awesome windows domain hardening

Windows 용 멋진 보안 경화 기술의 선별 된 목록.

Gepeto42와 Paulwebsec에 의해 만들어졌지만 Pyrotek3 Research에서 영감을 얻었습니다!

이 문서는 Pyrotek 및 Harmj0y의 Derbycon Talk와 관련된 정보를 "111"회사 해킹의 Evilcorp 해부학을 공격하는 것 "이라는 정보를 요약합니다. 비디오 및 슬라이드는 아래에 있습니다.

또한 GEPETO42가 논의한 기술을 포함하여 다른 공격을 방지하는 데 필요한 경화 기술과 THOTCON 0X7 토크 중에 Joeynoname을 포함합니다.

뭔가 빠졌나요? 풀 요청을 작성하고 추가하십시오.

• 운영 체제 업그레이드를 희생시키면서 강화 노력은 없어야합니다.
• EMET을 워크 스테이션에 배포하십시오 (2018 년 7 월의 종료 - Windows 7 용 EMET를 유지하지만 Windows 10 및 Edge 로의 업그레이드를 우선 순위를 정하는 것을 고려하십시오).
• Applocker를 사용하여 사용자 위치 (홈 디, 프로필 경로, 온도 등)에서 실행되는 exec 컨텐츠를 차단하십시오.
• DMA 공격에 대한 강화? DMA 공격에 대한 SynackTiv의 흥미로운 기사가 ​​여기 있습니다.
• Applocker 또는 제한된 언어 모드를 통해 PowerShell 실행을 관리하십시오.
• PowerShell 로깅 (v3+) 및 명령 프로세스 로깅을 활성화합니다.
• 인터넷에서 다운로드 한 콘텐츠에 대한 사무실 매크로 (Windows & Mac) 차단.
• 의심스러운 행동을위한 모니터링 보안 도구를 배포하십시오. WEF를 사용하여 흥미로운 이벤트 만 SIEM 또는 로깅 시스템에 전달하십시오.
• 이메일/다운로드를 통해 첨부 파일을 차단/제한하여 기능을 제한합니다.
  • 실행 파일 확장 :
  • (ADE, ADP, ANI, BAS, BAT, CHM, CMD, COM, CPL, CRT, HLP, HT, HT, HTA, INF, INS, ISP, JOB, JS, JSE, LNK, MDA, MDB, MDE, MDZ, MSC, MSI, MSP, MST, PCD, PIF, SCT, SHS, URB, VBE, VS, VS, V, VB, VSL, VBE WSF, WSH, EXE, PIF 등)
  • 매크로를 지원하는 사무실 파일 (DocM, XLSM, PPTM 등)
  • 이러한 파일 유형이 차단되었는지 확인하십시오.
  • 잊어 버린/사용하지 않은 Excel 파일 확장 차단 : IQY, SLK
• Windows Scripting에서 메모장으로 열리는 모든 것에 대한 기본 프로그램 변경 (먼저 테스트하십시오!)
  • Bat, JS, JSE, VBE, VBS, WSF, WSH, HTA, VBS 등
  • GPO : 사용자 구성 -> 환경 설정 -> 제어판 설정 -> 폴더 옵션 -> 열기
  • 조치 : 교체
  • 파일 확장 : (확장)
  • 관련 프로그램 : %windir % system32 notepad.exe
  • 기본값으로 설정 : 활성화.
• PackagerPrompt Registry 설정으로 사무실에서 OLE 패키지 활성화 방지

• Windows 10을 배포하고 로컬 그룹 열거를 제한하십시오.
• 워크 스테이션을 워크 스테이션 커뮤니케이션으로 제한합니다.
• 민감한 GPO의 보안을 높이십시오.
• 행동 분석 (Microsoft ATA)의 배포를 평가합니다.

Bloodhound "Prevention":

• NetCease를 사용하여 비전지의 세션 열거를 방지하십시오.
• SAMRI10을 사용하여 비공식적 인 로컬 관리자 수집을 방지합니다 (이 수정은 이미 Windows 10 1607 이상에 존재합니다).

• 로컬 계정이 네트워크 인증 (KB2871997)을 방지하도록 GPO를 구성하십시오. 이 KB 외에도 Countercept 기사는 레지스트리에서 두 가지 다른 변경 사항을 권장합니다.

1. HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaTokenLeakDetectDelaySecs = 30을 설정합니다. 이렇게하면 30 초 후에 로그 오프 사용자의 자격 증명이 지워집니다 (Windows 8.1+의 동작을 모방).
2. HKEY_LOCAL_MACHINESystemCurrentControlSetControlSecurityProvidersWDigestUseLogonCredential = 0을 설정하십시오. Windows 8.1+의 기본값과 마찬가지로 WDIGEST 자격 증명이 메모리에 저장되는 것을 방지합니다.

• 로컬 관리자 계정 비밀번호가 자동으로 변경 (Microsoft Laps)을 확인하고 추가 로컬 관리자 계정을 제거하십시오.
• 워크 스테이션을 워크 스테이션 통신 (Windows Firewall)으로 제한하십시오.
  • 두 워크 스테이션 사이에 좋은 자격 증명으로 psexec을 테스트하십시오. 작동하면 측면 이동 문제가 있습니다.

