awesome windows domain hardening

Daftar teknik pengerasan keamanan yang mengagumkan untuk windows.

Dibuat oleh Gepeto42 dan Paulwebsec tetapi sangat terinspirasi dari penelitian Pyrotek3!

Dokumen ini merangkum informasi yang terkait dengan pembicaraan Derbycon Pyrotek dan Harmj0y yang disebut "111 menyerang Anatomi Evilcorp dari peretasan perusahaan". Video dan slide tersedia di bawah ini.

Ini juga menggabungkan teknik pengerasan yang diperlukan untuk mencegah serangan lain, termasuk teknik yang dibahas oleh Gepeto42 dan Joeynoname selama pembicaraan Thotcon 0x7 mereka.

Ada sesuatu yang hilang? Buat permintaan tarik dan tambahkan.

• Tidak ada upaya pengerasan yang mengorbankan sistem operasi yang mengorbankan.
• Deploy Emet ke workstation (akhir baris pada Juli 2018 - pertimbangkan untuk menjaga Emet untuk Windows 7 tetapi memprioritaskan peningkatan ke Windows 10 dan Edge).
• Gunakan AppLocker untuk memblokir konten EXEC dari berjalan di lokasi pengguna (Dir Rumah, Jalur Profil, Temp, dll).
• Pengerasan terhadap serangan DMA? Ini dia dan artikel menarik dari SynackTiv tentang serangan DMA
• Kelola Eksekusi PowerShell melalui applocker atau mode bahasa terbatas.
• Aktifkan PowerShell Logging (V3+) & Pencatatan Proses Perintah.
• Blok Macro Office (Windows & Mac) pada konten yang diunduh dari Internet.
• Menggunakan alat keamanan yang memantau perilaku mencurigakan. Pertimbangkan untuk menggunakan WEF untuk meneruskan hanya acara menarik ke SIEM atau sistem logging Anda.
• Batas kemampuan dengan memblokir/membatasi lampiran melalui email/unduh:
  • Eksekusi ekstensi:
  • ; WSF, WSH, EXE, PIF, dll.)
  • File kantor yang mendukung makro (DOCM, XLSM, PPTM, dll.)
  • Pastikan jenis file ini diblokir.
  • Blok Ekstensi File Excel yang Terlupakan/Tidak Digunakan: IQY, SLK
• Ubah program default untuk apa pun yang terbuka dengan skrip Windows ke Notepad (tes terlebih dahulu!)
  • Bat, JS, JSE, VBE, VBS, WSF, WSH, HTA, VBS, dll.
  • GPO: Konfigurasi Pengguna -> Preferensi -> Pengaturan Panel Kontrol -> Opsi Folder -> Buka dengan
  • Tindakan: Ganti
  • Ekstensi File: (ekstensi)
  • Program Terkait: %Windir % System32 notepad.exe
  • Setel sebagai default: Diaktifkan.
• Mencegah aktivasi paket OLE di kantor dengan pengaturan registri PackagerPrompt

• Menyebarkan Windows 10 dan membatasi enumerasi grup lokal.
• Batasi workstation untuk komunikasi workstation.
• Tingkatkan keamanan pada GPO sensitif.
• Mengevaluasi Penyebaran Analisis Perilaku (Microsoft ATA).

Bloodhound "Pencegahan":

• Gunakan NetCease untuk mencegah enumerasi sesi yang tidak beruntung.
• Gunakan SAMRI10 untuk mencegah koleksi admin lokal yang tidak beruntung (perbaikan ini sudah ada di Windows 10 1607 ke atas).

• Konfigurasikan GPO untuk mencegah akun lokal dari otentikasi jaringan (KB2871997). Selain KB ini, artikel Countercept merekomendasikan dua perubahan lain dalam registri:

1. Setel HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaTokenLeakDetectDelaySecs = 30. Ini akan menghapus kredensial pengguna yang masuk setelah 30 detik (meniru perilaku Windows 8.1+)
2. Atur HKEY_LOCAL_MACHINESystemCurrentControlSetControlSecurityProvidersWDigestUseLogonCredential = 0. Ini akan mencegah kredensial mana yang disimpan dalam memori, sekali lagi seperti default untuk Windows 8.1+.

• Pastikan kata sandi akun administrator lokal diubah secara otomatis (Microsoft Laps) & hapus akun admin lokal tambahan.
• Batasi workstation untuk komunikasi workstation (Windows Firewall).
  • Uji psexec dengan kredensial yang baik antara dua workstation. Jika berhasil, Anda memiliki masalah gerakan lateral.

• Hapus file dengan kata sandi di Sysvol (termasuk GPP).
• Pastikan admin tidak masuk ke sistem yang tidak dipercaya (workstation reguler) dengan mengkonfigurasi penolakan penugasan hak pengguna dengan GPO.
• Berikan workstation akses atau cakar istimewa untuk semua pekerjaan yang sangat istimewa. Itu seharusnya tidak pernah memiliki akses ke internet.
• Gunakan akun layanan terkelola untuk SAS jika memungkinkan (FGPP)
• Untuk sistem yang tidak mendukung akun layanan terkelola, sebarkan kebijakan kata sandi berbutir halus untuk memastikan kata sandi> 32 karakter.
• Pastikan semua komputer berbicara NTLMV2 & Kerberos, DENY LM/NTLMV1.

