awesome windows domain hardening

Куративный список удивительных методов защиты для Windows.

Создан Gepeto42 и Paulwebsec, но очень вдохновляется на Protek3 Research!

В этом документе суммируется информация, связанная с разговором Pyrotek и Harmj0y Derbycon под названием «111 Атака Attackcorp Anatomy of Corporate Hack». Видео и слайды доступны ниже.

Он также включает в себя методы упрочнения, необходимые для предотвращения других атак, в том числе методов, обсуждаемых GEPETO42 и JOEYNONAME во время их разговора ThotCon 0x7.

Чего -то не хватает? Создайте запрос на тягу и добавьте его.

• Не должно быть усилий для укрепления за счет модернизации операционных систем.
• Развернуть EMET на рабочие станции (конец линии в июле 2018 года - рассмотрите возможность сохранения EMET для Windows 7, но определите приоритеты обновления до Windows 10 и Edge).
• Используйте Applecker, чтобы заблокировать контент EXEC с запуском в местоположениях пользователей (Home Dir, Profit Path, Temp и т. Д.).
• Утверждение против атак DMA? Вот и вы, и интересная статья от Synacktiv о атаках DMA
• Управление выполнением PowerShell через Applecker или режим ограниченного языка.
• Включите регистрацию регистрации PowerShell (V3+) и командного процесса.
• Block Office Macros (Windows & Mac) на контенте, загруженном из Интернета.
• Развернуть инструменты безопасности, которые следят за подозрительным поведением. Подумайте об использовании WEF для пересылки только интересных событий в ваш SIEM или систему ведения журнала.
• Ограниченные возможности, блокируя/ограничивая вложения по электронной почте/скачиванию:
  • ExecuteableDebles Extensions:
  • (ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, pif, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, WSF, WSH, EXE, PIF и т. Д.)
  • Офисные файлы, которые поддерживают макросы (DOCM, XLSM, PPTM и т. Д.)
  • Убедитесь, что эти типы файлов заблокированы.
  • Блок забытый/неиспользованные расширения файла Excel: IQY, SLK
• Измените программу по умолчанию на все, что открывается с помощью сценариев Windows на Блокнот (сначала тестируйте!)
  • Bat, JS, JSE, VBE, VBS, WSF, WSH, HTA, VBS и т. Д.
  • GPO: конфигурация пользователя -> Предпочтения -> Настройки панели управления -> Параметры папки -> Открыть с
  • Действие: заменить
  • Расширение файла: (расширение)
  • Связанная программа: %windir % system32 notepad.exe
  • Установите по умолчанию: включено.
• Предотвращение активации пакетов OLE в офисе с помощью реестра PackagerPrompt

• Развернуть Windows 10 и ограничить подсчет локальной группы.
• Ограничьте рабочую станцию ​​рабочей станцией.
• Увеличить безопасность на чувствительные ГПО.
• Оценить развертывание аналитики поведения (Microsoft ATA).

Bloodhound "профилактика":

• Используйте Netcease, чтобы предотвратить непрерывное перечисление сеанса.
• Используйте SAMRI10, чтобы предотвратить беспрепятственную локальную коллекцию администратора (это исправление уже существует в Windows 10 1607 и выше).

• Настройте GPO для предотвращения локальной аутентификации сетевой аутентификации (KB2871997). В дополнение к этой KB, контррецепта рекомендует два других изменения в реестре:

1. Установите HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaTokenLeakDetectDelaySecs = 30. Это очистит учетные данные, зарегистрированные от пользователей через 30 секунд (имитируя поведение Windows 8.1+)
2. Установить HKEY_LOCAL_MACHINESystemCurrentControlSetControlSecurityProvidersWDigestUseLogonCredential = 0. Это предотвратит хранимых учетных данных WDIGEST в памяти, как и в соответствии с по умолчанию для Windows 8.1+.

• Убедитесь, что пароли учетной записи локального администратора автоматически изменяются (Microsoft LAPS) и удалите дополнительные учетные записи локальных администраторов.
• Ограничьте рабочую станцию ​​на рабочую станцию ​​(брандмауэр Windows).
  • Проверьте Psexec с хорошими полномочиями между двумя рабочими станциями. Если это работает, у вас есть проблема с боковым движением.

• Удалить файлы с помощью паролей в Sysvol (включая GPP).
• Убедитесь, что администраторы не входят в неконтролируемые системы (обычные рабочие станции), настраивая отрицание правых заданий пользователя с помощью ГПО.
• Предоставьте привилегированные рабочие станции или лапы для всех привилегированных работ. Это никогда не должно иметь доступа к Интернету.
• Используйте учетные записи управляемых услуг для SAS, когда это возможно (FGPP)
• Для систем, которые не поддерживают управляемые учетные записи услуг, разверните мелкозернистую политику паролей, чтобы гарантировать, что пароли составляют> 32 символа.
• Убедитесь, что все компьютеры говорят NTLMV2 & Kerberos, DINY LM/NTLMV1.

