awesome windows domain hardening

Uma lista com curadoria de impressionantes técnicas de endurecimento de segurança para o Windows.

Criado por Gepeto42 e Paulwebsec, mas altamente inspirado na pesquisa Pyrotek3!

Este documento resume as informações relacionadas à palestra de Pyrotek e Derbycon de Pyrotek e Harmj0Y chamada "111 Ataques Anatomia do EvilCorp de um Hack Corporativo". Vídeo e slides estão disponíveis abaixo.

Ele também incorpora técnicas de endurecimento necessárias para evitar outros ataques, incluindo técnicas discutidas por Gepeto42 e Joeynoname durante a palestra do THOTCON 0X7.

Algo está faltando? Crie uma solicitação de tração e adicione -a.

• Nenhum esforço de endurecimento deve ocorrer à custa da atualização dos sistemas operacionais.
• Implante o EMET para as estações de trabalho (final da linha em julho de 2018 - considere manter o EMET para o Windows 7, mas priorize as atualizações para o Windows 10 e Edge).
• Use o AppLocker para bloquear o conteúdo do EXEC em execução em locais de usuário (DIR de casa, caminho do perfil, temp, etc.).
• Endurecer contra ataques de DMA? Aqui está você e um artigo interessante da Synacktiv sobre ataques de DMA
• Gerencie a execução do PowerShell via AppLocker ou modo de linguagem restrita.
• Ativar log PowerShell Logging (V3+) e registro de processo de comando.
• Block Office Macros (Windows & Mac) no conteúdo baixado da Internet.
• Implantar ferramentas de segurança que monitora o comportamento suspeito. Considere usar o WEF para encaminhar apenas eventos interessantes para o seu SIEM ou sistema de registro.
• Limite a capacidade bloqueando/restringindo anexos por e -mail/download:
  • Extensões executáveis:
  • (ADE, ADP, ANI, BAS, BAT, CHM, CMD, COM, CPL, CRT, HLP, HT, HTA, INF, INS, ISP, JOJ, JS, JSE, LNK, MDA, MDB, MDE, MDE, MDZ, MSS WSF, WSH, EXE, PIF, etc.)
  • Arquivos do Office que suportam Macros (DOCM, XLSM, PPTM, etc.)
  • Verifique se esses tipos de arquivos estão bloqueados.
  • Block esquecido/não utilizado Excel Arquivo Extensões: IQY, SLK
• Altere o programa padrão para qualquer coisa que seja aberta com o Windows Script para o bloco de notas (teste primeiro!)
  • BAT, JS, JSE, VBE, VBS, WSF, WSH, HTA, VBS, etc.
  • GPO: Configuração do usuário -> Preferências -> Configurações do painel de controle -> Opções de pasta -> Abra com
  • Ação: Substitua
  • Extensão de arquivo: (extensão)
  • Programa associado: %windir % system32 notepad.exe
  • Defina como padrão: ativado.
• Prevendo a ativação de pacotes OLE no escritório com a configuração do Registro da Packagerprompt

• Implante o Windows 10 e limite a enumeração do grupo local.
• Limite a estação de trabalho à comunicação da estação de trabalho.
• Aumente a segurança dos GPOs sensíveis.
• Avalie a implantação de análise de comportamento (Microsoft ATA).

Bloodhound "Prevention":

• Use o NetCease para evitar enumeração de sessão sem privilégios.
• Use o SAMRI10 para evitar a coleção de administrador local sem privilégios (essa correção já existe no Windows 10 1607 e acima).

• Configure o GPO para impedir que as contas locais da autenticação de rede (KB2871997). Além deste KB, o Artigo do Countercept está recomendando duas outras mudanças no registro:

1. SET HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaTokenLeakDetectDelaySecs = 30. Isso limpará as credenciais dos usuários registrados após 30 segundos (imitando o comportamento do Windows 8.1+)
2. SET HKEY_LOCAL_MACHINESystemCurrentControlSetControlSecurityProvidersWDigestUseLogonCredential = 0. Isso impedirá que as credenciais WDigest sejam armazenadas na memória, novamente como é o padrão para o Windows 8.1+.

• Verifique se as senhas da conta do administrador local são alteradas automaticamente (Microsoft Laps) e remova contas de administrador locais extras.
• Limite a estação de trabalho à comunicação da estação de trabalho (Windows Firewall).
  • Teste o PSEXEC com boas credenciais entre duas estações de trabalho. Se funcionar, você tem um problema de movimento lateral.

• Remova arquivos com senhas no SYSVOL (incluindo GPP).
• Certifique -se de que os administradores não efetuem login em sistemas não confiáveis ​​(estações de trabalho regulares), configurando as atribuições corretas do usuário negado com os GPOs.
• Forneça estações de trabalho de acesso privilegiadas ou patas para todo o trabalho altamente privilegiado. Isso nunca deve ter acesso à Internet.
• Use contas de serviço gerenciado para SAS quando possível (FGPP)
• Para sistemas que não suportam contas de serviço gerenciadas, implante uma política de senha de granulação fina para garantir que as senhas sejam> 32 caracteres.
• Verifique se todos os computadores estão falando NTLMV2 & Kerberos, negar LM/NTLMV1.

