awesome windows domain hardening

為Windows提供了精心策劃的安全性硬化技術的列表。

由Gepeto42和Paulwebsec創建，但受到Pyrotek3 Research的啟發！

本文檔總結了與Pyrotek和Harmj0y的Derbycon演講有關的信息，名為“ 111攻擊公司黑客的Evilcorp解剖學”。視頻和幻燈片可在下面提供。

它還結合了防止其他攻擊所需的硬化技術，包括Gepeto42和Joeynoname在Thotcon 0x7 Talk中討論的技術。

缺少什麼？創建拉動請求並添加。

• 不應該以升級操作系統為代價來實現硬化的努力。
• 將EMET部署到工作站（2018年7月的生產線結束 - 考慮保留Windows 7的EMET，但優先升級到Windows 10和Edge）。
• 使用applocker阻止在用戶位置（Home DIR，Profile Path，Temp等）運行的Exec內容。
• 強化DMA攻擊？在這裡，您和Synacktiv的一篇有趣的文章有關DMA攻擊
• 通過Appleocker或受約束的語言模式管理PowerShell執行。
• 啟用PowerShell記錄（V3+）和命令過程記錄。
• 從Internet下載的內容上的Block Office宏（Windows＆Mac）。
• 部署安全工具，以監視可疑行為。考慮使用WEF將有趣的事件轉發到您的SIEM或記錄系統。
• 通過電子郵件/下載阻止/限製附件來限制功能：
  • 可執行文件擴展名：
  • (ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, pif, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, WSF，WSH，EXE，PIF等）
  • 支持宏（DOCM，XLSM，PPTM等）的辦公文件
  • 確保這些文件類型被阻止。
  • 塊被忘記/未使用的Excel文件擴展名：IQY，SLK
• 更改Windows腳本到記事本的任何內容的默認程序（首先測試！）
  • BAT，JS，JSE，VBE，VBS，WSF，WSH，HTA，VBS等。
  • GPO：用戶配置 - >首選項 - >控制面板設置 - >文件夾選項 - >與
  • 動作：替換
  • 文件擴展名：（擴展）
  • 相關程序：％windir％ system32 Notepad.exe
  • 設置為默認值：啟用。
• 使用PackagerPrompt註冊表設置在辦公室中阻止OLE軟件包的激活

• 部署Windows 10並限製本地組枚舉。
• 將工作站限製到工作站通信。
• 提高敏感GPO的安全性。
• 評估行為分析的部署（Microsoft ATA）。

獵犬“預防”：

• 使用NetCease防止無私人的會話枚舉。
• 使用SAMRI10防止非特權的本地管理員集合（Windows 10 1607及以上已經存在此修復程序）。

• 配置GPO，以防止網絡身份驗證的本地帳戶（KB2871997）。除此KB外，《反見》文章還建議註冊表中的另外兩個更改：

1. 設置HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaTokenLeakDetectDelaySecs = 30。這將在30秒後清除記錄的用戶的憑據（模仿Windows 8.1+的行為）
2. set HKEY_LOCAL_MACHINESystemCurrentControlSetControlSecurityProvidersWDigestUseLogonCredential = 0。這將防止Windows 8.1+的默認設備存儲在存儲器中。

• 確保自動更改本地管理員帳戶密碼（Microsoft Laps）並刪除額外的本地管理員帳戶。
• 將工作站限製到工作站通信（Windows防火牆）。
  • 測試兩個工作站之間具有良好憑證的PSEXEC。如果有效，您會有橫向運動問題。

• 在Sysvol（包括GPP）中使用密碼刪除文件。
• 確保通過使用GPO配置拒絕用戶權利分配，請不要登錄不受信任的系統（常規工作站）。
• 為所有高度特權工作提供特權訪問工作站或爪子。這些絕不能訪問互聯網。
• 在可能的情況下使用託管服務帳戶（FGPP）
• 對於不支持託管服務帳戶的系統，請部署精細的密碼策略，以確保密碼> 32個字符。
• 確保所有計算機都在談論NTLMV2和Kerberos，拒絕LM/NTLMV1。

