Etiketter:

Säkra ditt Windows-nätverk

Visste du att det bara behövs en enkel googling och en titt på några YouTube-videos för att du ska lära dig hur du kommer åt inloggningsuppgifter till Windows-nätverk? Men var lugn. Lika enkelt är det faktiskt att ta de första stegen mot en säkrare Windowsmiljö. Det bästa är att du kan göra det med hjälp av befintliga funktioner. Det är de små enkla stegen som verkligen blir av som kan göra all skillnad för dig och din verksamhet.

Den klassiska sårbarheten med Windows-nätverk

Windows-nätverk är vanligen strukturerade för att vara enkla att administrera. Ett konto eller lösenord har åtkomst till flera resurser vilket är grunden till sårbarheten. Denna sårbarhet utnyttjas vanligen vid intrång. Det kan vara att alla inbyggda administratörskonton har samma lösenord på klienter eller servrar. Därför räcker det ibland att få ut lösenordet för en dator för att få tillgång till fler datorer i nätverket. Hashen för det lokala administratörskontot kan alltid exekveras om du har administrativa behörigheter över en dator. Därefter kan oftast en ”Pass-The-Hash” attack användas för att få åtkomst till nästa mål. Nästa mål kan inneha lagrade Windows nätverks-inloggningar i form av NTLM-hashar eller Kerberos-biljetter som tar dig ännu längre in i nätverket.

Metoden att samla på sig behörigheter genom att hoppa från en dator till en annan kan i värsta fall fortsätta tills att angriparen kommit över ”Domain Admin” behörigheten och därmed möjligheten kunnat exekvera ut alla lösenord i Windows-nätverket genom domänkontrollantens ”ntds.dit”. Har angriparen kommit så här långt, kan vad som kallas ”Kerberos Golden-Tickets” produceras genom NTLM-hashen till KRBTGT-kontot vilket gör att angriparen kan bli vilken identitet som helst i nätverket utan IT-avdelningens vetskap. Dessa Golden-Tickets kommer kunna produceras tills att lösenordet för KRBTGT-kontot har ändrats i Windows-domänen. Dessa metoder behöver inte innefatta någon skadlig kod.

Markus Ullin och Roger Fors vet hur du ska säkra ditt windows-nätverk

Markus Ullin och Roger Fors: två av Hi5:s säkerhetswizards.

Anta att inget överlever administratörs-behörigheten

Även om du har säkerhetslösningar aktiverade på enheten så ska du anta att dessa högst troligt kan förbigås med administratörs-behörigheter. Första steget är därför att ta bort denna behörighet från den session vi dagligen arbetar i. Att ha ett extra konto för administrativa åtgärder behöver inte vara en administrativ börda. Detta gäller även en dator hemmavid. Allt blir mycket svårare för angriparen om de inte får en administrativ behörighet!

Små enkla steg till ökad säkerhet i ditt Windows-nätverk

  • Ha inte administratörsbehörighet i din dagliga användarsession.
  • Unika lösenord för lokala administratörskontot på klienter och servrar.
    Se Microsoft Local Administrator Password Solution (LAPS)
  • Blockera möjligheten att kunna logga in som domänadministratör eller serveradministratör på en klientmaskin.
    Se policy ”Deny Log on Locally” och “Deny access to this computer from the network” för att begränsa användningen av konton med för höga behörigheter
  • Skydda lsass.exe processen på klienter och servrar
    Se ”LSA Protection (RunAsPPL)” för både klienter och servrar.
    Se ”Credential Guard” för klienter med Windows 10 Enterprise eller fysiska servrar
  • Vitlistning av applikationer via AppLocker
    Ett bra första steg är att inte tillåta exekveringar från ”C:\Users” men tillåta exekveringar från mappar såsom ”C:\Program Files”. Skadlig kod börjar ofta sin resa under C:\Users. Hindrar du koden redan i detta skeende så har du neutraliserat majoriteten av den automatiserade skadliga koden. Du kan fortfarande tillåta exekvering av applikationer från C:\Users baserat på utgivar-signaturer för att godkänna applikationer som ska få köras.
  • Blockera utgående Internet-trafik för processer som vanligen används av skadlig kod

Skadlig kod laddar ofta ner mer kod från Internet för att kunna etablera sig på en dator. Blockerar man processer såsom powershell,cscript,wscript,regsvr32,rundll32 från att kunna kommunicera utanför företagets nätverk så skapar man även här stort hinder för stor del av den skadliga koden på Internet. Detta kan göras via utgående regler i Windows Firewall.

  • Blockera klienter från att prata med varandra

Klienter behöver oftast inte prata med varandra. Detta går att uppnå via nätverkskonfigurationer såsom ”Protected Port” i din nätverksutrustning eller via lokal brandvägg i Windows. Under demonstrationen visade vi exempel på hur ett schemalagt skript kunde säkerställa att alla aktiva ingående brandväggsregler avgränsas till att endast vara öppna mot specifika subnät, med möjlighet till undantag.

  • Helst ej använda konton som har behörigheter till flera enheter.
    LAPS kan eventuellt ersätta användningen av konton med administrativa behörigheter över flera datorer.

Att dynamisk skapa unika AD-grupper för samtliga klienter och serverar kan även vara en lösning för att temporärt tilldela sig behörigheten till en specifik enhet under en begränsad period. Se ”Privileged Access Management (PAM)” för temporära AD-gruppmedlemskap.

Har du gjort åtgärderna ovan blir det mycket svårare att samla på sig identiteter och behörigheter i ett Windows-nätverk. Sedan är det några ytterligare steg som man bör ta:

  • Alltid hålla Windows uppdaterat
  • 3:e parts applikationer är uppdaterade
  • Bitlocker – kryptera hårddisken
  • TPM och UEFI Secure Boot aktiverat.
  • DMA Protection (tillsammans med Credential Guard)
  • Utvärdera dina säkerhetsinställningar i Microsoft Office

Övriga tips

  • Använda Edge inom Application Guard vid sökning av information på nätet.
    Edge i Application Guard gör att koden som exekveras i webbläsaren inte når din vanliga session på datorn och skadlig kod som landar där kommer inte ta sig någonstans.
  • Alltid logga ut från en server eller klient vid användning av ett administrativt konto
    Körs ”Task Manager” med SYSTEM kan du alltid överta en session med ett enkelt högerklick.
  • Ta bort möjligheten till ”Sleep” vid användning av BitLocker med startlösenord

Hibernate kommer kräva lösenord från BitLocker vid uppstart vilket inte funktionen Sleep gör. Med detta så blir en borttappad stulen dator en tryggare incident då den annars kan bli föremål för en DMA-attack.

Blev du nyfiken och vill vässa ditt säkerhetsarbete? Kontakta oss gärna för att diskutera vidare!

/Roger och Markus

Skribent

Image

Markus Ullin

Systemkonsult

Skicka epost