awesome windows domain hardening

Une liste organisée de techniques de durcissement de sécurité impressionnantes pour Windows.

Créé par GEPETO42 et Paulwebsec mais très inspiré de la recherche PyroTek3!

Ce document résume les informations relatives à la conversation DerbyCon de Pyrotek et Harmj0y appelé "111 Attaquant la médulgotante anatomie d'un piratage d'entreprise". La vidéo et les diapositives sont disponibles ci-dessous.

Il intègre également les techniques de durcissement nécessaires pour prévenir d'autres attaques, y compris les techniques discutées par GEPETO42 et JoeyNoname lors de leur discours Thotcon 0x7.

Quelque chose manque? Créez une demande de traction et ajoutez-le.

• Aucun effort de durcissement ne devrait se faire au détriment de la mise à niveau des systèmes d'exploitation.
• Déployez EMET sur les postes de travail (fin de ligne en juillet 2018 - Envisagez de garder EMET pour Windows 7 mais hiérarchisez les mises à niveau vers Windows 10 et Edge).
• Utilisez AppLocker pour empêcher le contenu EXEC de l'exécution dans les emplacements des utilisateurs (Home Dir, chemin de profil, température, etc.).
• Durcissant contre les crises de DMA? Ici, vous allez et un article intéressant de Synacktiv sur DMA ATTACES
• Gérez l'exécution de PowerShell via AppLocker ou le mode de langue contrainte.
• Activer PowerShell Logging (V3 +) & Command Process Dogging.
• Block Office Macros (Windows & Mac) sur le contenu téléchargé depuis Internet.
• Déployez des outils de sécurité qui surveillent les comportements suspects. Envisagez d'utiliser WEF pour transmettre uniquement des événements intéressants à votre système SIEM ou journalier.
• Limiter la capacité en bloquant / restreignant les pièces jointes par e-mail / téléchargement:
  • Extensions exécutables:
  • (ADE, ADP, ANI, BAS, BAT, CHM, CMD, COM, CPL, CRT, HLP, HT, HTA, INF, INS, ISP, JOB, JS, JSE, LNK, MDA, MDB, MDE, MDZ, MSC, MSI, MSP, MST WSF, WSH, EXE, PIF, etc.)
  • Fichiers de bureau qui prennent en charge les macros (DOCM, XLSM, PPTM, etc.)
  • Assurez-vous que ces types de fichiers sont bloqués.
  • Block Extensions de fichiers Excel oublié / inutilisées: IQY, SLK
• Modifier le programme par défaut pour tout ce qui s'ouvre avec le script Windows au bloc-notes (tester d'abord!)
  • Bat, JS, JSE, VBE, VBS, WSF, WSH, HTA, VBS, etc.
  • GPO: Configuration de l'utilisateur -> Préférences -> Paramètres du panneau de configuration -> Options du dossier -> Ouvrir avec
  • Action: remplacer
  • Extension de fichier: (extension)
  • Programme associé:% windir% system32 notepad.exe
  • Définir par défaut: activé.
• Empêcher l'activation des forfaits OLE au pouvoir avec le paramètre de registre PackagerPrompt

• Déployez Windows 10 et limitez l'énumération du groupe local.
• Limiter la station de travail à la communication de la station de travail.
• Augmentez la sécurité sur les GPO sensibles.
• Évaluez le déploiement de l'analyse des comportements (Microsoft ATA).

«Prévention» de sang:

• Utilisez NetCease pour éviter l'énumération de session sans privilège.
• Utilisez SAMRI10 pour empêcher la collection d'administration locale non privilégiée (ce correctif existe déjà dans Windows 10 1607 et plus).

• Configurez GPO pour empêcher les comptes locaux de l'authentification réseau (KB2871997). En plus de ce KB, Countercept Article recommande deux autres changements dans le registre:

1. Définir HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaTokenLeakDetectDelaySecs = 30. Cela effacera les informations d'identification des utilisateurs enregistrés après 30 secondes (imitant le comportement de Windows 8.1+)
2. Définissez HKEY_LOCAL_MACHINESystemCurrentControlSetControlSecurityProvidersWDigestUseLogonCredential = 0. Cela empêchera les informations d'identification WDIGEST stockées en mémoire, à nouveau, tout comme la valeur par défaut pour Windows 8.1+.

• Assurez-vous que les mots de passe du compte administrateur local sont modifiés automatiquement (Microsoft Laps) et supprimez des comptes d'administration locaux supplémentaires.
• Limitez la station de travail à la communication de la station de travail (pare-feu Windows).
  • Testez le psexec avec de bonnes informations d'identification entre deux postes de travail. Si cela fonctionne, vous avez un problème de mouvement latéral.

• Supprimez des fichiers avec des mots de passe dans SYSVOL (y compris GPP).
• Assurez-vous que les administrateurs ne se connectent pas aux systèmes non fiables (postes de travail réguliers) en configurant les affectations de Deny User Right avec des GPO.
• Fournir des postes de travail ou des pattes privilégiées pour tous les travaux très privilégiés. Ceux-ci ne devraient jamais avoir accès à Internet.
• Utilisez des comptes de services gérés pour SAS lorsque cela est possible (FGPP)
• Pour les systèmes qui ne prennent pas en charge les comptes de services gérés, déployez une stratégie de mot de passe à grain fin pour s'assurer que les mots de passe sont> 32 caractères.
• Assurez-vous que tous les ordinateurs parlent ntlmv2 et kerberos, nier LM / ntlmv1.

