awesome windows domain hardening

Windows用の素晴らしいセキュリティ硬化技術のキュレーションリスト。

Gepeto42とPaulwebsecによって作成されましたが、Pyrotek3 Researchから非常にインスピレーションを得ています！

このドキュメントは、PyrotekとHarmj0yのDerbycon Talkに関連する情報を要約しています。ビデオとスライドは以下で入手できます。

また、Thotcon 0x7 TalkでGepeto42やJoeynonameが議論した技術など、他の攻撃を防ぐために必要な硬化技術も組み込まれています。

何かが欠けていますか？プルリクエストを作成して追加します。

• オペレーティングシステムのアップグレードを犠牲にして、硬化の取り組みは必要ありません。
• エメットをワークステーションに展開します（2018年7月のラインの終わり - Windows 7のEMETの保持を検討しますが、Windows 10とEdgeへのアップグレードに優先順位を付けることを検討してください）。
• Applockerを使用して、Execコンテンツがユーザーの場所での実行をブロックします（ホームディレット、プロファイルパス、温度など）。
• DMA攻撃に対する硬化？ここに行き、DMA攻撃に関するSynacktivからの興味深い記事
• Applockerまたは制約付き言語モードを介してPowerShellの実行を管理します。
• PowerShellロギング（V3+）およびコマンドプロセスロギングを有効にします。
• インターネットからダウンロードされたコンテンツのオフィスマクロ（Windows＆Mac）をブロックします。
• 疑わしい行動のために監視するセキュリティツールを展開します。 WEFを使用して、興味深いイベントのみをSIEMまたはロギングシステムに転送することを検討してください。
• 電子メール/ダウンロードを介して添付ファイルをブロック/制限することにより、機能を制限します。
  • 実行可能ファイル拡張機能：
  • （ADE、ADP、ANI、BAS、BAT、CHM、CMD、COM、CPL、CRT、HLP、HT、HTA、INF、INS、ISP、Job、JS、JS、JS、JSE、LNK、MDA、MDB、MDE、MDZ、MSC、MSI、MSP、MST、PCD、PIF、SCR、SCT、SHS、VB、VB、VB、VB、VB、VB、 WSF、WSH、EXE、PIFなど）
  • マクロ（docm、xlsm、pptmなど）をサポートするオフィスファイル
  • これらのファイルタイプがブロックされていることを確認してください。
  • ブロック忘れられた/未使用のExcelファイル拡張機能：IQY、SLK
• Windowsスクリプトがメモ帳に開くと開くもののデフォルトプログラムを変更します（最初にテスト！）
  • BAT、JS、JSE、VBE、VBS、WSF、WSH、HTA、VBSなど。
  • GPO：ユーザー構成 - >設定 - >コントロールパネル設定 - >フォルダーオプション - > with
  • アクション：交換します
  • ファイル拡張子：（拡張子）
  • 関連プログラム：％windir％ system32 notepad.exe
  • デフォルトとして設定：有効になります。
• PackagerPromptレジストリ設定でオフィスでのOLEパッケージのアクティブ化を防ぐ

• Windows 10を展開し、ローカルグループの列挙を制限します。
• ワークステーションをワークステーション通信に制限します。
• 機密性の高いGPOのセキュリティを増やします。
• 行動分析（Microsoft ATA）の展開を評価します。

ブラッドハウンド「予防」：

• NetCeaseを使用して、特権のないセッションの列挙を防ぎます。
• SAMRI10を使用して、特別なローカル管理者コレクションを防止します（この修正は、Windows 10 1607以降に既に存在します）。

• ローカルアカウントがネットワーク認証を防ぐようにGPOを構成します（KB2871997）。このKBに加えて、Counterceptの記事は、レジストリの他の2つの変更を推奨しています。

1. HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaTokenLeakDetectDelaySecs = 30を設定します。これにより、30秒後にユーザーのログオフの資格情報がクリアされます（Windows 8.1+の動作を模倣します）
2. set HKEY_LOCAL_MACHINESystemCurrentControlSetControlSecurityProvidersWDigestUseLogonCredential = 0。

• ローカル管理者アカウントのパスワードが自動的に変更され（Microsoftラップ）、追加のローカル管理アカウントを削除するようにします。
• ワークステーションをワークステーション通信（Windowsファイアウォール）に制限します。
  • 2つのワークステーションの間に良好な資格情報を持つPSEXECをテストします。それが機能する場合、横方向の動きの問題があります。

