahorre dinero y su trabajo!
• Técnicas de derivación de aplicador

• Desde la estación de trabajo hasta administrador del dominio: por qué la administración segura no es segura
• Explotación de inseguridades del administrador de anuncios
• Cómo pasar de responder a la caza con Sysinternals Sysmon
• 111 atacando la anatomía de EvilCorp de un hack corporativo
• Soluciones reales de incidentes reales: ¡ahorre dinero y su trabajo!

• Adsecuridad
• Blog de Harmj0y
• Archivo de configuración de Sysmon Securitay: plantilla con rastreo de eventos de alta calidad predeterminado
• Explicar y adaptar la configuración Sysmon de Tay y aquí
• Uso de psexec
• Prevenir los ataques de Mimikatz
• Lista útil de eventos de registro de seguridad de Windows
• Introducción de SharpsPloit: AC# Biblioteca posterior a la explotación
• De Kekeo a Rubeo
• Windows OneLiners para descargar la carga remota y ejecutar código arbitrario
• Guía de configuración para implementar la configuración de línea de base del host Secure de Windows 10 y Windows Server 2016 Secure.