• 確保所有管理員僅登錄到批准的管理工作站和服務器上。 （請參閱特權升級部分中的PAW）
• 確保所有內置組，但管理員都會從登錄到域控制器用戶用戶權利分配拒絕管理員。默認情況下，備份操作員，帳戶運營商可以登錄到域控制器，這很危險。
• 將所有管理帳戶添加到受保護的用戶組（需要Windows 2012 R2 DCS）。
• 管理員工作站和服務器：
  • 控制和限制對管理員工作站和服務器的訪問。
  • 通過TCP/IP刪除NetBios
  • 禁用llmnr。
  • 禁用WPAD。

• 現在開始使用執行令人難以置信的廣告審核的Pingcastle
• 審核/限制NTLM。
• 執行LDAP簽名。
• 啟用S​​MB簽名（＆加密位置。）。
• 禁用WPAD和LLMNR和工作以禁用NetBios。
• Windows 10，刪除：
  • SMB 1.0/CIFS
  • Windows PowerShell 2.0
• 使用Shims啟用需要管理特權來工作的舊應用程序，以確保他們擁有它們。

• Pingcastle-具有很好的指標的Active Directory Audit工具（和免費！）。
• 響應者-LLMNR，NBT -NS和MDNS Poisoner
• 獵犬 - 六個域管理
• 廣告控制路徑 - Active Directory控制路徑審核和圖形工具
• PowerSploit- Powershell後開發框架
• PowerView-情境意識Powershell框架
• 帝國 - Powershell和Python爆發後代理
• Mimikatz-從內存中提取明文密碼，哈希，PIN代碼和Kerberos門票的實用程序，但還可以執行通過牌，票或製造金票
• 工具作弊表 - （Beacon，Powerview，Powerup，Empire，...）
• UACME-擊敗Windows用戶帳戶控制
• Windows系統內部 - （包括Sysmon等）
• Hardentools - 簡單實用程序的集合，旨在禁用Windows暴露的許多“功能”
• crackmapexec-一把用於污染窗戶/活動目錄環境的瑞士軍刀
• Sharpsploit
• Rubeus -Rubeus是用於RAW KERBEROS互動和濫用的C＃工具集
• Koadic -Koadic或COM Command＆Control，是Windows爆炸後rootkit
• SilentTrinity- python，Ironpython，C＃/。網

• 超越MCSE：安全專業人員的Active Directory
• Bsides DC 2016- PowerShell安全：捍衛企業從最新的攻擊平台中辯護
• 六度的域名管理... - 安迪·羅賓斯（Andy Robbins），威爾·施羅德（Will Schroeder）
• 111攻擊公司黑客的邪惡解剖
• 紅色與藍色：現代活動目錄攻擊和防禦
• powershell的進攻性活動目錄
• 使用Sysmon和Splunk進行高級事件檢測和威脅狩獵
• 來自真實事件的真實解決方案：省錢和您的工作！
• Appleocker旁路技術

• 從工作站到域管理 - 為什麼安全管理不安全
• 利用廣告管理員不安全感
• 如何從響應sysinnals sysmon進行狩獵
• 111攻擊公司黑客的邪惡解剖
• 來自真實事件的真實解決方案：省錢和您的工作！

• Adsecurity
• Harmj0y的博客
• Sysmon Securitay的配置文件 - 帶有默認高質量事件跟踪的模板
• 解釋和調整Tay的Sysmon配置以及此處
• 使用PSEXEC
• 防止Mimikatz攻擊
• Windows安全日誌事件的有用列表
• 介紹SharpSploit：AC＃爆炸後庫
• 從kekeo到Rubeus
• Windows Oniners下載遠程有效負載並執行任意代碼
• 實施Windows 10和Windows Server 2016 DOD安全主機基線設置的配置指南。