• Убедитесь, что все администраторы входят только на утвержденные рабочие станции и серверы администратора. (См. PAW в разделе эскалации привилегий)
• Убедитесь, что все встроенные группы, но администратору отказано в входе в вход в доменные контроллеры пользователя. По умолчанию операторы резервного копирования, операторы учетных записей могут войти в контроллеры доменов, что опасно.
• Добавьте все учетные записи администратора в группу защищенных пользователей (требует DC Windows 2012 R2).
• Административные рабочие станции и серверы:
  • Контроль и ограничение доступа к рабочим станциям и серверам администратора.
  • Удалить NetBios через TCP/IP
  • Отключить llmnr.
  • Отключить WPAD.

• Начните сейчас, используя Pingcastle, который выполняет невероятный рекламный аудит
• Аудит/ограничить NTLM.
• Подписание LDAP.
• Включить подписание SMB (и шифрование, где возможно,).
• Отключить wpad & llmnr & работать, чтобы отключить NetBios.
• Windows 10, удалить:
  • SMB 1.0/CIFS
  • Windows PowerShell 2.0
• Используйте SLIM, чтобы обеспечить старые приложения, которые требуют от привилегий администратора работать, полагая, что они имеют их.

• Pingcastle - инструмент аудита Active Directory (и бесплатно!) С довольно хорошими показателями.
• Респондер - Обитель LLMNR, NBT -NS и MDNS
• Bloodhound - шесть градусов доменного администратора
• Путь управления рекламой - пути управления Active Directory
• PowersPloit - PowerShell Post -Exploation Framework
• PowerView - Ситуационная осведомленность PowerShell Framework
• Империя - PowerShell и Python Post -Exploation Agent
• Mimikatz-Утилита для извлечения паролей Plaintexts, хэш, PIN-кода и билетов Kerberos из памяти, но также выполнять пас-хаш, пропусков или построить золотые билеты
• Tools Cheatsheets - (Beacon, Powerview, Powerup, Empire, ...)
• UACME - побеждая контроль учетных записей пользователей Windows
• Внутренние внутренности системы Windows (включая Sysmon и т. Д.)
• Hardentools - Сборные простые утилиты, предназначенные для отключения ряда «функций», обнаженных Windows
• CrackMapexec - швейцарский армейский нож для плендных окон/Active Directory среды
• Sharpsploit
• Рубеус - Рубеус - это набор инструментов C# для необработанного взаимодействия и злоупотреблений Kerberos
• Koadic - Koadic, или Com Command & Control, это Windows Post -Exploitation Rootkit
• SilentTrinity - агент после эксплуатации, работающий на Python, Ironpython, C#/. Net

• За пределами MCSE: Active Directory для специалиста по безопасности
• Bsides DC 2016 - PowerShell Security: защита предприятия от последней платформы атаки
• Шесть градусов домена администратора ... - Энди Роббинс, Уилл Шредер, Рохан Вазаркар
• 111 Атакует анатомию зла корпоративного взлома
• Красный против синего: современные атаки активного каталогов и защита
• Наступательный активный каталог с PowerShell
• Усовершенствованное обнаружение инцидентов и охота на угрозы с использованием Sysmon и Splunk
• Настоящие решения от реальных инцидентов: сэкономьте деньги и вашу работу!
• Методы обхода аппликатора

• От рабочей станции до домена администратора - почему безопасное администрирование не безопасно
• Использование неуверенности администратора рекламы
• Как перейти от реагирования на охоту с помощью Sysinternals Sysmon
• 111 Атакует анатомию зла корпоративного взлома
• Настоящие решения от реальных инцидентов: сэкономьте деньги и вашу работу!

• Адсификация
• Блог Harmj0y
• Файл конфигурации Sysmon Securitay - Шаблон с трассировкой высококачественного события по умолчанию
• Объяснение и адаптация конфигурации Sysmon Tay и здесь
• Использование Psexec
• Предотвращение атак Mimikatz
• Полезный список событий журнала безопасности Windows
• Представляем Sharpsploit: AC# библиотека пост-эксплуатации
• От Кекео до Рубеуса
• Windows oneliners для загрузки удаленной полезной нагрузки и выполнения произвольного кода
• Настройки конфигурации для реализации настройки базовых базовых уровней Windows 10 и Windows Server 2016.