• sysvol (GPP 포함)에서 암호가있는 파일을 제거하십시오.
• Admins가 GPO로 사용자 권리 할당 거부를 구성하여 신뢰할 수 없는 시스템 (일반 워크 스테이션)에 로그인하지 않도록하십시오.
• 모든 특권 작업에 대한 권한있는 액세스 워크 스테이션 또는 발을 제공하십시오. 인터넷에 액세스 할 수 있어서는 안됩니다.
• 가능한 경우 SAS에 관리 서비스 계정을 사용하십시오 (FGPP)
• 관리 서비스 계정을 지원하지 않는 시스템의 경우 비밀번호가> 32 자임을 확인하기 위해 세밀한 암호 정책을 배포하십시오.
• 모든 컴퓨터가 NTLMV2 및 Kerberos를 말하고 있는지 확인하고 LM/NTLMV1을 거부하십시오.

• 모든 관리자가 승인 된 관리 워크 스테이션 및 서버에만 로그인하는지 확인하십시오. (권한 에스컬레이션 섹션의 발 참조)
• 모든 내장 그룹이지만 관리자가 도메인 컨트롤러에 로그온하는 것이 거부되어 있는지 확인하십시오. 기본적으로 백업 운영자, 계정 운영자는 도메인 컨트롤러에 로그인 할 수 있습니다.
• 보호 된 사용자 그룹에 모든 관리자 계정을 추가하십시오 (Windows 2012 R2 DCS 필요).
• 관리 워크 스테이션 및 서버 :
  • 관리 및 서버에 대한 제어 및 제한 액세스.
  • TCP/IP에서 NetBios를 제거하십시오
  • llmnr을 비활성화하십시오.
  • WPAD를 비활성화합니다.

• 놀라운 광고 감사를 수행하는 Pingcastle을 사용하여 지금 시작하십시오.
• 감사/제한 NTLM.
• LDAP 서명을 시행합니다.
• SMB 서명을 활성화합니다 (& 암호화 위치).
• WPAD & LLMNR을 비활성화하고 NetBios를 비활성화하기 위해 작업하십시오.
• Windows 10, 제거 :
  • SMB 1.0/CIFS
  • Windows PowerShell 2.0
• Shims를 사용하여 관리자 권한이 필요하다고 믿어야하는 오래된 응용 프로그램을 가능하게합니다.

• Pingcastle- 꽤 좋은 메트릭이있는 Active Directory 감사 도구 (및 무료!).
• 응답자 - LLMNR, NBT -NS 및 MDNS 독 독
• 혈액 사냥 - 6 도의 도메인 관리자
• 광고 제어 경로 - Active Directory 제어 경로 감사 및 그래프 도구
• PowerSploit -PowerShell 사후 탐사 프레임 워크
• PowerView- 상황 인식 PowerShell 프레임 워크
• 제국 -PowerShell 및 Python 사후 탐사제
• MIMIKATZ- 메모리에서 PlainTexts 비밀번호, 해시, 핀 코드 및 Kerberos 티켓을 추출하는 유틸리티는 패스로 호쉬, 패스 티켓 또는 골든 티켓 빌드를 수행합니다.
• 도구 치트 시트 - (비콘, 파워 뷰, 파워 업, 제국, ...)
• UACME- Windows 사용자 계정 제어 패배
• Windows 시스템 내부 - (Sysmon 등 포함)
• Hardentools- Windows에서 노출 된 여러 "기능"을 비활성화하도록 설계된 간단한 유틸리티 모음
• CrackMapexec- 펜스 테스트를위한 스위스 군용 나이프/액티브 디렉토리 환경
• SharpsPloit
• Rubeus -Rubeus는 RAW Kerberos 상호 작용 및 남용을위한 C# 도구 집합
• KOIDIC -KOIDIC 또는 COM COMMAND & CONTROL은 Windows Post -Cexploitation Rootkit입니다.
• SilentTrinity- Python, Ironpython, C#/. Net에 의해 구동되는 사후 탐사제.

• MCSE를 넘어서 : 보안 전문가를위한 Active Directory
• BSIDES DC 2016 -PowerShell Security : 최신 공격 플랫폼에서 기업 방어
• 6 도의 도메인 관리자 ...- Andy Robbins, Will Schroeder, Rohan Vazarkar
• 111 기업 해킹의 EvilCorp 해부학 공격
• 레드 대 블루 : 현대적인 액티브 디렉토리 공격 및 방어
• PowerShell과의 공격적인 액티브 디렉토리
• Sysmon 및 Splunk를 사용한 고급 사고 탐지 및 위협 사냥
• 실제 사건의 실제 솔루션 : 비용과 직업을 절약하십시오!
• Applocker 바이 패스 기술

• 워크 스테이션에서 도메인 관리자 - 보안 관리가 안전하지 않은 이유
• 광고 관리자 불안을 이용합니다
• Sysinternals Sysmon으로 사냥에 응답하는 방법
• 111 기업 해킹의 EvilCorp 해부학 공격
• 실제 사건의 실제 솔루션 : 비용과 직업을 절약하십시오!

• adsecurity
• Harmj0y의 블로그
• Sysmon Securitay의 구성 파일 - 기본 고품질 이벤트 추적이있는 템플릿
• Tay의 Sysmon 구성을 설명하고 적응하고 여기
• psexec 사용
• Mimikatz 공격 방지
• 유용한 Windows 보안 로그 이벤트 목록
• SharpSploit 소개 : AC# 사후 탐사 라이브러리
• Kekeo에서 Rubeus까지
• 원격 페이로드를 다운로드하고 임의 코드를 실행하는 Windows OnEliners
• Windows 10 및 Windows Server 2016 구현을위한 구성 안내서 DoD 보안 호스트 기준선 설정.