• Sysvol（GPPを含む）のパスワードを使用してファイルを削除します。
• GPOで拒否ユーザーの正しい割り当てを構成することにより、管理者が信頼できないシステム（通常のワークステーション）にログオンしないようにします。
• 非常に特権的な作業のために、特権アクセスワークステーションまたはPAWを提供します。それらはインターネットにアクセスできないはずです。
• 可能な場合はSASのマネージドサービスアカウントを使用（FGPP）
• マネージドサービスアカウントをサポートしていないシステムの場合は、パスワードが32文字以上であることを確認するために、きめ細かいパスワードポリシーを展開します。
• すべてのコンピューターがNTLMv2とKerberosを話していることを確認し、LM/NTLMV1を拒否します。

• すべての管理者が承認された管理者ワークステーションとサーバーにのみログオンしていることを確認してください。 （特権エスカレーションセクションのPAWを参照）
• すべての組み込みグループを確認してください。デフォルトでは、バックアップオペレーター、アカウントオペレーターはドメインコントローラーにログインできますが、これは危険です。
• すべての管理者アカウントを保護されたユーザーグループに追加します（Windows 2012 R2 DCSが必要です）。
• 管理者ワークステーションとサーバー：
  • 管理ワークステーションおよびサーバーへのアクセスを制御および制限します。
  • TCP/IPでNetBiosを削除します
  • LLMNRを無効にします。
  • WPADを無効にします。

• 信じられないほどの広告監査を実行するPingcastleを使用することから今すぐ始めます
• NTLMを監査/制限します。
• LDAPの署名を強制します。
• SMB署名を有効にします（＆暗号化Where poss。）。
• wpad＆llmnr＆workを無効にして、netbiosを無効にします。
• Windows10、削除：
  • SMB 1.0/CIFS
  • Windows PowerShell 2.0
• シムを使用して、管理権を持っていると信じることによって、管理権を必要とする古いアプリケーションを有効にします。

• Pingcastle-かなり良いメトリックを備えたアクティブなディレクトリ監査ツール（および無料！）。
• レスポンダー-LLMNR、NBT -NS、MDNS POSISER
• Bloodhound -6度のドメイン管理者
• 広告制御パス - アクティブディレクトリ制御パス監査とグラフ化ツール
• PowerSploit -PowerShell爆発後のフレームワーク
• PowerView-状況認識PowerShellフレームワーク
• エンパイア - パワーシェルとPython後の搾取エージェント
• MIMIKATZ-プレーンテキストのパスワード、ハッシュ、ピンコード、Kerberosのチケットをメモリから抽出するユーティリティは、パスザハッシュ、パスザチケット、またはゴールデンチケットの構築も実行します
• ツールチートシート - （ビーコン、パワービュー、パワーアップ、エンパイア、...）
• UACME- Windowsユーザーアカウントコントロールの敗北
• Windows System Internals-（Sysmonなどを含む）
• hardentools-ウィンドウによって公開される多くの「機能」を無効にするように設計されたシンプルなユーティリティのコレクション
• CrackMapexec-ペンテスト窓/アクティブディレクトリ環境用のスイスアーミーナイフ
• sharpsploit
• ルベウス-Rubeusは、生のKerberosの相互作用と虐待のためのC＃ツールセットです
• Koadic -Koadic、またはcom Command＆ControlはWindows後の爆発後のルートキットです
• SilentTrinity -Python、Ironpython、C＃/。

• MCSEを超えて：セキュリティプロフェッショナル向けのActive Directory
• BSIDES DC 2016 -PowerShellセキュリティ：最新の攻撃プラットフォームから企業を守る
• 6度のドメイン管理者...-アンディロビンス、ウィルシュローダー、ロハンヴァザカー
• 111企業ハックの邪悪なコープの解剖学を攻撃する
• Red vs Blue：最新のアクティブディレクトリ攻撃と防御
• PowerShellを使用した攻撃的なアクティブディレクトリ
• SysmonとSplunkを使用した高度なインシデント検出と脅威狩り
• 本当のインシデントからの本当の解決策：お金とあなたの仕事を節約してください！
• Applockerバイパス技術

• ワークステーションからドメイン管理者まで - 安全な管理が安全でない理由
• 広告管理者の不安を悪用します
• Sysinternals Sysmonでの狩猟に応答する方法
• 111企業ハックの邪悪なコープの解剖学を攻撃する
• 本当のインシデントからの本当の解決策：お金とあなたの仕事を節約してください！

• アドセキュリティ
• Harmj0yのブログ
• Sysmon Securitayの構成ファイル - デフォルトの高品質のイベントトレースを備えたテンプレート
• TayのSysmon構成の説明と適応とここで
• Psexecの使用
• ミミカッツ攻撃の防止
• Windowsセキュリティログイベントの便利なリスト
• sharpsploitの紹介：AC＃露出後ライブラリ
• ケケオからルベウスまで
• リモートペイロードをダウンロードして任意のコードを実行するためのWindows Oneliners
• Windows 10およびWindows Server 2016 Secure Host Baseline設定を実装するための構成ガイダンス。