Recommandé
Recommandé
Contenu connexe
Similaire à Enkel og effektiv herding av windows
Similaire à Enkel og effektiv herding av windows (20)
Plus de Oddvar Moe
Plus de Oddvar Moe (9)
Dernier
Dernier (20)
Enkel og effektiv herding av windows
- 1. Enkel og effektiv herding av Windows
- 2. ODDVAR MOE - Red teamer @TrustedSec - Security geek / Blogger / Speaker - Microsoft MVP 5 years - Working with IT since 2000 - Security Research ❤ Memes @oddvarmoe - https://oddvar.moe
- 3. Enkle herdinger • Makroer • HTA/JS/JSE • LAPS / Prevent Local Admin Lateral Movement • SMB Signing • LSASS Protection
- 7. Deaktivere Makroer • Kan også gjøres gjennom Intune https://helgeklein.com/blog/2019/07/blocking-office-macros- managing-windows-macos-via-intune/
- 8. HTA/JS/JSE filer • Ofte en link i epost • Eksekverer kode
- 9. HTA/JS/JSE filer • Ofte en link i epost • Eksekverer kode
- 10. Endre oppførsel til HTA/JS/JSE filer
- 11. LAPS • Unikt administrator passord • https://Aka.ms/laps • Forhindrer klassisk lateral movement med Pass-the-Hash • Enkelt å implementere (15m) Guide på Norsk: https://channel9.msdn.com/Blogs/MVP-Cloud- DataCenter/Gjennomgang-av-Local-Administrator-Password-Solution- LAPS
- 12. LAPS High level: • Schema extension • MSI/DLL fil installeres I miljøet • En GPO lages med riktige innstillinger for ønsket passord policy
- 13. Forhindre Lateral Movement Et annet enkelt og effektivt triks:
- 14. SMB Signing • Forhindrer Man-in-The-Middle / Replay • Kan påvirke ytelse • Ingen grunn til ikke å slå på
- 15. SMB Signing
- 16. LSASS Protection • Gjør det vanskeligere å dumpe LSASS • Krever mer innsats av angriper
- 17. LSASS Protection
- 18. LSASS Protection
- 19. LSASS Protection
- 20. Andre tips • Lokal administrator • AppLocker / Device Guard • BitLocker • Logging / Windows Event forwarding • Microsoft Defender Advanced Threat Protection • Baselines • https://adsecurity.org/?p=3299
- 21. Andre tips • https://docs.microsoft.com/en-us/windows/security/threat- protection/windows-security-baselines • https://www.trustedsec.com/blog/4-free-easy-wins-that-make- red-teams-harder/ • https://docs.microsoft.com/en-us/windows/security/threat- protection/windows-defender-application- control/applocker/applocker-overview
- 22. TAKK FOR MEG Mail: Oddvar.moe@trustedsec.com Twitter: @oddvarmoe