awesome windows domain hardening

为Windows提供了精心策划的安全性硬化技术的列表。

由Gepeto42和Paulwebsec创建，但受到Pyrotek3 Research的启发！

本文档总结了与Pyrotek和Harmj0y的Derbycon演讲有关的信息，名为“ 111攻击公司黑客的Evilcorp解剖学”。视频和幻灯片可在下面提供。

它还结合了防止其他攻击所需的硬化技术，包括Gepeto42和Joeynoname在Thotcon 0x7 Talk中讨论的技术。

缺少什么？创建拉动请求并添加。

• 不应该以升级操作系统为代价来实现硬化的努力。
• 将EMET部署到工作站（2018年7月的生产线结束 - 考虑保留Windows 7的EMET，但优先升级到Windows 10和Edge）。
• 使用applocker阻止在用户位置（Home DIR，Profile Path，Temp等）运行的Exec内容。
• 强化DMA攻击？在这里，您和Synacktiv的一篇有趣的文章有关DMA攻击
• 通过Appleocker或受约束的语言模式管理PowerShell执行。
• 启用PowerShell记录（V3+）和命令过程记录。
• 从Internet下载的内容上的Block Office宏（Windows＆Mac）。
• 部署安全工具，以监视可疑行为。考虑使用WEF将有趣的事件转发到您的SIEM或记录系统。
• 通过电子邮件/下载阻止/限制附件来限制功能：
  • 可执行文件扩展名：
  • (ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, pif, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, WSF，WSH，EXE，PIF等）
  • 支持宏（DOCM，XLSM，PPTM等）的办公文件
  • 确保这些文件类型被阻止。
  • 块被忘记/未使用的Excel文件扩展名：IQY，SLK
• 更改Windows脚本到记事本的任何内容的默认程序（首先测试！）
  • BAT，JS，JSE，VBE，VBS，WSF，WSH，HTA，VBS等。
  • GPO：用户配置 - >首选项 - >控制面板设置 - >文件夹选项 - >与
  • 动作：替换
  • 文件扩展名：（扩展）
  • 相关程序：％windir％ system32 Notepad.exe
  • 设置为默认值：启用。
• 使用PackagerPrompt注册表设置在办公室中阻止OLE软件包的激活

• 部署Windows 10并限制本地组枚举。
• 将工作站限制到工作站通信。
• 提高敏感GPO的安全性。
• 评估行为分析的部署（Microsoft ATA）。

猎犬“预防”：

• 使用NetCease防止无私人的会话枚举。
• 使用SAMRI10防止非特权的本地管理员集合（Windows 10 1607及以上已经存在此修复程序）。

• 配置GPO，以防止网络身份验证的本地帐户（KB2871997）。除此KB外，《反见》文章还建议注册表中的另外两个更改：

1. 设置HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaTokenLeakDetectDelaySecs = 30。这将在30秒后清除记录的用户的凭据（模仿Windows 8.1+的行为）
2. set HKEY_LOCAL_MACHINESystemCurrentControlSetControlSecurityProvidersWDigestUseLogonCredential = 0。这将防止Windows 8.1+的默认设备存储在存储器中。

• 确保自动更改本地管理员帐户密码（Microsoft Laps）并删除额外的本地管理员帐户。
• 将工作站限制到工作站通信（Windows防火墙）。
  • 测试两个工作站之间具有良好凭证的PSEXEC。如果有效，您会有横向运动问题。

• 在Sysvol（包括GPP）中使用密码删除文件。
• 确保通过使用GPO配置拒绝用户权利分配，请不要登录不受信任的系统（常规工作站）。
• 为所有高度特权工作提供特权访问工作站或爪子。这些绝不能访问互联网。
• 在可能的情况下使用托管服务帐户（FGPP）
• 对于不支持托管服务帐户的系统，请部署精细的密码策略，以确保密码> 32个字符。
• 确保所有计算机都在谈论NTLMV2和Kerberos，拒绝LM/NTLMV1。

• 确保所有管理员仅登录到批准的管理工作站和服务器上。 （请参阅特权升级部分中的PAW）
• 确保所有内置组，但管理员都会从登录到域控制器用户用户权利分配拒绝管理员。默认情况下，备份操作员，帐户运营商可以登录到域控制器，这很危险。
• 将所有管理帐户添加到受保护的用户组（需要Windows 2012 R2 DCS）。
• 管理员工作站和服务器：
  • 控制和限制对管理员工作站和服务器的访问。
  • 通过TCP/IP删除NetBios
  • 禁用llmnr。
  • 禁用WPAD。

• 现在开始使用执行令人难以置信的广告审核的Pingcastle
• 审核/限制NTLM。
• 执行LDAP签名。
• 启用S​​MB签名（＆加密位置。）。
• 禁用WPAD和LLMNR和工作以禁用NetBios。
• Windows 10，删除：
  • SMB 1.0/CIFS
  • Windows PowerShell 2.0
• 使用Shims启用需要管理特权来工作的旧应用程序，以确保他们拥有它们。

• Pingcastle-具有很好的指标的Active Directory Audit工具（和免费！）。
• 响应者-LLMNR，NBT -NS和MDNS Poisoner
• 猎犬 - 六个域管理
• 广告控制路径 - Active Directory控制路径审核和图形工具
• PowerSploit- Powershell后开发框架
• PowerView-情境意识Powershell框架
• 帝国 - Powershell和Python爆发后代理
• Mimikatz-从内存中提取明文密码，哈希，PIN代码和Kerberos门票的实用程序，但还可以执行通过牌，票或制造金票
• 工具作弊表 - （Beacon，Powerview，Powerup，Empire，...）
• UACME-击败Windows用户帐户控制
• Windows系统内部 - （包括Sysmon等）
• Hardentools - 简单实用程序的集合，旨在禁用Windows暴露的许多“功能”
• crackmapexec-一把用于污染窗户/活动目录环境的瑞士军刀
• Sharpsploit
• Rubeus -Rubeus是用于RAW KERBEROS互动和滥用的C＃工具集
• Koadic -Koadic或COM Command＆Control，是Windows爆炸后rootkit
• SilentTrinity- python，Ironpython，C＃/。网

• 超越MCSE：安全专业人员的Active Directory
• Bsides DC 2016- PowerShell安全：捍卫企业从最新的攻击平台中辩护
• 六度的域名管理... - 安迪·罗宾斯（Andy Robbins），威尔·施罗德（Will Schroeder）
• 111攻击公司黑客的邪恶解剖
• 红色与蓝色：现代活动目录攻击和防御
• powershell的进攻性活动目录
• 使用Sysmon和Splunk进行高级事件检测和威胁狩猎
• 来自真实事件的真实解决方案：省钱和您的工作！
• Appleocker旁路技术

• 从工作站到域管理 - 为什么安全管理不安全
• 利用广告管理员不安全感
• 如何从响应sysinnals sysmon进行狩猎
• 111攻击公司黑客的邪恶解剖
• 来自真实事件的真实解决方案：省钱和您的工作！

• Adsecurity
• Harmj0y的博客
• Sysmon Securitay的配置文件 - 带有默认高质量事件跟踪的模板
• 解释和调整Tay的Sysmon配置以及此处
• 使用PSEXEC
• 防止Mimikatz攻击
• Windows安全日志事件的有用列表
• 介绍SharpSploit：AC＃爆炸后库
• 从kekeo到Rubeus
• Windows Oniners下载远程有效负载并执行任意代码
• 实施Windows 10和Windows Server 2016 DOD安全主机基线设置的配置指南。