• Pastikan semua admin hanya masuk ke workstation & server admin yang disetujui. (Lihat PAW di bagian Eskalasi Privilege)
• Pastikan semua grup bawaan tetapi administrator ditolak dari masuk ke pengontrol domain penugasan pengguna pengguna pengguna. Secara default, operator cadangan, operator akun dapat masuk ke pengontrol domain, yang berbahaya.
• Tambahkan semua akun admin ke grup pengguna yang dilindungi (membutuhkan Windows 2012 R2 DCS).
• Admin Workstation & Server:
  • Kontrol & Batas Akses ke Workstation & Server Admin.
  • Hapus NetBIOS melalui TCP/IP
  • Nonaktifkan llmnr.
  • Nonaktifkan WPAD.

• Mulailah sekarang dengan menggunakan pingcastle yang melakukan audit iklan yang luar biasa
• Audit/Batasi NTLM.
• Menegakkan penandatanganan LDAP.
• Aktifkan penandatanganan SMB (& enkripsi di mana poss.).
• Nonaktifkan WPAD & llmnr & bekerja untuk menonaktifkan NetBios.
• Windows 10, hapus:
  • SMB 1.0/CIF
  • Windows PowerShell 2.0
• Gunakan shims untuk memungkinkan aplikasi lama yang membutuhkan hak istimewa admin untuk bekerja dengan meyakini bahwa mereka memilikinya.

• Pingcastle - Alat Audit Direktori Aktif (dan gratis!) Dengan metrik yang cukup bagus.
• Responder - Racun Llmnr, NBT -NS dan MDNS
• Bloodhound - Enam derajat Admin Domain
• Jalur Kontrol AD ​​- Alat Audit dan Grafik Audit dan Active Active Directory
• PowerSploit - Kerangka PowerShell Post -Exploitation
• PowerView - Kesadaran Situasional PowerShell Framework
• Empire - PowerShell dan Python Post -Exploitation Agent
• Mimikatz-Utilitas untuk Mengekstrak Kata Sandi Plaintexts, Hash, Pin Code dan Tiket Kerberos dari Memori tetapi juga melakukan tiket lulus, lulus atau membangun tiket emas
• Tools Cheatsheets - (Beacon, Powerview, Powerup, Empire, ...)
• UACME - Mengalahkan Kontrol Akun Pengguna Windows
• Internal Sistem Windows - (termasuk sysmon dll.)
• Hardentools - Koleksi utilitas sederhana yang dirancang untuk menonaktifkan sejumlah "fitur" yang diekspos oleh Windows
• CrackMapexec - Pisau Angkatan Darat Swiss untuk Windows Pentesting/Lingkungan Direktori Aktif
• Sharpsploit
• Rubeus - Rubeus adalah Toolset C# untuk Interaksi dan Penyalahgunaan Kerberos Raw
• Koadic - Koadic, atau Com Command & Control, adalah windows post -exploitation rootkit
• SilentTrinity - Agen Post -Eksploitasi Didukung oleh Python, IronPython, C#/. Net

• Beyond the MCSE: Active Directory untuk Profesional Keamanan
• BSides DC 2016 - PowerShell Security: Membela perusahaan dari platform serangan terbaru
• Enam derajat Admin Domain ... - Andy Robbins, Will Schroeder, Rohan Vazarkar
• 111 Menyerang Anatomi Evilcorp dari peretasan perusahaan
• Red vs Blue: Serangan & Pertahanan Direktori Aktif Modern
• Direktori Aktif Ofensif dengan PowerShell
• Deteksi Insiden Lanjutan dan Perburuan Ancaman Menggunakan Sysmon dan Splunk
• Solusi Nyata dari Insiden Nyata: Hemat uang dan pekerjaan Anda!
• Teknik Bypass Applocker

• Dari workstation ke admin domain - mengapa administrasi aman tidak aman
• Mengeksploitasi rasa tidak aman administrator iklan
• Bagaimana beralih dari menanggapi perburuan dengan sysinternals sysmon
• 111 Menyerang Anatomi Evilcorp dari peretasan perusahaan
• Solusi Nyata dari Insiden Nyata: Hemat uang dan pekerjaan Anda!

• ADSecurity
• Blog Harmj0y
• File Konfigurasi Sysmon Securitay - Templat dengan pelacakan acara berkualitas tinggi default
• Menjelaskan dan mengadaptasi konfigurasi Sysmon Tay dan di sini
• Penggunaan psexec
• Mencegah serangan mimikatz
• Daftar Acara Log Keamanan Windows yang Berguna
• Memperkenalkan Sharpsploit: AC# Post-Exploitation Library
• Dari Kekeo ke Rubeus
• Windows OneLiners untuk mengunduh payload jarak jauh dan menjalankan kode sewenang -wenang
• Panduan Konfigurasi untuk mengimplementasikan pengaturan baseline host Windows 10 dan Windows Server 2016.