• Certifique -se de que todos os administradores apenas efetuem login em estações de trabalho e servidores aprovados. (Veja a seção de escalada da pata na escalada de privilégios)
• Verifique se todos os grupos internos, mas o administrador são negados de fazer login nos controladores de domínio, atribuições corretas do usuário do usuário. Por padrão, operadores de backup, os operadores de contas podem fazer login nos controladores de domínio, o que é perigoso.
• Adicione todas as contas de administrador ao grupo de usuários protegidos (requer Windows 2012 R2 DCS).
• Estações de trabalho do administrador e servidores:
  • Controle e acesso limite às estações de trabalho do administrador e servidores.
  • Remova o NetBIOS sobre TCP/IP
  • Desativar llmnr.
  • Desative o WPAD.

• Comece agora usando o Pingcastle, que executa incrível auditoria de anúncios
• AUDITE/RESTRITE NTLM.
• Aplicar a assinatura LDAP.
• Habilite a assinatura do SMB (e criptografia onde poss.).
• Desative o WPAD & LLMNR e trabalhe para desativar o NetBIOS.
• Windows 10, remova:
  • SMB 1.0/CIFS
  • Windows PowerShell 2.0
• Use calços para permitir que aplicativos antigos que exigem que os privilégios do administrador trabalhem acreditando que eles os têm.

• Pingcastle - Uma ferramenta de auditoria do Active Directory (e gratuita!) Com métricas muito boas.
• Respondente - um LLMNR, NBT -NS e MDNS Poisonner
• Bloodhound - Seis graus de administrador de domínio
• Caminho de controle de anúncios - Caminhos de controle do diretório ativo Ferramentas de auditoria e gráfico
• PowerSploit - Uma estrutura de pós -exploração PowerShell
• PowerView - estrutura de conscientização situacional PowerShell
• Empire - PowerShell e Python Post -Explroitation Agent
• Mimikatz-Utilitário para extrair textos simples, hash, código PIN e ingressos Kerberos da memória, mas também execute o passe, passando o toque ou construir tickets dourados
• Ferramentas Cheatsheets - (Beacon, Powerview, PowerUp, Empire, ...)
• UACME - Derrotando o controle da conta de usuário do Windows
• Sistema Windows Internals - (incluindo Sysmon etc.)
• Hardentools - Coleção de utilitários simples projetados para desativar vários "recursos" expostos pelo Windows
• Crackmapexec - uma faca do exército suíço para janelas pentesting/ambientes do Active Directory
• SHOTSPLOIT
• Rubeus - Rubeus é um conjunto de ferramentas C# para interação e abusos crus Kerberos
• Koadic - Koadic, ou Com Command & Control, é um rootkit pós -exploração do Windows
• Silenttrinity - Um agente pós -exploração alimentado por Python, Ironpython, C#/. NET

• Além do MCSE: Active Directory para o Profissional de Segurança
• BSIDES DC 2016 - Segurança do PowerShell: Defendendo a empresa da plataforma de ataque mais recente
• Seis graus de administrador do domínio ... - Andy Robbins, Will Schroeder, Rohan Vazarkar
• 111 Ataques de EvilCorp Anatomy de um hack corporativo
• RED vs Blue: Ataques e Defesa Modernos do Active Directory
• Diretório Active Ofensivo com PowerShell
• Detecção avançada de incidentes e caça de ameaças usando Sysmon e Splunk
• Soluções reais de incidentes reais: economize dinheiro e seu trabalho!
• Técnicas de desvio de AppLocker

• Da estação de trabalho ao administrador do domínio - por que a administração segura não é segura
• Explorando inseguranças de administrador de anúncios
• Como ir de responder à caça com sysinternals sysmon
• 111 Ataques de EvilCorp Anatomy de um hack corporativo
• Soluções reais de incidentes reais: economize dinheiro e seu trabalho!

• Adsegurança
• Blog do Harmj0Y
• Arquivo de configuração do Sysmon Securitay - modelo com rastreamento de eventos de alta qualidade padrão
• Explicando e adaptando a configuração do Sysmon de Tay e aqui
• Uso de PSEXEC
• Prevenção de ataques de Mimikatz
• Lista útil de eventos de log de segurança do Windows
• Apresentando o SharpsPloit: AC# Biblioteca pós-exploitation
• De kekeo a rubeus
• Windows OneLiners para baixar a carga útil remota e executar o código arbitrário
• Orientação de configuração para implementar as configurações de linha de base do host Secure Secure Secure, do Windows 10 e Windows Server 2016.