• Assurez-vous que tous les administrateurs se connectent uniquement aux postes de travail et serveurs approuvés. (Voir la section de l'escalade des privilèges de la patte)
• Assurez-vous que tous les groupes intégrés, mais l'administrateur est refusé de la connexion aux affectations de droits de l'utilisateur des contrôles de domaine. Par défaut, les opérateurs de sauvegarde, les opérateurs de compte peuvent se connecter aux contrôleurs de domaine, ce qui est dangereux.
• Ajoutez tous les comptes d'administration au groupe d'utilisateurs protégés (nécessite Windows 2012 R2 DCS).
• Postes de travail et serveurs d'administration:
  • Contrôle et limite l'accès aux postes de travail et aux serveurs Admin.
  • Supprimer Netbios sur TCP / IP
  • Désactiver llmnr.
  • Désactiver WPAD.

• Commencez maintenant en utilisant Pingcastle qui effectue un audit d'annonces incroyable
• Audit / restreint NTLM.
• Appliquer la signature LDAP.
• Activer la signature SMB (et le cryptage où poss.).
• Désactiver WPAD & LLMNR et travailler pour désactiver NetBiOS.
• Windows 10, supprimez:
  • SMB 1.0 / CIFS
  • Windows PowerShell 2.0
• Utilisez des cales pour permettre aux anciennes applications qui nécessitent que les privilèges d'administration fonctionnent en croyant qu'ils les ont.

• Pingcastle - Un outil d'audit Active Directory (et gratuit!) Avec de très bonnes mesures.
• Répondant - A LLMNR, NBT-NS et MDNS Empoisonneur
• Bloodhound - Six degrés d'administrateur de domaine
• Chemin de contrôle de l'annonce - Chets de contrôle Active Directory Touraux d'audit et graphique
• PowerSploit - un cadre PowerShell post-exploitation
• PowerView - Cadre PowerShell de conscience de la situation
• Empire - PowerShell et Python Post-Exploitation Agent
• Mimikatz - Utilitaire pour extraire les mots de passe en clair, le hachage, le code PIN et les billets Kerberos à partir de la mémoire, mais également effectuer
• Outils CheatSheets - (Beacon, PowerView, Powerup, Empire, ...)
• UACME - Vaincre le contrôle du compte utilisateur Windows
• Internes du système Windows - (y compris sysmon etc.)
• Hardentools - Collection d'utilitaires simples conçus pour désactiver un certain nombre de "fonctionnalités" exposées par Windows
• CrackMapExec - Un couteau à armée suisse pour les fenêtres pentisting / environnements Active Directory
• Sharpsploit
• Rubeus - Rubeus est un ensemble d'outils C # pour l'interaction et les abus bruts de Kerberos
• Koadic - Koadic, ou com Command & Control, est un rootkit Windows après l'exploitation
• SilentTrinity - Un agent post-exploitation alimenté par Python, Ironpython, C # /. Net

• Au-delà du MCSE: Active Directory pour le professionnel de la sécurité
• Bsides DC 2016 - PowerShell Security: Défendre l'entreprise de la dernière plate-forme d'attaque
• Six degrés d'administrateur de domaine ... - Andy Robbins, Will Schroeder, Rohan Vazarkar
• 111 Attaquer l'anatomie du mal à l'ul d'un piratage d'entreprise
• Red vs Blue: Attaques et défense Active Directory modernes
• Offensive Active Directory avec PowerShell
• Détection avancée des incidents et chasse aux menaces à l'aide de sysmon et de splunk
• De vraies solutions provenant d'incidents réels: économisez de l'argent et votre travail!
• Techniques de contournement Applocker

• De la station de travail à l'administrateur de domaine - pourquoi l'administration sécurisée n'est pas sécurisée
• Exploitation des insécurités de l'administrateur publicitaire
• Comment passer de la réponse à la chasse avec Sysinternals Sysmon
• 111 Attaquer l'anatomie du mal à l'ul d'un piratage d'entreprise
• De vraies solutions provenant d'incidents réels: économisez de l'argent et votre travail!

• Insécurité
• Blog de Harmj0y
• Fichier de configuration de Sysmon Securitay - Modèle avec traçage d'événements de haute qualité par défaut
• Expliquer et adapter la configuration du sysmon de Tay et ici
• Utilisation du psexec
• Empêcher les attaques de Mimikatz
• Liste utile des événements de journal de sécurité Windows
• Présentation de Sharpsploit: AC # Library post-exploitation
• De Kekeo à Rubeus
• Windows Oneliners pour télécharger la charge utile distante et exécuter un code arbitraire
• Configuration Guide pour implémenter les paramètres de base de l'hôte Secure Host Windows 10 et Windows Server 2016.